1. NAPによる簡易検疫のススメ
Win.tech.q 知北直宏
Community Open Day 2012
Ustreamの録画はこちら： http://www.ustream.tv/channel/wintechq20120609

2. 自己紹介
知北直宏（ちきたなおひろ）の自己紹介です。
• ITPro系コミュニティ・Win.tech.q代表
• アイティデザイン株式会社代表取締役社長
• MCT、MCSE、MCITP、MCTS
• Microsoft MVP(Directory Services Jan2011 - Dec2011)
• Active Directory 、 Hyper-V 、 NAP など、Windows Server に関
する設計、構築、移行など行っています。
• 2010年に書籍「標準テキスト Windows Server 2008 R2 構築・運
用・管理パーフェクトガイド」を執筆・発売しました。
（2012年3月に第7版発売、通算13000部発行）

3. アジェンダ
今日はこんなことをお話しします。
• NAP の概要
• DHCP-NAP の構築
• DHCP-NAP の動作
• まとめ

4. 注意事項
ご注意ください。
• 本セッションの内容は、2012年6月現在のカレントバージョンであ
る Windows Server 2008 R2 をベースとしております。
• 実際に NAP 環境、検疫環境の設計や構築を行う際には、マイクロソ
フトの技術文書なども参照しながら進めることをお勧めします。
• 本セッション、および本資料によって発生した問題には一切の責任
を負いません。

5. NAP の概要

6. NAP とは？
NAP ってナニ？
• NAP とは「 Network Access Protection 」の略であり、 Windows
標準の検疫機能です。
• Windows Server 2008 / 2008 R2 でサーバー側の環境を用意して
おくと、ポリシーに準拠しない Windows XP / Vista / 7 クライアン
トを検疫し、ネットワークから隔離することができます。
• 例えば、次のような状態の Windows クライアントを検疫できます。
– アンチウイルスソフトが無効になっている、定義ファイルが古い
– スパイウェア対策ソフトが無効になっている、定義ファイルが古い
– ファイアウォール機能が無効になっている
– 一定レベル以上のセキュリティ更新プログラムが適用されていない

7. NAP の特徴
NAP には次のような特徴があります。
• さまざまなネットワークに対応しています。
– 有線LAN、無線LAN、リモートアクセスなど
• 複数の制限機能、検疫機能があります。
– DHCP、IPSec、802.1x、VPN、RDゲートウェイでの制限
• 拡張性があります。
– Windows 標準だけでなく、System Center Configuration Manager や
サードパーティの NAP 対応機能を使う、など

8. NAP の機能
NAP には次のような機能があります。
• ポリシー検証
– ポリシーに「準拠」しているか、「非準拠」かの判定
• ネットワークアクセス制限
– ポリシーに非準拠なコンピューターのネットワークアクセスを制限
• 自動修復
– ポリシーに非準拠なコンピューターを自動的に修復
• 継続的なポリシー検証
– ポリシーに準拠したと判定したコンピューターも、その後も継続して検証を実
施

9. NAP の動き
NAP はこのように動作します。
×
③’「非準拠」
③「準拠」
①アクセス要求 リソースサーバー
Windows ②ポリシー判定
コンピューター
実施ポイント
・アクセスデバイス
③’’「非準拠」
ネットワークポリシーサーバー
（NPSサーバー）
セキュアゾーン
修復サーバー
（WSUS、アンチウイルスサーバーなど） 境界ゾーン
検疫ゾーン

10. NAP のコンポーネント
NAP は次のようないくつかのコンポーネントで成り立ってます。
• NAP クライアント
• 実施ポイント・アクセスデバイス
• ネットワークポリシーサーバー
• 修復サーバー
（必須ではない）

11. NAP クライアント
Windows コンピューター側で動作するクライアント側コンポーネントです。
• NAP クライアントは次の 3 つのコンポーネントで構成されています。
– SHA （ System Health Agent ：システム正常性エージェント）
– NAP エージェント
– EC （ Enforcement Client ：実施クライアント）

12. 実施ポイント・アクセスデバイス
アクセスの許可や制限を行うためのデバイスです。
• 実施ポイント・アクセスデバイスは「 ES （ Enforcement
Server ：実施サーバー）とも呼ばれ、コンピューターのアクセス許
可や制限を行います。
• 次のような5種類があります。
– ES DHCP
– ES IPSec
– ES 802.1x
– ES VPN
– ES リモートデスクトップゲートウェイ

13. ネットワークポリシーサーバー
Windows Server 2008 / 2008 R2 側で動作するコンポーネントです。
• ネットワークポリシーサーバー（ NPS サーバー）は次の 3 つのコン
ポーネントで構成されています。
– SHV （ System Health Validator ：システム正常性検証ツール）
– NAP 管理サーバー
– NPS サービス （ RADIUS です）

14. 修復サーバー
検疫時にもアクセスできるサーバー群です。
• ポリシーに準拠していないコンピューターの修復を助けるための
サーバー群です。
• 検疫されてもアクセスすることができます。
• 例えば、 WSUS サーバーや、アンチウイルスソフトの管理サーバー
などを登録します。
• NAP 環境構築時に必須なコンポーネントではありません。

15. SHAとSHV、WSHAとWSHV
NAP が検疫判定するときの重要なコンポーネントたちです。
• NAP クライアントの SHA （ System Health Agent ）と
NPS サーバーの SHV （ System Health Validator ）が
対になって動作します。
• Windows 標準の SHA 、 SHV として、
WSHA （ Windows SHA ）と WSHV （ Windows SHV ）があります。
• WSHA は Windows XP の「セキュリティセンター」と、
Windows Vista / 7 の「アクションセンター」と連携して動作します。
• Windows Server 2008 R2 からは、 1 つの SHV に複数の設定ができ
るようになりました。
• サードパーティが SHA と SHV を開発することができます。
• マイクロソフトの System Center Configuration Manager も SHA と
SHV を用意しています。（ サーバー OS でも使用できる SHA です）

16. WSHVで判定できる項目
標準の SHV である WSHV では次のような判定ができます。
• ファイアウォール設定
• ファイアウォール機能が有効か
• ウイルス対策の設定
• ウイルス対策ソフトが有効か
• 定義ファイルが最新か
• スパイウェア対策の設定
（ Windows XP にはこの設定は無し）
• スパイウェア対策ソフトが有効か
• 定義ファイルが最新か
• 自動更新の設定
• 自動更新が有効か Windows Server 2008 R2 の WSHV 設定画面
• セキュリティ更新プログラムの設定
• 適用されているセキュリティ更新プログラムの最低限のレベル
• 最後に更新を行ってからの経過時間
• 更新の接続先の種類（ Microsoft Update , Windows Update , WSUS ）

17. Windows Server 2012 では？
WSHV など、 NAP に関わる機能に変化はなさそう
Windows Server 2012 RC の
ネットワークポリシーサーバー

18. NAP の実施オプション
NAP の実施オプション、検疫方法として、次のような 5 つがあります。
• DHCP 実施
– Windows Server 2008 / 2008 R2 の DHCP サーバーを実施ポイントにします。
• IPSec 実施
– ポリシーに準拠したコンピューターだけに「正常性証明書」を発行して、IPSec 通信を強
制します。
• 802.1x 実施
– IEEE 802.1x に対応したスイッチや無線LANアクセスポイントを実施ポイントにします。
• VPN 実施
– Windows Server 2008 / 2008 R2 の VPN サーバーを実施ポイントにします。
• リモートデスクトップゲートウェイ実施
– RDP を HTTPS にカプセル化するリモートデスクトップゲートウェイを実施ポイントにし
ます。

19. DHCP-NAP の構築

20. DHCP-NAP の特徴
DHCP 実施による DHCP-NAP ってどんな特徴があるの？
• 5 つの実施オプションの中で、最も容易に導入できる NAP です。
• Windows Server 2008 / 2008 R2 の DHCP サーバーを実施ポイント
にします。
• DHCP サーバーにはポリシーに準拠したコンピューターにリースする IP
アドレス構成と、ポリシー非準拠なコンピューターにリースするための
IP アドレス構成の、 2 つを登録します。
• ポリシーに準拠していないコンピューターには、サブネットマスクが
「255.255.255.255」のような、限定された IP アドレスがリースされ
ます。
• IPv4 にしか対応していません。
• 固定 IP のコンピューターを検疫対象にすることはできません。。。

21. DHCP-NAP による簡易 NAP 構築の流れ
WSHA/WSHVとDHCP-NAP で、簡易的な NAP 環境が作れます！
1. DHCP サーバーとネットワークポリシーサーバーの役割を追加
2. ネットワークポリシーサーバーを構成
3. WSHV を設定
4. DHCP サーバーを構成
5. NAP クライアントを構成
• 1 台の Windows Server 2008 R2 サーバーに DHCP サーバーと
ネットワークポリシーサーバーを同居させた構成を例にしています。

22. DHCP サーバーとネットワークポリシーサーバーの役割を追加
「役割の追加ウィザード」で 2 つの役割を追加します。

23. ネットワークポリシーサーバーを構成（1/11）
サーバーマネージャーなどから構成を開始します。

24. ネットワークポリシーサーバーを構成（2/11）
NAP の実施オプションとして DHCP を選択します。

25. ネットワークポリシーサーバーを構成（3/11）
DHCP サーバーが別のサーバーで実行されているときはここで追加。

26. ネットワークポリシーサーバーを構成（4/11）
特定の DHCP スコープのみにNAPを有効にするときはここで指定。

27. ネットワークポリシーサーバーを構成（5/11）
特定のコンピューターグループのみにNAPを有効にするときはここで指定。

28. ネットワークポリシーサーバーを構成（6/11）
修復サーバーを用意するときはここで追加。

29. ネットワークポリシーサーバーを構成（7/11）
修復サーバーの IP アドレスなどを登録し、グループ名を設定します。

30. ネットワークポリシーサーバーを構成（8/11）
修復サーバーのグループ名を確認します。

31. ネットワークポリシーサーバーを構成（9/11）
正常性ポリシーに関して設定を行います。
SHVとして、
WSHVを選択します。
自動修復を有効にす
ることができます。
「NAP非対応」なコ
ンピューターやデバ
イスのネットワーク
接続を「拒否」する
か「許可」するか指
定します。

32. ネットワークポリシーサーバーを構成（10/11）
構成完了です！

33. ネットワークポリシーサーバーを構成（11/11）
3 種類のポリシーが生成されました。

34. WSHV を設定（1/2）
サーバーマネージャーなどから WSHV の設定を行います。

35. WSHV を設定（2/2）
検疫の判定項目を設定します。

36. DHCP サーバーを構成（1/3）
スコープの NAP 設定を有効化します。

37. DHCP サーバーを構成（2/3）
スコープのオプションとして NAP 用の設定を追加します。

38. DHCP サーバーを構成（3/3）
スコープのオプションとして NAP のためのクラスのものが追加されました。

39. Windows Server 2012 では？
NAP のためのユーザークラスの指定方法が変更になるよう。
Windows Server 2012 RC の
DHCP マネージャー

40. NAP クライアントを構成（1/6）
NAP クライアントを構成する際の補足です。
• NAP クライアントの構成を行う際には、 Active Directory の
グループポリシーを使って一括設定するとラクです。
• ここでは Active Directory が存在している環境を想定した手順を紹
介します。

41. NAP クライアントを構成（2/6）
GPMC を使って、 NAP 用の GPO を作成、編集します。

42. NAP クライアントを構成（3/6）
「 Network Access Protection Agent 」サービスを自動起動させるための設定。
「コンピューターの構成」
「ポリシー」
「Windows の設定」
「セキュリティの設定」
「システムサービス」

43. NAP クライアントを構成（4/6）
DHCP 実施クライアントを有効化するための設定。
「コンピューターの構成」
「ポリシー」
「Windows の設定」
「セキュリティの設定」
「ネットワークアクセス保護」
「NAP クライアントの構成」
「強制クライアント」

44. NAP クライアントを構成（5/6）
セキュリティセンターを有効化するための設定。
「コンピューターの構成」
「ポリシー」
「管理用テンプレート」
「Windows コンポーネント」
「セキュリティセンター」

45. NAP クライアントを構成（6/6）
GPMC を使って、作成した GPO をリンクします。
• 作成した NAP 用の GPO を「 OU 」にリンクします。
• もしも、「ドメイン」にリンクするのであれば、対象 GPO の「セ
キュリティーフィルター処理」をデフォルトの「 Authenticated
Users 」から、特定のグループ（ NAP の検疫対象とするコンピュー
ター群をまとめたグループ）に変更することをお勧めします。

46. NAP-DHCP の動作

47. ポリシーに準拠しているときの挙動
NAP 対応コンピューターがポリシーに準拠しているとどうなるの？
• DHCP サーバーから、ごく普通に IP アドレスなどがリースされます。

48. ポリシーに準拠していないときの挙動
NAP 対応コンピューターがポリシーに非準拠だとどうなるの？
• アクションセンターが検知します。
• DHCP サーバーから、限定された IP アドレスなどがリースされます。
NAPSTAT のメッセージ

49. ポリシーに準拠していないと判定されたら
ポリシー非準拠と判定されたらどうするの？
• NAPSTAT のメッセージなどから非準拠と判断された理由を調べます。
• ポリシーに準拠するように設定変更など行います。
– アンチウイルスソフトを有効にする
– 修復サーバーにアクセスして各種定義ファイルをアップデートする
– WSUS サーバーにアクセスしてセキュリティ更新プログラムを適用する
– その他
• 設定変更を行うと、すぐに再度の判定が自動的に実施されます。

50. まとめ

51. NAP による簡易検疫のススメ
まとめです。
• BYOD （ Bring Your Own Device ）の広まりによる持ち込み PC
増加などによって、これまで以上にセキュリティ対策の重要性は高
まっています。
• しかしながら、多大なコストをかけることができない状況も増えて
いるのではないでしょうか。
• そこで、 Windows によるサーバー、クライアントを利用している
環境であれば、 DHCP-NAP と WSHA/WSHV などによる簡易的な
検疫システムを構築してはいかがでしょうか。
• 本セッションが、NAP による簡易検疫システムの検討や構築、また、
それらの「気づき」となれば幸いです。

52. 参考情報
NAP 構築時に役立つ情報群です。
• Network Policy and Access Services
http://technet.microsoft.com/ja-jp/library/cc753220
• NAP クライアントの構成
http://technet.microsoft.com/ja-jp/library/cc754803
• Ask the Network & AD Support Team
マイクロソフト Network & AD サポートチーム公式ブログ
http://blogs.technet.com/b/jpntsblog/archive/2009/10/29/nap-internal-1-wsha.aspx
http://blogs.technet.com/b/jpntsblog/archive/2009/12/15/nap-internal-2-wsha.aspx
http://blogs.technet.com/b/jpntsblog/archive/2010/01/20/nap-internal-3.aspx
http://blogs.technet.com/b/jpntsblog/archive/2010/06/21/nap-internal-4-dhcp.aspx
• Windows Server 使い倒し塾
http://blogs.technet.com/b/windowsserverjp/archive/2009/10/07/3284916.aspx