連載
» 2008年10月23日 00時00分 公開

第12回 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは(後編)Windows Server 2008の基礎知識(4/5 ページ)

[田辺茂也(IT Pro エバンジェリスト),マイクロソフト株式会社]

各ポリシーの役割と関連を設定する

 これまで見てきた、ネットワーク接続の状態は、3つのネットワーク・ポリシー、「NAP DHCP NAP非対応」「NAP DHCP非準拠」「NAP DHCP準拠」がそれぞれ適用されたものである。

 それぞれのポリシーを順に処理し、該当するポリシーが適用される。なお、これらのポリシーは[NAPを構成する]ウィザードで入力した情報に基づいて自動生成され、基本的なポリシーが設定されている。

[ネットワーク ポリシー サーバー]の[ネットワーク ポリシー]の設定
[ネットワーク ポリシー サーバー]−[ネットワーク ポリシー]で「NAP DHCP NAP非対応」「NAP DHCP非準拠」「NAP DHCP準拠」の各ポリシーのネットワーク接続の制限が設定できる。

 該当するポリシーに応じて、ネットワーク接続の詳細な制限が設定できる。例えば「NAP DHCP非準拠」のプロパティを見ると、制限付きアクセスのみ許可されていて、修復サーバとヘルプWebページにのみアクセスできるように構成されている。

「NAP DHCP非準拠」のNAP強制の設定
この例では、「NAP DHCP非準拠」が[制限付きアクセスを許可する]に設定されている。[構成]ボタンをクリックすると、修復サーバとヘルプWebページの接続先が設定できる。

 では「NAP DHCP非準拠」はどうやって判断するのだろうか。プロパティの「条件」を見てみると、正常性ポリシーとして、「NAP DHCP非準拠」という値が渡されたときに、このポリシーが該当することになる。

 では正常性ポリシーを確認してみよう。[ネットワーク ポリシー サーバー]−[正常性ポリシー]の[NAP DHCP非準拠]のプロパティを見ると、Windowsセキュリティ正常性検証ツールがパスしなかった場合、「NAP DHCP非準拠」となることが分かる。

[NAP DHCP非準拠]のプロパティ画面
Windowsセキュリティ正常性検証ツールで1つ以上のチェックに失敗した場合、「NAP DHCP非準拠」として扱われることが分かる。

 システム正常性検証ツール(SHV)は、標準のWindowsセキュリティ正常性検証ツール以外にも、Forefront Client Security用の「Microsoft Forefront Integration Kit for Network Access Protection」や「System Center Configuration Manager」のSHV、そのほかサードパーティから提供されているSHVが利用可能で、組み合わせて正常性ポリシーを構成することができる。Windowsセキュリティ正常性検証ツールのプロパティから「構成」を選ぶと、正常と判断する条件を選択できる。

 ここまでの挙動を整理すると、以下のようになる。

  • ネットワーク・ポリシー:さまざまなネットワーク接続の制限を含むポリシーを設定し、優先順位を付けて、コンピュータにポリシーを適用する。
  • 正常性ポリシー:どのネットワーク・ポリシーを適用するかの判断基準を提供する。
  • システム正常性検証ツール:具体的に正常性を検証し、正常性ポリシーに検証結果を提供する。

グループ・ポリシーによる運用

 ここまでの例では、ワークグループ環境で、手動でNAPクライアント機能を有効にして動作を確認した。実際の運用では、ドメインのクライアントに対して、グループ・ポリシーでNAP機能を強制的に有効にしなければならない。ユーザー自身でNAPを無効にできると、意図せずネットワーク接続ができなくなったり、静的なIPアドレスを設定してNAPをすり抜けられたりするからだ。

 グループ・ポリシーでは、NAPの対象となるコンピュータに対して、以下の3点を設定する。

  • NAPエージェント・サービスの自動開始
  • NAP強制クライアントの有効化
  • セキュリティ・センターの表示

 NAPエージェント・サービスの自動開始の設定は、グループ・ポリシーの[コンピュータの構成]−[ポリシー]−[Windowsの設定]−[セキュリティの設定]−[システム サービス]にある、[Network Access Protection Agent]のスタートアップを自動にする。

 NAP強制クライアントの有効化は、[コンピュータの構成]−[ポリシー]−[Windowsの設定]−[セキュリティの設定]−[Network Access Protection]−[NAPクライアントの構成]−[実施クライアント]から、[DHCP検疫強制クライアント]を有効にする。NAP強制クライアントを有効化した後、NAPクライアントの構成を右クリックし、[適用]を選択するのを忘れないようにすること。

[グループ ポリシー管理エディタ]の画面
[コンピュータの構成]−[ポリシー]−[Windowsの設定]−[セキュリティの設定]−[Network Access Protection]−[NAPクライアントの構成]−[実施クライアント]から、[DHCP検疫強制クライアント]を有効にして、NAP強制クライアントを有効化する。

 クライアントでセキュリティ・センターが表示できることは、NAPに必須ではないが、Windowsセキュリティ正常性検証ツールが、セキュリティ・センターの状態をもとに正常性を検証することから、セキュリティ・センターが表示できた方が状態の把握、設定の変更に便利である。そこで、管理の方針に応じてセキュリティ・センターも有効にしておいた方がよい場合もあるだろう。

 このポリシーを、必要なクライアント・コンピュータのみに適用する。方法としては、以下の2つが考えられる。

  • NAPの対象となるコンピュータを特定のOU(組織単位)に集約し、NAP設定のみのGPO(グループ・ポリシー・オブジェクト)を作成し、そのOUに適用する。
  • NAPの対象となるコンピュータが含まれるグループのみで、GPOが読み取り可能なアクセス設定を行う。

 だが、前者は影響範囲が大きいため現実的ではない。後者はGPO適応の見通しがよくないが、現在のドメインの構成に与える影響は最小限である。特定のグループにのみGPOを適用する設定は、GPOのスコープのセキュリティ・フィルタ処理で行う。

[グループ ポリシー管理エディタ]−[NAP Clients]の画面
特定のグループにのみGPOが適用されるようにGPOのスコープのセキュリティ・フィルタ処理を設定する。

 クライアント側でグループ・ポリシーが適用されているかどうかは、netshコマンドで確認する。

C:\> netsh nap client show grouppolicy

 上のコマンドを実行すると、DHCP検疫強制クライアントが有効であることが分かる。

グループ・ポリシーの適用の有無を確認する方法
netshコマンドを使ってDHCP検疫強制クライアントが有効になっているかどうか確認できる。

 またnetshでは、NAPに関する情報の表示、設定ができる。例えば、以下のコマンドでは現在のNAPの状態が表示される。

C:\> netsh nap client show state

NAPに関する情報を表示する方法
netshコマンドを使うことで、NAPに関する情報の表示も可能である。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。