【 ここから本文 】
アクセス制御/認証
ソーシャルブックマークに登録 :
印刷用ページの表示
【解説】
「Windows Server 2008&Vista」最適活用講座[Part2]
NAPを利用したセキュリティ・レベルの保証
(2008年07月02日)
【Built-in】
Windows Server 2008 & Vistaなら
OSの標準機能だけですぐに実現可能
NAPのシステムは「ネットワークポリシーサーバ(NPS)」と「システム正常性検証ツール(System Health Validator:SHV)」、実施オプションに応じたアクセスデバイス、そしてクライアント側にNAPクライアントエージェント、SHVに対応した「システム正常性エージェント(System Health Agent:SHA)」で構成される(図1)。Windows Vistaには、NAPクライアントエージェントが標準搭載されている。
 |
| 図1● NAPによるクライアント検疫のイメージ。クライアントはいったん検疫ゾーンに配置され、正常性ポリシーに準拠するものだけがセキュアゾーンへのアクセスを許可される |
NPSは、リモート認証ダイヤルインユーザーサービス(RADIUS)サーバとRADIUSプロキシの機能を持ち、VPNや有線/無線LANによる接続要求を認証する機能を持つ。また、クライアントの正常性を評価し、ネットワークポリシーを決定して、クライアントのネットワークへのアクセスを許可/禁止する。
NAPが有効なネットワークに接続しようとするクライアントは、必ず「検疫ゾーン」と呼ばれる制限付きネットワークに配置され、SHAによってシステム状態が検査される。検査結果は「状態ステートメント(Statement of Health:SoH)」としてNPSに送信され、NPS側のSHVで評価される。
NPSはSHVの評価により、正常性ポリシーへの準拠/非準拠を判断して、クライアントへのネットワークポリシーを決定する。正常性ポリシーに準拠する場合は、アクセス制限がない「セキュアゾーン」へのアクセス許可を与え、非準拠の場合は引き続き検疫ゾーンに残すか、完全にアクセスを禁止する。正常性ポリシーに準拠するように、自動修復させたり、修復サーバへのルートを提供したりすることも可能だ(画面1)。
 |
| 画面1● 正常性ポリシーに準拠しないクライアントはアクセスを制限または禁止する。自動修復させたり、修復するための修復サーバ(WSUSなど)へのアクセスのみを許可したりすることも可能になる |
決定されたネットワークポリシーは、実施オプションに応じて、NAPクライアントエージェントにより強制される(画面2、画面3)。
 |
| 画面2● ウイルス対策ソフトがインストールされていないと、NAPによりアクセスが制限されるようになる |
 |
| 画面3● 正常性ポリシーを満たせば、その時点で再評価され、即座にアクセス許可が与えられる |
【解説】「Windows Server 2008&Vista」最適活用講座[Part1]
クライアントの導入・運用コストを削減する管理機能
【Windows Server 2008 実践評価ガイド】Windows Vistaとの連携でWindows Server 2008のパワーを最大化する
管理の効率化、可用性の向上、通信の高速化を実現するために
