ネットワークアクセス保護 (NAP)概要

マイクロソフト株式会社
本資料に記載されている情報は、2009 年 5 月現在のものです。
製品情報、製品・機能内容、開発スケジュール、マーケティング施策などの全ての情報は予告無く変更されることがあります。あらかじめご了承ください。
NAP 概要
NAP 環境の全体像とアーキテクチャ
Windows Server 2008 R2 NAP 新機能
ネットワークポリシーの設定
各実施オプションの特徴
システム構成における考慮点
アクセスログ管理
まとめ
2
NAPとは
ネットワークに接続されるコンピュータの
健全性を検証し、アクセス制限・許可を行う
検疫プラットフォーム
Windows Server 2008 からの新機能
OS 設定、アンチウィルスの状態、アップデートの適用状態など
複数の項目について検証
利用メリット
PC の健全性確保 (コンプライアンス支援)
持込みPC / モバイル PC への対策確保
部門管理下のサーバーへの健全性の強制
リモートアクセス時の社外 PC の健全性のチェック
4
機能
ポリシー検証 :
コンピュータがポリシー要件に準拠しているかどうかの判断
ネットワークアクセス制限 :
ポリシーに非準拠のコンピュータからのアクセスを制限・拒否
自動修復 :
ポリシーに非準拠のコンピュータを準拠状態へするための修復
継続的な準拠 :
ポリシー要件が変更された場合に動的に更新
特徴
多様なネットワークに対応
有線 LAN、無線 LAN、リモートアクセス
複数の制限方式を選択可能 (DHCP，IPSec，802.1X，VPN)
高い拡張性
コンポーネント化されたアーキテクチャ
API の提供 (検証項目やネットワーク制限方式の追加が可能)
5
① ネットワーク接続時、
システム状態を提出
② 問合せ
④ NG！
⑤ネットワーク制限
実施ポイント
⑥ポリシーに合致
しないことを通知
⑦ 修復サーバーを
使って自動 / 手動にて
アップデート
③ポリシー
を確認
(サーバー/デバイス)
ネットワーク
ポリシーサーバー
Windows server 2008
/R2
修復サーバー
(WSUS、Web サイト等)
制限ゾーン
境界ゾーン
セキュア
ゾーン
注意: 各ゾーン間の境界の意味は隔離手法（実施オプション）により異なる
6
ネットワークポリシーサーバー
Windows Server 2008 /R2（OS に標準搭載）
NAP クライアント
Windows 7（OS に標準搭載）
Windows Vista（OS に標準搭載）
Windows XP (SP3 にて提供)
インフラ環境
Active Directory （既存環境を利用可能）
エンタープライズ CA (IPSec や 802.1X を使う場合に必要）
実施ポイント
実施オプションに応じたサーバー、スイッチ <後述>
修復サーバー
更新プログラムのアップデート用（以下のいずれか）
Windows Server Update Services (WSUS) / Windows Update
System Center Configuration Manager 2007
その他のアップデート用（必要に応じて）
アンチウィルスの更新サーバー
サポート用 Web サイト
インターネットアクセス用プロキシサーバー
7
実施オプション
正常性のチェックによってネットワーク制限・許可を強制する方法
実施オプションは、いずれか 1 つを選択する必要がある
（複数の組み合わせも可能）
方式
実施ポイント
アクセス制限・許可の方式
DHCP
DHCP サーバー
(Windows Server 2008 /R2)
チェック結果に応じた IPv4 アドレスの割当て
・制限時には、特殊なサブネットマスクと
デフォルトゲートウェイなしを割当て
IPSec
正常性登録機関（HRA）
(Windows Server 2008 /R2)
チェック結果に応じた証明書の発行
・保護対象のサーバーには、IPSec を必須に設定
・チェックをパスした PC に短期の証明書を発行
802.1X
IEEE 802.1X ネットワーク機器
(スイッチ / アクセスポイント)
チェック結果に応じた接続ポートへの
動的なVLAN の割当て
・正常性 OK ⇒ VLAN1
・正常性 NG ⇒ VLAN2
VPN
VPN サーバー
(Windows Server 2008 /R2)
チェック結果に応じた VPN サーバー上での
パケットのフィルタリング
RD Gateway
RD ゲートウェイサーバー
(Windows Server 2008 /R2)
チェック結果に応じたリモートデスクトップサービ
ス（旧称：ターミナルサービス）のサーバーへの中
継 (RDP over HTTP)
Direct Access
Direct Access サーバー
(Windows Server 2008 R2)
チェック結果に応じた Direct Access の許可
（Windows 7 & Windows Server 2008 R2）
New
8
失敗時の画面（Windows 7）
クリック
9
10
SHV によっては、
外部サーバーと連携し、
最新の状態を確認
修復サーバー
状態ステートメント
（SoH）
クライアント
SHA #1
SHA #2
SHA #3
EC
IPSec
SHV #3
SHV #1 SHV #2 (オプション)
（オプション） (オプション)
NAP エージェント
EC
EC
DHCP 802.1X
※
※
※
※
ネットワーク
ポリシーサーバー
(オプション)
実施ポイント
EC
EC
VPN
TS
EC EC
EC
IPSec
DHCP ES
NAP 管理サーバー
NPS サービス
VPN
802.1X
SHA：システム正常性エージェント (System Health Agent)
SHV：システム正常性検証ツール (System Health Validator)
EC：実施クライアント (Enforcement Client)
ES : 実施サーバー (Enforcement Server)
12
OS 標準の RAIDUS サーバー/プロキシ機能
従来のインターネット認証サービス（IAS）の後継
引き続き Active Directory を利用した認証機能を持つ
ワイヤレス 802.1X 認証
有線 802.1X 認証
VPN / ダイヤルアップ接続の認証
新たに NAP 機能を提供
ネットワークポリシーの定義・管理
ポリシー評価に基づきアクセス許可・制限の指示
Windows セキュリティ正常性検証
Windows セキュリティセンターと連動
Windows 7 / Vista / XP の状態をチェック
Windows セキュリティ
センターのステータス
（SoH）
SHA
NAP クライアント
SHV
ネットワークポリシーサーバー
14
• System Center Configuration Manager 2007
•
•
セキュリティ更新プログラムのインストール状況を確認し、隔離した状
態での修復が可能
標準の “Windows セキュリティ正常性検証ツール” ではできない、段階
的な更新プログラムの展開が可能
• Forefront Client Security
•
•
マルウェアに対して脆弱なコンピュータがネットワークに接続され
ないように制限・修復
標準の “Windows セキュリティ正常性検証ツール” ではできな
い、Antivirus / Antispyware の詳細な設定・状態のチェックが可
能
• サービス、リアルタイム保護設定、定義ファイルなど
15
New
NAP 関連の新機能
複数の SHV 構成のサポート
１種類の SHV を複数に設定する事が可能
WSHVの場合の例：
パターン１：ファイアウォールのみ
パターン２：ウィルス対策と自動更新
NPS テンプレート
RADIUS設定、各ポリシーのテンプレートを提供
インポート／エクスポートが可能
ログの改善
設定ウィザードの提供
SQL ログの自動構成（テーブル、接続）
テキストとSQLの同時構成
Windows Server 2003 IAS 設定の移行機能
17
RADIUS要求
MS-EAP-TLV (SoH)
Machine-Name
Identity-Type
・・・
SoH
• マシン名
• ID
• ユーザー
• グループ
• アドレス
・・・・
システム正常性検証
（各 SHV による検証）
結果
正常性ポリシー
（複数 SHV の検証結果
に対する定義）
条件
条件
ネットワークポリシー
（条件に一致したものにするアクセス制限・許可を設定）
最終結果
RADIUS 応答
MS-EAP-TLV (SoHR)
MS-Quarantine-State
MS-Remediation-Servers
・・・
19
ネットワークポリシー
1 “正常性 NG” に
正常性ポリシー
システム正常性検証
ツール（SHV）
Windows セキュリティ
正常性検証ツール
の検証項目の設定
System Center
Configuration
Manager SHV
の設定 (オプション)
3rd Party 製
SHV の設定
(オプション)
“正常性 OK”
SHV をすべてパス
“正常性 NG”
SHV のいずれか
失敗
合致した場合は、
ネットワーク制限あり
2
“正常性 OK” に
合致した場合は、
ネットワーク制限なし
3
NAP に対応しない
クライアントは、
ネットワーク制限あり/
なし
※ネットワークポリシー
では NAP 以外の IAS
で設定可能な “条件” も
評価可能
20
21
Windows Server 2008 R2 より、
1種類の SHV について複数の設定が可能
New
22
OS 標準の SHA に対するチェック項目
ファイアウォール：
有効/無効
ウィルス対策ソフトウェア：
有効/無効
定義情報が最新であるか
•
•
スパイウェア対策ソフトウェア：
有効/無効
定義情報が最新であるか
XP では、アンチスパイウェアの検証はなし
（XP 版のセキュリティセンターの制限による）
自動更新：
•
有効/無効
•
特定の重要度以上のパッチが
適用されているか
新しいアップデートをチェックしてからの経
過時間をどれだけ許容するか
セキュリティ更新プログラム：
•
•
Windows Server Update Services が展開されてい
るか、Microsoft Update が利用可能で
なければならない
23
24
1.NAP ネットワーク制限あり
正常性 NG に合致
ネットワークを制限
自動での修復を試みる
2.NAP ネットワーク制限なし
正常性 OK に合致
制限なし
3.NAP 非対応
NAP 非対応の
クライアント
制限あり
25
正常性ポリシーの指定
NAP 対応かどうかの指定
NAP 非対応のポリシーも設定可能
26
接続プロパティ
グループ
認証の種類
許可されているEAPの種類
Framed Protocol
サービスの種類
トンネルの種類
Windows グループ
コンピュータグループ
ユーザーグループ
HCAP
ロケーショングループ
HCAP グループ
RADIUS クライアントの種類
日付と時刻の制限
日付と時刻の制限
ネットワークアクセス保護
ID の種類
Ms-Services クラス
正常性ポリシー
NAP 対応コンピュータ
オペレーティングシステム
ポリシーの有効期限
Calling Station ID
クライアントのフレンドリ名
クライアントの IP v4アドレス
クライアントの IP v6アドレス
クライアントベンダ
ゲートウェイ
Calling-Station-ID
NAS ID
NAS IP v4アドレス
NAS IP v6アドレス
NAS ポートの種類
※ NAS：ネットワークアクセスサーバー（実施ポイント）
ネットワークの制限有無を
選択・また制限を開始する
時期も設定可能
アクセスが制限された場合に、
修復方法等を案内するための
サポート用 Web サイトを設定
クライアント側で自動的に修復・
アップデートさせ、ポリシーに準拠
させることも可能
（ただし、自動修復対象は全てではない）
28
New
NPS の各種設定のテンプレートを提供
各ポリシー設定、RADIUS 設定、IP フィルター設定
29
New
複数の NPS の設定を容易化
エスクポート/インポート
File
複数 NPS でのテンプレートの共有
リモートの NPS からのコピー
ファイル経由のエクスポート／インポート
NPS 1
直接コピー
NPS 2
テンプレートからの設定
テンプレートを基に設定が可能
※ 構成済の NPS 設定全体を
エクスポート／インポートすることも可能
30
NPS で定義するネットワークポリシーの一つの “条件”
として NAP の設定が存在
NAP 以外でも設定可能な設定項目は多数存在
NAP の設定をネットワークポリシーで定義するためには
以下の順で構成
1. “システム正常性検証ツール (SHV)” の設定
2. “正常性ポリシー” の設定
3. “ネットワークポリシー” で条件として 2) で定義した
“正常性ポリシー” を条件として設定
※ これらを設定するウィザードを提供
NAP 対応クライアントに対しては自動で修復・更新
させることが可能
NAP 非対応のクライアントに対するポリシーも策定可能
初期導入時には、ネットワーク制限を課さないような設定も可能
31
DHCP実施
802.1x 実施
• 低コストで容易に導入可能
• セキュリティレベルは高くないた
め、コンプライアンス目的向き
• 追加の対策との組合わせによりセ
キュリティレベルを高めることが
できる
• スイッチ導入コストが必要
• セキュリティレベルは高い
• 低コストで導入可能
• Windows Server 主体の環境向
き
• セキュリティレベルは高い
制限方式
DHCP による割当て IPv4 アドレ
スの制御
動的な VLAN 切替え
IPsec によるコンピュータ間通信
の制御
実施ポイント
DHCP サーバー
（Windows Server 2008 /R2）
NAP 対応スイッチ
正常性登録機関 (HRA）
（Windows Server 2008 /R2）
特徴
NAP
方式
環境
Active Directory
認証局（CA）
NAPク
ライア
ント
IPsec
必要
不要
対象 OS
Windows CA / AD CS（既存 CA の下位 CA として導入可能）
Windows XP SP3 / Vista / 7
認証
なし
802.1x（PEAP)
IPsec（証明書)
IPアドレス
DHCP のみ
DHCP/ 固定
DHCP/ 固定
Active Directory
参加
推奨
(ワークグループ可）
必要
必要
保護対象サーバーの条件
なし
なし
• Windows 2000 以降
• IPsec (証明書)の構成（グループ
ポリシーで一括設定可能）
段階導入の単位
LAN セグメント単位
（DHCP スコープ単位での NAP
の有効化）
LAN セグメント単位
（スイッチ単位での NAP の
有効化）
Active Directoryの管理単位
（OU、グループ等に基づく NAP
クライアントの参照先 HRA 設定）
非 NAP コンピュータへの
対応
• 固定 IP の付与
• 特定 MAC アドレスへの例外処理
• MAC 認証、Web 認証
（スイッチ設定）
• 例外ポート設定
• 保護対象サーバー側で IPsec の
例外処理
33
 DHCP 実施
① ネットワーク接続時、
システム状態を提出
④OK であれば、完全な
IP アドレスをリース
NG であれば、制限された
IP アドレスをリース
② 問合せ
③ポリシー
を確認
④ NG！
DHCP サーバー
Windows Server 2008
/R2
ネットワーク
ポリシーサーバー
Windows Server 2008 /R2
⑤修復サーバーへは、
DHCP のスコープ
オプションにて設定されたス
タティックルートを
利用 (ルータ越えも可能)
制限ゾーン
修復サーバー
(WSUS、Web サイト等)
境界ゾーン
セキュア
ゾーン
システム状態は、DHCP Discover、DHCP Request、DHCP Inform の各パ
ケット内の Vendor Specific Information フィールド内でやり取りされる
35
詳細
制限なしの場合
通常の /24 の
サブネットマスク
通常の
デフォルトゲートウェイ
制限ありの場合
255.255.255.255 の
/32 のサブネットマスク
デフォルトゲートウェイ
指定なし
36
修復サーバーへのアクセス経路の確保
DHCP サーバー側のスコープオプション
にて、宛先アドレスとルータの対を指定
クライアント側のルーティングテーブルに
ネットマスク 255.255.255.255 にて
修復サーバーへのルーティングが
設定される (ルータ越えも可能)
37
特徴
Windows Server 2008 で DHCP サーバーを
構築することで比較的容易に導入可能
留意点
デフォルトゲートウェイの推測で容易に、
制限は回避されてしまう可能性がある
IPSec 実施との組合わせによりセキュリティを強化可能
スイッチとの連携による対応も可能
802.1x 認証、MAC認証、DHCP snooping 機能
ネットワークの制限より、NAP 対応クライアントの
コンプライアンスに重きを置く場合に向く
38
DHCP サーバーの配置と構成
DHCP サーバーはセンター配置する事も可能
異なるセグメントからの DHCP リクエストが中継されるよう、
ルーターに DHCP リレーエージェントを設定
DHCP サーバーは、フェールオーバークラスタにて
冗長化可能
ネットワーク
ポリシー
サーバー
セグメント A（192.168.100.x）
DHCP サーバー
（フェールオーバークラスタ構成）
セグメント B （128.10.1.x）
セグメント C （10.10.10.x）
ルーター
（DHCP リレーエージェント設定）
39
1つのスコープを 2 台の DHCP サーバーに分割して提供
1つのサブネットに接続されるコンピュータ数が少なく、
IP アドレス（ホスト ID）数に余裕がある場合のみ
クラスC（マスク 24bit）のサブネットの場合
有効なホストID：254（x.x.x.1～ x.x.x.254）
接続可能なコンピュータ数： 127 台未満
セグメント（192.168.100.x）
192.168.100.1～
192.168.100.127
ネットワーク
ポリシー
サーバー
192.168.100.128～
192.168.100.254
2 台の DHCP サーバーを同一スコープにて、それぞ
れ重複しないアドレスプールを構成
40
New
41
不正に IP アドレスを取得されないよう下記の対策が可能
方法１：ネットワークポリシーに Active Directory のコンピュータを登録
ネットワークポリシーの条件 [コンピュータグループ] に Active Directory 上のグループを
登録
NAP 対応クライアントのみに有効
方法２：DHCP 不正利用禁止機能を持つスイッチを利用する
アラクサラネットワークス社、AX シリーズ：DHCP snooping 機能
ソリトンシステムズ社、H3C セキュリティスイッチ：ユーザー認証機能など
方法３：DHCP サーバーでの MAC アドレスのフィルタ
New
Windows Server 2008 R2 DHCP フィルター機能
IP アドレスのリース可否を、MAC アドレスの許可/不許可のリストに従い処理
000123456789
⇒ IP アドレス取得OK
0003FF3916FF
⇒ IP アドレス取得NG
• MAC_ACTION={ALLOW}
• 許可する MAC アドレス
• 000123456789
• MAC_ACTION={DENY}
• 不許可の MAC アドレス
• 0003FF3916FF
42
New
MACアドレスに基づき DHCP での IP アドレス付与を制御
許可または拒否
コマンド例：
netsh dhcp server v4 add filter allow 00-15-5D-5D-00-01 "filter description"
43
 802.1x 実施
① ネットワーク接続
時、
システム状態を提出
⑤接続ポートの
VLAN を動的に設定
検疫 OK：VLAN1
検疫 NG：VLAN2
③ポリシー
を確認
② 問合せ
802.1X 対応
VLAN スイッチ
④ チェック
結果に応じて
VLAN を回答
ネットワーク
ポリシーサーバー
Windows server 2008
/R2
修復サーバー
(WSUS、Web サイト等)
制限ゾーン
境界ゾーン
VLAN 2
セキュア
ゾーン
VLAN 1
Active Directory 上のマシンもしくはユーザーのアカウントによる認証や、
状態ステートメントに加えて、Active Directory 上のグループを使った VLAN 制御も可能
45
スイッチの要件
以下のサポートが必要
認証なしで試行された場合の VLAN の設定
802.1X / NAP 非対応クライアントに必要
認証に失敗した場合の VLAN の設定
ゲストアクセスに必要
認証に成功した場合の動的な VLAN の設定
チェック結果に応じてクライアント PC が所属すべ
き VLAN を反映するために必要
VLAN の制御ではなく、ACL 設定を RADIUS サーバー側から
コントロールできるものでも可
46
アラクサラネットワークス株式会社
AX シリーズ
http://www.alaxala.com/jp/solution/nap/index.html
アライドテレシス株式会社
CentreCOM シリーズ
http://www.allied-telesis.co.jp/solution/switch_sec/nap.html
日本電気株式会社
UNIVERGE IP8800シリーズ、QXシリーズ
http://www.nec.co.jp/ip88n/07.html 、http://www.nec.co.jp/qxseries/07.html
富士通株式会社
SR-Sシリーズ
http://primeserver.fujitsu.com/primergy/software/windows/os/wins2008/w2008-02-05.html
シスコシステムズ合同会社
Catalyst シリーズ
http://download.microsoft.com/download/5/b/3/5b3e6fb0-210c-4c1c-aa02b0be839de387/CISCO_and_NAP_Setting_Guide.exe
日本ヒューレット・パッカード株式会社
ProCurve シリーズ
http://h50146.www5.hp.com/products/networks/procurve/idm/index.html
エクストリームネットワークス株式会社
Matrix N シリーズ
ディーリンクジャパン株式会社
D-Link エンドポイントセキュリティスイッチ
NAP 対応パートナー
http://www.microsoft.com/japan/windowsserver2008/technologies/nap-partners.mspx
47
方法１：クライアントが接続される末端まで NAP 対応スイッチを配置
方法２：拠点に NAP 対応スイッチを配置し、ハブをカスケード
スイッチベンダによって、非認証スイッチ（EAP透過機能付）を下位にカス
ケート接続できるものを提供
アラクサラネットワークス社、アライドテレシス社など
透過
クライアント
島ハブ
（EAP透過）
802.1x 認証
ネットワーク
ポリシー
サーバー
（RADIUS）
フロアスイッチ
（NAP 対応）
拠点 /フロア
48
特徴
接続ポート単位で、ネットワークアクセスの
範囲を物理的に制御可能
クライアントが接続されるスイッチが 802.1x 対応である必要が
ある
EAP 透過スイッチとの組合わせが可能
留意事項
PEAP による認証が必要
NAP 非対応クライアント／例外端末への考慮が必要
802.1x 認証の実施
802.1x 認証ができないデバイス/クライアント
MACアドレス、Web認証（スイッチが提供する機能）
認証なしの例外ポートの準備
49
NAP を有効化したセグメント内で例外（NAP非対応のク
ライアントやデバイス）を接続する場合、下記で例外を設
定
方法１：スイッチでの MAC アドレス認証、Web 認証
スイッチ側に 802.1x 以外の認証を設定
アラクサラネットワークス社、アライドテレシス社、シスコシス
テムズ社など
方法２：ネットワークポリシーによる 802.1認証クライアントの
許可設定
ネットワークポリシーの条件として以下を設定し、802.1x 認証に成
功したクライアントのアクセスを許可
NAP 対応でないコンピュータ
コンピュータおよびユーザーグループ（Active Directory のグ
ループ）
50
 IPsec 実施
① ネットワーク接続
時、
システム状態を提出
② 問合せ
④正常性が OK の時のみ、
正常性証明書を発行
正常性登録機関
（下位CA）
③ポリシー
を確認
④ NG！
Windows Server 2008
/ R2
ネットワーク
ポリシーサーバー
Windows server 2008 /R2
エンタープライズ
ルート CA
⑤修復サーバーへは、
通常の通信
Windows Server
修復サーバー
(WSUS、Web サイト等)
制限ゾーン
境界ゾーン
セキュア
ゾーン
セキュアゾーンのサーバーには、IPSec ポリシーにて、正常性証明書
による相互認証を送信・受信ともに必須とし、予め証明書を配布しておく
52
詳細
NAP のチェックにパス
すれば、ローカル
コンピュータに対して
正常性証明書が発行され、
この証明書を使って、
IPSec の相互認証を行う
証明書の有効期限は、
数時間の短期なもの
(この場合は 4 時間
カスタマイズ可能)
53
各ゾーンの設定および定義
セキュアゾーン
IPSec ポリシー
受信には相互認証を要求(必須)
送信先には相互認証を要望（必須ではない）
該当マシン
正常性証明書を事前に配布したサーバー
チェックをパスしたクライアント
境界ゾーン
IPSec ポリシー
送受信共に相互認証を要望（必須ではない）
該当マシン
正常性証明を事前に配布した修復サーバー
制限ゾーン
該当マシン
IPSec に対応しないクライアント / サーバー
チェックに失敗して、正常性証明書を保持していない
クライアント
54
ネットワークポリシーサーバー
エンタープライズルート CA
RADIUS プロキシにより
RADIUS サーバーグループ
にプロキシ
正常性登録機関 (HRA)
+ スタンドアロン下位 CA
マシンの認証
Active Directory
認証局の信頼
CRL の公開
IPSec ポリシーの適用
Windows Server 2008 /R2
Windows Server 2008 /R2
NAP 構成時に正常性登録機関の
URL を設定(複数可)
55
特徴とまとめ
特徴
ネットワーク機器に依存せずに、ポリシーに
合致しないクライアントからのアクセスを制限可能
IPSec の機能として、改竄防止、暗号化も実現可能
留意事項
セキュアゾーン上の保護サーバーに IPsec を構成する必要あり
NAP および IPSec に対応しないクライアントと
保護されたサーバーは直接通信できない
UNIX / Linux などの非 Windows Server を
保護することは困難
56
冗長化の方法
実施ポイント（DHCPサーバー、スイッチ）側での複数のネット
ワークポリシーサーバーを指定
プライマリ、セカンダリの RADIUS サーバーとして
複数サーバーでネットワークポリシー設定を共有する方法
MMC またはコマンドによるインポート/エクスポート
自動複製される機能はなし
ネットワークポリシー
サーバー
実施ポイント
プライマリ RADIUS
ポリシー設定の
セカンダリ RADIUS
インポート/エクスポート
58
境界ネットワークから自動修復を行う際に必要となるサーバー
更新プログラムのアップデート用（以下のいずれか）
Windows Server Update Services (WSUS)
Windows Update（インターネットサイト）
System Center Configuration Manager 2007
その他のアップデート用（必要に応じて）
ウィルス対策ソフトウェアの更新サーバー
サポート用 Web サイト（NAP クライアントへのオンラインヘルプ）
プロキシサーバー（インターネットアクセス用）
配置
任意の場所に配置可能
NAP 制限時にルーティング経路が確保されている必要あり
設定
ネットワークポリシーサーバー
[修復サーバーグループ] へサーバー（IP アドレスまたは DNS名）の登録
[ネットワークポリシー] の [NAP 強制] へ修復サーバーグループの指定
DHCP 実施時
DHCPサーバー[スコープオプション] – [既定のネットワークアクセス保護クラス]に静
的にルーターを登録
802.1x 実施時
境界ネットワーク（VLAN）から修復サーバーへアクセスできるようルーティング設定
IPsec 実施
受信側のサーバーで IPsec 通信を必須としない設定
59
ログの記録場所
イベントログ
ローカルファイル
%windir%\system32\LogFiles\INyymm.log
SQL Server ログ
データソース、DBの指定（設定ウィザードの提供）
記録可能な内容
アカウンティング要求
認証要求
定期的なアカウンティングの状態
定期的な認証の状態
61
ポリシー判定結果をログとして採取・レポート
ネットワークポリシー
サーバー
SQL Server
様々なレポートを提供
ログ
•期間別
•ネットワークポリシー適用別
•マシン名別
•MACアドレス別
•ユーザー別
•接続状況(実施ポイント別)
•非準拠原因別
Technet：ダウンロード提供
NAP ログ監査ガイド（ログの解説）
NAP レポートパック（ログのレポートツール）
http://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx
62
コスト、セキュリティ、既存環境等に応じて
ネットワークの制限手法を選択可能
柔軟に運用できるポリシー
検証項目の追加、強制方法を随時変更可能
ポリシー変更は動的に反映され、健全性を常に最適化
展開シナリオ (例)
対象範囲
フェーズ１：既存のネットワーク環境で導入 (DHCP、IPSec)
フェーズ２：リモートアクセスの検疫の追加 (VPN)
フェーズ３：ネットワーク機器の更改に応じて順次強化 (802.1X)
時間軸
フェーズ１ : 制限なし (パイロット展開、ログ採取のみ)
フェーズ２：執行猶予つきアクセス
最終フェーズ：制限を強制
64
拡張性に優れたプラットフォームとしての提供
コンポーネント化されたアーキテクチャ
拡張のための API 提供、対応パートナー
実用的なソリューション
ネットワークの制限だけでなく、修復手段を提供
環境に応じた柔軟なポリシー設定、実施オプションの選択肢
コンプライアンス
健全性の確保によるリスク低減
組織がその時点で必要とするポリシーを常に適用可能
サーバーに記録されるログによる監査
65
栗山米菓
新社屋移転にともない、NAP 対応スイッチ(802.1x）を導入
PCのセキュリティチェックと持ち込みPC 対策のコストを削減
http://www.microsoft.com/japan/windowsserver2008/casestudies/
kuriyamabeika.mspx
国内自治体
1600台のクライアントを DHCP にて検疫
NPS x2台、DHCP x2台（冗長構成）
国内製造業
7000台のクライアントを DHCP にて検疫
NPS x2台、DHCP x2台（冗長構成）
マイクロソフト
全世界 13万台のクライアントを IPsec にて検疫
System Center Configuration Managerとの連携でソフトウェアの更新を実
施
http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid
=4000000983
http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid
=4000002160
66
Windows Server 2008 R2 製品サイト:
http://www.microsoft.com/japan/windowsserver2008/prodinfo/r2.ms
px
Windows Server 2008 - NAP サイト:
http://www.microsoft.com/japan/windowsserver2008/network-accessprotection.mspx
TechNet (Windows Server 2008 NAP ヘルプ):
http://technet.microsoft.com/ja-jp/library/cc753220.aspx
Tech Net - バーチャルラボ (仮想環境での設定・操作が可能)：
「Windows Server 2008 NAP - IPSec 実施」
http://www.microsoft.com/japan/technet/traincert/virtuallab/windowsser
ver.mspx
Blog - NAP （US 開発チーム）:
http://blogs.technet.com/nap/
MSDN - NAP API Reference (US サイト):
http://msdn2.microsoft.com/en-us/library/aa369712.aspx
67
本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変
化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、提示され
た情報の信憑性については保証できません。本書は情報提供のみを目的としています。 Microsoft は、明示的または暗
示的を問わず、本書にいかなる保証も与えるものではありません。すべての当該著作権法を遵守することはお客様の責
務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または
挿入を行うことは、どのような形式または手段（電子的、機械的、複写、レコーディング、その他）、および目的で
あっても禁じられています。これらは著作権保護された権利を制限するものではありません。Microsoftは、本書の内容
を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書
面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他
の知的財産へのライセンスを与えるものではありません。
© 2009 Microsoft Corporation. All rights reserved.
Microsoft, Windows は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。その他、
記載されている会社名および製品名は、一般に各社の商標です。
68
NAP クライアントの設定
NAP クライアントの有効化
サービス：Network Access Protection Agent
NAP クライアントの環境設定
設定項目：
NAP EC の有効/無効
UI（表示メッセージ）
正常性登録機関の参照
設定方法：
Active Directory
グループポリシー
ローカル -- 管理者権限が必要
MMC（napclcfg.msc）
コマンド（netsh nap client set）
クライアント側でのトレースの設定
MMC ：[NAP クライアントの構成] - [プロパティ]
コマンド：netsh nap client set tracing state
70
NAP クライアント機能
OS 標準搭載
デフォルト設定 “OFF”
API
DHCP 実施
VPN 実施
IPsec 実施
802.1x 実施（無線）
802.1x 実施（有線）
Windows セキュリティ
正常性エージェント (WSHA)
MMC での設定
コマンドラインでの設定
ローカルでの設定
グループポリシーでの設定
Windows XP SP3
Windows 7
Windows Vista
Windows Server 2008 /R2
x

























x
x











(クライアントとして)
71
 VPN
 RD ゲートウェイ
 Direct Access
① ネットワーク接続時、
システム状態を提出
② 問合せ
③ポリシー
を確認
④ NG！
⑤チェック結果に応じて
パケットをフィルタリング
検疫 OK：フィルタ１
検疫 NG：フィルタ２
VPN サーバー
Windows Server 2008 /R2
ネットワーク
ポリシーサーバー
Windows server 2008 /R2
修復サーバー
(WSUS、Web サイト等)
インターネット
境界ゾーン
セキュアゾーン
(フィルター2で許可した通信先）（フィルター1で許可した通信先)
73
IPパケットフィルタ
ネットワークポリシー
ネットワーク
VPN サーバー
ポリシーサーバー
RADIUS プロキシにより
RADIUS サーバーグループ
にプロキシ
Windows Server 2008 /R2
Windows Server 2008
ネットワーク負荷分散(NLB)機能の利用
VPN 接続
ユーザーでの認証
Active Directory
75
特徴とまとめ
主に社外から社内へのアクセスに利用
NAP のフレームワークに対応した仕組みを提供
Windows Server 2003 SP1 における VPN の検疫と
は異なる
留意事項
正常性 NG の場合は、フィルタリングにより、VPN
接続後、社内の特定のサーバー（境界ゾーン）にのみ
アクセス可能
修復が完了すれば、再接続することなく、制限を
回避可能
76
① ネットワーク接続時、
システム状態を提出
② 問合せ
③ポリシー
を確認
④ NG！
④ 正常性 OK なら
ターミナルサーバーに
中継 (RDP/SSL)
RD ゲートウェイ
Windows Server 2008 /R2
ネットワーク
ポリシーサーバー
Windows server 2008 /R2
リモートデスクトップ
サービス
（ターミナルサーバー）
インターネット
境界ゾーン
セキュアゾーン
77
[参考]Windows Server 2008 R2
New
ターミナルサービス ⇒ Remote Desktop Services (RDS) へ名称変更
ターミナルサービス
Remote Desktop Services
TS RemoteApp™
RemoteApp™
TS ゲートウェイ
RD Gateway
TS セッションブローカ
RD Connection Broker
TS Web Access
RemoteApp and Desktop
Web Access / Connections
TS Easy Print
RD Easy Print
78
① ネットワーク接続時、
システム状態を提出
② 問合せ
③ポリシー
を確認
④ NG！
④ 正常性 OK なら
Direct Accessを許可
Direct Access
サーバー
Windows Server 2008 R2
ネットワーク
ポリシーサーバー
Windows server 2008 /R2
インターネット
境界ゾーン
セキュアゾーン
79
New
社外のモバイル PC からIPSec/IPv6 で Direct Access
サーバーに接続
VPN に代わる新しいアクセス手段
IPv6 未対応のネットワークの場合は、
6to4 や Teredo を利用して IPv6 over IPv4 で接続
ファイアウォールやプロキシサーバーがある場合は、
IP-HTTPS を利用して接続
企業ネットワーク
DC / DNS サーバー
インターネット
自宅
IPSec/IPv6
Direct Access
サーバー
アプリケーション
サーバー
80
① ネットワーク接続時、
システム状態を提出
④ NG！
⑤ネットワーク制限
SCCM SHA
実施ポイント
(サーバー/デバイス)
⑥チェック結果に応じて
自動で修復
パッチを
ストア
SCCM
Distribution
Point
制限ゾーン
③ポリシー
を確認
② 問合せ
境界ゾーン
ネットワーク
ポリシーサーバー
Windows server 2008 /R2
ポリシーを
更新
Active Directory
SCCM
Site
Server
セキュア
ゾーン
カタログ同期
MS
Download
Center
82
SCCM にて追加の SHA / SHV を提供
セキュリティ更新プログラムのインストール状況を個別に確認し、
隔離した状態での修復が可能
標準の “Windows セキュリティ正常性検証ツール” ではできない、
段階的な更新プログラムの展開が可能
SCCM
サイトサーバー
修復サーバー
正常性サーバー
SCCM
配布ポイント
Active
Directory
アップデート
NAP クライアント
正常性ポリシー
SoH
NPS
SCCM SHA
SCCM SHV
NAP エージェント
NAP 管理サーバー
83
Microsoft から提供される更新プログラム
Microsoft 製品のセキュリティ更新、サービスパックなど
Windows Server
Windows Vista
Exchange Server
SQL Server
Forefront など
IHV より提供される更新プログラム
BIOS、ドライバなど
HP
DELL
Intel
System Center Update Publisher (SCUP) を利用
内製アプリケーション用の更新プログラム
内製アプリケーションなどの更新
System Center Update Publisher (SCUP) を利用して、
独自のカタログを作成可能
84
社内アプリケーション
開発者
1
2
更新プログラムの作成
SCUP を利用した
ソフトウェア
カタログの作成
SCCM 管理者
3
4
カタログ情報の取り
込みと、SCCM への
情報の転送
NAP 検疫の対象プロ
グラムとするため、
SCCM への登録
開発者により作成された
カタログを、SCCM 管理
者の利用する SCUP へイ
ンポート
NAP の検疫項目として
SCCM 管理コンソール
から設定
経費精算アプリ
Ver.2
既存のアプリケーションに
対する修正プログラムを
exe, msi, msp 形式で作成
更新プログラム適用を
判別するための条件式
作成
作業内容はウィザードに
よりエクスポート可能
ウィザードを利用して
SCUP から SCCM に対し
て更新プログラムの情報を
転送
85
NAP と Forefront Client Security を利用し、
マルウェアに対して脆弱なコンピュータが社内
ネットワークに接続されないように制限
SHA、SHV の提供 (msi 形式のパッケージとして提供予定)
86
設定可能な内容
Client Service Policy Settings
WSUS Server Policy Settings
87
Client Service Policy Settings
以下の各サービスの動作状況について確認
(インストールの有無、状態、スタートアップの種類)
Windows Update Agent (WUA)
Microsoft Operations Manager (MOM)
Forefront Client Security Anti-Malware (FCSAM)
Security State Assessment (SSA)
リアルタイム保護（RTP）の状態
WSUS Server Policy Settings
WSUSにより提供されたアップデートが定められた
日数以内に適用されているかを確認
Forefront 製品
SHA
定義ファイル
88
NAP API リファレンス（MSDN）
http://msdn2.microsoft.com/en-us/library/Aa369712.aspx
Windows SDK
SHA、SHV、NAP EC のサンプル
アンマネージド C++
\Program Files\Microsoft SDKs\Windows\v6.0\Samples\NetDs\NAP
89
ネットワークポリシーサーバーがユーザーを検疫しました。
詳細については、ネットワークポリシーサーバーの管理者に問い合わせてください。
ユーザー:
セキュリティ ID:
アカウント名:
アカウントドメイン:
完全修飾アカウント名:
NULL SID
-
クライアントコンピュータ:
セキュリティ ID:
アカウント名:
完全修飾アカウント名:
OS バージョン:
被呼端末 ID:
起呼端末 ID:
CORP2008\NAPVISTA$
NAPVista.corp2008.local
CORP2008\NAPVISTA$
6.0.6001 1.0 x86 ドメインコントローラ
192.168.10.0
0003FFAD088E
NAS:
NAS
NAS
NAS
NAS
NAS
IPv4 アドレス:
IPv6 アドレス:
ID:
ポートの種類:
ポート:
RADIUS クライアント:
クライアントのフレンドリ名:
クライアント IP アドレス:
192.168.10.2
WS2008DC
イーサネット
-
-
91
認証の詳細:
プロキシポリシー名:
NAP DHCP
ネットワークポリシー名: NAP DHCP 非準拠
認証プロバイダ:
Windows
認証サーバー:
WS2008DC.corp2008.local
認証の種類: 非認証
EAP の種類:
アカウントのセッション ID:
353333333136353135
検疫情報:
結果:
検疫済み
拡張結果:
セッション ID:
{BB7C071B-D910-49CB-BA28-A26FE817B44B} - 2007-10-26
09:03:13.734Z
ヘルプ URL:
http://nap.corp2008.local
システム正常性検証ツールの結果:
Windows セキュリティ正常性検証ツール..
非準拠
データなし
なし
(0xc0ff0001-システム正常性コンポーネントが有効になっていません。 ..)
(0xc0ff0047-サードパーティ製のシステム正常性コンポーネントが有効になっていません。 ..)
(0xc0ff0048-特定のサードパーティ製システム正常性コンポーネントの署名が最新ではありません。..)
(0xc0ff0001-システム正常性コンポーネントが有効になっていません。 ..)
(0xc0ff0004-特定のシステム正常性コンポーネントの署名が最新ではありません。..)
(0xc0ff0001-システム正常性コンポーネントが有効になっていません。 ..)
(0x0-)
(0x0-)
92
本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変
化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、提示され
た情報の信憑性については保証できません。本書は情報提供のみを目的としています。 Microsoft は、明示的または暗
示的を問わず、本書にいかなる保証も与えるものではありません。すべての当該著作権法を遵守することはお客様の責
務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または
挿入を行うことは、どのような形式または手段（電子的、機械的、複写、レコーディング、その他）、および目的で
あっても禁じられています。これらは著作権保護された権利を制限するものではありません。Microsoftは、本書の内容
を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書
面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他
の知的財産へのライセンスを与えるものではありません。
© 2009 Microsoft Corporation. All rights reserved.
Microsoft, Windows は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。その他、
記載されている会社名および製品名は、一般に各社の商標です。
96

Download Report