他の章は下記をクリックして PDF 一覧からお入り下さい IT ライブラリー (pdf 100 冊 ) 目次番号 270 番 Windows Server Enterprise 2008 R2 完全解説 ( 再入門 )

W

indows

S

erver

®

2008

R

2

今すぐ始めるネットワーク検疫

ＩＴライブラリーより （pdf １００冊）

http://www.geocities.jp/ittaizen/itlib1/

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）

http://www.geocities.jp/ittaizen/itlib1/

目次番号 ２７０番 Windows Server Enterprise 2008 R2

制限ネットワーク （修復用） 社内ネットワーク

ネットワーク検疫とは？

ネットワークアクセス保護（NAP）

❑ ネットワーク検疫 とは クライアント PC が社内ネットワークに接続する際に、セキュリティチェックを行う仕組みです。 一定のセキュリティ要件（ポリシー）を満たしていないと社内ネットワークにアクセスさせないように強制できます。 ネットワーク検疫を導入することで次のメリットを期待できます。 ・機密情報の漏洩の防止：不正に接続された PC からのアクセスを制限 ・他の サーバー/ PC へのウィルス感染の防止：ウイルス対策が不十分、セキュリティ更新プログラムが未適用といった P C のアクセスを制限 ❑ Windows 標準の ネットワーク検疫機能： NAP

NAP（ネットワークアクセス保護）は Windows Server 2008 /R2 に標準搭載されたネットワーク検疫機能です。

Windows クライアント（Windows XP SP3 / Vista / 7) に標準搭載された NAP クライアント機能と連携して動作します。 ❑ NAP の仕組みと特徴 PC がネットワークに接続された際に、自動でポリシーと適合するかをチェックします。 チェックに合格すれば、社内ネットワークにアクセスが許可されますが、不合格の場合はアクセスが拒否または制限されます。 制限された場合は、別の隔離されたネットワークに自動接続され、ポリシーを満たすよう修復させることができます。 NAPサーバー Windows 標準でチェックできる項目 • ウィルス対策ソフト：有効、定義が最新か • スパイウェア対策ソフト：有効、定義が最新か • ファイアウォール：有効、定義が最新か • 自動更新の設定：有効 業務サーバー

セキュリティ違反の PC を排除

課題: 社内でのウィルス感染や不正アクセスを防ぎたい

解決策: NAP を使用して、セキュリティ ポリシー違反の PC を排除

社内ネットワーク • 更新プログラム未適用 • ウィルス定義が古い • ファイアウォール無効 • etc… 社内ネットワーク ネットワークアクセス保護（NAP） セキュリティ ポリシーへの適合度に応じて ネットワークへのアクセスを制限 どうやって危険な PC を排除したらい いか… セキュリティの脆弱な PC や 不正な持ち込み PC が社内に 接続できてしまうと… ウィルス蔓延や情報漏えいのリスクが高まる 各種ネットワーク アクセス ポイント システム管理者 PC の健康状態をアクセス ポイント 経由で検疫サーバーへ通知 ポリシーへの適合結果で接続を制限 脆弱性あり 検疫サーバー （ネットワーク ポリシー サーバー）

検疫で問題のあった PC を自動修復

課題: 検疫 NG の結果、社内にアクセスできないと、問い合わせが殺到してしまう

解決策: 検疫 NG の PC を排除するだけでなく、自動的に問題を修復して再接続も可能

③ 再アクセス ② 修復 ① アクセス 検疫 NG 検疫 NG の場合に、ネットワークから 遮断するだけだと… ユーザーが PC の 更新を忘れるたびに 問い合わせがくるんじゃ、 対応してられないよ… ring ring ring … ユーザーからの問い合わせが 殺到してしまう！ 検疫 NG システム管理者 アクセス 検疫で問題のあった PC は自動的に修復され、再度アクセスできる 修復サーバー 検疫 NG の際に修復のため 誘導されるサーバー 自動的に更新プログラムを 適用できる なんか繋がらないんですけど？ ファイアウォール有効化 更新プログラム適用等 社内ネットワーク 検疫 OK 社内リソース ネットワーク ポリシー サーバー 修復 サーバー

既存環境に合わせて容易に導入

課題: 低コストで現実的に導入可能な検疫環境を構築したい

解決策: 既存環境に合わせて構成を選択可能

コストがかさむし、切り替えだって大変だよ… ○○社製ソフト 特定のハード・ソフトで固めればできるけど… 社内ネットワーク 既存設備や標準ソフトの刷新が必要 ○○社製スイッチ クライアントは標準 構成の PC で OK 既存のネットワーク機器を利用可能 特定ベンダに依存しない • 選択が可能 • 組み合わせが可能 • 段階的な導入も可能

DHCP方式

(DHCPサーバー)

IPSec 方式

(IPsec 設定)

802.1x 方式

(対応スイッチ) 多様なネットワーク（実施ポイント）選択 ネットワークの選択肢が広く、既存環境も活用可能 （※ SP3以降） 導入コスト セキュリティ強化 不正接続防止

◎

◎

△

○

◎

○

△

◎

◎

コストもかかりそうだし プランニングも大変だ…

初期投資を抑えて段階的に導入

課題: 検疫を実施したいが、初期投資の負担が大きい

解決策: まずは低コストでセキュリティ強化を、次に不正接続の防止へ

STEP 1 DHCP で検疫 ポリシー 判定 セキュリティ 脆弱 ネットワーク ポリシー サーバー DHCP サーバー STEP 2 802.1X の導入 セキュリティ脆弱 ネットワーク 認証失敗 ネットワーク ポリシー サーバー 802.1x 対応スイッチ ポリシー 判定 まずはネットワーク機器に依存しない DHCP 方式でセキュリティを強化 そして 802.1x 対応機器を導入して接続ポート単位で不正アクセス防止 不正接続… 社内リソース セキュリティ 脆弱性… 802.1x 対応に インフラを刷新？ コンプライアンス… DHCP から 802.1x へ 段階的に導入 導入しやすい 仕組みから順に 展開できる

社外からの VPN アクセスを検疫

課題: 自宅や外出先からのアクセスを検疫したい

解決策: VPN サーバー上でも検疫が可能

セキュリティ ポリシーに 違反した PC は接続させ たくない… 社内ネットワーク リモートから仕事できるようにして 利便性を高めたいけど… Internet 認証だけだとセキュリティが不安… 社内ネットワーク Internet 修復 接続時に PC の健康状態を送信 ポリシーに合致した PC のみ VPN アクセスが可能合致しない PC は修復サーバーにのみ接続が可能 VPN 検疫 VPN でも接続時に 検疫＆自動修復できる 制限エリア ポリシー判定 VPN サーバー • 更新プログラム未適用 • ウィルス定義が古い • ファイアウォール無効 • etc… _{修復サーバー} ポリシー準拠 ネットワーク ポリシー サーバー

社外からのリモート デスクトップ接続を検疫

課題: 情報漏えいを防ぎつつ、社外から安全に仕事ができる環境を提供したい

解決策: リモート デスクトップも検疫できて、情報漏えいも防ぐ

アクセス元を検疫できて、かつ ローカルにデータを保存させない 仕組みはないかな… 社内ネットワーク 社外からも仕事ができるように したいけど… Internet セキュリティが不安だし、 情報漏えいも心配だなあ… 社内ネットワーク リモート デスクトップなら社内と同じ 操作性で、ローカルにデータを保存しない RD ゲートウェイ検疫 社外からのリモート デスクトップ接続を NAP で検疫 RD ゲートウェイ ネットワーク ポリシー サーバー リモート デスクトップ サーバー やりとりするのは 画面の情報だけ！ • 更新プログラム未適用 • ウィルス定義が古い • ファイアウォール無効 ローカル PC への データ保存禁止

検疫の内容を強化

課題: 標準の検疫内容に、さらに機能を追加したい

解決策: アドインで検疫機能を強化できる

•ウィルス対策 •スパイウェア対策 •ファイアウォール •自動更新 •更新プログラム ・ウィルス対策ソフトが停止しても 強制起動 ・ウィルス定義ファイルの更新に 猶予期間を設定できる ・etc… 更新プログラムに限らず、 任意のインストール条件を検査

MSDN ライブラリ: Network Access Protection（英語）

標準の検疫内容を… _{他製品と連携して拡張！例えば…} 独自のルールを組み込みたい …ウィルス対策ソフトと連携したり、 あるプログラムのインストールを 必須にするとか… セキュリティー センター さらに API でカスタム開発も可能 NAP 対応パートナー情報 拡張性の高さ 他製品またはカスタム製の アドオンを組み込み可能 さらに項目を追加したい 検疫／修復 ネットワーク ポリシー サーバー 標準でできる検疫内容に… 標準の検疫内容 • 更新プログラムが最新 • ウィルス定義が最新 • ファイアウォール有効 • etc… 修復サーバー http://www.microsoft.com/japan/windowsserver2008/ nap-partners.mspx

+

検疫の実施ログとレポート

課題: 検疫の実施状況をログで見たい、そこから手軽にレポートを作成したい

解決策: 監査ログとレポート パックによる監査レポート

どのくらいの PC が NG になってい るのか監査ログを採りたい 毎日たくさんの PC が アクセスしてきて… 検疫自体はちゃんと機能していそうだけど… 社内リソース 実際のところ、検疫 NG って どれくらい検知してるんだろう？ 検疫結果リアルタイムにログ採取 ポリシー判定 （ネットワーク ポリシー サーバー） データベースにログを貯めてレポート出力 監査ログ SQL Server ＋ NAP レポート パック 検疫結果のログを取得してレポート （誰が／いつ／どの端末で NG になったか、etc…） レポート生成 (SQL Server) NAP レポート パック 脆弱性あり 脆弱性あり

参考構成例

Windows Server 2008 R2 Standard x 1, Windows Server 2008 R2 Enterprise × 4,

Windows Server CAL × 1,000

参考価格: ¥

8,463,300-• 記載の価格は、2009 年 10 月現在の参考価格です。 (参考価格は、Select の価格レベル A の新規ライセンス (L) + SA 3 年分で算出しております。) • お客様の実際のお支払額は、お客様のご注文先である LAR 様、販売会社様との間で決定されます。 • 上記はあくまで参考情報であり、導入の際には実環境に合わせた構成を考慮する必要があります。 • 本構成例には ハードウェア、構築費用は含まれておりません。

• NAP 動作要件として Active Directory が必要になります。（本構成例では ドメインコントローラーの費用は含まれていません。） • Windows Server CAL は 2008 用のライセンスをお持ちであればその分の購入の必要はありません。

• クライアントPC（Windows 7、Windows Vista、Windows XP SP3）には、 NAP クライアント機能が標準で搭載されます。 クライアント PC x 1,000 台

構成例 (DHCP による検疫実施)

Active Directory (ドメイン コントローラー) DHCP サーバー （冗長化構成） ネットワークポリシーサーバー_{（冗長化構成）}

Windows Server Update Services (WSUS)

導入事例

 栗山米菓

➢ 新社屋移転にともない、NAP 対応スイッチ (802.1x）を導入

➢ PC のセキュリティチェックと 持ち込み PC 対策のコストを削減

✓ 「情報漏えいなどのリスクは常に存在します。しかし、外部で利用した PC を社内に持ち込むことは、業務上必要な 場合もあります。それを禁止してしまうと逆に業務に支障が出たり、効率が悪くなるということがありました。反面、 自宅などでダウンロードしたファイルでウイルスに感染するといった可能性もあり、これらの課題を解決できるのが NAP だったのです」

➢ 公開事例

✓ http://www.microsoft.com/japan/windowsserver2008/casestudies/kuriyamabeika.mspx

 国内 製造業

➢ 7000 台のクライアント PC を DHCP 方式にて検疫

➢ ネットワーク ポリシーサーバー x 2 台、DHCP サーバー x 2 台（冗長構成）

 マイクロソフト

➢ 全世界 13 万台のクライアントを IPsec 方式にて検疫

➢ System Center Configuration Manager との連携でソフトウェアの更新を実施

➢ 公開事例

✓ http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=4000000983 ✓ http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=4000002160

Windows Server 2008 導入事例はこちらからアクセス

もっと知りたい方は

製品情報 ポータル

Windows Server 2008 : ネットワーク アクセス保護 (NAP)

ネットワーク アクセス保護（NAP）に関する製品情報のポータル サイトです。 協賛パートナーの一覧や、無償の NAP レポート パックのダウンロードも 下記のサイトより案内があります。 http://www.microsoft.com/japan/windowsserver2008/network-access-protection.mspx 技術情報

「Windows Server 2008 TechCenter」で検索

Windows Server 2008 TechCenter

本 Web サイトには、Windows Server 2008 の評価・導入に役立つ技術情報が 掲載されています。機能説明、ステップ バイ ステップ ガイドなど、

Windows Server 2008 / Windows Server 2008 R2 の評価・導入にお役立てください。

http://technet.microsoft.com/ja-jp/library/cc754521(WS.10).aspx

Webcast

デモンストレーションでよくわかる Windows Server 2008 R2 Webcast 「ネットワークアクセス保護 (NAP) 」

Windows Server 2008 R2 に搭載されたネットワーク アクセス保護 (NAP) 機能と その強化点 (Windows 7 クライアントのサポート、管理機能の強化、

DHCP フィルターなど) についてご紹介します。 ご都合のよい時間に視聴下さい。

2014 年 2013 年 2010 年 2011 年 2012 年 2015 年 2016 年 2017 年 2009 年 •マイクロソフトの Web サイトでの 製品情報提供 Windows Server のサポート ライフサイクルは以下のとおりです。 Windows 2000 Server はまもなく延長サポート終了です。新バージョン移行へのご計画を早期にお願いいたします。

サポート ライフサイクル

マイクロソフトは、ビジネス製品および開発用製品について、 最短でも 10 年間 (メインストリーム サポート フェーズ 5 年間、および延長サポート フェーズ 5 年間) サポートを提供します。 • 上記はビジネス製品および開発用製品についての情報です。 • コンシューマ製品、 ハードウェア製品、 マルチメディア製品、 および Microsoft Dynamics 製品については、 最短でも 5 年間のメインストリーム サポートを提供します。 • 詳細については、マイクロソフトのサポート ライフサイクルの Web サイトをご覧ください。http://support.microsoft.com/lifecycle/ 1 年 2 年 3 年 4 年 5 年 6 年 7 年 8 年 9 年 10 年 メインストリーム サポート 延長サポート •製品の仕様変更、 機能追加 •セキュリティ更新 プログラム提供 •セキュリティ以外の 更新プログラムのリ クエスト •無償サポート •有償サポート メインストリーム サポート •セキュリティ更新 プログラム提供 •セキュリティ以外の 更新プログラムのリ クエスト (別途契約が必要) •有償サポート 延長サポート メインストリーム サポート メインストリーム サポート オンライン セルフ ヘルプ サポート オンライン セルフ ヘルプ サポート 延長サポート 延長サポート 延長サポート 2010 年 7 月終了 2015 年 7 月終了

+

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）

http://www.geocities.jp/ittaizen/itlib1/

目次番号 ２７０番 Windows Server Enterprise 2008 R2