これまで見てきた、ネットワーク接続の状態は、3つのネットワーク・ポリシー、「NAP DHCP NAP非対応」「NAP DHCP非準拠」「NAP DHCP準拠」がそれぞれ適用されたものである。
それぞれのポリシーを順に処理し、該当するポリシーが適用される。なお、これらのポリシーは[NAPを構成する]ウィザードで入力した情報に基づいて自動生成され、基本的なポリシーが設定されている。
該当するポリシーに応じて、ネットワーク接続の詳細な制限が設定できる。例えば「NAP DHCP非準拠」のプロパティを見ると、制限付きアクセスのみ許可されていて、修復サーバとヘルプWebページにのみアクセスできるように構成されている。
では「NAP DHCP非準拠」はどうやって判断するのだろうか。プロパティの「条件」を見てみると、正常性ポリシーとして、「NAP DHCP非準拠」という値が渡されたときに、このポリシーが該当することになる。
では正常性ポリシーを確認してみよう。[ネットワーク ポリシー サーバー]−[正常性ポリシー]の[NAP DHCP非準拠]のプロパティを見ると、Windowsセキュリティ正常性検証ツールがパスしなかった場合、「NAP DHCP非準拠」となることが分かる。
システム正常性検証ツール(SHV)は、標準のWindowsセキュリティ正常性検証ツール以外にも、Forefront Client Security用の「Microsoft Forefront Integration Kit for Network Access Protection」や「System Center Configuration Manager」のSHV、そのほかサードパーティから提供されているSHVが利用可能で、組み合わせて正常性ポリシーを構成することができる。Windowsセキュリティ正常性検証ツールのプロパティから「構成」を選ぶと、正常と判断する条件を選択できる。
ここまでの挙動を整理すると、以下のようになる。
ここまでの例では、ワークグループ環境で、手動でNAPクライアント機能を有効にして動作を確認した。実際の運用では、ドメインのクライアントに対して、グループ・ポリシーでNAP機能を強制的に有効にしなければならない。ユーザー自身でNAPを無効にできると、意図せずネットワーク接続ができなくなったり、静的なIPアドレスを設定してNAPをすり抜けられたりするからだ。
グループ・ポリシーでは、NAPの対象となるコンピュータに対して、以下の3点を設定する。
NAPエージェント・サービスの自動開始の設定は、グループ・ポリシーの[コンピュータの構成]−[ポリシー]−[Windowsの設定]−[セキュリティの設定]−[システム サービス]にある、[Network Access Protection Agent]のスタートアップを自動にする。
NAP強制クライアントの有効化は、[コンピュータの構成]−[ポリシー]−[Windowsの設定]−[セキュリティの設定]−[Network Access Protection]−[NAPクライアントの構成]−[実施クライアント]から、[DHCP検疫強制クライアント]を有効にする。NAP強制クライアントを有効化した後、NAPクライアントの構成を右クリックし、[適用]を選択するのを忘れないようにすること。
クライアントでセキュリティ・センターが表示できることは、NAPに必須ではないが、Windowsセキュリティ正常性検証ツールが、セキュリティ・センターの状態をもとに正常性を検証することから、セキュリティ・センターが表示できた方が状態の把握、設定の変更に便利である。そこで、管理の方針に応じてセキュリティ・センターも有効にしておいた方がよい場合もあるだろう。
このポリシーを、必要なクライアント・コンピュータのみに適用する。方法としては、以下の2つが考えられる。
だが、前者は影響範囲が大きいため現実的ではない。後者はGPO適応の見通しがよくないが、現在のドメインの構成に与える影響は最小限である。特定のグループにのみGPOを適用する設定は、GPOのスコープのセキュリティ・フィルタ処理で行う。
クライアント側でグループ・ポリシーが適用されているかどうかは、netshコマンドで確認する。
C:\> netsh nap client show grouppolicy
上のコマンドを実行すると、DHCP検疫強制クライアントが有効であることが分かる。
またnetshでは、NAPに関する情報の表示、設定ができる。例えば、以下のコマンドでは現在のNAPの状態が表示される。
C:\> netsh nap client show state
Copyright© Digital Advantage Corp. All Rights Reserved.