NAP - Dell

by user

on 28 марта 2017

Category: Documents

>> Downloads: 1

views

Report

Comments

Description

Download NAP - Dell

Transcript

NAP - Dell

W
Window
ws Se
erver 2008 の概
概要ネトワー
ネット
ーク発行 :2007 年 11 月
月 21 日 osoft Corporattion Micro
免責事項このパッケージの内容は、情報提供とトレーニングのみを目的として、一切の保証を伴うことなく
現状有姿のままで提供されるものであり、マイクロソフトは、商品性、特定目的に対する適合
性、および権利侵害が存在しないこと、およびこれに限らず、また明示であると黙示であるとを
問わず、一切の保証を行いません。このパッケージに含まれる情報およびソフトウェアは技術上
の問題および市場の状況に応じて変更が必要になることがあるため、MICROSOFT CORPORATION ("MICROSOFT®") およびその供給元は、将来予告なしにそれらを変更することがあります。使用条件 Microsoft Corporation © 2007 Microsoft Corporation. All rights reserved. このトレーニングパッケージの内容には所有権のある情報が含まれ、上記免責事項およびこのパッ
ケージに含まれるドキュメントに記載された目的にのみ使用されます。このパッケージに含まれ
るテキストまたはソフトウェアのいかなる部分も、Microsoft の文書による、明示的な許可を得ない
限り、写真複写、記録、または情報記憶および検索システムへの複写を含む、電気的手段、機械
的手段、およびその他のいかなる形式または方法によっても、複製、転用することを禁じます。使用許諾を受け、著作権で保護された資料の使用に関する詳細については、「マイクロソフトの
著作物の使用許諾と商標ガイドライン」Web ページ (http://www.microsoft.com/japan/mscorp/legal/ permission/default.mspx) を参照してください。商標 Microsoft®、Internet Explorer、および Windows® は、米国 Microsoft Corporation の米国およびその
他の国における登録商標または商標です。記載されている会社名、製品名には、各社の商標のものもあります。 Windows Server 2008 の概要ネットワーク目次概要 ............................................................................................................................................ 1 レッスン 1 : NAP とは ......................................................................................................................... 2 問題の定義 : 正常性ポリシーの強制 .............................................................................................. 2 レッスン 2 : NAP の主な機能 ............................................................................................................. 3 正常性ポリシーの検証..................................................................................................................... 3 ネットワークアクセスの制限 ........................................................................................................ 3 正常性ポリシーへの準拠 ................................................................................................................. 3 修復 .................................................................................................................................................... 4 NAP 強制 ............................................................................................................................................. 4 NAP では実行されない事項 ............................................................................................................. 5 NAP の拡張性およびカスタマイズ ................................................................................................. 6 第 2 部 : NAP コンポーネント .................................................................................................. 7 レッスン 1 : NAP クライアント側コンポーネント .......................................................................... 7 用語 : NAP 機能ロールとソフトウェアコンポーネント ............................................................. 7 NAP クライアント側コンポーネント ............................................................................................. 8 レッスン 2 : NAP サーバー側コンポーネント ................................................................................ 11 強制サーバー .................................................................................................................................. 11 NAP ポリシーサーバー .................................................................................................................. 12 アカウントデータベース .............................................................................................................. 13 修復サーバー .................................................................................................................................. 13 レッスン 3 : Windows Server 2008 の NAP コンポーネント .......................................................... 14 必要な Windows Server 2008 の役割および役割サービス ......................................................... 14 RADIUS サーバーとしての NPS ...................................................................................................... 15 正常なクライアントと正常でないクライアントに対する NAP 強制 ...................................... 16 NAP 強制タイプ : 実装 .................................................................................................................... 16 レッスン 4 : NAP で使用される NPS ポリシー ............................................................................... 18 NPS のポリシータイプ .................................................................................................................. 19 ポリシー設定と SHV 構成 .............................................................................................................. 19 NAP 対応アプリケーション ........................................................................................................... 20 レッスン 5 : NAP における各ポリシータイプの役割 ................................................................... 21 NAP 構成における NPS ポリシータイプの役割 .......................................................................... 21 第 3 部 : NAP 実装に関する考慮事項 ................................................................................... 22 レッスン 1 : NAP 機能の概要 ........................................................................................................... 22 ネットワークアクセス保護の動作.............................................................................................. 22 レッスン 2 : NAP のインストールと構成に関する考慮事項 ................................................... 25 NAP のコンポーネントをインストールするための必要条件 ................................................ 25 第 4 部 : NAP DHCP 強制タイプ ............................................................................................. 26 レッスン 1 : DHCP 強制のプロセス ................................................................................................. 27 第 5 部 : アーキテクチャ ....................................................................................................... 29 レッスン 1 : NAP サーバー側のアーキテクチャ ........................................................................... 30 サーバー側の NAP プラットフォームコンポーネント ............................................................. 34 NAP 強制サーバー .......................................................................................................................... 34 NAP 管理サーバー .......................................................................................................................... 34 NPS サービス ................................................................................................................................... 35 システム正常性検証ツール .......................................................................................................... 35 レッスン 2 : クライアント NAP コンポーネントとサーバー NAP コンポーネント間の通信...... 36 レッスン 3 : NAP クライアントのアーキテクチャ ....................................................................... 39 NAP クライアントのアーキテクチャ ........................................................................................... 39 NAP 強制クライアント .................................................................................................................. 41 IPsec NAP EC ..................................................................................................................................... 42 EAPHost NAP EC ................................................................................................................................ 42 VPN NAP EC....................................................................................................................................... 42 DHCP NAP EC .................................................................................................................................... 42 システム正常性エージェント ...................................................................................................... 43 NAP エージェント .......................................................................................................................... 43 第 6 部 : VPN 強制タイプ ....................................................................................................... 44 レッスン 1 : VPN 強制のプロセス ................................................................................................... 45 VPN 強制 .......................................................................................................................................... 45 第 7 部 : IPSec 強制タイプ ..................................................................................................... 47 レッスン 1 : IPSec 強制タイプの目的 .............................................................................................. 48 IPsec 強制と論理ネットワーク ..................................................................................................... 48 レッスン 2 : IPsec 強制のプロセス .................................................................................................. 50 第 8 部 : 802.1x 強制タイプ ................................................................................................... 52 レッスン 1 : 802.1x 強制のプロセス ............................................................................................... 53 802.1X 強制 ...................................................................................................................................... 53 表表 1 : NAP 強制タイプとオプション .................................................................................................... 5 表 2 : 強制サーバーの役割および役割サービス .............................................................................. 14 表 3 : NAP 強制オプション .................................................................................................................. 16 表 4 : NAP コンポーネント .................................................................................................................. 25 図図 1 : NAP 構成で使用される NPS ポリシー ...................................................................................... 21 図 2 : NAP 展開の例 .............................................................................................................................. 22 図 3 : DHCP 強制 .................................................................................................................................... 27 図 4 : サーバー側の NAP プラットフォームアーキテクチャ ........................................................ 30 図 5 : NAP プラットフォームのコンポーネント間の関係 .............................................................. 32 図 6 : NAP クライアントコンポーネントから NAP サーバー側コンポーネントへの通信プロセス ........................................................................................................................................ 37 図 7 : NAP サーバー側コンポーネントから NAP クライアントコンポーネントへの通信プロセス ........................................................................................................................................ 38 図 8 : NAP クライアント上の NAP プラットフォームのアーキテクチャ ...................................... 39 図 9 : VPN 強制のプロセス .................................................................................................................. 45 図 10 : IPsec 論理ネットワーク ........................................................................................................... 49 図 11 : IPsec 強制のプロセス ............................................................................................................... 50 図 12 : 802.1X 強制 ................................................................................................................................ 53 ネットワーク概要このモジュールでは、Windows Server 2008 のネットワークアクセス保護 (NAP) を紹介します。ここでは、NAP の概要を理解するために、技術概念の基礎および機能の概要につい
て説明します。また、NAP の導入に必要な Windows Server 2008 コンポーネント
についても確認します。 NAP アーキテクチャおよびコンポーネントの相互作用についての詳細な説明と共に、
DHCP および IPSec の NAP 強制のシナリオを扱う実習も用意されています。さらに、利用可能な NAP のトラブルシューティングツールおよび手法について
も説明します。学習内容このモジュールを完了すると、次のことができるようになります。 ■
NAP コンポーネントの確認と説明 ■
基本的な NAP 機能の説明 ■
利用可能な NAP 強制タイプの確認と説明 ■
利用可能な NAP のトラブルシューティングツールおよび手法の使用につい
ての説明 Microsoft Corporation 1 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要レッスン 1 : NAP とは問題の定義 : 正常性ポリシーの強制今日の企業ネットワーク管理者は、企業内ネットワークやネットワーク資産にア
クセスするすべてのコンピュータに対して、正常性とセキュリティに関する定義
済みの基準を確実に遵守させるという課題を抱えています。たとえば、必要なソ
フトウェア、セキュリティ更新プログラム、およびウイルス対策プログラムがコ
ンピュータにインストールされていること、それらが最新の状態になっているこ
と、コンピュータがウイルス検査に合格していることなどを確実にする必要があ
ります。企業がネットワークコンピュータに対して定義する遵守基準は、"正常
性ポリシー" と呼ばれています。ネットワークアクセス保護 (NAP) は、Microsoft Windows Vista™ および Windows Server 2008 の各オペレーティングシステムに組み込まれている、正常性ポリシー
を強制するプラットフォームです。このプラットフォームを使用すると、システ
ムに関して定義済みの正常性要件への準拠を強制することにより、プライベートネットワーク資産の保護を強化できます。 NAP では、ネットワークアクセスを許可する前にコンピュータの正常性を検証す
るために使用される、正常性の要件に関するカスタマイズしたポリシーを作成し、
強制できます。 NAP を使用すると、ネットワークアクセスを許可する前に、ネットワークにアク
セスしようとするコンピュータの "正常性" がチェックされます。ポリシーに準拠していないコンピュータや "正常でない" コンピュータは、準拠し
た状態に移行するまで、アクセスが拒否されるか、制限付きネットワークにしか
アクセスできません。さらに、非準拠のコンピュータを、必要な修正プログラムまたは更新プログラム
を入手できる "修復サーバー" にアクセスさせることで、準拠状態に移行する手段
を提供することができます。準拠したコンピュータでは、正常性ポリシーへの準
拠を確実に継続するための自動更新も可能です。 2 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークレッスン 2 : NAP の主な機能正常性ポリシーの検証ユーザーがネットワークに接続しようとすると、コンピュータの正常性がチェック
され、管理者が定義した正常性ポリシーに準拠しているかどうかが検証されます。
準拠しているコンピュータは "正常"、準拠していないコンピュータは "正常でない" と見なされます。NAP では、準拠していないと判断されたコンピュータに対して
実行するアクションを管理者が定義できます。ネットワークアクセスの制限正常性ポリシーによる検証の後は、NAP を使用して、組織の正常性ポリシーに準
拠していないコンピュータのネットワークアクセスを拒否または制限します。たとえば、監視のみの環境では、承認されたすべてのコンピュータに対して、その
一部が正常性ポリシーに準拠していない場合でも、ネットワークへのアクセスを
許可できます。ただし、各コンピュータの準拠状況は記録できます。制限付きアクセスの環境では、正常性ポリシーに準拠しているコンピュータに対
しては、ネットワークへの無制限アクセスを許可できます。一方、正常性ポリシー
に準拠していないコンピュータや NAP に対応していないコンピュータに対しては、
アクセスを拒否するか、制限付きネットワークにしかアクセスできないようにす
ることができます。いずれの場合でも、NAP 対応コンピュータは修復サーバーにアクセスし、ポリシー
に準拠するために必要な修正プログラムや更新プログラムを読み込むことができ
ます。また、管理者は検証プロセスの例外を定義できます。正常性ポリシーへの準拠 NAP を使用すると、Microsoft Systems Management Server などのネットワーク管理
ソフトウェアと連携することにより、非準拠コンピュータのソフトウェア更新を
有効にするオプションを提供できるので、ネットワーク管理者が準拠を徹底するた
めに役立ちます。 NAP では、継続的な遵守の監視および強制も可能です。たとえば、正常性ポリシー
の要件やコンピュータの正常性の状態が変更された場合、NAP は適切なネットワー
ク制限を動的に設定できます。 Microsoft Corporation 3 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要修復非準拠と判断されたコンピュータに対しては、企業内ネットワークへのアクセスを
拒否し、制限付きネットワークに割り当てることができます。また、このようなコ
ンピュータを "修復サーバー" にアクセスさせて、そこからポリシーに準拠するた
めに必要な修正プログラムや更新プログラムを入手するようにできます。コン
ピュータが正常な状態になると、ネットワーク制限が解除され、ネットワークへ
のフルアクセスが可能になります。 NAP 強制 NAP に前の機能を実装するには、まず、クライアントコンピュータからのネッ
トワークアクセスまたは通信の試みを検出する手段が必要です。 NAP がネットワークアクセスの試行を監視および検出するメカニズムは、NAP 強
制タイプと呼ばれます。 Windows Server 2008 で使用できる NAP 強制タイプには、次の 5 種類があります。
いずれもよく知られた標準プロトコルまたはネットワークアクセスのメカニズムに
基づいています。 ■
DHCP ■
IPSec ■
VPN ■
802.1x ■
ターミナルサーバーゲートウェイ Windows Server 2008 の NAP は、これらの強制タイプごとに強制サーバーを提供
します。強制サーバーにより、NAP クライアントから各強制タイプのサーバー側 NAP インフラストラクチャへの通信が可能になります。次の表に、5 つの NAP 強制タイプと、クライアントが正常な場合と正常でない場
合に各強制タイプに対して実行されるアクションを示します。 4 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク表 1 : NAP 強制タイプとオプション正常でない (非準拠) クライア
ント強制正常な (準拠) クライアント
DHCP 完全な IP アドレスが提供され制限付きルートセット
た場合はフルアクセス VPN (Microsoft およびサードフルアクセス
パーティ) 制限付き VLAN 802.1x フルアクセス
制限付き VLAN IPSec 信頼できるピアとの通信が正常なピアは正常でないシス
可能テムからの接続要求を拒否 TS ゲートウェイ ■
レイヤ 2 の保護の補強
■
既存のサーバーおよびインフラストラクチャで動作 ■
柔軟な分離クライアント接続は許可
クライアント接続をブロック NAP では実行されない事項ネットワークアクセス保護は、悪意のあるユーザーからネットワークを保護す
るようには設計されていません。管理者がネットワーク上のコンピュータの正常
性を管理し、それによってネットワーク全体の整合性を維持できるように設計さ
れています。たとえば、ネットワーク正常性ポリシーが要求するすべてのソフトウェアおよび
構成を持つコンピュータはポリシーに準拠していると見なされ、ネットワークへ
の適切なアクセスが許可されます。ネットワークアクセス保護では、ポリシーに準拠したコンピュータを使用してい
る認証されたユーザーが、悪意のあるプログラムをネットワークにアップロード
したり、その他の不適切な行為を行ったりすることを防ぐことはできません。 Microsoft Corporation 5 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP の拡張性およびカスタマイズネットワークアクセス保護は、拡張可能なプラットフォームです。コンピュータの
正常性を検証および修正するコンポーネントや、既存のポリシーのシステムを強制
するコンポーネントを追加するためのインフラストラクチャおよび API セットを提
供します。ネットワークアクセス保護自体は、コンピュータの正常性を検証および
修正するコンポーネントを提供しません。システム正常性エージェント (SHA) およ
びシステム正常性検証ツール (SHV) と呼ばれる別のコンポーネントにより、正常性
ポリシーの検証および正常性ポリシーへの準拠が実施されます。Windows Vista およ
び Windows Server "Longhorn" には、Windows セキュリティセンターによって監
視された正常性属性に対して正常性ポリシーの検証および正常性ポリシーへの準
拠を行うための、SHA および SHV が含まれています。管理者は、自らが開発および展開したシステムをカスタマイズできます。ネット
ワークにアクセスするコンピュータに対して正常性ポリシーへの準拠を監視する、
正常性ポリシー要件を満たすためにソフトウェア更新プログラムを使用してコン
ピュータを自動的に更新する、正常性ポリシーの要件を満たしていないコンピュー
タのアクセスを制限付きネットワークに限定するなど、さまざまな目的に合わせ
たカスタマイズが可能です。注ネットワークアクセス保護プラットフォームは、ネットワークアクセス検疫制
御とは異なります。ネットワークアクセス検疫制御は Windows Server 2003 に付属する
機能であり、リモートアクセス接続 (ダイヤルアップおよび仮想プライベートネット
ワーク (VPN)) に対する保護を強化するものです。 6 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク第 2 部 : NAP コンポーネントレッスン 1 : NAP クライアント側コンポーネントこのレッスンでは、NAP インフラストラクチャの導入に必要なサーバー側とク
ライアント側の各コンポーネントについて、高レベルな説明を行います。用語 : NAP 機能ロールとソフトウェアコンポーネント NAP インフラストラクチャの構成要素を説明する前に、このレッスンで使用され
る用語を確認します。 ■
NAP 機能の説明で使用する場合、"機能ロール" とは、NAP ソリューションの一
部として提供される必要がある汎用的な機能またはサービスのことです。こ
の機能またはサービスを提供する特定のソフトウェアコンポーネントのこと
ではありません。 ■
"機能ロール" の説明の後に、機能ロールの実装に必要な Windows 2008 の特定
のコンポーネントについて説明します。 ■
NAP アーキテクチャ内では、一部の機能が Windows Server 2008 のコンポー
ネント、またはオプションでサードパーティ製品によって実装されることが
あります。 ■
したがって、"Windows Server 2008 の NAP 展開" は、Windows Server 2008 で
提供される NAP コンポーネントのみを使用する "追加設定が不要な" 展開を示
します。 ■
さまざまな機能ロールについて説明する際には、サードパーティの製品やソ
フトウェアコンポーネントによってオプションで実装可能なロールについて
も説明します。このレッスンでは、必要な機能ロールの観点から、まず NAP インフラストラクチャ
の必要なコンポーネントについて説明します。機能ロールの説明の後に、必要な機能ロールがどのように Windows Server 2008 の NAP に実装されるかについて説明します。また、サードパーティソリューショ
ンによって実装可能な機能ロールについても説明します。 Microsoft Corporation 7 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP クライアント側コンポーネントクライアントコンピュータに存在する複数の個別コンポーネントを使用して実装
される、必須の NAP クライアント側機能が 3 つあります。それらの機能は次のとおりです。 ■
NAP エージェント ■
システム正常性エージェント ■
強制クライアント NAP エージェント NAP エージェントは、クライアントがネットワークへのアクセスを試行するときに、
NAP 強制サーバーと通信するためのクライアント側コンポーネントです。 NAP エージェントは、クライアントの "正常性ステートメント (SoH)" を NAP イン
フラストラクチャのサーバー側に報告します。ここでは、クライアントが正常性
ポリシーを遵守しているかどうかをさまざまな NAP サーバー側コンポーネントが
判別します。NAP サーバー側コンポーネントについては、このレッスンで後述し
ます。 Windows では、NAP エージェントは、Windows クライアントサービスであるネッ
トワークアクセス保護エージェント (短縮名は "NapAgent") サービスとして実装
されます。 Windows Vista および Windows Server 2008 では、NapAgent サービスは既定でイン
ストールされます。 NAP エージェントが NAP サーバー側コンポーネントに渡すクライアントの SoH に
は、実際は、クライアントで実行されている複数の NAP 対応アプリケーションま
たはサービスが結合された SoH が反映されます。 NAP エージェントがこれらの各 NAP 対応アプリケーションの SoH の更新を受信
するときは、別のクライアント側コンポーネントを使用します。このコンポーネ
ントは、システム正常性エージェント (SHA) と呼ばれています。 8 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークシステム正常性エージェント (SHA) クライアントで実行される NAP 対応の各アプリケーションまたはサービスは、
システム正常性エージェント (SHA) と呼ばれるコンポーネントを使用して、個々
の SoH を報告します。システム正常性エージェント (SHA) は、クライアントコンピュータで実行されて
いる 1 つ以上のアプリケーション、サービス、またはその他のソフトウェアコン
ポーネントの正常性ステートメントを監視および報告するための NAP クライアン
ト側コンポーネントです。したがって、クライアントコンピュータによっては、複数の SHA が複数の NAP 対応アプリケーションを監視する場合もあります。クライアントで実行されるすべての SHA は、それぞれのアプリケーションの SoH を NAP エージェントに報告します。NAP エージェントは、結合されたクライアント
の SoH を NAP インフラストラクチャのサーバー側に渡します。 Windows Vista には、独自のシステム正常性エージェントである Windows SHA が
含まれています。 Windows Vista クライアントでは、Windows セキュリティセンターは NAP 対応ア
プリケーションであり、次に挙げるセキュリティセンターコンポーネントアプ
リケーションの SoH を、Windows SHA を使用して報告します。 ■
Windows ファイアウォール ■
ウイルス対策 ■
スパイウェア対策 ■
自動更新 ■
セキュリティ更新プログラムによる保護これらのセキュリティセンターコンポーネントは、自身の SoH が変更されると
更新プログラムを発行します。この更新プログラムは、Windows SHA および NAP エージェントへの通知をトリガします。 Windows SHA 以外に、別の Microsoft 製品 (SMS) および一部のサードパーティア
プリケーション (ウイルス対策プログラムなど) 向けの SHA もあります。ただし、
Windows Vista に含まれている SHA は Windows SHA だけです。 Microsoft Corporation 9 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要強制クライアント (EC) クライアントの SoH は SHA によって NAP エージェントに報告されますが、NAP ク
ライアントから NAP アーキテクチャのサーバー側への実際の通信は、指定の NAP 強制タイプに基づいて行われます。この通信は、強制クライアントによりクライ
アント側から開始され、一致する強制サーバーによりサーバー側で処理されます。 5 つの各 NAP 強制タイプには、一致する強制クライアントが 1 つずつあります。
それらは次のとおりです。 ■
DHCP 検疫強制クライアント ■
リモートアクセス検疫強制クライアント (VPN 用) ■
IPSec 証明書利用者 (IPSec 用) ■
TS ゲートウェイ検疫強制クライアント ■
EAP 検疫強制クライアント (802.1x 用) NAP クライアントは、1 つ以上の特定の強制クライアントを使用して構成する必要
があります。強制クライアントの構成には、グループポリシーを介して NAP クライアント構成 MMC スナップインを使用するか、またはローカルコンピュータで netsh を使用す
ることができます。NAP クライアント構成スナップインは napclcfg.msc を使用して
起動します。このように、クライアントコンピュータで複数の強制クライアントを使用するこ
ともできます。強制クライアントは強制サーバーとの通信を確立し、この接続を
使用して NAP エージェントはクライアントの SoH を接続された強制サーバーに
渡します。注 DHCP 強制タイプの場合を除き、強制クライアントは強制サーバーとの安全な通信を確立
します。 10 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークレッスン 2 : NAP サーバー側コンポーネントサーバー側の機能ロール NAP サーバー側インフラストラクチャには、次に示す汎用の機能ロールが必要です。ここでは、各機能の詳細と、各機能がどのように Windows Server 2008 に実装さ
れるかについて説明します。また、サードパーティソリューションとしても実装
可能な機能かどうかを示します。 ■
強制サーバー □
■
正常性登録機関 NAP ポリシーサーバー □
システム正常性検証ツール □
管理サーバー ■
アカウントデータベース ■
修復サーバー強制サーバー強制サーバーにより、NAP クライアントから特定の各強制タイプのサーバー側 NAP インフラストラクチャへの通信が可能になります。強制サーバーはクライアントの正常性ステートメントを受信し、保存された正常
性ポリシーに対する検証のために NAP ポリシーサーバーに渡します。クライアントの正常性ステートメントが判別されると、強制サーバーはクライア
ントのネットワークアクセスを許可するか、または必要なネットワーク制限を強
制します。 Windows Server 2008 では、各強制タイプの強制サーバーは、異なる Windows Server コンポーネントによって実装されます。各強制サーバーの詳細と、各強制サーバーがどのように Windows Server 2008 に
実装されるかについては、このレッスンで後述します。 Microsoft Corporation 11 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP ポリシーサーバー NAP ポリシーサーバーには、無制限アクセスに必要な条件を指定するポリシーが
格納されます。一般に、企業のネットワークは複数の正常性ポリシーを保持します。
たとえば、VPN 強制と DHCP 強制では、通常は異なる正常性ポリシーが使用され
ます。 Windows Server 2008 の NAP では、ネットワークポリシーサーバー (NPS) の役割
サービスが、NAP 正常性ポリシーサーバーとして機能します。 NAP ポリシーの格納に加えて、Windows Server 2008 の NAP では、以下の 2 つの
必須のサーバー側機能が NPS により実行されます。システム正常性検証ツールシステム正常性検証ツール (SHV) は、クライアント側のシステム正常性エージェ
ント (SHA) から送信された正常性ステートメント (SoH) が正常性ポリシーの要件
に準拠しているかどうかを判別する、サーバーソフトウェアコンポーネントです。正常性ステートメントの評価対象となるアプリケーションまたはコンポーネント
には、固有の SHV が必要です。したがって、アプリケーションまたはシステムコンポーネントの準拠状況を NAP により検証するには、クライアント側の SHA とサーバー側の SHV のペアが必要
です。 Windows Vista および Windows Server 2008 には、Windows SHA および Windows SHV が用意されています。これらは、Windows セキュリティセンターコンポー
ネントの正常性ステートメントの報告および検証を行います。 Windows システム正常性検証ツールは NPS に組み込まれています。Windows Server 2008 の NAP 実装では、すべての NAP 強制タイプの正常性検証サービスが Windows SHV により提供されます。注 : SHA および SHV のコンポーネントは、サードパーティソフトウェアの開発者
から提供されることもあります。たとえば、サードパーティの NAP 対応ファイ
アウォール製品のベンダがその製品を NAP 検証に参加させるために、独自の SHA および SHV コンポーネントを提供する場合などです。 12 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク管理サーバー NAP 管理サーバーは Windows Server 2008 NPS サーバーの機能の 1 つであり、サー
バー上に存在するすべてのシステム正常性検証ツール (SHV) からの出力を調整し、
正常性ポリシー要件への準拠に基づいてクライアントのアクセスを制限するかど
うかを NAP 強制サーバーに通知します。アカウントデータベース NAP インフラストラクチャは、コンピュータおよびユーザーアカウントの認証が
必要な強制タイプのセキュリティアカウントデータベースにアクセスできる必
要があります。アカウントデータベースには、認証されたネットワークアクセ
スのユーザーアカウントとコンピュータアカウント、およびそれらのネットワー
クアクセスプロパティが格納されます。Windows Server 2008 の NAP では、
Windows Server Active Directory がアカウントデータベースとして機能します。修復サーバー修復サーバーは、非準拠コンピュータが準拠状態への移行に必要な操作を実行す
るためにアクセスするサーバー、サービス、またはその他のリソースで構成され
ます。修復サーバーには、コンピュータの正常性要件への準拠に必要な最新のソ
フトウェア修正プログラムまたはセキュリティ更新プログラムを格納することが
できます (たとえば、ウイルス対策署名ファイルサーバー、ソフトウェア更新サー
バーなど)。通常、非準拠コンピュータには修復サーバーの一覧が表示され、(クライアント側
の) システム正常性エージェント (SHA) が直接修復サーバーとの通信を処理します。 Microsoft Corporation 13 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要レッスン 3 : Windows Server 2008 の NAP コンポーネ
ントこのレッスンでは、次のことを行います。 ■
これまでのレッスンで説明した必須の NAP 機能ロールの復習 ■
各機能を実装する特定の Windows コンポーネントの確認 ■
Windows Server 2008 の NAP 実装に必要な Windows Server 2008 のサーバー
の役割および役割サービスの説明必要な Windows Server 2008 の役割および役割サービス NAP ポリシーサーバーの役割および役割サービス Windows Server 2008 では、すべての NAP 強制タイプの NAP 機能に次のサーバー
の役割および役割サービスが必要です。 ■
ネットワークポリシーとアクセスサービス (NPAS) サーバーの役割 □
NPAS のネットワークポリシーサーバー (NPS) 役割サービス強制サーバーの役割および役割サービス前に示した必須の役割および役割サービス以外にも、実装されている各 NAP 強制
タイプに応じた強制サーバーのインストールが必要です。強制サーバーを実装する Windows Server 2008 の役割および役割サービスは、強制
タイプごとに異なります。表 2 : 強制サーバーの役割および役割サービス NAP 強制タイプ NAP 強制サーバーの役割および役割サービス
DHCP Windows Server 2008 の DHCP サーバーの役割
IPSec (NPAS サーバーの役割の) 正常性登録機関 (HRA : Health Registration Authority) の役割サー
ビス VPN (NPAS サーバーの役割の) RRAS の役割サービス
14 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク NAP 強制タイプ NAP 強制サーバーの役割および役割サービス
802.1x 802.1x VLAN スイッチまたは 8021.x ワイヤレスアクセスポイントターミナルサーバーゲートウェイ
ターミナルサーバーの役割、およびターミ
ナルサーバーとターミナルサーバーゲート
ウェイの役割サービス RADIUS サーバーとしての NPS Windows Server 2008 では、リモート認証ダイヤルインユーザーサービス (RADIUS) サーバーおよびプロキシとして、Windows Server 2003 のインターネット認証サー
ビス (IAS) に代わり、NPS が Windows に実装されています。各強制サーバーは NPS に対して RADIUS クライアントとして動作し、各強制タイプ
に必要な追加の NAP インフラストラクチャを提供します。 NPS は、ネットワーク接続の試行に必要なすべての認証および承認を実行し、
クライアントが準拠コンピュータであるかどうかをシステム正常性ポリシーに
基づいて判別します。 NPS は、クライアントの状態 (準拠または非準拠) を強制サーバーに通知します。
次に、強制サーバーは強制クライアントに通知し、クライアントのネットワークアクセスを許可するか、またはクライアントが非準拠である場合はクライアントコ
ンピュータのネットワークアクセスまたは通信に対して適切な制限を設定します。 Microsoft Corporation 15 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要正常なクライアントと正常でないクライアントに対する NAP 強制次の表では、正常な (準拠) クライアントと正常でない (非準拠) クライアントに
対する各 NAP 強制タイプの強制オプションを概説します。表 3 : NAP 強制オプション正常でない (非準拠) クライア
ント強制正常な (準拠) クライアント
DHCP 完全な IP アドレスが提供され制限付きルートセットた場合はフルアクセス VPN (Microsoft およびサードフルアクセス
パーティ) 制限付き VLAN 802.1x フルアクセス
制限付き VLAN IPSec 信頼できるピアとの通信が正常なピアは正常でないシス
可能テムからの接続要求を拒否 TS ゲートウェイ ■
レイヤ 2 の保護の補強
■
既存のサーバーおよびインフラストラクチャで動作 ■
柔軟な分離フルアクセス
接続不可
NAP 強制タイプ : 実装 DHCP 強制 DHCP 強制は、DHCP NAP ES コンポーネントおよび DHCP NAP EC コンポーネント
で構成されます。DHCP 強制を使用すると、DHCP サーバーは、ネットワーク上の
コンピュータが IP アドレス構成のリースまたは更新を試行した場合に随時正常性
ポリシー要件を強制できます。すべての DHCP クライアントコンピュータは IP アドレスをリースする必要があるので、DHCP 強制は展開が最も簡単な強制です。
DHCP 強制は IP ルーティングテーブルのエントリに依存するので、ネットワークアクセス保護における制限付きネットワークアクセスでは最も弱い形式です。 16 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク IPSec 強制 IPsec 強制は正常性登録機関 (HRA) および IPsec NAP 強制クライアント (EC) で構
成されます。HRA は、検疫クライアントが準拠クライアントであると判別される
と X.509 証明書を発行します。X.509 証明書は、NAP クライアントがイントラネッ
ト上の別の NAP クライアントと IPsec で保護された通信を開始する際の認証に使
用されます。 IPsec 強制はネットワーク上の通信を準拠と判断されたノードに限定します。IPsec 強制では IPsec が使用されるので、準拠クライアントとの安全な通信要件を IP ア
ドレスまたは TCP/UDP ポート番号ごとに定義できます。IPsec 強制における通信は、
正常に接続して有効な IP アドレス構成を取得した準拠コンピュータに限定されます。
IPsec 強制は、ネットワークアクセス保護における制限付きネットワークアクセ
スでは最も強い形式です。 VPN 強制 VPN 強制は、VPN NAP 強制サーバー (ES) コンポーネントおよび VPN NAP EC コン
ポーネントで構成されます。VPN 強制を使用すると、VPN サーバーは、コンピュー
タがネットワークへの VPN 接続を試行した場合に随時正常性ポリシー要件を強制
できます。VPN 強制は、VPN 接続を使用してネットワークにアクセスするすべて
のコンピュータに対して、強力な制限付きネットワークアクセスを提供します。 802.1X 強制 802.1X 強制は、NPS サーバーおよび EAPHost NAP EC コンポーネントで構成され
ます。802.1X 強制を使用すると、NPS サーバーは、802.1X アクセスポイント (イーサネットスイッチまたはワイヤレスアクセスポイント) に対して、修復機
能のセットを実行するまで 802.1X クライアントに制限付きアクセスプロファイ
ルを配置するよう指示します。制限付きアクセスプロファイルは、IP パケットフィルタまたは仮想 LAN (VLAN : virtual LAN) 識別子のセットで構成することが
でき、802.1X クライアントのトラフィックを制限します。802.1X 強制は、
802.1X 接続を使用してネットワークにアクセスするすべてのコンピュータに対
して、強力な制限付きネットワークアクセスを提供します。注 NAP の VPN 強制は、Windows Server 2003 の機能の 1 つであるネットワークアクセス検疫
制御とは異なります。 Microsoft Corporation 17 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要レッスン 4 : NAP で使用される NPS ポリシーこれまでのレッスンでは、ネットワークアクセスを要求するコンピュータに対して
正常性についての要件を定義し強制する場合、および非準拠と識別されたクライ
アントに対する制限方法を決定する場合のそれぞれについて、NAP におけるポリ
シーの役割を説明しました。このレッスンでは、NPS 上に作成および格納された特定のポリシータイプについ
てより詳しく説明し、NAP 通信、検証、および強制におけるこれらのポリシーの
役割を明確にします。ポリシー構成については、このモジュールで後述します。すべての NAP 構成に関連するポリシーが 3 つあります。 ■
接続要求ポリシー ■
ネットワークポリシー ■
正常性ポリシー前の 3 つのポリシータイプのうち、正常性ポリシーのみが NAP 固有のポリシー
です。接続ポリシーとネットワークポリシーは標準の RRAS ポリシータイプであり、
Windows Server 2003 RRAS の場合と同様に機能します。ただし、Windows Server 2008 では、これらのポリシーは NPS で一元的に保存および管理され、また、
NAP 展開の一部として使用する際に構成可能な NAP 固有の設定が追加されました。さらに、これらの 3 つのポリシータイプはすべて NAP の機能と動作の定義に使用
されます。単独で "NAP ポリシー" となるポリシーはありません。3 つのポリシータイプごとに設定を構成する際は、NAP を有効にするために、あらゆる NAP 強制
シナリオに対応できるようにし、NAP 強制タイプに応じて 3 つのポリシータイプ
がさまざまな方法で連動できるようにする必要があります。重要ネットワークポリシー、正常性ポリシー、接続要求ポリシーなどの NPS ポリシーは、
グループポリシーとは異なるものであり、グループポリシーとの関連もありません。 18 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク NPS のポリシータイプネットワークポリシーサーバー (NPS) には、次の 3 つのポリシータイプがあり
ます。接続要求ポリシー : 接続要求ポリシーは、NPS サーバーが RADIUS クライアントか
ら受け取る接続要求の認証および承認を実行する RADIUS サーバーをネットワーク
管理者が指定することを可能にする、条件と設定のセットです。また、接続要求
ポリシーは、RADIUS アカウントに使用する RADIUS サーバーを決定するように
構成できます。ネットワークポリシー : ネットワークポリシーは、ネットワークに接続できる認
証ユーザーと、ユーザーが接続を許可または拒否される条件を指定できるように
する、条件、制限、および設定のセットです。NAP 展開の際、正常性ポリシーは
ネットワークポリシー構成の属性により識別されます。正常性ポリシーは、承認
処理中に、クライアントの正常性チェックを実行するよう NPS に指示します。正常性ポリシー : 正常性ポリシーは NAP でのみ使用されます。正常性ポリシーは、
ネットワーク接続を試みる NAP 対応クライアントコンピュータに対して特定の正
常性チェックを実行する 1 つ以上のシステム正常性検証ツール (SHV) を指定します。ポリシー設定と SHV 構成指定されたコンピュータのチェックに使用される特定の正常性についての要件は、
実際にはこれらのポリシーでは指定されず、正常性ポリシーでも指定されません。
代わりに、SHV の構成プロパティで指定されます。前述のとおり、システム正常性検証ツール (SHV) は、クライアントのアクセス要
求と共に送信されたクライアントの正常性ステートメント (SoH) を評価するサー
バー側コンポーネントです。 NPS サーバーには、1 つ以上の SHV がインストールおよび実行されます。各 SHV は、クライアント側の対応するシステム正常性エージェント (SHA) によって、
SoH に配置されたデータを評価します。 SHA と SHV のペアにより、特定のコンピュータに対する特定の "正常性条件" が認識
されます。アクセス要求中に実行される特定の "正常性チェック" は、ポリシーファイルでは
なく、NPS サーバーの SHV プロパティを介して公開および構成されます。 Microsoft Corporation 19 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP 対応アプリケーション SHA により報告され SHV により評価される正常性条件は、コンピュータに固有の
ものではなく、コンピュータで実行される NAP 対応アプリケーションまたはサー
ビスに固有のものです。つまり、Windows NAP API を使用するよう記述されたアプリケーションまたは
サービスのみが、正常性を報告できます。NAP 対応アプリケーションまたはサー
ビスのみが、それらのアプリケーションやサービスと連携するよう記述された特
定のクライアント側 SHA に自身の正常性を報告できます。サーバー側でも、各 SHV はクライアント側のアプリケーションまたはサービスに
固有です。各 SHV は、厳密にそのアプリケーションまたはサービスのクライアン
ト側 SHA と連携し、SoH のデータを受信および評価するよう記述されています。 NAP API により、Microsoft およびサードパーティのソフトウェア開発者によるさ
まざまな NAP 対応アプリケーションおよびサービスの作成が可能になります。 Windows Vista および Windows Server 2008 には、Windows SHA および Windows SHV が含まれています。これらは、Windows セキュリティセンターコンポーネント
の SoH の報告および評価を行います。Windows セキュリティセンターは、NAP 対
応アプリケーションの一例です。 NAP 対応アプリケーションを作成するサードパーティの開発者は、アプリケーショ
ンの NAP 機能が Windows Vista または Windows Server 2008 でサポートされるよう
にするために SHA/SHV ペアを用意します。 20 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークレッスン
ン 5 : NA
AP にお
おける各
各ポリシータ
タイプの役割
割これまでの
のレッスン
ンでは、NAP
P 展開で使
使用される 3 つの NP
PS ポリシー
ーについて
て
概説し、SHV が実行
行するタスク
クに対するポリシーの
の役割を明
明確にしまし
した。このレッス
スンでは、各
各ポリシー
ータイプに
についてより
り詳しく説
説明し、NAP
P 構成にお
お
ける各ポリ
リシーの具
具体的な役割
割を確認し
します。また
た、3 つのす
すべてのポ
ポリシータ
タ
イプが NA
AP の実装で
でどのように連携する
るかを示します。各ポリシー
ータイプで
で使用可能な
な設定およ
よびオプショ
ョンは、NA
AP 強制タイ
イプによっ
っ
て異なりま
ます。 NA
AP 構成
成におけ
ける NPSS ポリシ
シータイ
イプの役
役割図 1 :: NAP 構成で使用される N
NPS ポリシー
ー osoft Corporattion Micro
21 © 2007 Microsoft Corrporation. All rights reserve
ed. Windows Server 2008 の概要第 3 部 : NAP 実装に関する考慮事項レッスン 1 : NAP 機能の概要ネットワークアクセス保護の動作次の図と手順は、サンプルネットワークにおいてネットワークアクセス保護がど
のように動作するかを表しています。図 2 : NAP 展開の例このサンプルネットワークは、IPsec 強制、802.1X 強制、VPN 強制、および DHCP 強制に対応するよう構成されています。 NPS は個別のサーバーにインストールされています。NPS サーバーは、正常性ポ
リシーサーバーとして動作します。このサンプルネットワークは、正常性ポリシー検証、正常性ポリシー準拠、およ
び非準拠コンピュータのネットワークアクセス制限に対応するよう構成されて
います。 22 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク各コンピュータが正常性証明書の取得、ネットワークへの 802.1X 接続または VPN 接続、または DHCP サーバーからの IP アドレスのリースまたは更新を実行しよう
とすると、各コンピュータは次のいずれかの方法で分類されます。 ■
正常性ポリシー要件を満たしているコンピュータは、準拠として分類され、
ネットワークへの無制限アクセスが許可されます。 ■
正常性ポリシー要件を満たしていないコンピュータは、非準拠として分類され、
要件を満たすまでは制限付きネットワークにしかアクセスできません。 □
■
非準拠コンピュータとは、ウイルスに感染していたり、ネットワークに
対してその他の脅威を与えたりするコンピュータを指すわけではありま
せん。非準拠コンピュータとは、ネットワーク正常性ポリシーが要求す
るソフトウェアおよび構成を持っていないコンピュータのことです。した
がって、非準拠コンピュータは、ネットワークのその他の部分に対して
正常性のリスクをもたらします。SHA は、制限付きアクセス権を持つコン
ピュータを自動的に更新し、無制限アクセスに必要なソフトウェアを提
供します。このサンプルネットワークには、制限付きネットワークが含まれています。 □
制限付きネットワークは論理的または物理的に定義できます。たとえば、
IP フィルタ、静的ルート、VLAN 識別子などのメカニズムを使用して定義
できます。 □
非準拠コンピュータは、ネットワークリソースへのアクセスが制限され
る制限付きネットワークに配置できます。 □
修復サーバーは、制限付きネットワークに配置された非準拠コンピュー
タからアクセス可能にし、非準拠コンピュータが準拠状態に移行するた
めに必要な更新プログラムを入手できるようにします。 Microsoft Corporation 23 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要前提条件と制限以下は、ネットワークアクセス保護に関する前提条件と制限の一部です。 ■
ネットワークに対してネットワークアクセス保護を構成する管理者は、
Windows コンポーネント、および IPsec、802.1X 認証、VPN、DHCP、NPS、
Active Directory、証明書サービス、グループポリシーなどのテクノロジを理解
している必要があります。 ■
非準拠コンピュータは、必ずしもアクセスが制限されるわけではありません。
管理者は、実行するアクションのレベルを選択できます。 ■
悪意のあるユーザーがネットワーク正常性要件を満たすコンピュータを使用
した場合、ネットワークアクセス保護では防御できません。 ■
802.1X 認証、VPN 接続、DHCP 構成など、ネットワークアクセス保護をサ
ポートする強制メカニズムを介してコンピュータがネットワークに接続した
場合に限り、制限付きネットワークへのアクセスの制限が機能します。 ■
DHCP サーバー、DNS サーバー、および修復サーバーは、コンピュータが無制
限のアクセス権を保持しているかどうかにかかわらず、すべてのコンピュー
タからアクセス可能である必要があります。Active Directory ドメインコント
ローラは、制限付きアクセス権を持つコンピュータからアクセスできる場合
とできない場合があります。 ■
制限付きネットワークに配置された DNS サーバーをプライマリ DNS サーバー
にする必要はありません。このようなサーバーは、セカンダリサーバーにす
ること、または制限付きネットワークの外部にある DNS サーバーにクエリを
転送できる単純なフォワーダにすることもできます。 ■
SHA と SHV は、対応するポリシーサーバーおよび修復サーバーに対応させる
ことができます。たとえば、ウイルス対策 SHA、ウイルス対策 SHV、ウイル
ス対策ポリシーサーバー、およびウイルス対策修復サーバーは、特定のウイ
ルス対策ソフトウェアベンダに対応させます。 ■
ネットワークアクセス保護は、セキュリティソリューションではありません。
ネットワークアクセス保護の目的は、安全でない構成を持つコンピュータが
ネットワークに接続するのを防ぐことであり、有効な資格情報と現行の正常
性要件を満たすコンピュータを所持している悪意のあるユーザーからネット
ワークを保護することではありません。 24 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークレッスン 2 : NAP のインストールと構成に関する
考慮事項 NAP のコンポーネントをインストールするための必要条件 NAP 環境を計画する場合には、サポートされているオペレーティングシステムの
理解、およびそのオペレーティングシステムにインストールできるコンポーネン
トの理解が重要です。次の表に、NAP のコンポーネントとそれらをインストール
できる対象を示します。表 4 : NAP コンポーネント NAP コンポーネ Windows Server 2008 ント Windows 2003 Server Vista
XP NAP クライアント可 (ビルトイン)
(エージェント) 不可
可 (ビルトイン) 可 (SP3 では同梱)
NPS 可不可
不可
不可 TSG 可不可
不可
不可 DHCP (IPv6 および可 NAP を使用) 不可
不可
不可 HRA (IPSec および可 NAP を使用) 不可
不可
不可 NAP 修復サー
バー WSUS 可可
不可
不可 SMSv4 サーバー可 (NAP を使用) 可
不可
不可企業用ウイルス可対策サーバー可
不可
不可 Microsoft Corporation 25 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要第 4 部 : NAP DHCP 強制タイプ学習内容このレッスンを完了すると、次のことができるようになります。 ■
DHCP 強制の目的の理解 ■
DHCP 強制のプロセスの理解 ■
DHCP 強制タイプの制限の理解 26 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークレッスン 1 : DHCP 強制のプロセス図 3 : DHCP 強制図 1 のネットワークと同じ構成のネットワークおいて、単一の SHA のみ持つ DHCP クライアントが IP アドレスをリースまたは更新する必要がある場合に DHCP 強制
がどのように動作するかを次のプロセスで説明します。 1.
DHCP クライアントが DHCP 要求メッセージを DHCP サーバーに送信します。 a.
2.
DHCP クライアントが SoH を所持している場合、DHCP 要求メッセージ
にはそれが含まれます。SoH には、クライアントの正常性に関する情
報が含まれます。DHCP サーバーは SoH を NPS サーバーに渡します。
NPS サーバーはポリシーサーバーと通信して SoH が有効かどうか確認
します。 SoH が有効な場合、DHCP サーバーは DHCP クライアントに完全な IP アドレ
ス構成を割り当てます。ポリシーの定義に従って、DHCP クライアントには
ネットワークへの無制限のアクセス権が与えられます。 Microsoft Corporation 27 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 3.
SoH が有効でない場合、DHCP サーバーは、ポリシーの定義に従い、DHCP ク
ライアントが制限付きネットワークにしかアクセスできないようにし、制限
付きアクセスのサブネットマスクと静的ルートをその DHCP クライアント
に割り当てます。 a.
SoH を所持していない DHCP クライアントは、準拠クライアントではあ
りません。DHCP サーバーは、ネットワーク管理者による定義に従い、
DHCP クライアントからのアクセスを制限付きネットワークに限定し
ます。 4.
DHCP クライアント上の NAP エージェントが更新要求を修復サーバーに送信
します。 5.
修復サーバーは、DHCP クライアントが正常性ポリシーに準拠できるように、
DHCP クライアントに必要な更新を提供します。DHCP クライアントの SoH が
更新されます。 6.
DHCP クライアントは、更新された SoH を含む DHCP 要求メッセージを DHCP サーバーに送信します。NPS サーバーが更新された SoH が有効なことを確認
すると、DHCP サーバーは、ポリシーの定義に従い、ネットワークへの無制
限アクセスを DHCP クライアントに許可します。 28 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク第 5 部 : アーキテクチャここでは、NAP アーキテクチャ、および NAP クライアントコンポーネントと NAP サーバーコンポーネントの連携について詳しく説明します。学習内容このレッスンを完了すると、次のことができるようになります。 ■
NAP アーキテクチャの必須コンポーネントの説明 ■
クライアント側 NAP コンポーネントとサーバー側 NAP コンポーネントの連携
についての説明 Microsoft Corporation 29 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要レッスン 1 : NAP サーバー側のアーキテクチャ図 4 は、NAP 強制ポイントと NAP 正常性ポリシーサーバーで構成される NAP サー
バー側アーキテクチャを表しています。NAP プラットフォームのサーバー側アー
キテクチャには、新しいコンポーネントおよび既存のコンポーネントの更新され
たバージョンが含まれます。図 4 : サーバー側の NAP プラットフォームアーキテクチャ Windows ベースの NAP 強制ポイントには、NAP 強制サーバー (ES) コンポーネン
トのレイヤがあります。各 NAP ES は、異なる種類のネットワークアクセスまた
は通信に対応するように定義されます。たとえば、リモートアクセス VPN 接続
用の NAP、DHCP 構成用の NAP ES があります。NAP ES は、特定の種類の NAP 対応クライアントに対応します。たとえば、DHCP NAP ES は DHCP ベースの NAP クライアントと連携するように設計されています。サードパーティのソフトウェ
アベンダまたは Microsoft は、NAP プラットフォーム用の追加の NAP ES を提供
できます。 NAP ES は、対応する NAP EC から SSoH を取得し、それを RADIUS アクセスメッ
セージの RADIUS ベンダ固有の属性 (VSA) として正常性ポリシーサーバーに送信
します。 30 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク NAP 正常性ポリシーサーバーには、次のコンポーネントがあります。 NPS サービス : RADIUS アクセス要求メッセージを受け取り、SSoH を抽出し、それ
を NAP 管理サーバーコンポーネントに渡します。NPS サービスは Windows Server "Longhorn" で提供されます。 NAP 管理サーバー : NPS サービスと SHV が通信できるようにします。NAP 管理サー
バーコンポーネントは NAP プラットフォームで提供されます。システム正常性検証ツール (SHV) コンポーネントのレイヤ : 各 SHV は、1 種類以
上のシステム正常性要素用に定義され、SHA に対応できます。たとえば、ウイルス
対策プログラム用の SHV があります。SHV は、1 つ以上の正常性要件サーバーに
対応できます。たとえば、ウイルス対策シグネチャをチェックするための SHV は、
最新のシグネチャファイルを含むサーバーに対応します。SHV は対応する正常
性要件サーバーを持つ必要がありません。たとえば、SHV は、ホストベースの
ファイアウォールが有効になっていることを確認するために、ローカルシステム
の設定をチェックするよう NAP 対応クライアントに対し指示できます。Windows Server "Longhorn" には、Windows セキュリティ正常性検証ツール (SHV) が含ま
れています。追加の SHV が NAP プラットフォームへのアドオンとしてサードパー
ティのソフトウェアベンダまたは Microsoft から提供されます。 SHV API : 一連の関数呼び出しを提供しています。これらの関数により、SHV は NAP 管理サーバーコンポーネントに登録すること、NAP 管理サーバーコンポー
ネントから SoH を受け取ること、および NAP 管理サーバーコンポーネントに SoHR を送信することができます。SHV API は NAP プラットフォームで提供されます。 NAP サーバー側インフラストラクチャの最も一般的な構成は、ネットワークアク
セスまたは特定の種類の通信を提供する NAP 強制ポイントと、システム正常性
検証および修復を提供する個別の NAP 正常性ポリシーサーバーという構成です。
NPS サービスは NAP 正常性ポリシーサーバーとして個別の Windows ベースの NAP 強制ポイントにインストールできます。ただし、この構成では、各 NAP 強
制ポイントに対して個別にネットワークアクセスおよび正常性ポリシーを構成
する必要があります。推奨される構成は、NAP 正常性ポリシーサーバーを使用
する構成です。 Microsoft Corporation 31 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 NAP アーキテクチャ全体は、次の一連のコンポーネントで構成されます。 ■
3 つの NAP クライアントコンポーネント (SHA レイヤ、NAP エージェント、
および NAP EC レイヤ) ■
4 つの NAP サーバー側コンポーネント (SHV レイヤ、NAP 管理サーバー、
NPS サービス、および Windows ベースの NAP 強制ポイント上の NAP ES レ
イヤ) ■
正常性要件サーバー ■
修復サーバー図 5 は、NAP プラットフォームのコンポーネント間の関係を表しています。図 5 : NAP プラットフォームのコンポーネント間の関係 32 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク次の一連のコンポーネントの対応に注意してください。 ■
NAP EC と NAP ES が対応しています。たとえば、NAP クライアント上の DHCP NAP EC は、DHCP サーバー上の DHCP NAP ES に対応します。 ■
SHA と修復サーバーが対応しています。たとえば、クライアント上のウイルス対策 SHA は、ウイルス対策シグネチャ
修復サーバーに対応します。 ■
SHV と正常性要件サーバーが対応しています。たとえば、NAP 正常性ポリシーサーバー上のウイルス対策 SHV は、ウイルス
対策正常性要件サーバーに対応します。 NAP 正常性ポリシーサーバーは、対応する SHA または対応する正常性要件
サーバーのない SHV を持つことができます。たとえば、システムの正常性の
評価時に侵入検出システム (IDS) サーバーを使用してチェックする SHV がこ
れに該当します。サードパーティのソフトウェアベンダは、次の方法で NAP プラットフォームを
拡張できます。 ■
NAP クライアントの正常性を評価する新しい方法を作成する。サードパーティのソフトウェアベンダは、NAP クライアント用の SHA、NAP 正常性ポリシーサーバー用の SHV (必要に応じて正常性要件サーバー用の SHV、
および修復サーバー用の SHV) を作成する必要があります。ウイルス対策シ
グネチャ配布サーバーなど、正常性要件サーバーまたは修復サーバーが既に
存在する場合、対応する SHA コンポーネントと対応する SHV コンポーネン
トのみ作成する必要があります。場合によっては、正常性要件サーバーまた
は修復サーバーは必要ありません。 ■
ネットワークアクセスまたは通信の正常性要件を強制する新しい方法を作成
する。サードパーティのソフトウェアベンダは、NAP クライアントの NAP EC を作成
する必要があります。強制方法で Windows ベースのサービスを使用する場合、
サードパーティのソフトウェアベンダは、RADIUS プロトコルを使用して、
または RADIUS プロキシとして NAP 強制ポイントにインストールされた NPS サービスを使用して NAP 正常性ポリシーサーバーと通信する、対応する NAP ES を作成する必要があります。 Microsoft Corporation 33 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要サーバー側の NAP プラットフォームコンポーネント次のセクションでは、サーバー側の NAP プラットフォームコンポーネントについ
て詳しく説明します。 NAP 強制サーバー NAP ES により特定レベルのネットワークアクセスまたは通信が可能になります。
NAP ES は、NAP クライアントの正常性状態を評価するためにそれを NAP 正常性
ポリシーサーバーに渡すこと、およびその応答に基づいて制限付きネットワークアクセスを強制することができます。 Windows Server Longhorn に含まれている NAP ES には、以下のものがあります。 ■
IPsec 保護通信用の IPsec NAP ES IPsec 保護通信では、HRA が NAP クライアントの正常性状態情報を NAP 正常性
ポリシーサーバーに渡します。 ■
DHCP ベースの IP アドレス構成用の DHCP NAP ES DHCP NAP ES は、DHCP サーバーサービスの新しい機能であり、業界標準の DHCP メッセージを使用して NAP クライアント上の DHCP NAP EC と通信します。
制限付きネットワークアクセスを DHCP で強制するには、DHCP オプション
を使用して行います。 ■
TS ゲートウェイサーバーベースの接続用の TS ゲートウェイ NAP ES リモートアクセス VPN 接続および 802.1X 認証接続の場合、NPS サービスの新し
い機能では、NAP クライアントと NAP 正常性ポリシーサーバー間で PEAP‐TLV メッセージが使用されます。VPN 強制は、VPN 接続に適用される IP パケットフィ
ルタを使用します。802.1X 強制は、IP パケットフィルタを接続に適用するか、
または制限付きネットワークに対応する VLAN ID に接続を割り当てることで、
802.1X ネットワークアクセスデバイスにおいて実行されます。 NAP 管理サーバー NAP 管理サーバーコンポーネントは、次のサービスを提供します。 ■
NAP サービスを介して NAP ES から SSoH を取得します。 ■
SSoH で SoH を適切な SHV に配布します。 ■
SHV から SoHR を収集し、それらを評価するために NPS サービスに渡します。 34 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク NPS サービス RADIUS は広く採用されているプロトコルであり、Requests for Comments (RFC) 2865 と 2866 で説明されている、ネットワークアクセスの一元的な認証、承認、
およびアカウンティングに対応しています。RADIUS は、もともとはダイヤルアッ
プリモートアクセスのために開発されたのですが、現在ではワイヤレスアクセ
スポイント、認証イーサネットスイッチ、VPN サーバー、デジタル加入者回線 (DSL)、およびその他のネットワークアクセスサーバーが RADIUS をサポートし
ています。 NPS は、RADIUS サーバーの実装であり Windows Server "Longhorn" のプロキシ
です。NPS は、Windows Server 2003 のインターネット認証サービス (IAS) に代
わるものです。NAP プラットフォームでは、NPS サービスが更新され、NAP 管理
サーバーコンポーネント、SHV API とインストール可能な SHV のサポート、およ
び正常性ポリシーを構成するためのオプションが組み込まれました。 NPS サービスは、SHV から取得した SoHR に基づいて、正常性応答のシステムス
テートメント (SSoHR) を作成します。この SSoHR は、NAP クライアントが準拠か
非準拠か示し、また SHV から取得した SoHR を格納します。システム正常性検証ツール SHV は、NAP 管理サーバーから SoH を受け取り、SoH のシステム正常性状態情報
と必要なシステム正常性状態を比較します。たとえば、SoH がウイルス対策 SHA からのもので、以前のウイルス対策シグネチャファイルのバージョン番号を含ん
でいる場合、対応するウイルス対策 SHV は、ウイルス対策正常性要件サーバーに
問い合わせて最新のバージョン番号を確認し、NAP クライアントの SoH を検証
します。 SHV は SoHR を NAP 管理サーバーに返します。SoHR には、NAP クライアント上
の対応する SHA が、現在のシステム正常性要件をどのように満たすことができ
るかについて情報を格納できます。たとえば、ウイルス対策 SHV から送信される SoHR で、特定のウイルス対策シグネチャサーバーに対し最新バージョンのウイ
ルス対策シグネチャファイルを名前または IP アドレスを使用して要求するよう、
NAP クライアント上のウイルス対策 SHA に対して指示できます。 Microsoft Corporation 35 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要レッスン 2 : クライアント NAP コンポーネントと
サーバー NAP コンポーネント間の通信 NAP エージェントコンポーネントは、次のプロセスを介して NAP 管理サーバーコンポーネントと通信できます。 ■
NAP エージェントが SSoH を NAP EC に渡します。 ■
NAP EC は SSoH を NAP ES に渡します。 ■
NAP ES は SSoH を NPS サービスに渡します。 ■
NPS サービスは SSoH を NAP 管理サーバーに渡します。 NAP 管理サーバーは、次のプロセスを介して NAP エージェントと通信できます。 ■
NAP 管理サーバーが SoHR を NPS サービスに渡します。 ■
NPS サービスは SSoHR を NAP ES に渡します。 ■
NAP ES は SSoHR を NAP EC に渡します。 ■
NAP EC は SSoHR を NAP エージェントに渡します。 SHA は、次のプロセスを介して対応する SHV と通信できます。 ■
SHA が SoH を NAP エージェントに渡します。 ■
NAP エージェントは、SoH を SSoH 内に格納して NAP EC に渡します。 ■
NAP EC は SoH を NAP ES に渡します。 ■
NAP ES は SoH を NAP 管理サーバーに渡します。 ■
NAP 管理サーバーは SoH を SHV に渡します。 36 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク SHV は、次のプロセスを介して対応する SHA と通信できます。 ■
SHV が SoHR を NAP 管理サーバーに渡します。 ■
NAP 管理サーバーは SoHR を NPS サービスに渡します。 ■
NPS サービスは、SoHR を SSoHR 内に格納して NAP ES に渡します。 ■
NAP ES は SoHR を NAP EC に渡します。 ■
NAP EC は SoHR を NAP エージェントに渡します。 ■
NAP エージェントは SoHR を SHA に渡します。図 6 は、NAP クライアントコンポーネントから NAP サーバー側コンポーネントへの通
信プロセスを表しています。図 6 : NAP クライアントコンポーネントから NAP サーバー側コンポーネントへの通信プロセス Microsoft Corporation 37 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要図 7 は、NAP サーバー側コンポーネントから NAP クライアントコンポーネントへの通
信プロセスを表しています。図 7 : NAP サーバー側コンポーネントから NAP クライアントコンポーネントへの通信プロセス 38 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークレッスン 3 : NAP クライアントのアーキテクチャ NAP クライアントのアーキテクチャ NAP クライアントは、NAP プラットフォーム用の新しいコンポーネントおよび既存
のコンポーネントの更新されたバージョンを含む Windows Vista、Windows Server "Longhorn"、または (Windows XP 用の NAP クライアントを備えた) Windows XP SP2 を実行するコンピュータです。図 8 は、NAP クライアント上の NAP プラットフォー
ムのアーキテクチャを表しています。図 8 : NAP クライアント上の NAP プラットフォームのアーキテクチャ NAP クライアントのアーキテクチャは、以下で構成されます。 ■
NAP 強制クライアント (EC) コンポーネントのレイヤ : 各 NAP EC は、異なる種
類のネットワークアクセスまたは通信に対応するように定義されます。たと
えば、リモートアクセス VPN 接続用の NAP EC や、DHCP 構成用の NAP EC が
あります。NAP EC は、特定の種類の NAP 強制ポイントに対応できます。たと
えば、DHCP NAP EC は DHCP ベースの NAP 強制ポイントと連携するように
設計されています。一部の NAP EC は NAP プラットフォームで提供されますが、
サードパーティのソフトウェアベンダまたは Microsoft がその他の NAP EC を提供している場合もあります。 Microsoft Corporation 39 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 ■
システム正常性エージェント (SHA) コンポーネントのレイヤ : このコンポー
ネントは、システム正常性の 1 つ以上の要素を管理およびレポートします。
たとえば、ウイルス対策シグネチャ用の SHA、およびオペレーティングシ
ステムの更新用 SHA があります。SHA は修復サーバーに対応できます。た
とえば、ウイルス対策シグネチャをチェックするための SHA は、最新のウイ
ルス対策シグネチャファイルを含むサーバーに対応できます。SHA は対応す
る修復サーバーを持つ必要がありません。たとえば、SHA は、ローカルシス
テムの設定をチェックするだけで、ホストベースのファイアウォールが有効
になっていることを確認できます。Windows Vista および (Windows XP 用の NAP クライアントを備えた) Windows XP SP2 には、Windows セキュリティセ
ンターの設定を監視する Windows セキュリティ正常性検証ツール (SHA) が
含まれます。サードパーティのソフトウェアベンダまたは Microsoft は、NAP プラットフォーム用の追加の SHA を提供できます。 ■
NAP エージェント : NAP クライアントの現在の正常性状態の情報を管理し、
NAP EC と SHA レイヤが通信できるようにします。NAP エージェントは NAP プラットフォームで提供されます。 ■
SHA アプリケーションプログラミングインターフェイス (API) : 一連の関数呼
び出しを提供しています。これらの関数により SHA は、NAP エージェントに
登録すること、システム正常性状態を示すこと、システム正常性状態について
の NAP エージェントからの問い合わせに応答することができ、また NAP エー
ジェントはシステム正常性修復情報を SHA に渡すことができます。SHA API により、ベンダは、追加の SHA を作成およびインストールすることができます。
SHA API は NAP プラットフォームで提供されます。SHA API に関するドキュメ
ントは、http://msdn2.microsoft.com/en‐us/library/aa369712.aspx (英語) に
ある『Platform Software Development Kit (SDK)』を参照してください。 ■
NAP EC API : 一連の関数呼び出しを提供しています。これらの関数により NAP EC は、NAP エージェントに登録すること、システム正常性状態を要求
すること、およびシステム正常性修復情報を NAP エージェントに渡すことが
できます。NAP EC API により、ベンダは、追加の NAP EC を作成およびイン
ストールすることができます。NAP EC API は NAP プラットフォームで提供
されます。NAP EC API のドキュメントについては、プラットフォーム SDK を
参照してください。 40 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク SHA は、特定の SHA の正常性状態を示すために、正常性ステートメント (SoH) を
作成し、それを NAP エージェントに渡します。SoH には、システム状態の 1 つ以
上の要素を格納できます。たとえば、ウイルス対策プログラム用の SHA は、コン
ピュータで実行されているウイルス対策ソフトウェアの状態、そのバージョン、
および受信した最新のウイルス対策シグネチャの更新を含む SoH を作成できます。
SHA は、状態を更新するとき必ず新しい SoH を作成し、それを NAP エージェン
トに渡します。NAP エージェントは、NAP クライアントのすべての正常性状態
を示すために、正常性のシステムステートメント (SSoH) を使用します。この SSoH には、NAP クライアントのバージョン情報、およびインストールされてい
る SHA の一連の SoH が含まれます。次のセクションでは、NAP クライアントアーキテクチャのコンポーネントについ
てさらに詳しく説明します。 NAP 強制クライアント NAP EC が行うのは、ネットワークへの特定レベルのアクセスを要求すること、
ネットワークアクセスを提供している NAP 強制ポイントにコンピュータの正
常性状態を渡すこと、および NAP クライアントの制限付きまたは無制限のネッ
トワークアクセス状態を NAP クライアントアーキテクチャの他のコンポーネン
トに示すことです。 Windows Vista、Windows Server "Longhorn"、および (Windows XP 用の NAP ク
ライアントを備えた) Windows XP SP2 で提供される、NAP プラットフォーム用
の NAP EC を以下に示します。 ■
IPsec 保護通信用の IPsec NAP EC ■
802.1X 認証接続用の EAPHost NAP EC ■
リモートアクセス VPN 接続用の VPN NAP EC ■
DHCP ベースの IPv4 アドレス構成用の DHCP NAP EC 注 Windows Vista および Windows Server "Longhorn" には、TS ゲートウェイ接続用の NAP EC も含まれています。(Windows XP 用の NAP クライアントを備えた) Windows XP SP2 の場合、802.1X 認証の有線および無線接続用の個別の NAP EC があります。 Microsoft Corporation 41 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 IPsec NAP EC IPsec NAP EC は、NAP エージェントから SSoH を取得し、それを正常性証明書の
要求と共に HRA に送信する新しいコンポーネントです。IPsec NAP EC は、以下と
も対話します。 ■
証明書ストア (正常性証明書を保管するため) ■
Windows の IPsec コンポーネント (IPsec で保護された通信で必ず正常性証明
書が使用されるようにするため) ■
Windows ファイアウォールなどのホストベースのファイアウォール (IPsec で
保護されたトラフィックがファイアウォールを通過できるようにするため) EAPHost NAP EC EAPHost NAP EC は、NAP エージェントから SSoH を取得し、それを 802.1X 認証
接続用の PEAP‐Type‐Length‐Value (TLV) メッセージとして送信する、新しいコン
ポーネントです。 VPN NAP EC VPN NAP EC は、リモートアクセス接続マネージャサービスの新しい機能であり、
NAP エージェントから SSoH を取得し、それをリモートアクセス VPN 接続用の PEAP‐TLV メッセージとして送信します。 DHCP NAP EC DHCP NAP EC は DHCP クライアントサービスの新しい機能であり、業界標準の DHCP メッセージを使用してシステム正常性メッセージと制限付きネットワーク
のアクセス情報を交換します。DHCP NAP EC は NAP エージェントから SSoH を
取得します。DHCP クライアントサービスは、必要に応じて SSoH をフラグメン
トに分け、DHCPDiscover、DHCPRequest、または DHCPInform の各メッセージで
送信される Microsoft 固有の DHCP オプション内に各フラグメントを配置します。
DHCPDecline メッセージおよび DHCPRelease メッセージは SSoH を含みません。 42 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークシステム正常性エージェント SHA は、システム正常性の更新を実行し、SoH の形式でその状態を NAP エージェ
ントに発行します。NAP 正常性ポリシーサーバーは、SoH に含まれる情報を使
用することで、クライアントコンピュータが必要な正常性状態かどうか検証で
きます。 SHA は、NAP プラットフォームアーキテクチャのサーバー側のシステム正常性
検証ツール (SHV) に対応します。対応する SHV は、正常性応答のステートメント (SoHR) を NAP クライアントに返します。SoHR は、NAP EC および NAP エージェ
ントによって SHA に渡され、それにより SHA が必要な正常性状態でない場合に
何を実行すればよいかについて、SHA に通知されます。たとえば、ウイルス対策 SHV から送信される SoHR で、ウイルス対策シグネチャサーバーに対し最新バー
ジョンのウイルス対策シグネチャファイルを要求するよう、対応するウイルス
対策 SHA に対して指示できます。SoHR には、ウイルス対策サーバーの名前また
は IP アドレスを含めることもできます。 SHA は、ローカルにインストールされているシステム正常性コンポーネント (図 3 には示されていません) を使用することで、修復サーバーと連携してシステム正
常性管理機能を支援できます。たとえば、ソフトウェア更新 SHA は、ローカル
にインストールされているソフトウェア更新クライアントソフトウェアを使用す
ることで、ソフトウェア更新サーバー (修復サーバー) と連携して、バージョンチェック、インストール、および更新の各機能を実行できます。 NAP エージェント NAP エージェントは、次のサービスを提供します。 ■
各 SHA から SoH を収集し、それらをキャッシュします。SHA が新しい SoH ま
たは更新された SoH を提供すると、必ず SoH キャッシュは更新されます。 ■
SSoH を保管し、要求に基づきそれを NAP EC に提供します。 ■
制限付きネットワークアクセス状態が変更された場合に、SHA に通知を渡し
ます。 ■
SoHR を適切な SHA に渡します。 Microsoft Corporation 43 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要第 6 部 : VPN 強制タイプ学習項目このレッスンを完了すると、次のことができるようになります。 ■
VPN 強制タイプの目的の理解 ■
VPN 強制のプロセスの理解 ■
VPN 強制タイプの制限の理解重要 PEAP 認証を備えた VPN 強制方法または 802.1X 強制方法を使用してネットワー
クアクセス保護 (NAP) を導入する場合、接続要求がローカル側で処理される場合
でも、接続要求ポリシーで PEAP 認証を構成する必要があります。 44 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークレッスン 1 : VPN 強制のプロセス図 9 : VPN 強制のプロセス VPN 強制図 9 のネットワークと同じ構成のネットワークにおいて、単一の SHA のみある VPN クライアントに対し、VPN 強制がどのように動作するかを次のプロセスで説明し
ます。 1.
VPN クライアントが VPN サーバーへの接続を開始します。 2.
VPN クライアントは、Protected Extensible Authentication Protocol (PEAP) およ
び Microsoft チャレンジハンドシェイク認証プロトコル version 2 (MS‐CHAP v2) を使用して、認証資格情報を VPN サーバーに渡します。 3.
認証資格情報が有効な場合、VPN サーバーは VPN クライアントに対し SoH を
要求します。 Microsoft Corporation 45 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 4.
VPN クライアントが SoH を所持している場合、クライアントはその SoH を VPN サーバーに渡します。VPN サーバーはその SoH を NPS サーバーに渡し
ます。NPS サーバーはポリシーサーバーと通信して SoH が有効かどうかを
確認します。 a.
SoH が有効な場合、VPN サーバーは接続を完了し、ポリシーの定義に
従い、ネットワークへの無制限アクセスを VPN クライアントに許可し
ます。 b.
SoH が有効でない場合、VPN サーバーは接続を完了しますが、VPN ク
ライアントが制限付きネットワークにしかアクセスできないようにし
ます。VPN クライアントは、制限付きネットワーク、VPN サーバー、
および修復サーバーに対してのみトラフィックを問題なく送信できます。 5.
VPN クライアントが SoH を所持していない場合、そのクライアントは準拠で
はありません。VPN サーバーは接続を完了しますが、VPN クライアントが制
限付きネットワークにしかアクセスできないようにします。 6.
非準拠の VPN クライアント上の NAP エージェントが、更新要求を修復サー
バーに送信します。 7.
修復サーバーは、VPN クライアントが正常性ポリシーに準拠できるように、
VPN クライアントに必要な更新を提供します。VPN クライアントの SoH が更
新されます。 8.
VPN クライアントは更新された SoH を NPS サーバーに送信します。NPS サー
バーが更新された SoH が正しいことを確認すると、VPN サーバーは、ポリ
シーの定義に従い、ネットワークへの無制限アクセスを VPN クライアント
に許可します。 46 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク第 7 部 : IPSec 強制タイプ学習内容このレッスンを完了すると、次のことができるようになります。 ■
IPSec 強制の目的の理解 ■
IPSec 強制のプロセスの理解 ■
IPSec 強制タイプの制限の理解 Microsoft Corporation 47 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要レッスン 1 : IPSec 強制タイプの目的 IPsec 強制と論理ネットワーク IPsec 強制では、物理ネットワークは 3 つの論理ネットワークに分割されます。
コンピュータは、必ず 1 つの論理ネットワークのみのメンバとなります。論理
ネットワークは、着信通信試行の IPsec 認証において正常性証明書をコンピュー
タが要求するかどうかという観点から定義されます。論理ネットワークの目的は、
非準拠コンピュータのアクセスを制限すること、および非準拠コンピュータが持
ち込む脅威から保護される環境を準拠コンピュータに提供することです。非準拠
コンピュータのリソースへのアクセスは制限されます。このため、非準拠コン
ピュータは、正常性状態を修復し、ネットワークへのフルアクセス権を取得す
る必要があります。IPsec 論理ネットワークは、セキュリティで保護されたネッ
トワーク、境界ネットワーク、および制限付きネットワークで構成されます。セキュリティで保護されたネットワーク正常性証明書を持ち、着信通信試行の認証でこれらの証明書を要求するコンピュー
タは、セキュリティで保護されたネットワークに配置されます。これらのコン
ピュータは、IPsec 保護を提供する IPsec ポリシー設定の共通セットを持ちます。
たとえば、Active Directory® インフラストラクチャのメンバであるほとんどの
サーバーコンピュータおよびクライアントコンピュータは、セキュリティで保
護されたネットワークに配置されます。正常性要件サーバー、Active Directory 証
明書サービスを実行するサーバー、電子メールサーバーなどのネットワークコン
ポーネントも、通常、セキュリティで保護されたネットワーク内に配置されます。境界ネットワーク正常性証明書を持っているが、着信通信試行の認証でこれらの証明書を要求しない
コンピュータは、境界ネットワークに配置されます。境界ネットワーク内のコン
ピュータは、ネットワーク全体のコンピュータにアクセスできる必要があります。
この種類のコンピュータは、HRA サーバーや修復サーバーなど、NAP クライア
ントの正常性を評価および修復する必要のあるサーバー、または制限付きネット
ワーク内のコンピュータに対してネットワークサービスを提供する必要のある
サーバーです。境界ネットワーク内のコンピュータは、認証および保護された通
信を要求しないので、セキュリティで保護されたネットワーク内のコンピュータ
を攻撃するために使用されないよう、詳細に管理する必要があります。 48 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク制限付きネットワーク正常性証明書を持っていないコンピュータは、制限付きネットワークに配置され
ます。これらのコンピュータは、正常性チェックが完了していないコンピュータ、
またはネットワーク正常性ポリシーに準拠していないと判断されたコンピュータ
です。つまり、ゲストコンピュータ、NAP 非対応コンピュータ (NAP をサポー
トしていないバージョンの Windows を実行しているコンピュータなど)、
Apple Macintosh コンピュータ、UNIX ベースのコンピュータなどです。次の図は、IPsec 論理ネットワークの例を表しています。図 10 : IPsec 論理ネットワーク Microsoft Corporation 49 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要レッスン 2 : IPsec 強制のプロセス図 11 : IPsec 強制のプロセス IPSec 強制図 11 のネットワークと同じ構成のネットワークにおいて、単一の SHA のみある NAP クライアントに対し、IPsec 強制がどのように動作するかを次のプロセスで説
明します。 1.
NAP クライアントは起動すると現在の SoH を HRA に送信します。 2.
HRA は SoH 情報を NPS サーバーに渡します。NPS サーバーはポリシーサー
バーと通信して SoH が有効かどうか確認します。 a.
SoH が有効な場合、HRA は NAP クライアントの正常性証明書を取得し
ます。これで、NAP クライアントは、発行された IPsec 認証用の正常
性証明書を使用して、保護されたリソースと IPsec ベースで通信を開始
すること、および自身の正常性証明書を使用して認証できる他の NAP クライアントが開始した通信に対して応答することができます。 50 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワーク b.
SoH が有効でない場合、HRA は、正常性状態の修復方法を NAP クライ
アントに通知し、正常性証明書は発行しません。NAP クライアントは、
IPsec 認証用の正常性証明書を要求する他のコンピュータとの通信を
開始できません。ただし、NAP クライアントは、準拠に戻るために、
修復サーバーとの通信を開始できます。 3.
制限付き NAP クライアント上の NAP エージェントが更新要求を修復サーバー
に送信します。 4.
修復サーバーは、NAP クライアントが正常性ポリシーに準拠できるように、
NAP クライアントに必要な更新を提供します。NAP クライアントの SoH が更
新されます。 5.
NAP クライアントは更新された SoH を HRA に送信します。NAP サーバーが
更新された SoH が有効なことを確認すると、HRA は NAP クライアントの正
常性証明書を取得します。管理者は、ネットワークのニーズに基づいて、一部のコンピュータ、デバイ
ス、およびユーザーを正常性ポリシー要件の例外として指定できます。たとえ
ば、一部のバージョンの Windows はネットワークアクセス保護をサポートして
いないため、これらのバージョンの Windows を実行しているコンピュータは、
既定ではアクセスが制限されます。ただし、ネットワーク管理者は、これらのコ
ンピュータを例外として構成できます。例外として指定されたコンピュータに対
しては、準拠に関するチェックが行われず、ネットワークへの無制限のアクセス
権が与えられます。 Microsoft Corporation 51 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要第 8 部 : 802.1x 強制タイプ学習内容このレッスンを完了すると、次のことができるようになります。 ■
802.1x 強制タイプの目的の理解 ■
802.1x 強制のプロセスの理解 ■
802.1x 強制の制限の理解 52 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation ネットワークレッスン 1 : 802.1x 強制のプロセス図 12 : 802.1X 強制 802.1X 強制図 12 のネットワークと同じ構成のネットワークにおいて、単一の SHA のみある 802.1X クライアントに対し、802.1X 強制がどのように動作するかを次のプロセ
スで説明します。 1. 802.1X クライアントが 802.1X アクセスポイントへの接続を開始します。 2. 802.1X クライアントは、MS‐CHAP v2 などの PEAP 手法を使用して、802.1X アクセスポイントに認証資格情報を渡します。 3. 認証資格情報が有効な場合、NPS サーバーは 802.1X クライアントに対し SoH を要求します。 Microsoft Corporation 53 © 2007 Microsoft Corporation. All rights reserved. Windows Server 2008 の概要 4. 802.1X クライアントが SoH を所持している場合、クライアントはその SoH を NPS サーバーに渡します。NPS サーバーはポリシーサーバーと通信して SoH が有効かどうか確認します。 a. SoH が有効な場合、802.1X アクセスポイントは接続を完了し、ポリ
シーの定義に従い、ネットワークへの無制限アクセスを 802.1X ク
ライアントに許可します。 b. SoH が有効でない場合、802.1X アクセスポイントは接続を完了しま
すが、802.1X クライアントが制限付きネットワークにしかアクセ
スできないようにします。802.1X クライアントは、制限付きネッ
トワーク、802.1X アクセスポイント、およびソフトウェア更新修
復サーバーに対してのみトラフィックを問題なく送信できます。 5. 802.1X クライアントが SoH を所持していない場合、そのクライアントは
準拠ではありません。802.1X アクセスポイントは接続を完了しますが、
802.1X クライアントが制限付きネットワークにしかアクセスできないよう
にします。 6. 非準拠の 802.1X クライアント上の NAP エージェントが、更新要求を修復
サーバーに送信します。 7. 修復サーバーは、802.1X クライアントが正常性ポリシーに準拠できるよう
に、802.1X クライアントに必要な更新を提供します。802.1X クライアント
の SoH が更新されます。 8. 802.1X クライアントは 802.1X 認証を再開し、更新された SoH を NPS サー
バーに送信します。NPS サーバーが更新された SoH が有効なことを確認す
ると、802.1X アクセスポイントは、ポリシーの定義に従い、ネットワー
クへの無制限アクセスを 802.1X クライアントに許可します。 802.1X NAP クライアントは、SoH の代わりに正常性証明書を使用して、自身の正
常性状態を NPS サーバーに示すこともできます。 54 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation