NAPに関連するログは、イベントとして記録される。サーバでは、イベント・ビューアで[カスタム ビュー]−[サーバーの役割]−[ネットワーク ポリシーとアクセス サービス]で確認できる。クライアント(Windows Vista)では、イベント・ビューアの[アプリケーションとサービス ログ]−[Microsoft]−[Windows]−[Network Access Protection]−[Operational]で確認できる。サーバでは、イベント・ログとは別に、テキスト・ファイルやデータベースにログを残すことも可能だ。
テキスト・ファイルの内容例は以下のようになっている(「データベース互換」形式の場合)。後からの加工も容易であるので、どのコンピュータにどのポリシーが適用されたか統計情報が作成できる。
"NAP-SV01","RAS",09/08/2008,11:15:29,1,,,"192.168.100.0","0003FF013BC3",,"192.168.100.11","NAP-SV01","192.168.100.1",,,,,,,15,,,12,7,"NAP DHCP NAP 非対応",0,"311 1 fe80::9409:2da3:96f8:929c 09/08/2008 01:32:45 1",,,,,,,,,"3848485198",,,,,,,,,,,,,,,,,,,,,,,,,"NAP DHCP",1,,,,
"NAP-SV01","RAS",09/08/2008,11:58:36,2,,,,,,,,,,,,,,,,,1,2,7,"NAP DHCP 準拠",0,"311 1 fe80::9409:2da3:96f8:929c 09/08/2008 01:32:45 8",,,,,,,,,"2928832446",,,,,,,,,,,,,,,,,,,,,,,,,"NAP DHCP",1,,
すべてのポリシーで、フル・ネットワーク接続を提供する設定にしておけば、実際にはネットワーク接続制限をかけることなく、どのポリシーが適用されるかのみを記録することができる。ネットワーク接続制限は、日常業務に直接影響する仕組みであるため、導入も慎重に行いたい。まずは、ログだけを収集しながら、影響範囲を調査したり、適切なポリシーを作成してから、段階的にネットワーク接続制限を実施したりしていくことにより、ユーザーの理解を得ながら確実にNAPを展開していくことができるだろう。
今回は、DHCPによるNAP強制を例にNAPの設定方法を解説した。前編の「5.5種類のNAP強制の長所・短所」で紹介したように、NAP強制は5種類が用意されており、導入企業のネットワーク環境やセキュリティ・ポリシーなどによって柔軟に選択可能となっている。また検疫のポリシーについても、同様に環境に合わせた柔軟な設定が行える。当初は、「ゆるい」ポリシーを設定しておいたり、一部のコンピュータやユーザーに限定してパイロット導入したりして、ユーザーが慣れて、日常業務への影響が把握できたら、徐々に導入範囲を広げたり、ポリシーを本格的にきつくしていったりという運用も可能だ。
NAP自体はWindows Server 2008の標準機能であり、クライアント側のWindows XP SP3とWindows Vistaについては、デフォルトでNAPに対応していることから、追加コストなしに検疫システムが構築できるメリットもある。セキュリティ対策やコンプライアンス対策といった面から、検疫システムの導入を検討している企業も多いと思うが、前述のように柔軟な設定が可能なので、Windows Server 2008の導入を機会にNAPをスタートさせることを検討してみてはいかがだろうか。
Copyright© Digital Advantage Corp. All Rights Reserved.