【Windows Server 2008 実践評価ガイド】
NAPとForefront Client Securityが実現するセキュアなネットワーク

安全・堅ろうなITインフラはWindows Server 2008で！

（2008年03月14日）

【Access Control Options】
アクセス制限の実施オプションは
DHCP、IPSec、IEEE 802.1x、VPNの4つ

　NAPのアクセス制限は、DHCP、IPSec、IEEE 802.1x、VPNサーバの4つのいずれか、または組み合わせで実施する。

　DHCPによるアクセス制限は、検疫されたクライアントへ「255.255.255.255」のサブネットマスクと、修復サーバへの静的ルートを提供することで実現される。ユーザーはIPアドレスを手動で設定できるうえ、サブネットマスクやデフォルトゲートウェイは十分に想像可能なので、この実施オプションは回避不能な完全なアクセス制限にはならないが、Windows Server 2008のDHCPサーバを用いて比較的容易に導入できる。

【Client Agent】
Windows Vista以降は
NAPクライアントとSHAを標準で装備

　クライアントが正常性ポリシーをパスして、アクセス制限を解除してもらうには、NAPクライアントエージェントと、正常性ポリシーをチェックする検疫コンポーネントとして「検証エージェント（SHA：System Health Agent）」と「検証ツール（SHV：System Health Validator）」が必要となる。

　Windows Vistaは、NAPクライアントエージェント（Network Access Protection Agentサービス）と、SHA「Windowsセキュリティ正常性エージェント（NAPCL
CFG.MSC）」を標準装備している。「Windowsセキュリティ正常性エージェント」と対になるサーバ側のSHVは、Windows Server 2008に「Windowsセキュリティ正常性検証ツール」として実装されている。

画面2●　正常性検査をパスしたクライアント。セキュアゾーンへの完全なアクセスが許可される

　Windows VistaのWindowsセキュリティ正常性エージェントでは、「セキュリティセンター」でチェックされる項目、Windowsファイアウォールの状態、自動更新の状態、マルウェア対策（ウイルス対策およびスパイウェア対策）、および重要なセキュリティ更新のインストール状況をチェックできる。チェック結果はSoHとしてNPSに送信され、決定されたポリシーをNAPクライアントエージェントの「検疫実施クライアント（QEC：Quarantine Enforcement Client）」機能が強制する（画面2）。

　Windows VistaとWindows Server 2008の標準機能では、セキュリティセンターの項目によってクライアントを検疫できるが、NAPは拡張のためのAPI（Application Programming Interface）セットを提供しており、サードベンダーからは検疫コンポーネント（SHAおよびSHV）、自動修復メカニズム、新たな検疫手段が提供されることになる。マイクロソフトでもSCCM 2007のパッチ管理機能と連動した検疫コンポーネントを提供する予定だ。

【評価ガイド1】
DHCP実施オプションによるNAPの導入

　NAPを評価する場合は、IPv4ベースの「DHCP実施オプション」をお勧めする。NPSとDHCPの役割をインストールしたWindows Server 2008サーバを用意し、Windows Vistaと閉じたネットワークを用意すれば、NAPの環境を比較的容易に構築できる。

画面3●　DHCP実施オプションは比較的導入が容易。NPSとDHCPサーバが同じコンピュータの場合は、ウィザードをすべてデフォルトで進めるだけで標準的な構成が完了する

　なお、DHCP実施オプションを評価する場合は、構成を簡単にするためにクライアントとサーバの両方、あるいはクライアント側でIPv6を無効にしておこう。Windows Server 2008とWindows VistaのネットワークではIPv6が優先されるため、IPv6が有効なままIPv4のNAP環境を構築しても、検疫されたクライアントがIPv6を使用してセキュアゾーンにフルアクセスできてしまうのだ。

　まず、「ネットワークポリシーサーバ」スナップインで「Windowsセキュリティ正常性検証ツール」を構成してから、「ネットワークポリシーサーバ」スナップインのトップページにある「NAPを構成する」をクリックする。ウィザードの最初のページで「動的ホスト構成プロトコル（DHCP）を指定したら、あとはすべてデフォルト設定のまま「次へ」をクリックすればよい（画面3）。

　DHCPサーバには、セキュアゾーンでのスコープとスコープオプションを定義し、スコープに対してNAP機能を有効にする。さらに、検疫クライアントに課す制限（静的ルートやドメイン名）を「Default Network Access Protection Class」のスコープオプションとして定義する。

【評価ガイド2】
Windows VistaのNAPクライアント構成

　クライアント検疫を実施するには、クライアント側の設定も必要だ。Windows VistaはNAPクライアントエージェントとSHAを標準装備しているが、デフォルトは無効である。Windows VistaでNAPクライアントを構成するには、次の3つの操作が必要になる。

【1】 管理ツールの「サービス」を使用して、「Network Access Protection Agent」を開始する。また、スタートアップを「自動」に変更する。

【2】 「ファイル名を指定して実行」に「NAPCLCFG.MSC」と入力し、「NAPクライアントの構成」スナップインを開き、NAPの実施オプションに対応した実施クライアントを有効にする。例えば、DHCP実施オプションを使用する場合は、「DHCP検疫実施クライアント」を有効にする。

【3】 ドメインに参加するクライアントは、デフォルトでセキュリティセンターが無効になる。Windows VistaのSHAはセキュリティセンターと連動しているため、セキュリティセンターが動作していないと正常性検査を実施できない。

　「グループポリシーオブジェクトエディタ」（GPEDIT.MSC）を使用して、「コンピュータの構成」→「管理テンプレート」→「Windowsコンポーネント」→「セキュリティセンター」→「セキュリティセンターをオンにする（ドメイン上のコンピュータのみ）」ポリシーを有効にすることで、ドメイン環境でもセキュリティセンターが動作するようになる。

　NAPが機能するにはクライアント側の設定も必要なため、不特定なクライアントの接続検疫には向いていない。ただし、NAPはNAP非対応クライアントのアクセスポリシーを提供できるので、NAPに対応しないコンピュータに例外的にフルアクセスを許可したりする運用も可能だ。

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ