マシンの認証
特徴とまとめ
特徴
ネットワーク機器に依存せずに、ポリシーに
合致しないクライアントからのアクセスを制限可能
IPSec の機能として、改竄防止、暗号化も実現可能
留意事項
セキュアゾーン上の保護サーバーに
IPsec
を構成する必要ありNAP および IPSec に対応しないクライアントと
保護されたサーバーは直接通信できない
UNIX / Linux などの非 Windows Server
を 保護することは困難55
56
冗長化の方法
実施ポイント(DHCPサーバー、スイッチ)側での複数のネット ワークポリシーサーバーを指定
プライマリ、セカンダリの
RADIUS サーバーとして
複数サーバーでネットワークポリシー設定を共有する方法
MMC
またはコマンドによるインポート/エクスポート自動複製される機能はなし
ネットワーク ポリシー サーバー
ポリシー設定の
インポート/エクスポート プライマリ RADIUS
セカンダリ RADIUS 実施ポイント
57
境界ネットワークから自動修復を行う際に必要となるサーバー
更新プログラムのアップデート用(以下のいずれか)
Windows Server Update Services (WSUS) Windows Update(インターネット サイト)
System Center Configuration Manager 2007
その他のアップデート用(必要に応じて)ウィルス対策ソフトウェアの更新サーバー
サポート用
Web サイト(NAP
クライアントへのオンラインヘルプ)プロキシ サーバー(インターネット アクセス用 )
配置
任意の場所に配置可能
NAP
制限時にルーティング経路が確保されている必要あり設定
ネットワーク ポリシー サーバー
[修復サーバー グループ]
へサーバー(IP アドレス またはDNS名)の登録 [ネットワーク ポリシー]
の[NAP
強制] へ修復サーバーグループの指定DHCP
実施時DHCPサーバー[スコープオプション]
–[既定のネットワークアクセス保護クラス]に 静
的にルーターを登録
802.1x
実施時境界ネットワーク(VLAN)から修復サーバーへアクセスできるようルーティング設定
IPsec
実施受信側のサーバーで
IPsec
通信を必須としない設定59
ログの記録場所
イベント ログ
ローカル ファイル
%windir%¥system32¥LogFiles¥INyymm.log
SQL Server ログ
データソース、DBの指定(設定ウィザードの提供)
記録可能な内容
アカウンティング要求 認証要求
定期的なアカウンティングの状態
定期的な認証の状態
ポリシー判定結果をログとして採取・レポート
Technet: ダウンロード提供
NAP
ログ監査ガイド(ログの解説)NAP レポートパック(ログのレポート ツール)
http://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx
ネットワーク ポリシー
サーバー SQL Server
ログ
様々なレポートを提供
•
期間別•
ネットワークポリシー適用別•
マシン名別• MACアドレス別
•
ユーザー別•
接続状況(実施ポイント別)•
非準拠原因別61
62
コスト、セキュリティ、既存環境等に応じて ネットワークの制限手法を選択可能
柔軟に運用できるポリシー
検証項目の追加、強制方法を随時変更可能
ポリシー変更は動的に反映され、健全性を常に最適化
展開シナリオ (例)
対象範囲
フェーズ1:既存のネットワーク環境で導入
(DHCP、IPSec)
フェーズ2:リモートアクセスの検疫の追加(VPN)
フェーズ3:ネットワーク機器の更改に応じて順次強化
(802.1X)
時間軸
フェーズ1
: 制限なし (パイロット展開、ログ採取のみ)
フェーズ2:執行猶予つきアクセス最終フェーズ:制限を強制
63
拡張性に優れたプラットフォームとしての提供
コンポーネント化されたアーキテクチャ 拡張のための
API 提供、対応パートナー
実用的なソリューション
ネットワークの制限だけでなく、修復手段を提供
環境に応じた柔軟なポリシー設定、実施オプションの選択肢
コンプライアンス
健全性の確保によるリスク低減
組織がその時点で必要とするポリシーを常に適用可能 サーバーに記録されるログによる監査
栗山米菓
新社屋移転にともない、NAP 対応スイッチ(802.1x)を導入
PCのセキュリティチェックと 持ち込みPC
対策のコストを削減http://www.microsoft.com/japan/windowsserver2008/casestudies/
kuriyamabeika.mspx
国内 自治体
1600台の クライアントを DHCP
にて検疫NPS x2台、DHCP x2台(冗長構成)
国内 製造業
7000台の クライアントを DHCP
にて検疫NPS x2台、DHCP x2台(冗長構成)
マイクロソフト
全世界
13万台のクライアントを IPsec
にて検疫System Center Configuration Managerとの連携でソフトウェアの更新を実
施http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid
=4000000983
http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid
=4000002160
65
Windows Server 2008 R2 製品サイト:
http://www.microsoft.com/japan/windowsserver2008/prodinfo/r2.ms px
Windows Server 2008 - NAP サイト:
http://www.microsoft.com/japan/windowsserver2008/network-access-protection.mspx
TechNet (Windows Server 2008 NAP
ヘルプ):http://technet.microsoft.com/ja-jp/library/cc753220.aspx
Tech Net -
バーチャル ラボ(仮想環境での設定・操作が可能):
「Windows Server 2008 NAP - IPSec 実施」
http://www.microsoft.com/japan/technet/traincert/virtuallab/windowsser ver.mspx
Blog - NAP (US 開発チーム):
http://blogs.technet.com/nap/
MSDN - NAP API Reference (US サイト):
http://msdn2.microsoft.com/en-us/library/aa369712.aspx
67
NAP クライアントの設定
NAP クライアントの有効化
サービス:
Network Access Protection Agent
NAP クライアントの環境設定
設定項目:
NAP EC
の有効/無効UI(表示メッセージ)
正常性登録機関の参照
設定方法:
Active Directory
グループポリシーローカル
--
管理者権限が必要MMC(napclcfg.msc)
コマンド (netsh nap client set)
クライアント側でのトレースの設定
MMC
:[NAP クライアントの構成] - [プロパティ]コマンド :netsh nap client set tracing state
NAP クライアント機能 Windows XP SP3 Windows 7 Windows Vista
Windows Server 2008 /R2 (クライアントとして)
OS 標準搭載
x
デフォルト設定 “OFF”
API
DHCP 実施
VPN 実施
IPsec 実施
802.1x 実施(無線)
802.1x 実施(有線)
Windows セキュリティ
正常性エージェント (WSHA)
x
MMC での設定
x
コマンドラインでの設定
ローカルでの設定
グループポリシーでの設定