ITライブラリーより (pdf 100冊)
2
他の章は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)
http://itlib1.sakura.ne.jp/
目次番号 270番 Windows Server Enterprise 2008 R2 完全解説 (再入門 )
全26冊
NAPとは
ネットワークに接続されるコンピュータの
健全性を検証し、アクセス制限・許可を行う
検疫プラットフォーム
Windows Server 2008 からの新機能 OS 設定、アンチウィルスの状態、アップデートの適用状態など 複数の項目について検証利用メリット
PC の健全性確保 (
コンプライアンス支援)
持込みPC / モバイル PC への対策確保 部門管理下のサーバーへの健全性の強制 リモートアクセス時の社外 PC の健全性のチェック機能
ポリシー検証 : コンピュータがポリシー要件に準拠しているかどうかの判断 ネットワーク アクセス制限 : ポリシーに非準拠のコンピュータからのアクセスを制限・拒否 自動修復 : ポリシーに非準拠のコンピュータを準拠状態へするための修復 継続的な準拠 : ポリシー要件が変更された場合に動的に更新特徴
多様なネットワークに対応 有線 LAN、無線 LAN、リモート アクセス 複数の制限方式 を選択可能 (DHCP,IPSec,802.1X,VPN) 高い拡張性 コンポーネント化されたアーキテクチャ API の提供 (検証項目やネットワーク制限方式の追加が可能) 5制限ゾーン
境界ゾーン
セキュア
ゾーン
ネットワーク ポリシー サーバー Windows server 2008 /R2 実施ポイント (サーバー/デバイス) 修復サーバー (WSUS、Web サイト等) 注意: 各ゾーン間の境界の意味は隔離手法(実施オプション)により異なる ① ネットワーク接続時、 システム状態を提出 ② 問合せ ④ NG! ⑤ネットワーク制限 ⑦ 修復サーバーを 使って自動 / 手動にて アップデート ⑥ポリシーに合致 しないことを通知 ③ポリシー を確認ネットワーク ポリシー サーバー
Windows Server 2008 /R2(OS に標準搭載)
NAP クライアント Windows 7(OS に標準搭載) Windows Vista(OS に標準搭載) Windows XP (SP3 にて提供) インフラ環境 Active Directory (既存環境を利用可能) エンタープライズ CA (IPSec や 802.1X を使う場合に必要)
実施ポイント
実施オプションに応じたサーバー、スイッチ <後述> 修復サーバー 更新プログラムのアップデート用(以下のいずれか)Windows Server Update Services (WSUS) / Windows Update System Center Configuration Manager 2007
その他のアップデート用(必要に応じて)
アンチウィルスの更新サーバー サポート用 Web サイト
インターネット アクセス用 プロキシ サーバー
実施オプション 正常性のチェック によってネットワーク制限・許可を強制する方法 実施オプションは、いずれか 1 つを選択する必要がある (複数の組み合わせも可能) 方式 実施ポイント アクセス制限・許可の方式 DHCP DHCP サーバー
(Windows Server 2008 /R2) チェック結果に応じた IPv4 アドレスの割当て・制限時には、特殊なサブネットマスクと デフォルト ゲートウェイなしを割当て
IPSec 正常性登録機関(HRA)
(Windows Server 2008 /R2) チェック結果に応じた証明書の発行・保護対象のサーバーには、IPSec を必須に設定 ・チェックをパスした PC に短期の証明書を発行 802.1X IEEE 802.1X ネットワーク機器 (スイッチ / アクセスポイント) チェック結果に応じた接続ポートへの動的なVLAN の割当て ・正常性 OK ⇒ VLAN1 ・正常性 NG ⇒ VLAN2 VPN VPN サーバー (Windows Server 2008 /R2) チェック結果に応じた VPN サーバー上でのパケットのフィルタリング RD ゲートウェイ RD ゲートウェイ サーバー (Windows Server 2008 /R2) チェック結果に応じたリモートデスクトップ サービス(旧称:ターミナルサービス)のサーバーへの中 継 (RDP over HTTP)
失敗時の画面(Windows 7)
9
クライアント NAP エージェント SHA #1 SHA #2 (オプション) EC IPSec EC DHCP SHA #3 (オプション) EC 802.1X EC VPN 修復サーバー ネットワーク ポリシー サーバー NAP 管理サーバー SHV #1 SHV #2 (オプション) SHV #3 (オプション) 状態ステートメント (SoH)
※ SHA:システム正常性エージェント (System Health Agent) ※ SHV:システム正常性検証ツール (System Health Validator) ※ EC:実施クライアント (Enforcement Client)
SHV によっては、 外部サーバーと連携し、 最新の状態を確認 EC TS NPS サービス 実施ポイント EC IPSecDHCPECEC VPN802.1XES
OS 標準の RAIDUS サーバー/プロキシ機能
従来のインターネット認証サービス(IAS)の後継
引き続き Active Directory を利用した認証機能を持つ
ワイヤレス 802.1X 認証 有線 802.1X 認証 VPN / ダイヤル アップ接続の認証新たに NAP 機能を提供
ネットワークポリシーの定義・管理
ポリシー評価に基づきアクセス許可・制限の指示
13Windows セキュリティ正常性検証
Windows セキュリティセンターと連動
Windows 7 / Vista / XP の状態をチェック
SHA
SHV
NAP クライアント ネットワーク ポリシーサーバー Windows セキュリティ センターのステータス (SoH)• System Center Configuration Manager 2007
• セキュリティ更新プログラムのインストール状況を確認し、隔離した状 態での修復が可能
• 標準の “Windows セキュリティ正常性検証ツール” ではできない、段階 的な更新プログラムの展開が可能
• Forefront Client Security
• マルウェアに対して脆弱なコンピュータがネットワークに接続され ないように制限・修復 • 標準の “Windows セキュリティ正常性検証ツール” ではできない、 Antivirus / Antispyware の詳細な設定・状態のチェックが可能 • サービス、リアルタイム保護設定、定義ファイル など 15
NAP 関連の新機能
複数の SHV 構成のサポート
1種類の SHV を複数に設定する事が可能 WSHVの場合の例: パターン1:ファイアウォールのみ パターン2: ウィルス対策と自動更新NPS テンプレート
RADIUS設定、各ポリシーのテンプレートを提供 インポート/エクスポートが可能ログの改善
設定ウィザードの提供 SQL ログの自動構成(テーブル、接続) テキストとSQLの同時構成Windows Server 2003 IAS 設定の移行機能
17
システム正常性検証 (各 SHV による検証) 正常性ポリシー (複数 SHV の検証結果 に対する定義) ネットワーク ポリシー (条件に一致したものにするアクセス制限・許可を設定)
SoH
結果
RADIUS要求 RADIUS 応答 • マシン名 • ID • ユーザー • グループ • アドレス ・・・・ 最終結果条件
条件
MS-EAP-TLV (SoH) Machine-Name Identity-Type ・・・ MS-EAP-TLV (SoHR) MS-Quarantine-State MS-Remediation-Servers ・・・ 19Windows セキュリティ 正常性検証ツール の検証項目の設定 System Center Configuration Manager SHV の設定 (オプション) 3rd Party 製 SHV の設定 (オプション) システム正常性検証 ツール(SHV) 正常性ポリシー
ネットワーク ポリシー
“正常性 OK” SHV をすべてパス “正常性 NG” SHV のいずれか 失敗 “正常性 NG” に 合致した場合は、 ネットワーク制限あり “正常性 OK” に 合致した場合は、 ネットワーク制限なし NAP に対応しない クライアントは、 ネットワーク制限あり/ なし1
2
3
※ネットワーク ポリシー では NAP 以外の IAS で設定可能な “条件” も 評価可能Windows Server 2008 R2 より、
OS 標準の SHA に対するチェック項目
ファイアウォール: 有効/無効 ウィルス対策ソフトウェア: 有効/無効 定義情報が最新であるか スパイウェア対策ソフトウェア: 有効/無効 定義情報が最新であるか XP では、アンチスパイウェアの検証はなし (XP 版のセキュリティ センターの制限による) • 自動更新: • 有効/無効 • セキュリティ更新プログラム: • 特定の重要度以上のパッチが 適用されているか • 新しいアップデートをチェックしてからの経 過時間をどれだけ許容するか• Windows Server Update Services が展開されてい るか、Microsoft Update が利用可能で
なければならない
1.NAP ネットワーク制限あり
正常性 NG に合致
ネットワークを制限
自動での修復を試みる
2.NAP ネットワーク制限なし
正常性 OK に合致
制限なし
3.NAP 非対応
NAP 非対応の
クライアント
制限あり
25グループ Windows グループ コンピュータグループ ユーザーグループ HCAP ロケーショングループ HCAP グループ 日付と時刻の制限 日付と時刻の制限 ネットワーク アクセス保護 ID の種類 Ms-Services クラス 正常性ポリシー NAP 対応コンピュータ オペレーティングシステム ポリシーの有効期限 接続プロパティ 認証の種類 許可されているEAPの種類 Framed Protocol サービスの種類 トンネルの種類 RADIUS クライアントの種類 Calling Station ID クライアントのフレンドリ名 クライアントの IP v4アドレス クライアントの IP v6アドレス クライアントベンダ ゲートウェイ Calling-Station-ID NAS ID NAS IP v4アドレス NAS IP v6アドレス NAS ポートの種類 ※ NAS:ネットワーク アクセス サーバー(実施ポイント) 27
ネットワークの制限有無を 選択・また制限を開始する 時期も設定可能 クライアント側で自動的に修復・ アップデートさせ、ポリシーに準拠 させることも可能 (ただし、自動修復対象は全てではない) アクセスが制限された場合に、 修復方法等を案内するための サポート用 Web サイトを設定
NPS の各種設定のテンプレートを提供
各ポリシー設定、RADIUS 設定、IP フィルター設定
29
複数の NPS の設定を容易化
複数 NPS でのテンプレートの共有
リモートの NPS からのコピー ファイル経由のエクスポート/インポートテンプレートからの設定
テンプレートを基に設定が可能 New エスクポート/インポート 直接コピー File NPS 1 NPS 2 ※ 構成済の NPS 設定全体を エクスポート/インポートすることも可能NPS で定義するネットワーク ポリシーの一つの
“条件”
として NAP の設定が存在
NAP 以外でも設定可能な設定項目は多数存在NAP の設定をネットワーク ポリシーで定義するためには
以下の順で構成
1. “システム正常性検証ツール (SHV)” の設定 2. “正常性ポリシー” の設定 3. “ネットワーク ポリシー” で条件として 2) で定義した “正常性ポリシー” を条件として設定 ※ これらを設定するウィザードを提供NAP 対応クライアントに対しては自動で
修復
・
更新
させることが可能
NAP 非対応のクライアントに対するポリシーも策定可能
初期導入時には、ネットワーク制限を課さないような設定も可能 3133 DHCP実施 802.1x 実施 IPsec 特徴 • 低コストで容易に導入可能 • セキュリティレベルは高くない ため、コンプライアンス目的向き • 追加の対策との組合わせにより セキュリティレベルを高めること ができる • スイッチ導入コストが必要 • セキュリティレベルは高い • 低コストで導入可能 • Windows Server 主体の環境向 き • セキュリティレベルは高い NAP 方式 制限方式 DHCP による割当て IPv4 アドレ スの制御 動的な VLAN 切替え IPsec によるコンピュータ間通信 の制御 実施ポイント DHCP サーバー (Windows Server 2008 /R2) NAP 対応スイッチ 正常性登録機関 (HRA) (Windows Server 2008 /R2) 環境 Active Directory 必要 認証局(CA) 不要 Windows CA / AD CS(既存 CA の下位 CA として導入可能) NAPク ライア ント 対象 OS Windows XP SP3 / Vista / 7 認証 なし 802.1x(PEAP) IPsec(証明書) IPアドレス DHCP のみ DHCP/ 固定 DHCP/ 固定 Active Directory 参加 推奨 (ワークグループ可) 必要 必要 保護対象サーバーの条件 なし なし • Windows 2000 以降 • IPsec (証明書)の構成(グループ ポリシーで一括設定可能) 段階導入の単位 LAN セグメント単位 (DHCP スコープ単位での NAP の有効化) LAN セグメント単位 (スイッチ単位での NAP の 有効化) Active Directoryの管理単位 (OU、グループ等に基づく NAP クライアントの参照先 HRA 設定) 非 NAP コンピュータへの 対応 • 固定 IP の付与 • 特定 MAC アドレスへの例外処 理 • MAC 認証、Web 認証 (スイッチ設定) • 例外ポート設定 • 保護対象サーバー側で IPsec の 例外処理
✓ DHCP 実施
制限ゾーン
境界ゾーン
セキュア
ゾーン
ネットワーク ポリシー サーバー Windows Server 2008 /R2 修復サーバー (WSUS、Web サイト等) ① ネットワーク接続時、 システム状態を提出 ② 問合せ ④ NG! ④OK であれば、完全な IP アドレスをリース NG であれば、制限された IP アドレスをリース ③ポリシー を確認 DHCP サーバー Windows Server 2008 /R2 ⑤修復サーバーへは、 DHCP のスコープ オプションにて設定されたス タティック ルートを 利用 (ルータ越えも可能)システム状態は、DHCP Discover、DHCP Request、DHCP Inform の各パ ケット内の Vendor Specific Information フィールド内でやり取りされる 35
詳細
制限なしの場合 通常の /24 の サブネット マスク 通常の デフォルト ゲートウェイ 制限ありの場合 255.255.255.255 の /32 のサブネットマスク デフォルト ゲートウェイ 指定なし修復サーバーへのアクセス経路の確保
DHCP サーバー側のスコープ オプション にて、宛先アドレスとルータの対を指定 クライアント側のルーティング テーブルに ネットマスク 255.255.255.255 にて 修復サーバーへのルーティングが 設定される (ルータ越えも可能) 37特徴
Windows Server 2008 で DHCP サーバーを
構築することで比較的容易に導入可能
留意点
デフォルト ゲートウェイの推測で容易に、
制限は回避されてしまう可能性がある
IPSec 実施との組合わせによりセキュリティを強化可能 スイッチとの連携による対応も可能 802.1x 認証、MAC認証、DHCP snooping 機能ネットワークの制限より、NAP 対応クライアントの
コンプライアンスに重きを置く場合に向く
DHCP サーバーの配置と構成
DHCP サーバーはセンター配置する事も可能
異なるセグメントからの DHCP リクエストが中継されるよう、 ルーターに DHCP リレーエージェントを設定DHCP サーバーは、フェールオーバークラスタにて
冗長化 可能
セグメント A(192.168.100.x) セグメント B (128.10.1.x) DHCP サーバー (フェールオーバークラスタ構成) セグメント C (10.10.10.x) ルーター (DHCP リレーエージェント設定) 39 ネットワーク ポリシー サーバー2 台の DHCP サーバーを同一スコープにて、それぞ れ重複しないアドレス プールを構成 192.168.100.1~ 192.168.100.127 192.168.100.128~ 192.168.100.254
1つのスコープを 2 台の DHCP サーバーに分割して提供
1つの サブネットに接続されるコンピュータ数が少なく、 IP アドレス(ホスト ID)数に余裕がある場合のみ クラスC(マスク 24bit)のサブネットの場合 有効な ホストID:254(x.x.x.1~ x.x.x.254) 接続可能な コンピュータ数: 127 台未満 ネットワーク ポリシー サーバー セグメント(192.168.100.x)41
不正に IP アドレスを取得されないよう下記の対策が可能 方法1:ネットワークポリシーに Active Directory のコンピュータを登録 ネットワークポリシーの条件 [コンピュータ グループ] に Active Directory 上のグループを 登録 NAP 対応クライアントのみに有効 方法2:DHCP 不正利用禁止機能を持つスイッチを利用する アラクサラネットワークス社、AX シリーズ:DHCP snooping 機能 ソリトンシステムズ社、H3C セキュリティスイッチ:ユーザー認証機能 など 方法3:DHCP サーバーでの MAC アドレスのフィルタ Windows Server 2008 R2 DHCP フィルター機能 IP アドレスのリース可否を、MAC アドレスの許可/不許可のリストに従い処理 0003FF3916FF ⇒ IP アドレス取得NG • MAC_ACTION={ALLOW} • 許可する MAC アドレス • 000123456789 • MAC_ACTION={DENY} • 不許可の MAC アドレス • 0003FF3916FF 000123456789 ⇒ IP アドレス取得OK New
MACアドレスに基づき DHCP での IP アドレス付与を制御
許可または拒否
コマンド例:
netsh dhcp server v4 add filter allow 00-15-5D-5D-00-01 "filter description"
43
✓ 802.1x 実施
制限ゾーン
境界ゾーン
VLAN 2
セキュア
ゾーン
VLAN 1
ネットワーク ポリシー サーバー Windows server 2008 /R2 修復サーバー (WSUS、Web サイト等) ① ネットワーク接続時、 システム状態を提出 ② 問合せ ④ チェック 結果に応じて VLAN を回答 ⑤接続ポートの VLAN を動的に設定 検疫 OK:VLAN1 検疫 NG:VLAN2 ③ポリシー を確認 Active Directory 上のマシンもしくはユーザーのアカウントによる認証や、状態ステートメントに加えて、Active Directory 上のグループを使った VLAN 制御も可能
802.1X 対応 VLAN スイッチ
スイッチの要件
以下のサポートが必要
認証なしで試行された場合の VLAN の設定
802.1X / NAP 非対応クライアントに必要
認証に失敗した場合の VLAN の設定
ゲスト アクセスに必要
認証に成功した場合の動的な VLAN の設定
チェック結果に応じてクライアント PC が所属すべ
き VLAN を反映するために必要
方法1:クライアントが接続される末端まで NAP 対応スイッチを配置 方法2:拠点に NAP 対応スイッチを配置し、ハブをカスケード スイッチベンダによって、非認証スイッチ(EAP透過機能付)を下位にカス ケート接続できるものを提供 アラクサラネットワークス社、アライドテレシス社 など 47 フロアスイッチ (NAP 対応) クライアント 島ハブ (EAP透過) 802.1x 認証 ネットワーク ポリシー サーバー (RADIUS) 拠点 /フロア 透過
特徴
接続ポート単位で、ネットワーク アクセスの 範囲を物理的に制御可能 クライアントが接続されるスイッチが 802.1x 対応である必要が ある EAP 透過スイッチとの組合わせが可能留意事項
PEAP による認証が必要 NAP 非対応クライアント/例外端末への考慮が必要 802.1x 認証の実施 802.1x 認証ができないデバイス/クライアント MACアドレス、Web認証(スイッチが提供する機能) 認証なしの例外ポートの準備NAP を有効化したセグメント内で例外(NAP非対応のク
ライアントやデバイス)を接続する場合、下記で例外を設
定
方法1:スイッチでの MAC アドレス認証、Web 認証 スイッチ側に 802.1x 以外の認証を設定 アラクサラネットワークス社、アライドテレシス社、シスコシス テムズ社 など 方法2:ネットワークポリシーによる 802.1認証クライアントの 許可 設定 ネットワークポリシーの条件として以下を設定し、802.1x 認証に成 功したクライアントのアクセスを許可 NAP 対応でないコンピュータ コンピュータおよびユーザーグループ(Active Directory のグ ループ) 49✓ IPsec 実施
制限ゾーン
境界ゾーン
セキュア
ゾーン
ネットワーク ポリシー サーバー Windows server 2008 /R2 修復サーバー (WSUS、Web サイト等) ① ネットワーク接続時、 システム状態を提出 ② 問合せ ④ NG! ④正常性が OK の時のみ、 正常性証明書を発行 ③ポリシー を確認 ⑤修復サーバーへは、 通常の通信 セキュア ゾーンのサーバーには、IPSec ポリシーにて、正常性証明書 による相互認証を送信・受信ともに必須とし、予め証明書を配布しておく 正常性登録機関 (下位CA) Windows Server 2008 / R2 エンタープライズ ルート CA Windows Server 51詳細
NAP のチェックにパス すれば、ローカル コンピュータに対して 正常性証明書が発行され、 この証明書を使って、 IPSec の相互認証を行う 証明書の有効期限は、 数時間の短期なもの (この場合は 4 時間 カスタマイズ可能)各ゾーンの設定および定義
セキュア ゾーン
IPSec ポリシー
受信には相互認証を要求(必須) 送信先には相互認証を要望(必須ではない)該当マシン
正常性証明書を事前に配布したサーバー チェックをパスしたクライアント境界ゾーン
IPSec ポリシー
送受信共に相互認証を要望(必須ではない)該当マシン
正常性証明を事前に配布した修復サーバー制限ゾーン
該当マシン
IPSec に対応しないクライアント / サーバー チェックに失敗して、正常性証明書を保持していない クライアント 53エンタープライズ ルート CA 正常性登録機関 (HRA) + スタンドアロン 下位 CA 認証局の信頼 CRL の公開 IPSec ポリシーの適用 NAP 構成時に正常性登録機関の URL を設定(複数可) Windows Server 2008 /R2 ネットワーク ポリシー サーバー Windows Server 2008 /R2 RADIUS プロキシにより RADIUS サーバー グループ にプロキシ Active Directory マシンの認証
特徴とまとめ
特徴
ネットワーク機器に依存せずに、ポリシーに 合致しないクライアントからのアクセスを制限可能 IPSec の機能として、改竄防止、暗号化も実現可能留意事項
セキュアゾーン上の保護サーバーに IPsec を構成する必要あり NAP および IPSec に対応しないクライアントと 保護されたサーバーは直接通信できないUNIX / Linux などの非 Windows Server を 保護することは困難
冗長化の方法
実施ポイント(DHCPサーバー、スイッチ)側での複数のネット ワークポリシーサーバーを指定 プライマリ、セカンダリの RADIUS サーバーとして複数サーバーでネットワークポリシー設定を共有する方法
MMC またはコマンドによるインポート/エクスポート 自動複製される機能はなし ネットワーク ポリシー サーバー ポリシー設定の インポート/エクスポート プライマリ RADIUS セカンダリ RADIUS 実施ポイント 57境界ネットワークから自動修復を行う際に必要となるサーバー
更新プログラムのアップデート用(以下のいずれか)
Windows Server Update Services (WSUS) Windows Update(インターネット サイト) System Center Configuration Manager 2007
その他のアップデート用(必要に応じて) ウィルス対策ソフトウェアの更新サーバー サポート用 Web サイト(NAP クライアントへのオンラインヘルプ) プロキシ サーバー(インターネット アクセス用 ) 配置 任意の場所に配置可能 NAP 制限時にルーティング経路が確保されている必要あり 設定 ネットワーク ポリシー サーバー [修復サーバー グループ] へサーバー(IP アドレス または DNS名)の登録 [ネットワーク ポリシー] の [NAP 強制] へ修復サーバーグループの指定 DHCP 実施時 DHCPサーバー[スコープオプション] – [既定のネットワークアクセス保護クラス]に 静 的にルーターを登録 802.1x 実施時 境界ネットワーク(VLAN)から修復サーバーへアクセスできるようルーティング設定 IPsec 実施 受信側のサーバーで IPsec 通信を必須としない設定
ログの記録場所
イベント ログ
ローカル ファイル
%windir%¥system32¥LogFiles¥INyymm.logSQL Server ログ
データソース、DBの指定(設定ウィザードの提供)記録可能な内容
アカウンティング要求
認証要求
定期的なアカウンティングの状態
定期的な認証の状態
ポリシー判定結果をログとして採取・レポート
Technet: ダウンロード提供 NAP ログ監査ガイド(ログの解説) NAP レポートパック(ログのレポート ツール) http://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx ネットワーク ポリシー サーバー SQL Server ログ 様々なレポートを提供 •期間別 •ネットワークポリシー適用別 •マシン名別 •MACアドレス別 •ユーザー別 •接続状況(実施ポイント別) •非準拠原因別 61コスト、セキュリティ、既存環境等に応じて
ネットワークの制限手法を選択可能
柔軟に運用できるポリシー
検証項目の追加、強制方法を随時変更可能
ポリシー変更は動的に反映され、健全性を常に最適化
展開シナリオ (例)
対象範囲
フェーズ1:既存のネットワーク環境で導入 (DHCP、IPSec) フェーズ2:リモートアクセスの検疫の追加 (VPN) フェーズ3:ネットワーク機器の更改に応じて順次強化 (802.1X)時間軸
フェーズ1 : 制限なし (パイロット展開、ログ採取のみ) フェーズ2:執行猶予つきアクセス 最終フェーズ:制限を強制 63拡張性に優れたプラットフォームとしての提供
コンポーネント化されたアーキテクチャ 拡張のための API 提供、対応パートナー実用的なソリューション
ネットワークの制限だけでなく、修復手段を提供 環境に応じた柔軟なポリシー設定、実施オプションの選択肢コンプライアンス
健全性の確保によるリスク低減 組織がその時点で必要とするポリシーを常に適用可能 サーバーに記録されるログによる監査栗山米菓 新社屋移転にともない、NAP 対応スイッチ(802.1x)を導入 PCのセキュリティチェックと 持ち込みPC 対策のコストを削減 http://www.microsoft.com/japan/windowsserver2008/casestudies/ kuriyamabeika.mspx 国内 自治体 1600台の クライアントを DHCP にて検疫 NPS x2台、DHCP x2台(冗長構成) 国内 製造業 7000台の クライアントを DHCP にて検疫 NPS x2台、DHCP x2台(冗長構成) マイクロソフト 全世界 13万台のクライアントを IPsec にて検疫
System Center Configuration Managerとの連携でソフトウェアの更新を実 施 http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid =4000000983 http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid =4000002160 65
Windows Server 2008 R2 製品サイト:
http://www.microsoft.com/japan/windowsserver2008/prodinfo/r2.ms px
Windows Server 2008 - NAP サイト:
http://www.microsoft.com/japan/windowsserver2008/network-access-protection.mspx
TechNet (Windows Server 2008 NAP ヘルプ):
http://technet.microsoft.com/ja-jp/library/cc753220.aspx
Tech Net - バーチャル ラボ (仮想環境での設定・操作が可能):
「Windows Server 2008 NAP - IPSec 実施」
http://www.microsoft.com/japan/technet/traincert/virtuallab/windowsser ver.mspx
Blog - NAP (US 開発チーム):
http://blogs.technet.com/nap/
MSDN - NAP API Reference (US サイト):
NAP クライアントの設定
NAP クライアントの有効化
サービス:Network Access Protection Agent
NAP クライアントの環境設定
設定項目: NAP EC の有効/無効 UI(表示メッセージ) 正常性登録機関の参照 設定方法: Active Directory グループポリシー ローカル -- 管理者権限が必要 MMC(napclcfg.msc)コマンド (netsh nap client set)
クライアント側でのトレースの設定
MMC :[NAP クライアントの構成] - [プロパティ]NAP クライアント機能 Windows XP SP3 Windows 7 Windows Vista Windows Server 2008 /R2 (クライアントとして) OS 標準搭載 x デフォルト設定 “OFF” API DHCP 実施 VPN 実施 IPsec 実施 802.1x 実施(無線) 802.1x 実施(有線) Windows セキュリティ 正常性エージェント (WSHA) x MMC での設定 x コマンドラインでの設定 ローカルでの設定 グループポリシーでの設定 69
✓ VPN
✓ RD ゲートウェイ
インターネット
境界ゾーン
(フィルター2で許可した通信先) (フィルター1で許可した通信先)セキュア ゾーン
ネットワーク ポリシー サーバー Windows server 2008 /R2 修復サーバー (WSUS、Web サイト等) ① ネットワーク接続時、 システム状態を提出 ② 問合せ ④ NG! ⑤チェック結果に応じて パケットをフィルタリング 検疫 OK:フィルタ1 検疫 NG:フィルタ2 ③ポリシー を確認 VPN サーバー Windows Server 2008 /R2 71IPパケットフィルタ
ネットワークポリシー
ネットワーク ポリシー サーバー Windows Server 2008 /R2 VPN サーバー Windows Server 2008 ネットワーク負荷分散(NLB)機能の利用 VPN 接続 Active Directory ユーザーでの認証 RADIUS プロキシにより RADIUS サーバー グループ にプロキシ 73
特徴とまとめ
主に 社外から社内へのアクセスに利用
NAP のフレームワークに対応した仕組みを提供
Windows Server 2003 SP1 における VPN の検疫と
は異なる
留意事項
正常性 NG の場合は、フィルタリングにより、VPN
接続後、社内の特定のサーバー(境界ゾーン)にのみ
アクセス可能
修復が完了すれば、再接続することなく、制限を
回避可能
インターネット
境界ゾーン
セキュアゾーン
ネットワーク ポリシー サーバー Windows server 2008 /R2 ① ネットワーク接続時、 システム状態を提出 ② 問合せ ④ NG! ③ポリシー を確認 RD ゲートウェイ Windows Server 2008 /R2 ④ 正常性 OK なら ターミナル サーバーに 中継 (RDP/SSL) リモートデスクトップ サービス (ターミナル サーバー) 75[参考]Windows Server 2008 R2
ターミナル サービス ⇒ リモート デスクトップ (RD) サービスへ名称変更ターミナル サービス
TS RemoteApp™ TS ゲートウェイ TS セッション ブローカ TS Web Access TS Easy Printリモート デスクトップ サービス
RemoteApp™ RD ゲートウェイ RD 接続ブローカー RD Web アクセス RD Easy Print 76 New制限ゾーン
境界ゾーン
セキュア
ゾーン
ネットワーク ポリシー サーバー Windows server 2008 /R2 実施ポイント (サーバー/デバイス) ① ネットワーク接続時、 システム状態を提出 ② 問合せ ④ NG! ⑤ネットワーク制限 ⑥チェック結果に応じて 自動で修復 ③ポリシー を確認 SCCM SHA SCCM Site Server SCCM Distribution Point Active Directory MS Download ポリシーを 更新 パッチを ストア カタログ同期SCCM にて追加の SHA / SHV を提供
セキュリティ更新プログラムのインストール状況を個別に確認し、 隔離した状態での修復が可能 標準の “Windows セキュリティ正常性検証ツール” ではできない、 段階的な更新プログラムの展開が可能 NAP クライアント NAP エージェント SCCM SHA 修復サーバー 正常性サーバー NPS NAP 管理サーバー SCCM SHV アップデート 正常性ポリシー SoH Active Directory SCCM 配布ポイント SCCM サイトサーバー 79Microsoft から提供される更新プログラム
Microsoft 製品のセキュリティ更新、サービスパックなど Windows Server Windows Vista Exchange Server SQL Server Forefront などIHV より提供される更新プログラム
BIOS、ドライバなど HP DELL IntelSystem Center Update Publisher (SCUP) を利用
内製アプリケーション用の更新プログラム
内製アプリケーションなどの更新
System Center Update Publisher (SCUP) を利用して、 独自のカタログを作成可能
社内アプリケーション 開発者 更新プログラムの作成 経費精算アプリ Ver.2 SCUP を利用した ソフトウェア カタログの作成 更新プログラム適用を 判別するための条件式 作成 作業内容はウィザードに よりエクスポート可能 SCCM 管理者 カタログ情報の取り 込みと、SCCM への 情報の転送 既存のアプリケーションに 対する修正プログラムを exe, msi, msp 形式で作成 NAP 検疫の対象プロ グラムとするため、 SCCM への登録 開発者により作成された カタログを 、SCCM 管理 者の利用する SCUP へイ ンポート ウィザードを利用して SCUP から SCCM に対し て更新プログラムの情報を 転送 NAP の検疫項目として SCCM 管理コンソール から設定
1
2
3
4
81NAP と Forefront Client Security を利用し、
マルウェアに対して脆弱なコンピュータが社内
ネットワークに接続されないように制限
設定可能な内容
Client Service Policy Settings
WSUS Server Policy Settings
Client Service Policy Settings
以下の各サービスの動作状況について確認
(インストールの有無、状態、スタートアップの種類)
Windows Update Agent (WUA)
Microsoft Operations Manager (MOM)
Forefront Client Security Anti-Malware (FCSAM) Security State Assessment (SSA)
リアルタイム保護(RTP)の状態
WSUS Server Policy Settin
gs
WSUSにより提供されたアップデートが定められた
日数以内に適用されているかを確認
Forefront 製品 SHA
NAP API リファレンス(MSDN)
http://msdn2.microsoft.com/en-us/library/Aa369712.aspx
Windows SDK
SHA、SHV、NAP EC のサンプル
アンマネージド C++
¥Program Files¥Microsoft SDKs¥Windows¥v6.0¥Samples¥NetDs¥NAP
ネットワーク ポリシー サーバーがユーザーを検疫しました。
詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。
ユーザー:
セキュリティ ID: NULL SID
アカウント名: -アカウント ドメイン: -完全修飾アカウント名: -クライアント コンピュータ: セキュリティ ID: CORP2008¥NAPVISTA$ アカウント名: NAPVista.corp2008.local 完全修飾アカウント名: CORP2008¥NAPVISTA$ OS バージョン: 6.0.6001 1.0 x86 ドメイン コントローラ 被呼端末 ID: 192.168.10.0 起呼端末 ID: 0003FFAD088E NAS: NAS IPv4 アドレス: 192.168.10.2 NAS IPv6 アドレス: -NAS ID: WS2008DC NAS ポートの種類: イーサネット NAS ポート: -RADIUS クライアント: クライアントのフレンドリ名: -クライアント IP アドレス: -87
認証の詳細: プロキシ ポリシー名: NAP DHCP ネットワーク ポリシー名: NAP DHCP 非準拠 認証プロバイダ: Windows 認証サーバー: WS2008DC.corp2008.local 認証の種類: 非認証 EAP の種類: -アカウントのセッション ID: 353333333136353135 検疫情報: 結果: 検疫済み 拡張結果: -セッション ID: {BB7C071B-D910-49CB-BA28-A26FE817B44B} - 2007-10-26 09:03:13.734Z ヘルプ URL: http://nap.corp2008.local システム正常性検証ツールの結果: Windows セキュリティ正常性検証ツール.. 非準拠 データなし なし (0xc0ff0001-システム正常性コンポーネントが有効になっていません。 ..) (0xc0ff0047-サードパーティ製のシステム正常性コンポーネントが有効になっていません。 ..) (0xc0ff0048-特定のサードパーティ製システム正常性コンポーネントの署名が最新ではありません。..) (0xc0ff0001-システム正常性コンポーネントが有効になっていません。 ..) (0xc0ff0004-特定のシステム正常性コンポーネントの署名が最新ではありません。..) (0xc0ff0001-システム正常性コンポーネントが有効になっていません。 ..) (0x0-) (0x0-)
92
他の章は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)
http://itlib1.sakura.ne.jp/
目次番号 270番 Windows Server Enterprise 2008 R2 完全解説 (再入門 )
