連載
» 2008年10月23日 00時00分 公開

第12回 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは(後編)Windows Server 2008の基礎知識(2/5 ページ)

[田辺茂也(IT Pro エバンジェリスト),マイクロソフト株式会社]

DHCPサーバを構成する

 [管理ツール]−[DHCP]を開き、DHCPサーバを起動し、指定したスコープが有効かどうか確認しておく。また、Active Directoryで承認されているかどうか確認し、承認されていなければ、マシン名の右クリック・メニューから[承認]を選択して承認を行う。

 さらにNAPのDHCP強制を行うスコープのプロパティを表示させ、NAPを有効にする。

[DHCP]画面
[DHCP]ダイアログで[スコープ]の右クリック・メニューから[プロパティ]を選択し、NAPの設定を行う。
  (1)[プロパティ]を選択する。→[A]

[A]

[スコープのプロパティ]画面
[スコープのプロパティ]ダイアログの[ネットワーク アクセス保護]タブをクリックし、[このスコープに対して有効にする]を選択する。また[既定のネットワーク アクセス保護プロファイル]が選択されていることを確認しておく。

ネットワーク・ポリシー・サーバを構成する

 役割を追加すると、ネットワーク・ポリシー・サーバ(NPS)を構成するようガイドが表示されるので、NPSコンソールを起動する。「NAPを構成する」リンクをクリックし、ウィザードに従って構成を進めていく。まず、今回使用するNAP強制の方法としてDHCPを選択する。

[NAPで使用するネットワーク接続方法の選択]画面
今回は、NAP強制としてDHCPを利用するので、[動的ホスト構成プロトコル(DHCP)]を選択する。そのほかのNAP強制を利用する場合は、該当するネットワーク接続の方法を選択すればよい。

 続いてDHCP強制に関する設定を進めていく。DHCPサーバをNPSと別のコンピュータで動かしている場合は、転送の設定を行う。さらにNAPを有効にするDHCPのスコープを指定する。ここではすべてのスコープで有効にするので、指定しないまま進む。なお、DHCPサーバ側でもNAPを有効化する設定が必要である。前述のDHCPサーバの設定の項を参照していただきたい。

[DHCPスコープの指定]画面
NAPを有効にするDHCPのスコープを指定する。ここではすべてのスコープで有効にするので、特定のスコープは追加しないまま進む。特定のスコープのみに対してNAPを有効にする場合には、ここで作成したDHCPスコープを指定する。

 次にNAPを適用するクライアントやユーザーを指定する。NAPのポリシーにかかわらず、常にフル・ネットワーク・アクセスを提供したいサーバや、NAPに対応していないOSなどをNAPから除外しておきたいことがある。その場合は、NAPを適用したいコンピュータのグループを作成し、NAPポリシーの適用先として指定する。

[ユーザー グループとコンピュータ グループの構成]画面
NAPのポリシーにかかわらず、常にフル・ネットワーク・アクセスを提供したいサーバや、NAPに対応していないOSなどをNAPから除外する場合は、ここで指定する。画面は、「NAP適用コンピューター」グループに所属するコンピュータのみにNAPを適用する設定例。本記事では、すべてのコンピュータにNAPを適用するため、グループは指定していない。

 次は、NAPのポリシーを満たさない場合の、修復サーバとヘルプ・ページを指定する。

[NAP修復サーバーグループおよびURLの指定]画面
NAPのポリシーを満たさなかった場合に接続される「修復サーバ」と、ユーザーに対してアドバイスを行うためのヘルプ・ページのURLを指定する。ヘルプ・ページがない場合は、URLを入力しないでおく。

 NAPの正常性を検証するツールを選択する。標準ではWindows セキュリティ正常性検証ツールが利用可能である。ここではNAPの動作確認のため、自動修復を無効にしておく(ここで自動修復を有効にしておくと、ポリシーに合致しないクライアントは自動的に合致するように修復が行われる)。これでNAPの構成は完了である。

[NAP正常性ポリシーの定義]画面
標準で利用可能な[Windows セキュリティ正常性検証ツール]を選択する。サードパーティ製のシステム正常性検証ツールを利用する場合は、ここでそのツール名を選択することになる。

 続いてNAPで正常と判断するポリシーを設定する。システム正常性検証ツールのうち、Windowsセキュリティ正常性検証ツールを右クリックし、プロパティを表示させ、構成をクリックする。ここでは、ファイアウォールが有効かどうかのみを検証するように設定しておくことにする。実際には、ウイルス対策ソフトウェアや自動更新が有効であることなど、導入企業のセキュリティ・ポリシーに従って設定を行うことになる。

[ネットワーク ポリシー サーバー]の設定画面
左側ペインの[システム正常性検証ツール]を右クリックし、メニューからプロパティを選択する。
  (1)[システム正常性検証ツール]を右クリックしてプロパティを開く。→[A]

[A]

[Windowsセキュリティ正常性検証ツール]のプロパティ画面
Windowsセキュリティ正常性検証ツールでチェックする項目を設定する。ここでは、導入企業のセキュリティ・ポリシーに従った設定を行うことになる。サードパーティ製のシステム正常性検証ツールを利用している場合は、チェック項目や設定内容はそれぞれ異なる。

 そのほかのポリシーについては後述する。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。