第12回 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは(後編):Windows Server 2008の基礎知識(4/5 ページ)
構成が最もシンプルなDHCPによるNAP強制を取り上げ、新機能「ネットワーク・アクセス保護」の構築手順を具体的に解説。
各ポリシーの役割と関連を設定する
これまで見てきた、ネットワーク接続の状態は、3つのネットワーク・ポリシー、「NAP DHCP NAP非対応」「NAP DHCP非準拠」「NAP DHCP準拠」がそれぞれ適用されたものである。
それぞれのポリシーを順に処理し、該当するポリシーが適用される。なお、これらのポリシーは[NAPを構成する]ウィザードで入力した情報に基づいて自動生成され、基本的なポリシーが設定されている。
[ネットワーク ポリシー サーバー]の[ネットワーク ポリシー]の設定
[ネットワーク ポリシー サーバー]−[ネットワーク ポリシー]で「NAP DHCP NAP非対応」「NAP DHCP非準拠」「NAP DHCP準拠」の各ポリシーのネットワーク接続の制限が設定できる。
該当するポリシーに応じて、ネットワーク接続の詳細な制限が設定できる。例えば「NAP DHCP非準拠」のプロパティを見ると、制限付きアクセスのみ許可されていて、修復サーバとヘルプWebページにのみアクセスできるように構成されている。
「NAP DHCP非準拠」のNAP強制の設定
この例では、「NAP DHCP非準拠」が[制限付きアクセスを許可する]に設定されている。[構成]ボタンをクリックすると、修復サーバとヘルプWebページの接続先が設定できる。
では「NAP DHCP非準拠」はどうやって判断するのだろうか。プロパティの「条件」を見てみると、正常性ポリシーとして、「NAP DHCP非準拠」という値が渡されたときに、このポリシーが該当することになる。
では正常性ポリシーを確認してみよう。[ネットワーク ポリシー サーバー]−[正常性ポリシー]の[NAP DHCP非準拠]のプロパティを見ると、Windowsセキュリティ正常性検証ツールがパスしなかった場合、「NAP DHCP非準拠」となることが分かる。
システム正常性検証ツール(SHV)は、標準のWindowsセキュリティ正常性検証ツール以外にも、Forefront Client Security用の「Microsoft Forefront Integration Kit for Network Access Protection」や「System Center Configuration Manager」のSHV、そのほかサードパーティから提供されているSHVが利用可能で、組み合わせて正常性ポリシーを構成することができる。Windowsセキュリティ正常性検証ツールのプロパティから「構成」を選ぶと、正常と判断する条件を選択できる。
ここまでの挙動を整理すると、以下のようになる。
- ネットワーク・ポリシー:さまざまなネットワーク接続の制限を含むポリシーを設定し、優先順位を付けて、コンピュータにポリシーを適用する。
- 正常性ポリシー:どのネットワーク・ポリシーを適用するかの判断基準を提供する。
- システム正常性検証ツール:具体的に正常性を検証し、正常性ポリシーに検証結果を提供する。
グループ・ポリシーによる運用
ここまでの例では、ワークグループ環境で、手動でNAPクライアント機能を有効にして動作を確認した。実際の運用では、ドメインのクライアントに対して、グループ・ポリシーでNAP機能を強制的に有効にしなければならない。ユーザー自身でNAPを無効にできると、意図せずネットワーク接続ができなくなったり、静的なIPアドレスを設定してNAPをすり抜けられたりするからだ。
グループ・ポリシーでは、NAPの対象となるコンピュータに対して、以下の3点を設定する。
- NAPエージェント・サービスの自動開始
- NAP強制クライアントの有効化
- セキュリティ・センターの表示
NAPエージェント・サービスの自動開始の設定は、グループ・ポリシーの[コンピュータの構成]−[ポリシー]−[Windowsの設定]−[セキュリティの設定]−[システム サービス]にある、[Network Access Protection Agent]のスタートアップを自動にする。
NAP強制クライアントの有効化は、[コンピュータの構成]−[ポリシー]−[Windowsの設定]−[セキュリティの設定]−[Network Access Protection]−[NAPクライアントの構成]−[実施クライアント]から、[DHCP検疫強制クライアント]を有効にする。NAP強制クライアントを有効化した後、NAPクライアントの構成を右クリックし、[適用]を選択するのを忘れないようにすること。
[グループ ポリシー管理エディタ]の画面
[コンピュータの構成]−[ポリシー]−[Windowsの設定]−[セキュリティの設定]−[Network Access Protection]−[NAPクライアントの構成]−[実施クライアント]から、[DHCP検疫強制クライアント]を有効にして、NAP強制クライアントを有効化する。
クライアントでセキュリティ・センターが表示できることは、NAPに必須ではないが、Windowsセキュリティ正常性検証ツールが、セキュリティ・センターの状態をもとに正常性を検証することから、セキュリティ・センターが表示できた方が状態の把握、設定の変更に便利である。そこで、管理の方針に応じてセキュリティ・センターも有効にしておいた方がよい場合もあるだろう。
このポリシーを、必要なクライアント・コンピュータのみに適用する。方法としては、以下の2つが考えられる。
- NAPの対象となるコンピュータを特定のOU(組織単位)に集約し、NAP設定のみのGPO(グループ・ポリシー・オブジェクト)を作成し、そのOUに適用する。
- NAPの対象となるコンピュータが含まれるグループのみで、GPOが読み取り可能なアクセス設定を行う。
だが、前者は影響範囲が大きいため現実的ではない。後者はGPO適応の見通しがよくないが、現在のドメインの構成に与える影響は最小限である。特定のグループにのみGPOを適用する設定は、GPOのスコープのセキュリティ・フィルタ処理で行う。
クライアント側でグループ・ポリシーが適用されているかどうかは、netshコマンドで確認する。
C:\> netsh nap client show grouppolicy
上のコマンドを実行すると、DHCP検疫強制クライアントが有効であることが分かる。
またnetshでは、NAPに関する情報の表示、設定ができる。例えば、以下のコマンドでは現在のNAPの状態が表示される。
C:\> netsh nap client show state
Copyright© Digital Advantage Corp. All Rights Reserved.