【解説】
Windows Server 2008「NAP」大解剖

クライアント検疫機能「Network Access Protection」を検証する

（2008年05月20日）

DHCP実施オプションで理解する
NAPの構成と仕組み

　NAPは選択する実施オプションにより、システム要件と仕組みが大きく異なってくる。5つの実施オプションのうち、最も導入が簡単なDHCP実施オプションを例に、NAPの構成方法と検疫動作を解説しよう。DHCP実施オプションの詳細、およびそのほかの実施オプションの構成方法については、マイクロソフトのTechNetにある「Step-by-Step Guide」（ホワイトペーパー）が参考になる。

●Microsoft TechNet：Network Access Protection（英語）
http://www.microsoft.com/technet/network/nap/default.mspx

・Step-by-Step Guide：Demonstrate DHCP NAP Enforcement in a Test Lab

・Step-by-Step Guide：Demonstrate IPSec NAP Enforcement in a Test Lab

・Step-by-Step Guide：Demonstrate 802.1X NAP Enforcement in a Test Lab

・Step-by-Step Guide：Demonstrate VPN NAP Enforcement in a Test Lab

　DHCP実施オプションは、DHCPサーバによるIPアドレス自動割り当て機能を用いて検疫を実施するため、ほかの実施オプションに比べて検疫の強制力がやや劣る。正規のIPアドレスやデフォルトゲートウェイ、サブネットマスクを想像するのは容易（別のPCの設定値を除くだけ）であり、固定で設定されてしまえばNAPの検疫をパスできてしまうからだ。しかし、DHCP実施オプションは特別なハードウェアを必要とせず、Windows Server 2008のNPSとDHCPサーバだけで構成できるので、導入が容易なことがメリットになる。

　NAP環境の詳細な構成手順は前記した「Step-by-Step Guide」に詳しく記述されているので、省略させていただく。

　DHCP実施オプションの構成の概略は、次のようになる。

【1】 NPSの構成

　「ネットワークポリシーサーバ」スナップインを使用して、「Windowsセキュリティ正常性検証ツール」を構成し（前出の画面1）、NAPクライアントからの接続を受け付ける条件を定義する「接続要求ポリシー」、SHVの結果に対応した準拠／非準拠の状態を定義する「正常性ポリシー」、そして正常性ポリシーに対応したネットワークへのアクセス許可を定義する「ネットワークポリシー」を定義する。必要なポリシーはウィザードで簡単に定義することが可能だ（画面4）。

画面4●　NPSでは「接続要求ポリシー」「正常性ポリシー」「ネットワークポリシー」の3つで、NAPクライアントの接続、正常性ポリシーの準拠／非準拠の状態、その状態に応じたネットワークへのアクセス範囲を定義する。ポリシーはウィザードで簡単に作成できる

【2】 DHCPサーバの構成

　セキュアゾーンのDHCPスコープを作成し、NAPサポートを有効にする（画面5）。また、検疫クライアントに提供するDHCPオプションを「Default Network Access Protection Class」として定義する。例えば、検疫クライアントに対して、通常とは別のドメイン名、ネームサーバを割り当てるような構成が可能だ（画面6）。