Windows Server 2012 における
ネットワーク アクセス保護
杵島 正和
Microsoft MVP –
Virtual Machine
• 杵島 正和(きしま まさかず)
• お仕事:商社系 SIer でMicrosoft 製品の営業支援
•
AD/Exchange から 仮想化、SystemCenter まで
•
インフラ回りが主担当です
• Microsoft MVP – Virtual Machine
• ネットワークアクセス保護の特徴
• ネットワークアクセス保護の機能と実装方法
3
• 勝手に持ち込まれたPCをネットワークに接続させたくない
• 不正なPCによる情報漏えいを防ぎたい
• ウイルス感染を未然に防ぎたい
• 会社の定めるポリシー違反のPCはネットワークにつながせた
くない
• 毎月のセキュリティパッチぐらいは当ててほしい
• 万が一ウイルスに感染した場合、他のPC へ拡散を防ぎたい
• 外部から社内にアクセスさせたいが、セキュリティポリシー
と整合性をどう担保しよう
5クライアント管理は悩みがたくさん
• 面倒なことはやりたくない
•
難しいことはよくわからない
•
パッチって当てないとだめなの?
• セキュリティが重要なのは理解できるが、業務効率向上を考
えてほしい
•
なんでも禁止すればよいというものではないでしょう
• 会社にいなくても業務ができる環境がほしい
•
できることなら自宅のPC から会社に接続して仕事ができないか
ユーザーの声はというと
• ID/アクセス管理の強化
• サーバーやネットワーク管理の強化
• ノート型パソコンの社外利用等の制限
• 端末利用の監視やログ管理の強化
• オフィス入退出の管理強化
• 社員教育の強化
• USBメモリ/CD-R等の利用制限
• 検疫ネットワークの導入
• 生体認証の導入など端末認証の強化
• シンクライアントの導入
7対策を考えてみました
ほぼ実施済み 今後導入を検討9
用語解説
用語および略称
説明
NAP
Network Access Protection
ネットワーク アクセス保護
SHV
System Health Validator
システム正常性検証ツール
SHA
System Health Agent
システム正常性エージェント
WSHV
Windows System Health Validator
Windows システム正常性検証ツール
WSHA
Windows System Health Agent
Windows システム正常性エージェント
SCCM
System Center Configuration Manager
• ポリシー ベースのシステム健全性 の検証
•
ネットワーク接続に必要なシステムのポリシーに対して、コンピュータが準拠しているか
を検証
• ネットワークの制限
•
正常性ポリシーの要件に準拠しないコンピュータに対して、ネットワーク リソースへの
アクセスを制限
•
準拠/非準拠の状況に応じたアクションを規定することが可能
• 自動修復
•
非準拠のコンピュータに対して自動的な修復手段を提供
•
自動修復を行わずに、手動で修復することも可能
• 継続的な準拠
•
ネットワークに接続中も継続的に準拠状況を検証する
•
非準拠の状態でただちにネットワークを制限し自動修復を試みる
– 自動修復後、準拠の状態になれば、ネットワーク接続が回復NAP 概要
• NPS サーバー(ネットワークポリシーサーバー)
• Windows Server 2012 (OS に標準搭載)
• NAP クライアント
• Windows 8 (OS に標準搭載)
• Windows 7 (OS に標準搭載)
• Windows Vista (OS に標準搭載)
• Windows XP (SP3 必須) • インフラ環境 • Active Directory (既存を利用可能) • エンタープライズCA (必要に応じて) • 実施ポイント • 実施オプションに応じたサーバー、スイッチ • 修復サーバー • 更新プログラムのアップデート用(以下のいずれか)
– Windows Server Update Services (WSUS) / Windows Update – System Center Configuration Manager
• その他のアップデート用(必要に応じて) – アンチウィルスの更新サーバー
– サポート用 Web サイト
– インターネットアクセス用 プロキシサーバー 11
Windows Server 2012 での変更点
• 機能面の変更はない
• 変更されたのは管理面
•
サーバーの役割の変更
–
ネットワークポリシーとアクセスサービスからRRAS が分離
•
Powershell による構成と管理が可能
13
NAP のアーキテクチャ
ネットワーク ポリシー サーバー (NPS) NAP サーバー NAP エージェント システム正常性ポリシー 更新情報 システム正常性 ステートメント (SSoH) RADIUS ネットワーク アクセス要求 システム正常性 サーバー (optional) 修復サーバー システム正常性 ステートメント応答 (SSoHR) 実施ポイント システム正常性検証ツール (SHV) 強制クライアント (EC) (VPN, DHCP, 802.1X, IPSec、RDGW) WSUS, SCCM サードパーティ製品 ※ EC = Enforcement Client SHV によっては、 外部サーバーと連携し 最新の状態を確認 ※ ES = Enforcement Server サード パーティ 製品 MS製品 インフラストラクチャ サーバー SHA APINAP EC API SHV API
システム正常性エージェント (SHA) サード パーティ 製品 MS製品 NAP 対応クライアント 強制サーバー (ES) (VPN, DHCP, 802.1X, IPSec、RDGW) RADIUS アクセス応答
• NAPとしての役割
• NAP を実施するためのポリシーを定義
• クライアントの 「健全性/正常性」状態を検証 • エラー時の内容に応じた準拠/非準拠を定義 • 標準では WSHV (Windows システム正常性検証ツール) を用意• 4 つの重要なポリシー設定項目
• システム正常性検証ツール – クライアントの状態の検証ポリシを定義(Firewall等) • 正常性ポリシー – SHV が認定した内容に基づいて準拠/非準拠の条件を定義 – 複数の SHV の要件をあわせてポリシー定義することも可能 • ネットワーク ポリシー – ネットワーク アクセスの許可/拒否/制限のためのポリシー – 定義した正常性ポリシーなどを条件とし、アクセスのポリシーを定義 • 接続要求ポリシー – 接続要求の処理の方法 (回線の種類やユーザー認証方法) を定義ネットワークポリシーサーバー(NPS)
• RADIUSサーバー(RADIUS プロキシー)としての役割
• 従来のインターネット認証サービス (IAS) の後継となる OS 標準の RAIDUS サーバー
• AAA (認証、承認、アカウンティング)サーバーとして機能 • RFC 準拠 (新たにRFC3162:IPv6/RFC3748:EAPHostに対応)• RADIUS プロキシ機能
• 接続要求を RADIUS サーバーに転送し、接続要求ポリシーを構成 • アカウンティング データをリモート RADIUS サーバー グループに 転送することも可能• Active Directory を利用した認証機能
• ワイヤレス 802.1X 認証 • 有線 802.1X 認証 15ネットワークポリシーサーバー(NPS)
• システム正常性エージェント (SHA)
• 標準では WSHA (Windows システム正常性エージェント)を用意 • 複数の SHA をクライアント上に展開可• NAP エージェント
• 各 SHA の結果をまとめて、システム正常性ステートメントを作成 • システム正常性ステートメントを実施ポイントを通じて NPS に報告する • NPS からの応答結果を元に、SHA と ECとの調整• 強制クライアント (EC)
• 実施ポイントとネットワーク アクセス要求をネゴシエート • 標準では VPN/DHCP/802.1X/IPSec/RD ゲートウェイ の 5 種類の強制クライアントNAP クライアント
• Windows セキュリティ正常性検証(WSHA/ WSHV)
• Windows 8/7/Vista /XP の アクション(セキュリティ)センターと連動し状態をチェック – ファイアウォール、自動更新、アンチウィルス、スパイウェア対策 • 外部にシステム正常性サーバーは不要 17標準SHA/SHV
NAPクライアント
NPS
NAPエージェント WSHA NAP管理サーバー WSHV SoH• ファイア ウォール:
• 有効/無効• アンチウィルス:
• 有効/無効 • 定義情報が最新であるか• アンチスパイウェア:
• 有効/無効 • 定義情報が最新であるか – XP では、アンチスパイウェアの検証はなし (XP 版のセキュリティ センターの制限による)• 自動更新:
• 有効/無効• セキュリティ更新:
• 特定の重要度以上のパッチが適用されているか • 新しいアップデートをチェックしてからの経過時間 をどれだけ許容するか– Windows Server Update Services が展開されているか 、Microsoft Update が利用可能でなければならない
• 実施オプションとは
• 検疫の合否(もしくは NAP 未対応)によってネットワーク制限・許可を強制する方法 19実施オプション
実施ポイント アクセス制限・許可の方式 DHCP 実施 DHCP サーバー (Windows Server 2012) 検疫結果に応じた IP v4 アドレスの割当て ・制限時には、特殊なサブネットマスクとデフォ ルト ゲートウェイ無が割当て 802.1x 実施 IEEE 802.1X ネットワーク機器 (スイッチ/アクセスポイント) 検疫結果に応じて接続ポートへの動的なVLAN の 割当て ・検疫パス ⇒ VLAN1 ・検疫 NG ⇒ VLAN2 IPSec 実施 正常性登録機関 Web サイト (Windows Server 2012) 検疫結果に応じた証明書の発行 ・保護対象のサーバーには、IPSec を必須に設定 ・検疫をパスしたPCに短期の証明書を発行 VPN 実施 VPN サーバー (Windows Server 2012) 検疫結果に応じた VPN サーバー経由の通信をフィ ルタリング RD ゲートウェイ実施 RD ゲートウェイサーバー (Windows Server 2012) RDゲートウェイへの接続時に検疫結果に応じて接 続を許可または拒否NAP の動作イメージ
検疫ゾーン
境界ゾーン
セキュア
ゾーン
ネットワーク
ポリシー サーバー
Windows Server 2012実施ポイント
(サーバー/デバイス)修復サーバー
(WSUS、Web サイト等)⑥ポリシーに合
致しないことを
通知
Active Directory③ ポリシー
を確認
① ネットワーク接続時、
システム状態を提出
② 問合せ
④ NG!
⑤ネットワーク制限
⑦ 修復サーバーより
アップデート
• NAP 導入ステップ
• NAP 環境の構成
• Active Directory の構成 • 修復サーバーの構成 • NPS サーバーの構成 • RDゲートウェイサーバーの構成 • NAP クライアントの構成 – NAP の構成 23NAP 設定概要
• Active Directory の構成
• GroupPolicy を利用するための OU 及びセキュリティグループを設定
•
WMIでNAP対応クライアントを選定可
• ドメインコントローラーがWindows 2003 の場合、GroupPolicy でNAP 設定を展開するなら中央ス トアを構成しポリシーテンプレートを配置する
• NAP 対応クライアントで適用例外を設定する場合は対応したセキュリティグ
ループを策定
• WSUS:
•
WSUS 展開が必要
• SCCM:
•
SCCM 展開が必要、及び NAP クライアントへパッチ展開設定
• その他:
•
アンチウイルスのパターンファイルの展開設定
25NAP 設定概要(オプション)
27
• RADIUS 通信
• RADIUS クライアント • リモート RADIUS サーバーグループ • 接続要求ポリシー• NAP ポリシー
• システム正常性検証ツール • 正常性ポリシー • ネットワークポリシーNPS 設定
29
RADIUS クライアント
31
NAP ポリシーの構成
正常性ポリシー
ネットワークポリシー
ネットワーク アクセス
保護 設定
Windows セキュリティ 正常性検証ツール の検証項目の設定 System Center Configuration Manager SHV の設定 (オプション) その他 SHV の設定 (オプション) “正常性 OK” SHV をすべてパス “正常性 NG” SHV のいずれか 失敗 “正常性 NG” に 合致した場合は、 ネットワーク制限あり “正常性 OK” に 合致した場合は、 ネットワーク制限なし NAP に対応しない クライアントは、ネット ワーク制限あり/なし1
2
3
システム正常性検証ツー ル(SHV) 修復サーバーグループの 設定システム正常性検証ツール
• エラー時の設定
• いずれかのコンポーネントにエラ ーがあった際の挙動を設定可能
• システムの正常性の状態を規定
するポリシー
33
• SHV すべてOK なら「準拠」
正常性ポリシー
• ネットワークへの接続要求に対する許可、拒否、および制限のポリシーを規定
する
• ポリシーで規定する項目 (1)
•
概要(アクセス許可)
– 接続要求がこのポリシーの条件と制約に一致する場合のアクセス許可/拒否を指定•
条件
– 接続要求が条件に一致する場合、このポリシーを利用して、 アクセス許可に従って、接続要求の許可、拒否、 制限を実施 – 接続要求が条件に一致しない場合は、次の優先順位で定義されたポリシーが評価 – 指定可能な条件 • グループ、HCAP、日付と時刻、ネットワークアクセス保護の条件、接続のプロパティ、RADIUSクライア ントのプロパティ、ゲートウェイ – ネットワーク アクセス保護の条件 • 正常性ポリシー • NAP 対応コンピュータ (かどうか) 35ネットワークポリシー
• ポリシーで規定する項目 (2)
•
制約
– 接続要求がこのポリシーの条件に一致するが、すべての制約が一致しない場合、ネットワーク アクセ ス要求は拒否される – 指定可能な制約項目 • 認証方法、アイドル タイムアウト、セッション タイムアウト、被呼端末 ID、日付と時刻の制限、NAS ポ ートの種類•
設定
– 条件と制約が接続要求に一致して、アクセスが許可された場合、ネットワーク接続に対してこの設定 が適用される – 設定項目 • RADIUS 属性、ネットワーク アクセス保護、ルーティングとリモート アクセス – ネットワーク アクセス保護 (NAP 強制) • 完全なネットワーク アクセスを許可する • 時間を限定して完全なネットワーク アクセスを許可する • 制限付きアクセスを許可する • 修復サーバー グループとトラブル シューティングの URL • 自動修復の設定ネットワークポリシー
37
ネットワークポリシーの設定例
• 「~準拠」
• 「正常性 OK」正常性ポリシーに合致 • 制限なしアクセス• 「~非準拠」
• 「正常性 NG」正常性ポリシーに合致 • ネットワークを制限 • 自動での修復を試みる(選択)• 「~非対応」
• NAP 非対応クライアント • 制限のある/なし• 適用フロー
ネットワークポリシー
接続要求
ポリシー 2 を評価 ポリシー 1 を評価 ポリシー n を評価 制約に一致する アクセス許可に応じた処理 接続に 設定を適用No
Yes
許可
条件に一致するNo
拒否
接続要求は拒否される 接続要求は許可され 「NAP 強制」設定が適用されるYes
制限付きアクセスを 許可する 完全なアクセスを 許可する 時間を限定して完 全なアクセスを許 可する39
ネットワークポリシーの設定例
• クライアント側で自動的に修復するよう構成し ポリシーに準拠させることも可能 (ただし、自動修復対象は全てではない) • ネットワークの制限有無を選択する制限を開始する時期 も設定可能 • アクセスが制限された場合に、修復方法等を案内するた めのサポート用 Web サイトを設定41
RDゲートウェイサーバーの設定
• RD ゲートウェイからNPSに対して接 続承認を要求するための設定を行う
43
クライアント設定
• クライアント側のレジストリを
変更する
• HKEY_LOCAL_MACHINE¥SOFTWARE¥M icrosoft¥Terminal Server Client¥TrustedGateways • GatewayFQDN にRDゲートウェイの FQDNを入力47
部分・段階的な展開が可能
• コスト、セキュリティ、既存環境等に応じてネットワークの制限手法を選択可
能
• 柔軟に運用できるポリシー
•
検証項目の追加、強制方法を随時変更可能
•
ポリシーの変更は動的に反映され、健全性を常に最適化できる
• 展開シナリオ(例)
•
対象範囲
–
フェーズ1:既存のネットワーク環境の一部で導入(DHCP、IPsec)
–
フェーズ2:リモートアクセスの検疫の追加(VPN、RDゲートウェイ)
–
フェーズ3:ネットワーク機器の更改に応じて順次強化(802.1X)
•
時間軸
–
フェーズ1:制限なしのアクセス(パイロット展開、レポート採取のみ)
–
フェーズ2:執行猶予つきアクセス
–
最終フェーズ:制限を強制
まとめ
• セキュリティポリシーの統合と末端までの浸透させることの
メリットの享受
• ネットワーク、コンピューターといった複数のレイヤーをま
たがって保護
• セキュリティとコンプライアンスの管理がシンプルにできる
49
