Comments
Description
Transcript
NAP - Dell
W Window ws Se erver 2008 の概 概要 ネ トワー ネット ーク 発行 :2007 年 11 月 月 21 日 osoft Corporattion Micro 免責事項 このパッケージの内容は、情報提供とトレーニングのみを目的として、一切の保証を伴うことなく 現状有姿のままで提供されるものであり、マイクロソフトは、商品性、特定目的に対する適合 性、および権利侵害が存在しないこと、およびこれに限らず、また明示であると黙示であるとを 問わず、一切の保証を行いません。このパッケージに含まれる情報およびソフトウェアは技術上 の問題および市場の状況に応じて変更が必要になることがあるため、MICROSOFT CORPORATION ("MICROSOFT®") およびその供給元は、将来予告なしにそれらを変更することがあります。 使用条件 Microsoft Corporation © 2007 Microsoft Corporation. All rights reserved. このトレーニング パッケージの内容には所有権のある情報が含まれ、上記免責事項およびこのパッ ケージに含まれるドキュメントに記載された目的にのみ使用されます。このパッケージに含まれ るテキストまたはソフトウェアのいかなる部分も、Microsoft の文書による、明示的な許可を得ない 限り、写真複写、記録、または情報記憶および検索システムへの複写を含む、電気的手段、機械 的手段、およびその他のいかなる形式または方法によっても、複製、転用することを禁じます。 使用許諾を受け、著作権で保護された資料の使用に関する詳細については、「マイクロソフトの 著作物の使用許諾と商標ガイドライン」Web ページ (http://www.microsoft.com/japan/mscorp/legal/ permission/default.mspx) を参照してください。 商標 Microsoft®、Internet Explorer、および Windows® は、米国 Microsoft Corporation の米国およびその 他の国における登録商標または商標です。 記載されている会社名、製品名には、各社の商標のものもあります。 Windows Server 2008 の概要 ネットワーク 目次 概要 ............................................................................................................................................ 1 レッスン 1 : NAP とは ......................................................................................................................... 2 問題の定義 : 正常性ポリシーの強制 .............................................................................................. 2 レッスン 2 : NAP の主な機能 ............................................................................................................. 3 正常性ポリシーの検証..................................................................................................................... 3 ネットワーク アクセスの制限 ........................................................................................................ 3 正常性ポリシーへの準拠 ................................................................................................................. 3 修復 .................................................................................................................................................... 4 NAP 強制 ............................................................................................................................................. 4 NAP では実行されない事項 ............................................................................................................. 5 NAP の拡張性およびカスタマイズ ................................................................................................. 6 第 2 部 : NAP コンポーネント .................................................................................................. 7 レッスン 1 : NAP クライアント側コンポーネント .......................................................................... 7 用語 : NAP 機能ロールとソフトウェア コンポーネント ............................................................. 7 NAP クライアント側コンポーネント ............................................................................................. 8 レッスン 2 : NAP サーバー側コンポーネント ................................................................................ 11 強制サーバー .................................................................................................................................. 11 NAP ポリシー サーバー .................................................................................................................. 12 アカウント データベース .............................................................................................................. 13 修復サーバー .................................................................................................................................. 13 レッスン 3 : Windows Server 2008 の NAP コンポーネント .......................................................... 14 必要な Windows Server 2008 の役割および役割サービス ......................................................... 14 RADIUS サーバーとしての NPS ...................................................................................................... 15 正常なクライアントと正常でないクライアントに対する NAP 強制 ...................................... 16 NAP 強制タイプ : 実装 .................................................................................................................... 16 レッスン 4 : NAP で使用される NPS ポリシー ............................................................................... 18 NPS のポリシー タイプ .................................................................................................................. 19 ポリシー設定と SHV 構成 .............................................................................................................. 19 NAP 対応アプリケーション ........................................................................................................... 20 レッスン 5 : NAP における各ポリシー タイプの役割 ................................................................... 21 NAP 構成における NPS ポリシー タイプの役割 .......................................................................... 21 第 3 部 : NAP 実装に関する考慮事項 ................................................................................... 22 レッスン 1 : NAP 機能の概要 ........................................................................................................... 22 ネットワーク アクセス保護の動作.............................................................................................. 22 レッスン 2 : NAP のインストールと構成に関する考慮事項 ................................................... 25 NAP のコンポーネントをインストールするための必要条件 ................................................ 25 第 4 部 : NAP DHCP 強制タイプ ............................................................................................. 26 レッスン 1 : DHCP 強制のプロセス ................................................................................................. 27 第 5 部 : アーキテクチャ ....................................................................................................... 29 レッスン 1 : NAP サーバー側のアーキテクチャ ........................................................................... 30 サーバー側の NAP プラットフォーム コンポーネント ............................................................. 34 NAP 強制サーバー .......................................................................................................................... 34 NAP 管理サーバー .......................................................................................................................... 34 NPS サービス ................................................................................................................................... 35 システム正常性検証ツール .......................................................................................................... 35 レッスン 2 : クライアント NAP コンポーネントとサーバー NAP コンポーネント間の通信...... 36 レッスン 3 : NAP クライアントのアーキテクチャ ....................................................................... 39 NAP クライアントのアーキテクチャ ........................................................................................... 39 NAP 強制クライアント .................................................................................................................. 41 IPsec NAP EC ..................................................................................................................................... 42 EAPHost NAP EC ................................................................................................................................ 42 VPN NAP EC....................................................................................................................................... 42 DHCP NAP EC .................................................................................................................................... 42 システム正常性エージェント ...................................................................................................... 43 NAP エージェント .......................................................................................................................... 43 第 6 部 : VPN 強制タイプ ....................................................................................................... 44 レッスン 1 : VPN 強制のプロセス ................................................................................................... 45 VPN 強制 .......................................................................................................................................... 45 第 7 部 : IPSec 強制タイプ ..................................................................................................... 47 レッスン 1 : IPSec 強制タイプの目的 .............................................................................................. 48 IPsec 強制と論理ネットワーク ..................................................................................................... 48 レッスン 2 : IPsec 強制のプロセス .................................................................................................. 50 第 8 部 : 802.1x 強制タイプ ................................................................................................... 52 レッスン 1 : 802.1x 強制のプロセス ............................................................................................... 53 802.1X 強制 ...................................................................................................................................... 53 表 表 1 : NAP 強制タイプとオプション .................................................................................................... 5 表 2 : 強制サーバーの役割および役割サービス .............................................................................. 14 表 3 : NAP 強制オプション .................................................................................................................. 16 表 4 : NAP コンポーネント .................................................................................................................. 25 図 図 1 : NAP 構成で使用される NPS ポリシー ...................................................................................... 21 図 2 : NAP 展開の例 .............................................................................................................................. 22 図 3 : DHCP 強制 .................................................................................................................................... 27 図 4 : サーバー側の NAP プラットフォーム アーキテクチャ ........................................................ 30 図 5 : NAP プラットフォームのコンポーネント間の関係 .............................................................. 32 図 6 : NAP クライアント コンポーネントから NAP サーバー側コンポーネントへの 通信プロセス ........................................................................................................................................ 37 図 7 : NAP サーバー側コンポーネントから NAP クライアント コンポーネントへの 通信プロセス ........................................................................................................................................ 38 図 8 : NAP クライアント上の NAP プラットフォームのアーキテクチャ ...................................... 39 図 9 : VPN 強制のプロセス .................................................................................................................. 45 図 10 : IPsec 論理ネットワーク ........................................................................................................... 49 図 11 : IPsec 強制のプロセス ............................................................................................................... 50 図 12 : 802.1X 強制 ................................................................................................................................ 53 ネットワーク 概要 このモジュールでは、Windows Server 2008 のネットワーク アクセス保護 (NAP) を紹介します。 ここでは、NAP の概要を理解するために、技術概念の基礎および機能の概要につい て説明します。また、NAP の導入に必要な Windows Server 2008 コンポーネント についても確認します。 NAP アーキテクチャおよびコンポーネントの相互作用についての詳細な説明と共に、 DHCP および IPSec の NAP 強制のシナリオを扱う実習も用意されています。 さらに、利用可能な NAP のトラブルシューティング ツールおよび手法について も説明します。 学習内容 このモジュールを完了すると、次のことができるようになります。 ■ NAP コンポーネントの確認と説明 ■ 基本的な NAP 機能の説明 ■ 利用可能な NAP 強制タイプの確認と説明 ■ 利用可能な NAP のトラブルシューティング ツールおよび手法の使用につい ての説明 Microsoft Corporation 1 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 レッスン 1 : NAP とは 問題の定義 : 正常性ポリシーの強制 今日の企業ネットワーク管理者は、企業内ネットワークやネットワーク資産にア クセスするすべてのコンピュータに対して、正常性とセキュリティに関する定義 済みの基準を確実に遵守させるという課題を抱えています。たとえば、必要なソ フトウェア、セキュリティ更新プログラム、およびウイルス対策プログラムがコ ンピュータにインストールされていること、それらが最新の状態になっているこ と、コンピュータがウイルス検査に合格していることなどを確実にする必要があ ります。企業がネットワーク コンピュータに対して定義する遵守基準は、"正常 性ポリシー" と呼ばれています。 ネットワーク アクセス保護 (NAP) は、Microsoft Windows Vista™ および Windows Server 2008 の各オペレーティング システムに組み込まれている、正常性ポリシー を強制するプラットフォームです。このプラットフォームを使用すると、システ ムに関して定義済みの正常性要件への準拠を強制することにより、プライベート ネットワーク資産の保護を強化できます。 NAP では、ネットワーク アクセスを許可する前にコンピュータの正常性を検証す るために使用される、正常性の要件に関するカスタマイズしたポリシーを作成し、 強制できます。 NAP を使用すると、ネットワーク アクセスを許可する前に、ネットワークにアク セスしようとするコンピュータの "正常性" がチェックされます。 ポリシーに準拠していないコンピュータや "正常でない" コンピュータは、準拠し た状態に移行するまで、アクセスが拒否されるか、制限付きネットワークにしか アクセスできません。 さらに、非準拠のコンピュータを、必要な修正プログラムまたは更新プログラム を入手できる "修復サーバー" にアクセスさせることで、準拠状態に移行する手段 を提供することができます。準拠したコンピュータでは、正常性ポリシーへの準 拠を確実に継続するための自動更新も可能です。 2 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク レッスン 2 : NAP の主な機能 正常性ポリシーの検証 ユーザーがネットワークに接続しようとすると、コンピュータの正常性がチェック され、管理者が定義した正常性ポリシーに準拠しているかどうかが検証されます。 準拠しているコンピュータは "正常"、準拠していないコンピュータは "正常でない" と見なされます。NAP では、準拠していないと判断されたコンピュータに対して 実行するアクションを管理者が定義できます。 ネットワーク アクセスの制限 正常性ポリシーによる検証の後は、NAP を使用して、組織の正常性ポリシーに準 拠していないコンピュータのネットワーク アクセスを拒否または制限します。 たとえば、監視のみの環境では、承認されたすべてのコンピュータに対して、その 一部が正常性ポリシーに準拠していない場合でも、ネットワークへのアクセスを 許可できます。ただし、各コンピュータの準拠状況は記録できます。 制限付きアクセスの環境では、正常性ポリシーに準拠しているコンピュータに対 しては、ネットワークへの無制限アクセスを許可できます。一方、正常性ポリシー に準拠していないコンピュータや NAP に対応していないコンピュータに対しては、 アクセスを拒否するか、制限付きネットワークにしかアクセスできないようにす ることができます。 いずれの場合でも、NAP 対応コンピュータは修復サーバーにアクセスし、ポリシー に準拠するために必要な修正プログラムや更新プログラムを読み込むことができ ます。また、管理者は検証プロセスの例外を定義できます。 正常性ポリシーへの準拠 NAP を使用すると、Microsoft Systems Management Server などのネットワーク管理 ソフトウェアと連携することにより、非準拠コンピュータのソフトウェア更新を 有効にするオプションを提供できるので、ネットワーク管理者が準拠を徹底するた めに役立ちます。 NAP では、継続的な遵守の監視および強制も可能です。たとえば、正常性ポリシー の要件やコンピュータの正常性の状態が変更された場合、NAP は適切なネットワー ク制限を動的に設定できます。 Microsoft Corporation 3 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 修復 非準拠と判断されたコンピュータに対しては、企業内ネットワークへのアクセスを 拒否し、制限付きネットワークに割り当てることができます。また、このようなコ ンピュータを "修復サーバー" にアクセスさせて、そこからポリシーに準拠するた めに必要な修正プログラムや更新プログラムを入手するようにできます。コン ピュータが正常な状態になると、ネットワーク制限が解除され、ネットワークへ のフル アクセスが可能になります。 NAP 強制 NAP に前の機能を実装するには、まず、クライアント コンピュータからのネッ トワーク アクセスまたは通信の試みを検出する手段が必要です。 NAP がネットワーク アクセスの試行を監視および検出するメカニズムは、NAP 強 制タイプと呼ばれます。 Windows Server 2008 で使用できる NAP 強制タイプには、次の 5 種類があります。 いずれもよく知られた標準プロトコルまたはネットワーク アクセスのメカニズムに 基づいています。 ■ DHCP ■ IPSec ■ VPN ■ 802.1x ■ ターミナル サーバー ゲートウェイ Windows Server 2008 の NAP は、これらの強制タイプごとに強制サーバーを提供 します。強制サーバーにより、NAP クライアントから各強制タイプのサーバー側 NAP インフラストラクチャへの通信が可能になります。 次の表に、5 つの NAP 強制タイプと、クライアントが正常な場合と正常でない場 合に各強制タイプに対して実行されるアクションを示します。 4 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク 表 1 : NAP 強制タイプとオプション 正常でない (非準拠) クライア ント 強制 正常な (準拠) クライアント DHCP 完全な IP アドレスが提供され 制限付きルート セット た場合はフル アクセス VPN (Microsoft およびサード フル アクセス パーティ) 制限付き VLAN 802.1x フル アクセス 制限付き VLAN IPSec 信 頼 で き る ピ ア と の 通 信 が 正常なピアは正常でないシス 可能 テムからの接続要求を拒否 TS ゲートウェイ ■ レイヤ 2 の保護の補強 ■ 既存のサーバーおよびインフラストラクチャで動作 ■ 柔軟な分離 クライアント接続は許可 クライアント接続を ブロック NAP では実行されない事項 ネットワーク アクセス保護は、悪意のあるユーザーからネットワークを保護す るようには設計されていません。管理者がネットワーク上のコンピュータの正常 性を管理し、それによってネットワーク全体の整合性を維持できるように設計さ れています。 たとえば、ネットワーク正常性ポリシーが要求するすべてのソフトウェアおよび 構成を持つコンピュータはポリシーに準拠していると見なされ、ネットワークへ の適切なアクセスが許可されます。 ネットワーク アクセス保護では、ポリシーに準拠したコンピュータを使用してい る認証されたユーザーが、悪意のあるプログラムをネットワークにアップロード したり、その他の不適切な行為を行ったりすることを防ぐことはできません。 Microsoft Corporation 5 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP の拡張性およびカスタマイズ ネットワーク アクセス保護は、拡張可能なプラットフォームです。コンピュータの 正常性を検証および修正するコンポーネントや、既存のポリシーのシステムを強制 するコンポーネントを追加するためのインフラストラクチャおよび API セットを提 供します。ネットワーク アクセス保護自体は、コンピュータの正常性を検証および 修正するコンポーネントを提供しません。システム正常性エージェント (SHA) およ びシステム正常性検証ツール (SHV) と呼ばれる別のコンポーネントにより、正常性 ポリシーの検証および正常性ポリシーへの準拠が実施されます。Windows Vista およ び Windows Server "Longhorn" には、Windows セキュリティ センターによって監 視された正常性属性に対して正常性ポリシーの検証および正常性ポリシーへの準 拠を行うための、SHA および SHV が含まれています。 管理者は、自らが開発および展開したシステムをカスタマイズできます。ネット ワークにアクセスするコンピュータに対して正常性ポリシーへの準拠を監視する、 正常性ポリシー要件を満たすためにソフトウェア更新プログラムを使用してコン ピュータを自動的に更新する、正常性ポリシーの要件を満たしていないコンピュー タのアクセスを制限付きネットワークに限定するなど、さまざまな目的に合わせ たカスタマイズが可能です。 注 ネットワーク アクセス保護プラットフォームは、ネットワーク アクセス検疫制 御とは異なります。ネットワーク アクセス検疫制御は Windows Server 2003 に付属する 機能であり、リモート アクセス接続 (ダイヤルアップおよび仮想プライベート ネット ワーク (VPN)) に対する保護を強化するものです。 6 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク 第 2 部 : NAP コンポーネント レッスン 1 : NAP クライアント側コンポーネント このレッスンでは、NAP インフラストラクチャの導入に必要なサーバー側とク ライアント側の各コンポーネントについて、高レベルな説明を行います。 用語 : NAP 機能ロールとソフトウェア コンポーネント NAP インフラストラクチャの構成要素を説明する前に、このレッスンで使用され る用語を確認します。 ■ NAP 機能の説明で使用する場合、"機能ロール" とは、NAP ソリューションの一 部として提供される必要がある汎用的な機能またはサービスのことです。こ の機能またはサービスを提供する特定のソフトウェア コンポーネントのこと ではありません。 ■ "機能ロール" の説明の後に、機能ロールの実装に必要な Windows 2008 の特定 のコンポーネントについて説明します。 ■ NAP アーキテクチャ内では、一部の機能が Windows Server 2008 のコンポー ネント、またはオプションでサード パーティ製品によって実装されることが あります。 ■ したがって、"Windows Server 2008 の NAP 展開" は、Windows Server 2008 で 提供される NAP コンポーネントのみを使用する "追加設定が不要な" 展開を示 します。 ■ さまざまな機能ロールについて説明する際には、サード パーティの製品やソ フトウェア コンポーネントによってオプションで実装可能なロールについて も説明します。 このレッスンでは、必要な機能ロールの観点から、まず NAP インフラストラクチャ の必要なコンポーネントについて説明します。 機能ロールの説明の後に、必要な機能ロールがどのように Windows Server 2008 の NAP に実装されるかについて説明します。また、サード パーティ ソリューショ ンによって実装可能な機能ロールについても説明します。 Microsoft Corporation 7 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP クライアント側コンポーネント クライアント コンピュータに存在する複数の個別コンポーネントを使用して実装 される、必須の NAP クライアント側機能が 3 つあります。 それらの機能は次のとおりです。 ■ NAP エージェント ■ システム正常性エージェント ■ 強制クライアント NAP エージェント NAP エージェントは、クライアントがネットワークへのアクセスを試行するときに、 NAP 強制サーバーと通信するためのクライアント側コンポーネントです。 NAP エージェントは、クライアントの "正常性ステートメント (SoH)" を NAP イン フラストラクチャのサーバー側に報告します。ここでは、クライアントが正常性 ポリシーを遵守しているかどうかをさまざまな NAP サーバー側コンポーネントが 判別します。NAP サーバー側コンポーネントについては、このレッスンで後述し ます。 Windows では、NAP エージェントは、Windows クライアント サービスであるネッ トワーク アクセス保護エージェント (短縮名は "NapAgent") サービスとして実装 されます。 Windows Vista および Windows Server 2008 では、NapAgent サービスは既定でイン ストールされます。 NAP エージェントが NAP サーバー側コンポーネントに渡すクライアントの SoH に は、実際は、クライアントで実行されている複数の NAP 対応アプリケーションま たはサービスが結合された SoH が反映されます。 NAP エージェントがこれらの各 NAP 対応アプリケーションの SoH の更新を受信 するときは、別のクライアント側コンポーネントを使用します。このコンポーネ ントは、システム正常性エージェント (SHA) と呼ばれています。 8 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク システム正常性エージェント (SHA) クライアントで実行される NAP 対応の各アプリケーションまたはサービスは、 システム正常性エージェント (SHA) と呼ばれるコンポーネントを使用して、個々 の SoH を報告します。 システム正常性エージェント (SHA) は、クライアント コンピュータで実行されて いる 1 つ以上のアプリケーション、サービス、またはその他のソフトウェア コン ポーネントの正常性ステートメントを監視および報告するための NAP クライアン ト側コンポーネントです。 したがって、クライアント コンピュータによっては、複数の SHA が複数の NAP 対応アプリケーションを監視する場合もあります。 クライアントで実行されるすべての SHA は、それぞれのアプリケーションの SoH を NAP エージェントに報告します。NAP エージェントは、結合されたクライアント の SoH を NAP インフラストラクチャのサーバー側に渡します。 Windows Vista には、独自のシステム正常性エージェントである Windows SHA が 含まれています。 Windows Vista クライアントでは、Windows セキュリティ センターは NAP 対応ア プリケーションであり、次に挙げるセキュリティ センター コンポーネント アプ リケーションの SoH を、Windows SHA を使用して報告します。 ■ Windows ファイアウォール ■ ウイルス対策 ■ スパイウェア対策 ■ 自動更新 ■ セキュリティ更新プログラムによる保護 これらのセキュリティ センター コンポーネントは、自身の SoH が変更されると 更新プログラムを発行します。この更新プログラムは、Windows SHA および NAP エージェントへの通知をトリガします。 Windows SHA 以外に、別の Microsoft 製品 (SMS) および一部のサード パーティ ア プリケーション (ウイルス対策プログラムなど) 向けの SHA もあります。ただし、 Windows Vista に含まれている SHA は Windows SHA だけです。 Microsoft Corporation 9 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 強制クライアント (EC) クライアントの SoH は SHA によって NAP エージェントに報告されますが、NAP ク ライアントから NAP アーキテクチャのサーバー側への実際の通信は、指定の NAP 強制タイプに基づいて行われます。この通信は、強制クライアントによりクライ アント側から開始され、一致する強制サーバーによりサーバー側で処理されます。 5 つの各 NAP 強制タイプには、一致する強制クライアントが 1 つずつあります。 それらは次のとおりです。 ■ DHCP 検疫強制クライアント ■ リモート アクセス検疫強制クライアント (VPN 用) ■ IPSec 証明書利用者 (IPSec 用) ■ TS ゲートウェイ検疫強制クライアント ■ EAP 検疫強制クライアント (802.1x 用) NAP クライアントは、1 つ以上の特定の強制クライアントを使用して構成する必要 があります。 強制クライアントの構成には、グループ ポリシーを介して NAP クライアント構成 MMC スナップインを使用するか、またはローカル コンピュータで netsh を使用す ることができます。NAP クライアント構成スナップインは napclcfg.msc を使用して 起動します。 このように、クライアント コンピュータで複数の強制クライアントを使用するこ ともできます。強制クライアントは強制サーバーとの通信を確立し、この接続を 使用して NAP エージェントはクライアントの SoH を接続された強制サーバーに 渡します。 注 DHCP 強制タイプの場合を除き、強制クライアントは強制サーバーとの安全な通信を確立 します。 10 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク レッスン 2 : NAP サーバー側コンポーネント サーバー側の機能ロール NAP サーバー側インフラストラクチャには、次に示す汎用の機能ロールが必要です。 ここでは、各機能の詳細と、各機能がどのように Windows Server 2008 に実装さ れるかについて説明します。また、サード パーティ ソリューションとしても実装 可能な機能かどうかを示します。 ■ 強制サーバー □ ■ 正常性登録機関 NAP ポリシー サーバー □ システム正常性検証ツール □ 管理サーバー ■ アカウント データベース ■ 修復サーバー 強制サーバー 強制サーバーにより、NAP クライアントから特定の各強制タイプのサーバー側 NAP インフラストラクチャへの通信が可能になります。 強制サーバーはクライアントの正常性ステートメントを受信し、保存された正常 性ポリシーに対する検証のために NAP ポリシー サーバーに渡します。 クライアントの正常性ステートメントが判別されると、強制サーバーはクライア ントのネットワーク アクセスを許可するか、または必要なネットワーク制限を強 制します。 Windows Server 2008 では、各強制タイプの強制サーバーは、異なる Windows Server コンポーネントによって実装されます。 各強制サーバーの詳細と、各強制サーバーがどのように Windows Server 2008 に 実装されるかについては、このレッスンで後述します。 Microsoft Corporation 11 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP ポリシー サーバー NAP ポリシー サーバーには、無制限アクセスに必要な条件を指定するポリシーが 格納されます。一般に、企業のネットワークは複数の正常性ポリシーを保持します。 たとえば、VPN 強制と DHCP 強制では、通常は異なる正常性ポリシーが使用され ます。 Windows Server 2008 の NAP では、ネットワーク ポリシー サーバー (NPS) の役割 サービスが、NAP 正常性ポリシー サーバーとして機能します。 NAP ポリシーの格納に加えて、Windows Server 2008 の NAP では、以下の 2 つの 必須のサーバー側機能が NPS により実行されます。 システム正常性検証ツール システム正常性検証ツール (SHV) は、クライアント側のシステム正常性エージェ ント (SHA) から送信された正常性ステートメント (SoH) が正常性ポリシーの要件 に準拠しているかどうかを判別する、サーバー ソフトウェア コンポーネントです。 正常性ステートメントの評価対象となるアプリケーションまたはコンポーネント には、固有の SHV が必要です。 したがって、アプリケーションまたはシステム コンポーネントの準拠状況を NAP により検証するには、クライアント側の SHA とサーバー側の SHV のペアが必要 です。 Windows Vista および Windows Server 2008 には、Windows SHA および Windows SHV が用意されています。これらは、Windows セキュリティ センター コンポー ネントの正常性ステートメントの報告および検証を行います。 Windows システム正常性検証ツールは NPS に組み込まれています。Windows Server 2008 の NAP 実装では、すべての NAP 強制タイプの正常性検証サービスが Windows SHV により提供されます。 注 : SHA および SHV のコンポーネントは、サード パーティ ソフトウェアの開発者 から提供されることもあります。たとえば、サード パーティの NAP 対応ファイ アウォール製品のベンダがその製品を NAP 検証に参加させるために、独自の SHA および SHV コンポーネントを提供する場合などです。 12 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク 管理サーバー NAP 管理サーバーは Windows Server 2008 NPS サーバーの機能の 1 つであり、サー バー上に存在するすべてのシステム正常性検証ツール (SHV) からの出力を調整し、 正常性ポリシー要件への準拠に基づいてクライアントのアクセスを制限するかど うかを NAP 強制サーバーに通知します。 アカウント データベース NAP インフラストラクチャは、コンピュータおよびユーザー アカウントの認証が 必要な強制タイプのセキュリティ アカウント データベースにアクセスできる必 要があります。アカウント データベースには、認証されたネットワーク アクセ スのユーザー アカウントとコンピュータ アカウント、およびそれらのネットワー ク アクセス プロパティが格納されます。Windows Server 2008 の NAP では、 Windows Server Active Directory がアカウント データベースとして機能します。 修復サーバー 修復サーバーは、非準拠コンピュータが準拠状態への移行に必要な操作を実行す るためにアクセスするサーバー、サービス、またはその他のリソースで構成され ます。修復サーバーには、コンピュータの正常性要件への準拠に必要な最新のソ フトウェア修正プログラムまたはセキュリティ更新プログラムを格納することが できます (たとえば、ウイルス対策署名ファイル サーバー、ソフトウェア更新サー バーなど)。 通常、非準拠コンピュータには修復サーバーの一覧が表示され、(クライアント側 の) システム正常性エージェント (SHA) が直接修復サーバーとの通信を処理します。 Microsoft Corporation 13 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 レッスン 3 : Windows Server 2008 の NAP コンポーネ ント このレッスンでは、次のことを行います。 ■ これまでのレッスンで説明した必須の NAP 機能ロールの復習 ■ 各機能を実装する特定の Windows コンポーネントの確認 ■ Windows Server 2008 の NAP 実装に必要な Windows Server 2008 のサーバー の役割および役割サービスの説明 必要な Windows Server 2008 の役割および役割サービス NAP ポリシー サーバーの役割および役割サービス Windows Server 2008 では、すべての NAP 強制タイプの NAP 機能に次のサーバー の役割および役割サービスが必要です。 ■ ネットワーク ポリシーとアクセス サービス (NPAS) サーバーの役割 □ NPAS のネットワーク ポリシー サーバー (NPS) 役割サービス 強制サーバーの役割および役割サービス 前に示した必須の役割および役割サービス以外にも、実装されている各 NAP 強制 タイプに応じた強制サーバーのインストールが必要です。 強制サーバーを実装する Windows Server 2008 の役割および役割サービスは、強制 タイプごとに異なります。 表 2 : 強制サーバーの役割および役割サービス NAP 強制タイプ NAP 強制サーバーの役割および役割サービス DHCP Windows Server 2008 の DHCP サーバーの役割 IPSec (NPAS サーバーの役割の) 正常性登録機関 (HRA : Health Registration Authority) の役割サー ビス VPN (NPAS サーバーの役割の) RRAS の役割サービス 14 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク NAP 強制タイプ NAP 強制サーバーの役割および役割サービス 802.1x 802.1x VLAN スイッチまたは 8021.x ワイヤレス アクセス ポイント ターミナル サーバー ゲートウェイ ターミナル サーバーの役割、およびターミ ナル サーバーとターミナル サーバー ゲート ウェイの役割サービス RADIUS サーバーとしての NPS Windows Server 2008 では、リモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーおよびプロキシとして、Windows Server 2003 のインターネット認証サー ビス (IAS) に代わり、NPS が Windows に実装されています。 各強制サーバーは NPS に対して RADIUS クライアントとして動作し、各強制タイプ に必要な追加の NAP インフラストラクチャを提供します。 NPS は、ネットワーク接続の試行に必要なすべての認証および承認を実行し、 クライアントが準拠コンピュータであるかどうかをシステム正常性ポリシーに 基づいて判別します。 NPS は、クライアントの状態 (準拠または非準拠) を強制サーバーに通知します。 次に、強制サーバーは強制クライアントに通知し、クライアントのネットワーク アクセスを許可するか、またはクライアントが非準拠である場合はクライアント コ ンピュータのネットワーク アクセスまたは通信に対して適切な制限を設定します。 Microsoft Corporation 15 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 正常なクライアントと正常でないクライアントに対する NAP 強制 次の表では、正常な (準拠) クライアントと正常でない (非準拠) クライアントに 対する各 NAP 強制タイプの強制オプションを概説します。 表 3 : NAP 強制オプション 正常でない (非準拠) クライア ント 強制 正常な (準拠) クライアント DHCP 完全な IP アドレスが提供され 制限付きルート セット た場合はフル アクセス VPN (Microsoft およびサード フル アクセス パーティ) 制限付き VLAN 802.1x フル アクセス 制限付き VLAN IPSec 信 頼 で き る ピ ア と の 通 信 が 正常なピアは正常でないシス 可能 テムからの接続要求を拒否 TS ゲートウェイ ■ レイヤ 2 の保護の補強 ■ 既存のサーバーおよびインフラストラクチャで動作 ■ 柔軟な分離 フル アクセス 接続不可 NAP 強制タイプ : 実装 DHCP 強制 DHCP 強制は、DHCP NAP ES コンポーネントおよび DHCP NAP EC コンポーネント で構成されます。DHCP 強制を使用すると、DHCP サーバーは、ネットワーク上の コンピュータが IP アドレス構成のリースまたは更新を試行した場合に随時正常性 ポリシー要件を強制できます。すべての DHCP クライアント コンピュータは IP アドレスをリースする必要があるので、DHCP 強制は展開が最も簡単な強制です。 DHCP 強制は IP ルーティング テーブルのエントリに依存するので、ネットワーク アクセス保護における制限付きネットワーク アクセスでは最も弱い形式です。 16 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク IPSec 強制 IPsec 強制は正常性登録機関 (HRA) および IPsec NAP 強制クライアント (EC) で構 成されます。HRA は、検疫クライアントが準拠クライアントであると判別される と X.509 証明書を発行します。X.509 証明書は、NAP クライアントがイントラネッ ト上の別の NAP クライアントと IPsec で保護された通信を開始する際の認証に使 用されます。 IPsec 強制はネットワーク上の通信を準拠と判断されたノードに限定します。IPsec 強制では IPsec が使用されるので、準拠クライアントとの安全な通信要件を IP ア ドレスまたは TCP/UDP ポート番号ごとに定義できます。IPsec 強制における通信は、 正常に接続して有効な IP アドレス構成を取得した準拠コンピュータに限定されます。 IPsec 強制は、ネットワーク アクセス保護における制限付きネットワーク アクセ スでは最も強い形式です。 VPN 強制 VPN 強制は、VPN NAP 強制サーバー (ES) コンポーネントおよび VPN NAP EC コン ポーネントで構成されます。VPN 強制を使用すると、VPN サーバーは、コンピュー タがネットワークへの VPN 接続を試行した場合に随時正常性ポリシー要件を強制 できます。VPN 強制は、VPN 接続を使用してネットワークにアクセスするすべて のコンピュータに対して、強力な制限付きネットワーク アクセスを提供します。 802.1X 強制 802.1X 強制は、NPS サーバーおよび EAPHost NAP EC コンポーネントで構成され ます。802.1X 強制を使用すると、NPS サーバーは、802.1X アクセス ポイント (イーサネット スイッチまたはワイヤレス アクセス ポイント) に対して、修復機 能のセットを実行するまで 802.1X クライアントに制限付きアクセス プロファイ ルを配置するよう指示します。制限付きアクセス プロファイルは、IP パケット フィルタまたは仮想 LAN (VLAN : virtual LAN) 識別子のセットで構成することが でき、802.1X クライアントのトラフィックを制限します。802.1X 強制は、 802.1X 接続を使用してネットワークにアクセスするすべてのコンピュータに対 して、強力な制限付きネットワーク アクセスを提供します。 注 NAP の VPN 強制は、Windows Server 2003 の機能の 1 つであるネットワーク アクセス検疫 制御とは異なります。 Microsoft Corporation 17 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 レッスン 4 : NAP で使用される NPS ポリシー これまでのレッスンでは、ネットワーク アクセスを要求するコンピュータに対して 正常性についての要件を定義し強制する場合、および非準拠と識別されたクライ アントに対する制限方法を決定する場合のそれぞれについて、NAP におけるポリ シーの役割を説明しました。 このレッスンでは、NPS 上に作成および格納された特定のポリシー タイプについ てより詳しく説明し、NAP 通信、検証、および強制におけるこれらのポリシーの 役割を明確にします。 ポリシー構成については、このモジュールで後述します。 すべての NAP 構成に関連するポリシーが 3 つあります。 ■ 接続要求ポリシー ■ ネットワーク ポリシー ■ 正常性ポリシー 前の 3 つのポリシー タイプのうち、正常性ポリシーのみが NAP 固有のポリシー です。 接続ポリシーとネットワーク ポリシーは標準の RRAS ポリシー タイプであり、 Windows Server 2003 RRAS の場合と同様に機能します。ただし、Windows Server 2008 では、これらのポリシーは NPS で一元的に保存および管理され、また、 NAP 展開の一部として使用する際に構成可能な NAP 固有の設定が追加されました。 さらに、これらの 3 つのポリシー タイプはすべて NAP の機能と動作の定義に使用 されます。単独で "NAP ポリシー" となるポリシーはありません。3 つのポリシー タイプごとに設定を構成する際は、NAP を有効にするために、あらゆる NAP 強制 シナリオに対応できるようにし、NAP 強制タイプに応じて 3 つのポリシー タイプ がさまざまな方法で連動できるようにする必要があります。 重要 ネットワーク ポリシー、正常性ポリシー、接続要求ポリシーなどの NPS ポリシーは、 グループ ポリシーとは異なるものであり、グループ ポリシーとの関連もありません。 18 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク NPS のポリシー タイプ ネットワーク ポリシー サーバー (NPS) には、次の 3 つのポリシー タイプがあり ます。 接続要求ポリシー : 接続要求ポリシーは、NPS サーバーが RADIUS クライアントか ら受け取る接続要求の認証および承認を実行する RADIUS サーバーをネットワーク 管理者が指定することを可能にする、条件と設定のセットです。また、接続要求 ポリシーは、RADIUS アカウントに使用する RADIUS サーバーを決定するように 構成できます。 ネットワーク ポリシー : ネットワーク ポリシーは、ネットワークに接続できる認 証ユーザーと、ユーザーが接続を許可または拒否される条件を指定できるように する、条件、制限、および設定のセットです。NAP 展開の際、正常性ポリシーは ネットワーク ポリシー構成の属性により識別されます。正常性ポリシーは、承認 処理中に、クライアントの正常性チェックを実行するよう NPS に指示します。 正常性ポリシー : 正常性ポリシーは NAP でのみ使用されます。正常性ポリシーは、 ネットワーク接続を試みる NAP 対応クライアント コンピュータに対して特定の正 常性チェックを実行する 1 つ以上のシステム正常性検証ツール (SHV) を指定します。 ポリシー設定と SHV 構成 指定されたコンピュータのチェックに使用される特定の正常性についての要件は、 実際にはこれらのポリシーでは指定されず、正常性ポリシーでも指定されません。 代わりに、SHV の構成プロパティで指定されます。 前述のとおり、システム正常性検証ツール (SHV) は、クライアントのアクセス要 求と共に送信されたクライアントの正常性ステートメント (SoH) を評価するサー バー側コンポーネントです。 NPS サーバーには、1 つ以上の SHV がインストールおよび実行されます。 各 SHV は、クライアント側の対応するシステム正常性エージェント (SHA) によって、 SoH に配置されたデータを評価します。 SHA と SHV のペアにより、特定のコンピュータに対する特定の "正常性条件" が認識 されます。 アクセス要求中に実行される特定の "正常性チェック" は、ポリシー ファイルでは なく、NPS サーバーの SHV プロパティを介して公開および構成されます。 Microsoft Corporation 19 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP 対応アプリケーション SHA により報告され SHV により評価される正常性条件は、コンピュータに固有の ものではなく、コンピュータで実行される NAP 対応アプリケーションまたはサー ビスに固有のものです。 つまり、Windows NAP API を使用するよう記述されたアプリケーションまたは サービスのみが、正常性を報告できます。NAP 対応アプリケーションまたはサー ビスのみが、それらのアプリケーションやサービスと連携するよう記述された特 定のクライアント側 SHA に自身の正常性を報告できます。 サーバー側でも、各 SHV はクライアント側のアプリケーションまたはサービスに 固有です。各 SHV は、厳密にそのアプリケーションまたはサービスのクライアン ト側 SHA と連携し、SoH のデータを受信および評価するよう記述されています。 NAP API により、Microsoft およびサード パーティのソフトウェア開発者によるさ まざまな NAP 対応アプリケーションおよびサービスの作成が可能になります。 Windows Vista および Windows Server 2008 には、Windows SHA および Windows SHV が含まれています。これらは、Windows セキュリティ センター コンポーネント の SoH の報告および評価を行います。Windows セキュリティ センターは、NAP 対 応アプリケーションの一例です。 NAP 対応アプリケーションを作成するサード パーティの開発者は、アプリケーショ ンの NAP 機能が Windows Vista または Windows Server 2008 でサポートされるよう にするために SHA/SHV ペアを用意します。 20 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク レッスン ン 5 : NA AP にお おける各 各ポリシー タ タイプの役割 割 これまでの のレッスン ンでは、NAP P 展開で使 使用される 3 つの NP PS ポリシー ーについて て 概説し、SHV が実行 行するタスク クに対するポリシーの の役割を明 明確にしまし した。 このレッス スンでは、各 各ポリシー ー タイプに についてより り詳しく説 説明し、NAP P 構成にお お ける各ポリ リシーの具 具体的な役割 割を確認し します。また た、3 つのす すべてのポ ポリシー タ タ イプが NA AP の実装で でどのように連携する るかを示します。 各ポリシー ー タイプで で使用可能な な設定およ よびオプショ ョンは、NA AP 強制タイ イプによっ っ て異なりま ます。 NA AP 構成 成におけ ける NPSS ポリシ シー タイ イプの役 役割 図 1 :: NAP 構成で使用される N NPS ポリシー ー osoft Corporattion Micro 21 © 2007 Microsoft Corrporation. All rights reserve ed. Windows Server 2008 の概要 第 3 部 : NAP 実装に関する考慮事項 レッスン 1 : NAP 機能の概要 ネットワーク アクセス保護の動作 次の図と手順は、サンプル ネットワークにおいてネットワーク アクセス保護がど のように動作するかを表しています。 図 2 : NAP 展開の例 このサンプル ネットワークは、IPsec 強制、802.1X 強制、VPN 強制、および DHCP 強制に対応するよう構成されています。 NPS は個別のサーバーにインストールされています。NPS サーバーは、正常性ポ リシー サーバーとして動作します。 このサンプル ネットワークは、正常性ポリシー検証、正常性ポリシー準拠、およ び非準拠コンピュータのネットワーク アクセス制限に対応するよう構成されて います。 22 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク 各コンピュータが正常性証明書の取得、ネットワークへの 802.1X 接続または VPN 接続、または DHCP サーバーからの IP アドレスのリースまたは更新を実行しよう とすると、各コンピュータは次のいずれかの方法で分類されます。 ■ 正常性ポリシー要件を満たしているコンピュータは、準拠として分類され、 ネットワークへの無制限アクセスが許可されます。 ■ 正常性ポリシー要件を満たしていないコンピュータは、非準拠として分類され、 要件を満たすまでは制限付きネットワークにしかアクセスできません。 □ ■ 非準拠コンピュータとは、ウイルスに感染していたり、ネットワークに 対してその他の脅威を与えたりするコンピュータを指すわけではありま せん。非準拠コンピュータとは、ネットワーク正常性ポリシーが要求す るソフトウェアおよび構成を持っていないコンピュータのことです。した がって、非準拠コンピュータは、ネットワークのその他の部分に対して 正常性のリスクをもたらします。SHA は、制限付きアクセス権を持つコン ピュータを自動的に更新し、無制限アクセスに必要なソフトウェアを提 供します。 このサンプル ネットワークには、制限付きネットワークが含まれています。 □ 制限付きネットワークは論理的または物理的に定義できます。たとえば、 IP フィルタ、静的ルート、VLAN 識別子などのメカニズムを使用して定義 できます。 □ 非準拠コンピュータは、ネットワーク リソースへのアクセスが制限され る制限付きネットワークに配置できます。 □ 修復サーバーは、制限付きネットワークに配置された非準拠コンピュー タからアクセス可能にし、非準拠コンピュータが準拠状態に移行するた めに必要な更新プログラムを入手できるようにします。 Microsoft Corporation 23 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 前提条件と制限 以下は、ネットワーク アクセス保護に関する前提条件と制限の一部です。 ■ ネットワークに対してネットワーク アクセス保護を構成する管理者は、 Windows コンポーネント、および IPsec、802.1X 認証、VPN、DHCP、NPS、 Active Directory、証明書サービス、グループ ポリシーなどのテクノロジを理解 している必要があります。 ■ 非準拠コンピュータは、必ずしもアクセスが制限されるわけではありません。 管理者は、実行するアクションのレベルを選択できます。 ■ 悪意のあるユーザーがネットワーク正常性要件を満たすコンピュータを使用 した場合、ネットワーク アクセス保護では防御できません。 ■ 802.1X 認証、VPN 接続、DHCP 構成など、ネットワーク アクセス保護をサ ポートする強制メカニズムを介してコンピュータがネットワークに接続した 場合に限り、制限付きネットワークへのアクセスの制限が機能します。 ■ DHCP サーバー、DNS サーバー、および修復サーバーは、コンピュータが無制 限のアクセス権を保持しているかどうかにかかわらず、すべてのコンピュー タからアクセス可能である必要があります。Active Directory ドメイン コント ローラは、制限付きアクセス権を持つコンピュータからアクセスできる場合 とできない場合があります。 ■ 制限付きネットワークに配置された DNS サーバーをプライマリ DNS サーバー にする必要はありません。このようなサーバーは、セカンダリ サーバーにす ること、または制限付きネットワークの外部にある DNS サーバーにクエリを 転送できる単純なフォワーダにすることもできます。 ■ SHA と SHV は、対応するポリシー サーバーおよび修復サーバーに対応させる ことができます。たとえば、ウイルス対策 SHA、ウイルス対策 SHV、ウイル ス対策ポリシー サーバー、およびウイルス対策修復サーバーは、特定のウイ ルス対策ソフトウェア ベンダに対応させます。 ■ ネットワーク アクセス保護は、セキュリティ ソリューションではありません。 ネットワーク アクセス保護の目的は、安全でない構成を持つコンピュータが ネットワークに接続するのを防ぐことであり、有効な資格情報と現行の正常 性要件を満たすコンピュータを所持している悪意のあるユーザーからネット ワークを保護することではありません。 24 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク レッスン 2 : NAP のインストールと構成に関する 考慮事項 NAP のコンポーネントをインストールするための必要条件 NAP 環境を計画する場合には、サポートされているオペレーティング システムの 理解、およびそのオペレーティング システムにインストールできるコンポーネン トの理解が重要です。次の表に、NAP のコンポーネントとそれらをインストール できる対象を示します。 表 4 : NAP コンポーネント NAP コンポーネ Windows Server 2008 ント Windows 2003 Server Vista XP NAP クライアント 可 (ビルトイン) (エージェント) 不可 可 (ビルトイン) 可 (SP3 では同梱) NPS 可 不可 不可 不可 TSG 可 不可 不可 不可 DHCP (IPv6 および 可 NAP を使用) 不可 不可 不可 HRA (IPSec および 可 NAP を使用) 不可 不可 不可 NAP 修復サー バー WSUS 可 可 不可 不可 SMSv4 サ ーバ ー 可 (NAP を使用) 可 不可 不可 企 業 用 ウ イ ル ス 可 対策サーバー 可 不可 不可 Microsoft Corporation 25 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 第 4 部 : NAP DHCP 強制タイプ 学習内容 このレッスンを完了すると、次のことができるようになります。 ■ DHCP 強制の目的の理解 ■ DHCP 強制のプロセスの理解 ■ DHCP 強制タイプの制限の理解 26 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク レッスン 1 : DHCP 強制のプロセス 図 3 : DHCP 強制 図 1 のネットワークと同じ構成のネットワークおいて、単一の SHA のみ持つ DHCP クライアントが IP アドレスをリースまたは更新する必要がある場合に DHCP 強制 がどのように動作するかを次のプロセスで説明します。 1. DHCP クライアントが DHCP 要求メッセージを DHCP サーバーに送信します。 a. 2. DHCP クライアントが SoH を所持している場合、DHCP 要求メッセージ にはそれが含まれます。SoH には、クライアントの正常性に関する情 報が含まれます。DHCP サーバーは SoH を NPS サーバーに渡します。 NPS サーバーはポリシー サーバーと通信して SoH が有効かどうか確認 します。 SoH が有効な場合、DHCP サーバーは DHCP クライアントに完全な IP アドレ ス構成を割り当てます。ポリシーの定義に従って、DHCP クライアントには ネットワークへの無制限のアクセス権が与えられます。 Microsoft Corporation 27 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 3. SoH が有効でない場合、DHCP サーバーは、ポリシーの定義に従い、DHCP ク ライアントが制限付きネットワークにしかアクセスできないようにし、制限 付きアクセスのサブネット マスクと静的ルートをその DHCP クライアント に割り当てます。 a. SoH を所持していない DHCP クライアントは、準拠クライアントではあ りません。DHCP サーバーは、ネットワーク管理者による定義に従い、 DHCP クライアントからのアクセスを制限付きネットワークに限定し ます。 4. DHCP クライアント上の NAP エージェントが更新要求を修復サーバーに送信 します。 5. 修復サーバーは、DHCP クライアントが正常性ポリシーに準拠できるように、 DHCP クライアントに必要な更新を提供します。DHCP クライアントの SoH が 更新されます。 6. DHCP クライアントは、更新された SoH を含む DHCP 要求メッセージを DHCP サーバーに送信します。NPS サーバーが更新された SoH が有効なことを確認 すると、DHCP サーバーは、ポリシーの定義に従い、ネットワークへの無制 限アクセスを DHCP クライアントに許可します。 28 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク 第 5 部 : アーキテクチャ ここでは、NAP アーキテクチャ、および NAP クライアント コンポーネントと NAP サーバー コンポーネントの連携について詳しく説明します。 学習内容 このレッスンを完了すると、次のことができるようになります。 ■ NAP アーキテクチャの必須コンポーネントの説明 ■ クライアント側 NAP コンポーネントとサーバー側 NAP コンポーネントの連携 についての説明 Microsoft Corporation 29 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 レッスン 1 : NAP サーバー側のアーキテクチャ 図 4 は、NAP 強制ポイントと NAP 正常性ポリシー サーバーで構成される NAP サー バー側アーキテクチャを表しています。NAP プラットフォームのサーバー側アー キテクチャには、新しいコンポーネントおよび既存のコンポーネントの更新され たバージョンが含まれます。 図 4 : サーバー側の NAP プラットフォーム アーキテクチャ Windows ベースの NAP 強制ポイントには、NAP 強制サーバー (ES) コンポーネン トのレイヤがあります。各 NAP ES は、異なる種類のネットワーク アクセスまた は通信に対応するように定義されます。たとえば、リモート アクセス VPN 接続 用の NAP、DHCP 構成用の NAP ES があります。NAP ES は、特定の種類の NAP 対応クライアントに対応します。たとえば、DHCP NAP ES は DHCP ベースの NAP クライアントと連携するように設計されています。サード パーティのソフトウェ ア ベンダまたは Microsoft は、NAP プラットフォーム用の追加の NAP ES を提供 できます。 NAP ES は、対応する NAP EC から SSoH を取得し、それを RADIUS アクセス メッ セージの RADIUS ベンダ固有の属性 (VSA) として正常性ポリシー サーバーに送信 します。 30 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク NAP 正常性ポリシー サーバーには、次のコンポーネントがあります。 NPS サービス : RADIUS アクセス要求メッセージを受け取り、SSoH を抽出し、それ を NAP 管理サーバー コンポーネントに渡します。NPS サービスは Windows Server "Longhorn" で提供されます。 NAP 管理サーバー : NPS サービスと SHV が通信できるようにします。NAP 管理サー バー コンポーネントは NAP プラットフォームで提供されます。 システム正常性検証ツール (SHV) コンポーネントのレイヤ : 各 SHV は、1 種類以 上のシステム正常性要素用に定義され、SHA に対応できます。たとえば、ウイルス 対策プログラム用の SHV があります。SHV は、1 つ以上の正常性要件サーバーに 対応できます。たとえば、ウイルス対策シグネチャをチェックするための SHV は、 最新のシグネチャ ファイルを含むサーバーに対応します。SHV は対応する正常 性要件サーバーを持つ必要がありません。たとえば、SHV は、ホスト ベースの ファイアウォールが有効になっていることを確認するために、ローカル システム の設定をチェックするよう NAP 対応クライアントに対し指示できます。Windows Server "Longhorn" には、Windows セキュリティ正常性検証ツール (SHV) が含ま れています。追加の SHV が NAP プラットフォームへのアドオンとしてサード パー ティのソフトウェア ベンダまたは Microsoft から提供されます。 SHV API : 一連の関数呼び出しを提供しています。これらの関数により、SHV は NAP 管理サーバー コンポーネントに登録すること、NAP 管理サーバー コンポー ネントから SoH を受け取ること、および NAP 管理サーバー コンポーネントに SoHR を送信することができます。SHV API は NAP プラットフォームで提供されます。 NAP サーバー側インフラストラクチャの最も一般的な構成は、ネットワーク アク セスまたは特定の種類の通信を提供する NAP 強制ポイントと、システム正常性 検証および修復を提供する個別の NAP 正常性ポリシー サーバーという構成です。 NPS サービスは NAP 正常性ポリシー サーバーとして個別の Windows ベースの NAP 強制ポイントにインストールできます。ただし、この構成では、各 NAP 強 制ポイントに対して個別にネットワーク アクセスおよび正常性ポリシーを構成 する必要があります。推奨される構成は、NAP 正常性ポリシー サーバーを使用 する構成です。 Microsoft Corporation 31 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP アーキテクチャ全体は、次の一連のコンポーネントで構成されます。 ■ 3 つの NAP クライアント コンポーネント (SHA レイヤ、NAP エージェント、 および NAP EC レイヤ) ■ 4 つの NAP サーバー側コンポーネント (SHV レイヤ、NAP 管理サーバー、 NPS サービス、および Windows ベースの NAP 強制ポイント上の NAP ES レ イヤ) ■ 正常性要件サーバー ■ 修復サーバー 図 5 は、NAP プラットフォームのコンポーネント間の関係を表しています。 図 5 : NAP プラットフォームのコンポーネント間の関係 32 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク 次の一連のコンポーネントの対応に注意してください。 ■ NAP EC と NAP ES が対応しています。 たとえば、NAP クライアント上の DHCP NAP EC は、DHCP サーバー上の DHCP NAP ES に対応します。 ■ SHA と修復サーバーが対応しています。 たとえば、クライアント上のウイルス対策 SHA は、ウイルス対策シグネチャ 修復サーバーに対応します。 ■ SHV と正常性要件サーバーが対応しています。 たとえば、NAP 正常性ポリシー サーバー上のウイルス対策 SHV は、ウイルス 対策正常性要件サーバーに対応します。 NAP 正常性ポリシー サーバーは、対応する SHA または対応する正常性要件 サーバーのない SHV を持つことができます。たとえば、システムの正常性の 評価時に侵入検出システム (IDS) サーバーを使用してチェックする SHV がこ れに該当します。 サード パーティのソフトウェア ベンダは、次の方法で NAP プラットフォームを 拡張できます。 ■ NAP クライアントの正常性を評価する新しい方法を作成する。 サード パーティのソフトウェア ベンダは、NAP クライアント用の SHA、NAP 正常性ポリシー サーバー用の SHV (必要に応じて正常性要件サーバー用の SHV、 および修復サーバー用の SHV) を作成する必要があります。ウイルス対策シ グネチャ配布サーバーなど、正常性要件サーバーまたは修復サーバーが既に 存在する場合、対応する SHA コンポーネントと対応する SHV コンポーネン トのみ作成する必要があります。場合によっては、正常性要件サーバーまた は修復サーバーは必要ありません。 ■ ネットワーク アクセスまたは通信の正常性要件を強制する新しい方法を作成 する。 サード パーティのソフトウェア ベンダは、NAP クライアントの NAP EC を作成 する必要があります。強制方法で Windows ベースのサービスを使用する場合、 サード パーティのソフトウェア ベンダは、RADIUS プロトコルを使用して、 または RADIUS プロキシとして NAP 強制ポイントにインストールされた NPS サービスを使用して NAP 正常性ポリシー サーバーと通信する、対応する NAP ES を作成する必要があります。 Microsoft Corporation 33 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 サーバー側の NAP プラットフォーム コンポーネント 次のセクションでは、サーバー側の NAP プラットフォーム コンポーネントについ て詳しく説明します。 NAP 強制サーバー NAP ES により特定レベルのネットワーク アクセスまたは通信が可能になります。 NAP ES は、NAP クライアントの正常性状態を評価するためにそれを NAP 正常性 ポリシー サーバーに渡すこと、およびその応答に基づいて制限付きネットワーク アクセスを強制することができます。 Windows Server Longhorn に含まれている NAP ES には、以下のものがあります。 ■ IPsec 保護通信用の IPsec NAP ES IPsec 保護通信では、HRA が NAP クライアントの正常性状態情報を NAP 正常性 ポリシー サーバーに渡します。 ■ DHCP ベースの IP アドレス構成用の DHCP NAP ES DHCP NAP ES は、DHCP サーバー サービスの新しい機能であり、業界標準の DHCP メッセージを使用して NAP クライアント上の DHCP NAP EC と通信します。 制限付きネットワーク アクセスを DHCP で強制するには、DHCP オプション を使用して行います。 ■ TS ゲートウェイ サーバー ベースの接続用の TS ゲートウェイ NAP ES リモート アクセス VPN 接続および 802.1X 認証接続の場合、NPS サービスの新し い機能では、NAP クライアントと NAP 正常性ポリシー サーバー間で PEAP‐TLV メッセージが使用されます。VPN 強制は、VPN 接続に適用される IP パケット フィ ルタを使用します。802.1X 強制は、IP パケット フィルタを接続に適用するか、 または制限付きネットワークに対応する VLAN ID に接続を割り当てることで、 802.1X ネットワーク アクセス デバイスにおいて実行されます。 NAP 管理サーバー NAP 管理サーバー コンポーネントは、次のサービスを提供します。 ■ NAP サービスを介して NAP ES から SSoH を取得します。 ■ SSoH で SoH を適切な SHV に配布します。 ■ SHV から SoHR を収集し、それらを評価するために NPS サービスに渡します。 34 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク NPS サービス RADIUS は広く採用されているプロトコルであり、Requests for Comments (RFC) 2865 と 2866 で説明されている、ネットワーク アクセスの一元的な認証、承認、 およびアカウンティングに対応しています。RADIUS は、もともとはダイヤルアッ プ リモート アクセスのために開発されたのですが、現在ではワイヤレス アクセ ス ポイント、認証イーサネット スイッチ、VPN サーバー、デジタル加入者回線 (DSL)、およびその他のネットワーク アクセス サーバーが RADIUS をサポートし ています。 NPS は、RADIUS サーバーの実装であり Windows Server "Longhorn" のプロキシ です。NPS は、Windows Server 2003 のインターネット認証サービス (IAS) に代 わるものです。NAP プラットフォームでは、NPS サービスが更新され、NAP 管理 サーバー コンポーネント、SHV API とインストール可能な SHV のサポート、およ び正常性ポリシーを構成するためのオプションが組み込まれました。 NPS サービスは、SHV から取得した SoHR に基づいて、正常性応答のシステム ス テートメント (SSoHR) を作成します。この SSoHR は、NAP クライアントが準拠か 非準拠か示し、また SHV から取得した SoHR を格納します。 システム正常性検証ツール SHV は、NAP 管理サーバーから SoH を受け取り、SoH のシステム正常性状態情報 と必要なシステム正常性状態を比較します。たとえば、SoH がウイルス対策 SHA からのもので、以前のウイルス対策シグネチャ ファイルのバージョン番号を含ん でいる場合、対応するウイルス対策 SHV は、ウイルス対策正常性要件サーバーに 問い合わせて最新のバージョン番号を確認し、NAP クライアントの SoH を検証 します。 SHV は SoHR を NAP 管理サーバーに返します。SoHR には、NAP クライアント上 の対応する SHA が、現在のシステム正常性要件をどのように満たすことができ るかについて情報を格納できます。たとえば、ウイルス対策 SHV から送信される SoHR で、特定のウイルス対策シグネチャ サーバーに対し最新バージョンのウイ ルス対策シグネチャ ファイルを名前または IP アドレスを使用して要求するよう、 NAP クライアント上のウイルス対策 SHA に対して指示できます。 Microsoft Corporation 35 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 レッスン 2 : クライアント NAP コンポーネントと サーバー NAP コンポーネント間の通信 NAP エージェント コンポーネントは、次のプロセスを介して NAP 管理サーバー コンポーネントと通信できます。 ■ NAP エージェントが SSoH を NAP EC に渡します。 ■ NAP EC は SSoH を NAP ES に渡します。 ■ NAP ES は SSoH を NPS サービスに渡します。 ■ NPS サービスは SSoH を NAP 管理サーバーに渡します。 NAP 管理サーバーは、次のプロセスを介して NAP エージェントと通信できます。 ■ NAP 管理サーバーが SoHR を NPS サービスに渡します。 ■ NPS サービスは SSoHR を NAP ES に渡します。 ■ NAP ES は SSoHR を NAP EC に渡します。 ■ NAP EC は SSoHR を NAP エージェントに渡します。 SHA は、次のプロセスを介して対応する SHV と通信できます。 ■ SHA が SoH を NAP エージェントに渡します。 ■ NAP エージェントは、SoH を SSoH 内に格納して NAP EC に渡します。 ■ NAP EC は SoH を NAP ES に渡します。 ■ NAP ES は SoH を NAP 管理サーバーに渡します。 ■ NAP 管理サーバーは SoH を SHV に渡します。 36 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク SHV は、次のプロセスを介して対応する SHA と通信できます。 ■ SHV が SoHR を NAP 管理サーバーに渡します。 ■ NAP 管理サーバーは SoHR を NPS サービスに渡します。 ■ NPS サービスは、SoHR を SSoHR 内に格納して NAP ES に渡します。 ■ NAP ES は SoHR を NAP EC に渡します。 ■ NAP EC は SoHR を NAP エージェントに渡します。 ■ NAP エージェントは SoHR を SHA に渡します。 図 6 は、NAP クライアント コンポーネントから NAP サーバー側コンポーネントへの通 信プロセスを表しています。 図 6 : NAP クライアント コンポーネントから NAP サーバー側コンポーネントへの通信プロセス Microsoft Corporation 37 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 図 7 は、NAP サーバー側コンポーネントから NAP クライアント コンポーネントへの通 信プロセスを表しています。 図 7 : NAP サーバー側コンポーネントから NAP クライアント コンポーネントへの通信プロセス 38 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク レッスン 3 : NAP クライアントのアーキテクチャ NAP クライアントのアーキテクチャ NAP クライアントは、NAP プラットフォーム用の新しいコンポーネントおよび既存 のコンポーネントの更新されたバージョンを含む Windows Vista、Windows Server "Longhorn"、または (Windows XP 用の NAP クライアントを備えた) Windows XP SP2 を実行するコンピュータです。図 8 は、NAP クライアント上の NAP プラットフォー ムのアーキテクチャを表しています。 図 8 : NAP クライアント上の NAP プラットフォームのアーキテクチャ NAP クライアントのアーキテクチャは、以下で構成されます。 ■ NAP 強制クライアント (EC) コンポーネントのレイヤ : 各 NAP EC は、異なる種 類のネットワーク アクセスまたは通信に対応するように定義されます。たと えば、リモート アクセス VPN 接続用の NAP EC や、DHCP 構成用の NAP EC が あります。NAP EC は、特定の種類の NAP 強制ポイントに対応できます。たと えば、DHCP NAP EC は DHCP ベースの NAP 強制ポイントと連携するように 設計されています。一部の NAP EC は NAP プラットフォームで提供されますが、 サード パーティのソフトウェア ベンダまたは Microsoft がその他の NAP EC を提供している場合もあります。 Microsoft Corporation 39 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 ■ システム正常性エージェント (SHA) コンポーネントのレイヤ : このコンポー ネントは、システム正常性の 1 つ以上の要素を管理およびレポートします。 たとえば、ウイルス対策シグネチャ用の SHA、およびオペレーティング シ ステムの更新用 SHA があります。SHA は修復サーバーに対応できます。た とえば、ウイルス対策シグネチャをチェックするための SHA は、最新のウイ ルス対策シグネチャ ファイルを含むサーバーに対応できます。SHA は対応す る修復サーバーを持つ必要がありません。たとえば、SHA は、ローカル シス テムの設定をチェックするだけで、ホスト ベースのファイアウォールが有効 になっていることを確認できます。Windows Vista および (Windows XP 用の NAP クライアントを備えた) Windows XP SP2 には、Windows セキュリティ セ ンターの設定を監視する Windows セキュリティ正常性検証ツール (SHA) が 含まれます。サード パーティのソフトウェア ベンダまたは Microsoft は、NAP プラットフォーム用の追加の SHA を提供できます。 ■ NAP エージェント : NAP クライアントの現在の正常性状態の情報を管理し、 NAP EC と SHA レイヤが通信できるようにします。NAP エージェントは NAP プラットフォームで提供されます。 ■ SHA アプリケーション プログラミング インターフェイス (API) : 一連の関数呼 び出しを提供しています。これらの関数により SHA は、NAP エージェントに 登録すること、システム正常性状態を示すこと、システム正常性状態について の NAP エージェントからの問い合わせに応答することができ、また NAP エー ジェントはシステム正常性修復情報を SHA に渡すことができます。SHA API により、ベンダは、追加の SHA を作成およびインストールすることができます。 SHA API は NAP プラットフォームで提供されます。SHA API に関するドキュメ ントは、http://msdn2.microsoft.com/en‐us/library/aa369712.aspx (英語) に ある『Platform Software Development Kit (SDK)』を参照してください。 ■ NAP EC API : 一連の関数呼び出しを提供しています。これらの関数により NAP EC は、NAP エージェントに登録すること、システム正常性状態を要求 すること、およびシステム正常性修復情報を NAP エージェントに渡すことが できます。NAP EC API により、ベンダは、追加の NAP EC を作成およびイン ストールすることができます。NAP EC API は NAP プラットフォームで提供 されます。NAP EC API のドキュメントについては、プラットフォーム SDK を 参照してください。 40 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク SHA は、特定の SHA の正常性状態を示すために、正常性ステートメント (SoH) を 作成し、それを NAP エージェントに渡します。SoH には、システム状態の 1 つ以 上の要素を格納できます。たとえば、ウイルス対策プログラム用の SHA は、コン ピュータで実行されているウイルス対策ソフトウェアの状態、そのバージョン、 および受信した最新のウイルス対策シグネチャの更新を含む SoH を作成できます。 SHA は、状態を更新するとき必ず新しい SoH を作成し、それを NAP エージェン トに渡します。NAP エージェントは、NAP クライアントのすべての正常性状態 を示すために、正常性のシステム ステートメント (SSoH) を使用します。この SSoH には、NAP クライアントのバージョン情報、およびインストールされてい る SHA の一連の SoH が含まれます。 次のセクションでは、NAP クライアント アーキテクチャのコンポーネントについ てさらに詳しく説明します。 NAP 強制クライアント NAP EC が行うのは、ネットワークへの特定レベルのアクセスを要求すること、 ネットワーク アクセスを提供している NAP 強制ポイントにコンピュータの正 常性状態を渡すこと、および NAP クライアントの制限付きまたは無制限のネッ トワーク アクセス状態を NAP クライアント アーキテクチャの他のコンポーネン トに示すことです。 Windows Vista、Windows Server "Longhorn"、および (Windows XP 用の NAP ク ライアントを備えた) Windows XP SP2 で提供される、NAP プラットフォーム用 の NAP EC を以下に示します。 ■ IPsec 保護通信用の IPsec NAP EC ■ 802.1X 認証接続用の EAPHost NAP EC ■ リモート アクセス VPN 接続用の VPN NAP EC ■ DHCP ベースの IPv4 アドレス構成用の DHCP NAP EC 注 Windows Vista および Windows Server "Longhorn" には、TS ゲートウェイ接続用の NAP EC も含まれています。(Windows XP 用の NAP クライアントを備えた) Windows XP SP2 の場合、802.1X 認証の有線および無線接続用の個別の NAP EC があります。 Microsoft Corporation 41 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 IPsec NAP EC IPsec NAP EC は、NAP エージェントから SSoH を取得し、それを正常性証明書の 要求と共に HRA に送信する新しいコンポーネントです。IPsec NAP EC は、以下と も対話します。 ■ 証明書ストア (正常性証明書を保管するため) ■ Windows の IPsec コンポーネント (IPsec で保護された通信で必ず正常性証明 書が使用されるようにするため) ■ Windows ファイアウォールなどのホスト ベースのファイアウォール (IPsec で 保護されたトラフィックがファイアウォールを通過できるようにするため) EAPHost NAP EC EAPHost NAP EC は、NAP エージェントから SSoH を取得し、それを 802.1X 認証 接続用の PEAP‐Type‐Length‐Value (TLV) メッセージとして送信する、新しいコン ポーネントです。 VPN NAP EC VPN NAP EC は、リモート アクセス接続マネージャ サービスの新しい機能であり、 NAP エージェントから SSoH を取得し、それをリモート アクセス VPN 接続用の PEAP‐TLV メッセージとして送信します。 DHCP NAP EC DHCP NAP EC は DHCP クライアント サービスの新しい機能であり、業界標準の DHCP メッセージを使用してシステム正常性メッセージと制限付きネットワーク のアクセス情報を交換します。DHCP NAP EC は NAP エージェントから SSoH を 取得します。DHCP クライアント サービスは、必要に応じて SSoH をフラグメン トに分け、DHCPDiscover、DHCPRequest、または DHCPInform の各メッセージで 送信される Microsoft 固有の DHCP オプション内に各フラグメントを配置します。 DHCPDecline メッセージおよび DHCPRelease メッセージは SSoH を含みません。 42 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク システム正常性エージェント SHA は、システム正常性の更新を実行し、SoH の形式でその状態を NAP エージェ ントに発行します。NAP 正常性ポリシー サーバーは、SoH に含まれる情報を使 用することで、クライアント コンピュータが必要な正常性状態かどうか検証で きます。 SHA は、NAP プラットフォーム アーキテクチャのサーバー側のシステム正常性 検証ツール (SHV) に対応します。対応する SHV は、正常性応答のステートメント (SoHR) を NAP クライアントに返します。SoHR は、NAP EC および NAP エージェ ントによって SHA に渡され、それにより SHA が必要な正常性状態でない場合に 何を実行すればよいかについて、SHA に通知されます。たとえば、ウイルス対策 SHV から送信される SoHR で、ウイルス対策シグネチャ サーバーに対し最新バー ジョンのウイルス対策シグネチャ ファイルを要求するよう、対応するウイルス 対策 SHA に対して指示できます。SoHR には、ウイルス対策サーバーの名前また は IP アドレスを含めることもできます。 SHA は、ローカルにインストールされているシステム正常性コンポーネント (図 3 には示されていません) を使用することで、修復サーバーと連携してシステム正 常性管理機能を支援できます。たとえば、ソフトウェア更新 SHA は、ローカル にインストールされているソフトウェア更新クライアント ソフトウェアを使用す ることで、ソフトウェア更新サーバー (修復サーバー) と連携して、バージョン チェック、インストール、および更新の各機能を実行できます。 NAP エージェント NAP エージェントは、次のサービスを提供します。 ■ 各 SHA から SoH を収集し、それらをキャッシュします。SHA が新しい SoH ま たは更新された SoH を提供すると、必ず SoH キャッシュは更新されます。 ■ SSoH を保管し、要求に基づきそれを NAP EC に提供します。 ■ 制限付きネットワーク アクセス状態が変更された場合に、SHA に通知を渡し ます。 ■ SoHR を適切な SHA に渡します。 Microsoft Corporation 43 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 第 6 部 : VPN 強制タイプ 学習項目 このレッスンを完了すると、次のことができるようになります。 ■ VPN 強制タイプの目的の理解 ■ VPN 強制のプロセスの理解 ■ VPN 強制タイプの制限の理解 重要 PEAP 認証を備えた VPN 強制方法または 802.1X 強制方法を使用してネットワー ク アクセス保護 (NAP) を導入する場合、接続要求がローカル側で処理される場合 でも、接続要求ポリシーで PEAP 認証を構成する必要があります。 44 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク レッスン 1 : VPN 強制のプロセス 図 9 : VPN 強制のプロセス VPN 強制 図 9 のネットワークと同じ構成のネットワークにおいて、単一の SHA のみある VPN クライアントに対し、VPN 強制がどのように動作するかを次のプロセスで説明し ます。 1. VPN クライアントが VPN サーバーへの接続を開始します。 2. VPN クライアントは、Protected Extensible Authentication Protocol (PEAP) およ び Microsoft チャレンジ ハンドシェイク認証プロトコル version 2 (MS‐CHAP v2) を使用して、認証資格情報を VPN サーバーに渡します。 3. 認証資格情報が有効な場合、VPN サーバーは VPN クライアントに対し SoH を 要求します。 Microsoft Corporation 45 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 4. VPN クライアントが SoH を所持している場合、クライアントはその SoH を VPN サーバーに渡します。VPN サーバーはその SoH を NPS サーバーに渡し ます。NPS サーバーはポリシー サーバーと通信して SoH が有効かどうかを 確認します。 a. SoH が有効な場合、VPN サーバーは接続を完了し、ポリシーの定義に 従い、ネットワークへの無制限アクセスを VPN クライアントに許可し ます。 b. SoH が有効でない場合、VPN サーバーは接続を完了しますが、VPN ク ライアントが制限付きネットワークにしかアクセスできないようにし ます。VPN クライアントは、制限付きネットワーク、VPN サーバー、 および修復サーバーに対してのみトラフィックを問題なく送信できます。 5. VPN クライアントが SoH を所持していない場合、そのクライアントは準拠で はありません。VPN サーバーは接続を完了しますが、VPN クライアントが制 限付きネットワークにしかアクセスできないようにします。 6. 非準拠の VPN クライアント上の NAP エージェントが、更新要求を修復サー バーに送信します。 7. 修復サーバーは、VPN クライアントが正常性ポリシーに準拠できるように、 VPN クライアントに必要な更新を提供します。VPN クライアントの SoH が更 新されます。 8. VPN クライアントは更新された SoH を NPS サーバーに送信します。NPS サー バーが更新された SoH が正しいことを確認すると、VPN サーバーは、ポリ シーの定義に従い、ネットワークへの無制限アクセスを VPN クライアント に許可します。 46 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク 第 7 部 : IPSec 強制タイプ 学習内容 このレッスンを完了すると、次のことができるようになります。 ■ IPSec 強制の目的の理解 ■ IPSec 強制のプロセスの理解 ■ IPSec 強制タイプの制限の理解 Microsoft Corporation 47 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 レッスン 1 : IPSec 強制タイプの目的 IPsec 強制と論理ネットワーク IPsec 強制では、物理ネットワークは 3 つの論理ネットワークに分割されます。 コンピュータは、必ず 1 つの論理ネットワークのみのメンバとなります。論理 ネットワークは、着信通信試行の IPsec 認証において正常性証明書をコンピュー タが要求するかどうかという観点から定義されます。論理ネットワークの目的は、 非準拠コンピュータのアクセスを制限すること、および非準拠コンピュータが持 ち込む脅威から保護される環境を準拠コンピュータに提供することです。非準拠 コンピュータのリソースへのアクセスは制限されます。このため、非準拠コン ピュータは、正常性状態を修復し、ネットワークへのフル アクセス権を取得す る必要があります。IPsec 論理ネットワークは、セキュリティで保護されたネッ トワーク、境界ネットワーク、および制限付きネットワークで構成されます。 セキュリティで保護されたネットワーク 正常性証明書を持ち、着信通信試行の認証でこれらの証明書を要求するコンピュー タは、セキュリティで保護されたネットワークに配置されます。これらのコン ピュータは、IPsec 保護を提供する IPsec ポリシー設定の共通セットを持ちます。 たとえば、Active Directory® インフラストラクチャのメンバであるほとんどの サーバー コンピュータおよびクライアント コンピュータは、セキュリティで保 護されたネットワークに配置されます。正常性要件サーバー、Active Directory 証 明書サービスを実行するサーバー、電子メール サーバーなどのネットワーク コン ポーネントも、通常、セキュリティで保護されたネットワーク内に配置されます。 境界ネットワーク 正常性証明書を持っているが、着信通信試行の認証でこれらの証明書を要求しない コンピュータは、境界ネットワークに配置されます。境界ネットワーク内のコン ピュータは、ネットワーク全体のコンピュータにアクセスできる必要があります。 この種類のコンピュータは、HRA サーバーや修復サーバーなど、NAP クライア ントの正常性を評価および修復する必要のあるサーバー、または制限付きネット ワーク内のコンピュータに対してネットワーク サービスを提供する必要のある サーバーです。境界ネットワーク内のコンピュータは、認証および保護された通 信を要求しないので、セキュリティで保護されたネットワーク内のコンピュータ を攻撃するために使用されないよう、詳細に管理する必要があります。 48 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク 制限付きネットワーク 正常性証明書を持っていないコンピュータは、制限付きネットワークに配置され ます。これらのコンピュータは、正常性チェックが完了していないコンピュータ、 またはネットワーク正常性ポリシーに準拠していないと判断されたコンピュータ です。つまり、ゲスト コンピュータ、NAP 非対応コンピュータ (NAP をサポー トしていないバージョンの Windows を実行しているコンピュータなど)、 Apple Macintosh コンピュータ、UNIX ベースのコンピュータなどです。 次の図は、IPsec 論理ネットワークの例を表しています。 図 10 : IPsec 論理ネットワーク Microsoft Corporation 49 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 レッスン 2 : IPsec 強制のプロセス 図 11 : IPsec 強制のプロセス IPSec 強制 図 11 のネットワークと同じ構成のネットワークにおいて、単一の SHA のみある NAP クライアントに対し、IPsec 強制がどのように動作するかを次のプロセスで説 明します。 1. NAP クライアントは起動すると現在の SoH を HRA に送信します。 2. HRA は SoH 情報を NPS サーバーに渡します。NPS サーバーはポリシー サー バーと通信して SoH が有効かどうか確認します。 a. SoH が有効な場合、HRA は NAP クライアントの正常性証明書を取得し ます。これで、NAP クライアントは、発行された IPsec 認証用の正常 性証明書を使用して、保護されたリソースと IPsec ベースで通信を開始 すること、および自身の正常性証明書を使用して認証できる他の NAP クライアントが開始した通信に対して応答することができます。 50 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク b. SoH が有効でない場合、HRA は、正常性状態の修復方法を NAP クライ アントに通知し、正常性証明書は発行しません。NAP クライアントは、 IPsec 認証用の正常性証明書を要求する他のコンピュータとの通信を 開始できません。ただし、NAP クライアントは、準拠に戻るために、 修復サーバーとの通信を開始できます。 3. 制限付き NAP クライアント上の NAP エージェントが更新要求を修復サーバー に送信します。 4. 修復サーバーは、NAP クライアントが正常性ポリシーに準拠できるように、 NAP クライアントに必要な更新を提供します。NAP クライアントの SoH が更 新されます。 5. NAP クライアントは更新された SoH を HRA に送信します。NAP サーバーが 更新された SoH が有効なことを確認すると、HRA は NAP クライアントの正 常性証明書を取得します。 管理者は、ネットワークのニーズに基づいて、一部のコンピュータ、デバイ ス、およびユーザーを正常性ポリシー要件の例外として指定できます。たとえ ば、一部のバージョンの Windows はネットワーク アクセス保護をサポートして いないため、これらのバージョンの Windows を実行しているコンピュータは、 既定ではアクセスが制限されます。ただし、ネットワーク管理者は、これらのコ ンピュータを例外として構成できます。例外として指定されたコンピュータに対 しては、準拠に関するチェックが行われず、ネットワークへの無制限のアクセス 権が与えられます。 Microsoft Corporation 51 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 第 8 部 : 802.1x 強制タイプ 学習内容 このレッスンを完了すると、次のことができるようになります。 ■ 802.1x 強制タイプの目的の理解 ■ 802.1x 強制のプロセスの理解 ■ 802.1x 強制の制限の理解 52 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク レッスン 1 : 802.1x 強制のプロセス 図 12 : 802.1X 強制 802.1X 強制 図 12 のネットワークと同じ構成のネットワークにおいて、単一の SHA のみある 802.1X クライアントに対し、802.1X 強制がどのように動作するかを次のプロセ スで説明します。 1. 802.1X クライアントが 802.1X アクセス ポイントへの接続を開始します。 2. 802.1X クライアントは、MS‐CHAP v2 などの PEAP 手法を使用して、802.1X アクセス ポイントに認証資格情報を渡します。 3. 認証資格情報が有効な場合、NPS サーバーは 802.1X クライアントに対し SoH を要求します。 Microsoft Corporation 53 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 4. 802.1X クライアントが SoH を所持している場合、クライアントはその SoH を NPS サーバーに渡します。NPS サーバーはポリシー サーバーと通信して SoH が有効かどうか確認します。 a. SoH が有効な場合、802.1X アクセス ポイントは接続を完了し、ポリ シーの定義に従い、ネットワークへの無制限アクセスを 802.1X ク ライアントに許可します。 b. SoH が有効でない場合、802.1X アクセス ポイントは接続を完了しま すが、802.1X クライアントが制限付きネットワークにしかアクセ スできないようにします。802.1X クライアントは、制限付きネッ トワーク、802.1X アクセス ポイント、およびソフトウェア更新修 復サーバーに対してのみトラフィックを問題なく送信できます。 5. 802.1X クライアントが SoH を所持していない場合、そのクライアントは 準拠ではありません。802.1X アクセス ポイントは接続を完了しますが、 802.1X クライアントが制限付きネットワークにしかアクセスできないよう にします。 6. 非準拠の 802.1X クライアント上の NAP エージェントが、更新要求を修復 サーバーに送信します。 7. 修復サーバーは、802.1X クライアントが正常性ポリシーに準拠できるよう に、802.1X クライアントに必要な更新を提供します。802.1X クライアント の SoH が更新されます。 8. 802.1X クライアントは 802.1X 認証を再開し、更新された SoH を NPS サー バーに送信します。NPS サーバーが更新された SoH が有効なことを確認す ると、802.1X アクセス ポイントは、ポリシーの定義に従い、ネットワー クへの無制限アクセスを 802.1X クライアントに許可します。 802.1X NAP クライアントは、SoH の代わりに正常性証明書を使用して、自身の正 常性状態を NPS サーバーに示すこともできます。 54 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation