6. NAP とは?
NAP ってナニ?
• NAP とは「 Network Access Protection 」の略であり、 Windows
標準の検疫機能です。
• Windows Server 2008 / 2008 R2 でサーバー側の環境を用意して
おくと、ポリシーに準拠しない Windows XP / Vista / 7 クライアン
トを検疫し、ネットワークから隔離することができます。
• 例えば、次のような状態の Windows クライアントを検疫できます。
– アンチウイルスソフトが無効になっている、定義ファイルが古い
– スパイウェア対策ソフトが無効になっている、定義ファイルが古い
– ファイアウォール機能が無効になっている
– 一定レベル以上のセキュリティ更新プログラムが適用されていない
7. NAP の特徴
NAP には次のような特徴があります。
• さまざまなネットワークに対応しています。
– 有線LAN、無線LAN、リモートアクセスなど
• 複数の制限機能、検疫機能があります。
– DHCP、IPSec、802.1x、VPN、RDゲートウェイでの制限
• 拡張性があります。
– Windows 標準だけでなく、System Center Configuration Manager や
サードパーティの NAP 対応機能を使う、など
12. 実施ポイント・アクセスデバイス
アクセスの許可や制限を行うためのデバイスです。
• 実施ポイント・アクセスデバイスは「 ES ( Enforcement
Server :実施サーバー)とも呼ばれ、コンピューターのアクセス許
可や制限を行います。
• 次のような5種類があります。
– ES DHCP
– ES IPSec
– ES 802.1x
– ES VPN
– ES リモートデスクトップゲートウェイ
13. ネットワークポリシーサーバー
Windows Server 2008 / 2008 R2 側で動作するコンポーネントです。
• ネットワークポリシーサーバー( NPS サーバー)は次の 3 つのコン
ポーネントで構成されています。
– SHV ( System Health Validator :システム正常性検証ツール)
– NAP 管理サーバー
– NPS サービス ( RADIUS です)
15. SHAとSHV、WSHAとWSHV
NAP が検疫判定するときの重要なコンポーネントたちです。
• NAP クライアントの SHA ( System Health Agent )と
NPS サーバーの SHV ( System Health Validator )が
対になって動作します。
• Windows 標準の SHA 、 SHV として、
WSHA ( Windows SHA )と WSHV ( Windows SHV )があります。
• WSHA は Windows XP の「セキュリティセンター」と、
Windows Vista / 7 の「アクションセンター」と連携して動作します。
• Windows Server 2008 R2 からは、 1 つの SHV に複数の設定ができ
るようになりました。
• サードパーティが SHA と SHV を開発することができます。
• マイクロソフトの System Center Configuration Manager も SHA と
SHV を用意しています。( サーバー OS でも使用できる SHA です)
16. WSHVで判定できる項目
標準の SHV である WSHV では次のような判定ができます。
• ファイアウォール設定
• ファイアウォール機能が有効か
• ウイルス対策の設定
• ウイルス対策ソフトが有効か
• 定義ファイルが最新か
• スパイウェア対策の設定
( Windows XP にはこの設定は無し)
• スパイウェア対策ソフトが有効か
• 定義ファイルが最新か
• 自動更新の設定
• 自動更新が有効か Windows Server 2008 R2 の WSHV 設定画面
• セキュリティ更新プログラムの設定
• 適用されているセキュリティ更新プログラムの最低限のレベル
• 最後に更新を行ってからの経過時間
• 更新の接続先の種類( Microsoft Update , Windows Update , WSUS )
17. Windows Server 2012 では?
WSHV など、 NAP に関わる機能に変化はなさそう
Windows Server 2012 RC の
ネットワークポリシーサーバー
18. NAP の実施オプション
NAP の実施オプション、検疫方法として、次のような 5 つがあります。
• DHCP 実施
– Windows Server 2008 / 2008 R2 の DHCP サーバーを実施ポイントにします。
• IPSec 実施
– ポリシーに準拠したコンピューターだけに「正常性証明書」を発行して、IPSec 通信を強
制します。
• 802.1x 実施
– IEEE 802.1x に対応したスイッチや無線LANアクセスポイントを実施ポイントにします。
• VPN 実施
– Windows Server 2008 / 2008 R2 の VPN サーバーを実施ポイントにします。
• リモートデスクトップゲートウェイ実施
– RDP を HTTPS にカプセル化するリモートデスクトップゲートウェイを実施ポイントにし
ます。
51. NAP による簡易検疫のススメ
まとめです。
• BYOD ( Bring Your Own Device )の広まりによる持ち込み PC
増加などによって、これまで以上にセキュリティ対策の重要性は高
まっています。
• しかしながら、多大なコストをかけることができない状況も増えて
いるのではないでしょうか。
• そこで、 Windows によるサーバー、クライアントを利用している
環境であれば、 DHCP-NAP と WSHA/WSHV などによる簡易的な
検疫システムを構築してはいかがでしょうか。
• 本セッションが、NAP による簡易検疫システムの検討や構築、また、
それらの「気づき」となれば幸いです。
52. 参考情報
NAP 構築時に役立つ情報群です。
• Network Policy and Access Services
http://technet.microsoft.com/ja-jp/library/cc753220
• NAP クライアントの構成
http://technet.microsoft.com/ja-jp/library/cc754803
• Ask the Network & AD Support Team
マイクロソフト Network & AD サポートチーム公式ブログ
http://blogs.technet.com/b/jpntsblog/archive/2009/10/29/nap-internal-1-wsha.aspx
http://blogs.technet.com/b/jpntsblog/archive/2009/12/15/nap-internal-2-wsha.aspx
http://blogs.technet.com/b/jpntsblog/archive/2010/01/20/nap-internal-3.aspx
http://blogs.technet.com/b/jpntsblog/archive/2010/06/21/nap-internal-4-dhcp.aspx
• Windows Server 使い倒し塾
http://blogs.technet.com/b/windowsserverjp/archive/2009/10/07/3284916.aspx