Download - ドラフト版 COD2012 九州会場 NAPによる簡易検疫のススメ
【Draft】NAPによる簡易検疫のススメ
Community Open Day 2012
Win.tech.q 知北直宏
自己紹介
• ITPro系コミュニティ・Win.tech.q代表
• アイティデザイン株式会社代表取締役社長
• MCT、MCSE、MCITP、MCTS
• Microsoft MVP(Directory Services Jan2011 - Dec2011)
• Active Directory 、 Hyper-V 、 NAP など、Windows Server に関する設計、構築、移行など行っています。
• 2010年に書籍「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド」を執筆・発売しました。 (2012年3月に第7版発売、通算13000部発行)
知北直宏(ちきたなおひろ)の自己紹介です。
アジェンダ
• NAP の概要
• DHCP-NAP の構築
• DHCP-NAP の動作
• まとめ
今日はこんなことをお話しします。
注意事項
• 本セッションの内容は、2012年6月現在のカレントバージョンである Windows Server 2008 R2 をベースとしております。
• 実際に NAP 環境、検疫環境の設計や構築を行う際には、マイクロソフトの技術文書なども参照しながら進めることをお勧めします。
• 本セッション、および本資料によって発生した問題には一切の責任を負いません。
ご注意ください。
NAP の概要
NAP とは?
• NAP とは「 Network Access Protection 」の略であり、 Windows 標準の検疫機能です。
• Windows Server 2008 / 2008 R2 でサーバー側の環境を用意しておくと、ポリシーに準拠しない Windows XP / Vista / 7 クライアントを検疫し、ネットワークから隔離することができます。
• 例えば、次のような状態の Windows クライアントを検疫できます。
– アンチウイルスソフトが無効になっている、定義ファイルが古い
– スパイウェア対策ソフトが無効になっている、定義ファイルが古い
– ファイアウォール機能が無効になっている
– 一定レベル以上のセキュリティ更新プログラムが適用されていない
NAP ってナニ?
NAP の特徴
• さまざまなネットワークに対応しています。
– 有線LAN、無線LAN、リモートアクセスなど
• 複数の制限機能、検疫機能があります。
– DHCP、IPSec、802.1x、VPN、RDゲートウェイでの制限
• 拡張性があります。
– Windows 標準だけでなく、System Center Configuration Manager やサードパーティの NAP 対応機能を使う、など
NAP には次のような特徴があります。
NAP の機能
• ポリシー検証
– ポリシーに「準拠」しているか、「非準拠」かの判定
• ネットワークアクセス制限
– ポリシーに非準拠なコンピューターのネットワークアクセスを制限
• 自動修復
– ポリシーに非準拠なコンピューターを自動的に修復
• 継続的なポリシー検証
– ポリシーに準拠したと判定したコンピューターも、その後も継続して検証を実施
NAP には次のような機能があります。
NAP の動き
NAP はこのように動作します。
Windows コンピューター
修復サーバー (WSUS、アンチウイルスサーバーなど)
リソースサーバー
ネットワークポリシーサーバー (NPSサーバー)
実施ポイント ・アクセスデバイス
検疫ゾーン
境界ゾーン
セキュアゾーン
①アクセス要求
②ポリシー判定
③’’「非準拠」
③「準拠」
③’「非準拠」
×
NAP のコンポーネント
• NAP クライアント
• 実施ポイント・アクセスデバイス
• ネットワークポリシーサーバー
• 修復サーバー (必須ではない)
NAP は次のようないくつかのコンポーネントで成り立ってます。
NAP クライアント
• NAP クライアントは次の 3 つのコンポーネントで構成されています。
– SHA ( System Health Agent :システム正常性エージェント)
– NAP エージェント
– EC ( Enforcement Client :実施クライアント)
Windows コンピューター側で動作するクライアント側コンポーネントです。
実施ポイント・アクセスデバイス
• 実施ポイント・アクセスデバイスは「 ES ( Enforcement Server :実施サーバー)とも呼ばれ、コンピューターのアクセス許可や制限を行います。
• 次のような5種類があります。
– ES DHCP
– ES IPSec
– ES 802.1x
– ES VPN
– ES リモートデスクトップゲートウェイ
アクセスの許可や制限を行うためのデバイスです。
ネットワークポリシーサーバー
• ネットワークポリシーサーバー( NPS サーバー)は次の 3 つのコンポーネントで構成されています。
– SHV ( System Health Validator :システム正常性検証ツール)
– NAP 管理サーバー
– NPS サービス ( RADIUS です)
Windows Server 2008 / 2008 R2 側で動作するコンポーネントです。
修復サーバー
• ポリシーに準拠していないコンピューターの修復を助けるためのサーバー群です。
• 検疫されてもアクセスすることができます。
• 例えば、 WSUS サーバーや、アンチウイルスソフトの管理サーバーなどを登録します。
• NAP 環境構築時に必須なコンポーネントではありません。
検疫時にもアクセスできるサーバー群です。
SHAとSHV、WSHAとWSHV
• NAP クライアントの SHA ( System Health Agent )と NPS サーバーの SHV ( System Health Validator )が 対になって動作します。
• Windows 標準の SHA 、 SHV として、 WSHA ( Windows SHA )と WSHV ( Windows SHV )があります。
• WSHA は Windows XP の「セキュリティセンター」と、 Windows Vista / 7 の「アクションセンター」と連携して動作します。
• Windows Server 2008 R2 からは、 1 つの SHV に複数の設定ができるようになりました。
• サードパーティが SHA と SHV を開発することができます。
• マイクロソフトの System Center Configuration Manager も SHA と SHV を用意しています。( サーバー OS でも使用できる SHA です)
NAP が検疫判定するときの重要なコンポーネントたちです。
WSHVで判定できる項目
• ファイアウォール設定 • ファイアウォール機能が有効か
• ウイルス対策の設定 • ウイルス対策ソフトが有効か • 定義ファイルが最新か
• スパイウェア対策の設定 ( Windows XP にはこの設定は無し)
• スパイウェア対策ソフトが有効か • 定義ファイルが最新か
• 自動更新の設定 • 自動更新が有効か
• セキュリティ更新プログラムの設定 • 適用されているセキュリティ更新プログラムの最低限のレベル • 最後に更新を行ってからの経過時間 • 更新の接続先の種類( Microsoft Update , Windows Update , WSUS )
標準の SHV である WSHV では次のような判定ができます。
Windows Server 2008 R2 の WSHV 設定画面
Windows Server 2012 では?
WSHV など、 NAP に関わる機能に変化はなさそう
Windows Server 2012 RC の ネットワークポリシーサーバー
NAP の実施オプション
• DHCP 実施 – Windows Server 2008 / 2008 R2 の DHCP サーバーを実施ポイントにします。
• IPSec 実施 – ポリシーに準拠したコンピューターだけに「正常性証明書」を発行して、IPSec 通信を強制します。
• 802.1x 実施 – IEEE 802.1x に対応したスイッチや無線LANアクセスポイントを実施ポイントにします。
• VPN 実施 – Windows Server 2008 / 2008 R2 の VPN サーバーを実施ポイントにします。
• リモートデスクトップゲートウェイ実施 – RDP を HTTPS にカプセル化するリモートデスクトップゲートウェイを実施ポイントにします。
NAP の実施オプション、検疫方法として、次のような 5 つがあります。
DHCP-NAP の構築
DHCP-NAP の特徴
• 5 つの実施オプションの中で、最も容易に導入できる NAP です。
• Windows Server 2008 / 2008 R2 の DHCP サーバーを実施ポイントにします。
• DHCP サーバーにはポリシーに準拠したコンピューターにリースする IP アドレス構成と、ポリシー非準拠なコンピューターにリースするための IP アドレス構成の、 2 つを登録します。
• ポリシーに準拠していないコンピューターには、サブネットマスクが「255.255.255.255」のような、限定された IP アドレスがリースされます。
• IPv4 にしか対応していません。
• 固定 IP のコンピューターを検疫対象にすることはできません。。。
DHCP 実施による DHCP-NAP ってどんな特徴があるの?
DHCP-NAP による簡易 NAP 構築の流れ
1. DHCP サーバーとネットワークポリシーサーバーの役割を追加
2. ネットワークポリシーサーバーを構成
3. WSHV を設定
4. DHCP サーバーを構成
5. NAP クライアントを構成
• 1 台の Windows Server 2008 R2 サーバーに DHCP サーバーとネットワークポリシーサーバーを同居させた構成を例にしています。
WSHA/WSHVとDHCP-NAP で、簡易的な NAP 環境が作れます!
DHCP サーバーとネットワークポリシーサーバーの役割を追加
「役割の追加ウィザード」で 2 つの役割を追加します。
ネットワークポリシーサーバーを構成(1/11)
サーバーマネージャーなどから構成を開始します。
ネットワークポリシーサーバーを構成(2/11)
NAP の実施オプションとして DHCP を選択します。
ネットワークポリシーサーバーを構成(3/11)
DHCP サーバーが別のサーバーで実行されているときはここで追加。
ネットワークポリシーサーバーを構成(4/11)
特定の DHCP スコープのみにNAPを有効にするときはここで指定。
ネットワークポリシーサーバーを構成(5/11)
特定のコンピューターグループのみにNAPを有効にするときはここで指定。
ネットワークポリシーサーバーを構成(6/11)
修復サーバーを用意するときはここで追加。
ネットワークポリシーサーバーを構成(7/11)
修復サーバーの IP アドレスなどを登録し、グループ名を設定します。
ネットワークポリシーサーバーを構成(8/11)
修復サーバーのグループ名を確認します。
ネットワークポリシーサーバーを構成(9/11)
正常性ポリシーに関して設定を行います。
SHVとして、 WSHVを選択します。
自動修復を有効にすることができます。
「NAP非対応」なコンピューターやデバイスのネットワーク接続を「拒否」するか「許可」するか指定します。
ネットワークポリシーサーバーを構成(10/11)
構成完了です!
ネットワークポリシーサーバーを構成(11/11)
3 種類のポリシーが生成されました。
WSHV を設定(1/2)
サーバーマネージャーなどから WSHV の設定を行います。
WSHV を設定(2/2)
検疫の判定項目を設定します。
DHCP サーバーを構成(1/3)
スコープの NAP 設定を有効化します。
DHCP サーバーを構成(2/3)
スコープのオプションとして NAP 用の設定を追加します。
DHCP サーバーを構成(3/3)
スコープのオプションとして NAP のためのクラスのものが追加されました。
Windows Server 2012 では?
NAP のためのユーザークラスの指定方法が変更になるよう。
Windows Server 2012 RC の DHCP マネージャー
NAP クライアントを構成(1/6)
NAP クライアントを構成する際の補足です。
• NAP クライアントの構成を行う際には、 Active Directory の グループポリシーを使って一括設定するとラクです。
• ここでは Active Directory が存在している環境を想定した手順を紹介します。
NAP クライアントを構成(2/6)
GPMC を使って、 NAP 用の GPO を作成、編集します。
NAP クライアントを構成(3/6)
「 Network Access Protection Agent 」サービスを自動起動させるための設定。
「コンピューターの構成」 「ポリシー」 「Windows の設定」 「セキュリティの設定」 「システムサービス」
NAP クライアントを構成(4/6)
DHCP 実施クライアントを有効化するための設定。
「コンピューターの構成」 「ポリシー」 「Windows の設定」 「セキュリティの設定」 「ネットワークアクセス保護」 「NAP クライアントの構成」 「強制クライアント」
NAP クライアントを構成(5/6)
セキュリティセンターを有効化するための設定。
「コンピューターの構成」 「ポリシー」 「管理用テンプレート」 「Windows コンポーネント」 「セキュリティセンター」
NAP クライアントを構成(6/6)
GPMC を使って、作成した GPO をリンクします。
• 作成した NAP 用の GPO を「 OU 」にリンクします。
• もしも、「ドメイン」にリンクするのであれば、対象 GPO の「セキュリティーフィルター処理」をデフォルトの「 Authenticated Users 」から、特定のグループ( NAP の検疫対象とするコンピューター群をまとめたグループ)に変更することをお勧めします。
NAP-DHCP の動作
ポリシーに準拠しているときの挙動
• DHCP サーバーから、ごく普通に IP アドレスなどがリースされます。
NAP 対応コンピューターがポリシーに準拠しているとどうなるの?
ポリシーに準拠していないときの挙動
• アクションセンターが検知します。
• DHCP サーバーから、限定された IP アドレスなどがリースされます。
NAP 対応コンピューターがポリシーに非準拠だとどうなるの?
NAPSTAT のメッセージ
ポリシーに準拠していないと判定されたら
• NAPSTAT のメッセージなどから非準拠と判断された理由を調べます。
• ポリシーに準拠するように設定変更など行います。
– アンチウイルスソフトを有効にする
– 修復サーバーにアクセスして各種定義ファイルをアップデートする
– WSUS サーバーにアクセスしてセキュリティ更新プログラムを適用する
– その他
• 設定変更を行うと、すぐに再度の判定が自動的に実施されます。
ポリシー非準拠と判定されたらどうするの?
まとめ
NAP による簡易検疫のススメ
• BYOD ( Bring Your Own Device )の広まりによる持ち込み PC 増加などによって、これまで以上にセキュリティ対策の重要性は高まっています。
• しかしながら、多大なコストをかけることができない状況も増えているのではないでしょうか。
• そこで、 Windows によるサーバー、クライアントを利用している環境であれば、 DHCP-NAP と WSHA/WSHV などによる簡易的な検疫システムを構築してはいかがでしょうか。
• 本セッションが、NAP による簡易検疫システムの検討や構築、また、それらの「気づき」となれば幸いです。
まとめです。
参考情報
• Network Policy and Access Services http://technet.microsoft.com/ja-jp/library/cc753220
• NAP クライアントの構成 http://technet.microsoft.com/ja-jp/library/cc754803
• Ask the Network & AD Support Team マイクロソフト Network & AD サポートチーム公式ブログ http://blogs.technet.com/b/jpntsblog/archive/2009/10/29/nap-internal-1-wsha.aspx http://blogs.technet.com/b/jpntsblog/archive/2009/12/15/nap-internal-2-wsha.aspx http://blogs.technet.com/b/jpntsblog/archive/2010/01/20/nap-internal-3.aspx http://blogs.technet.com/b/jpntsblog/archive/2010/06/21/nap-internal-4-dhcp.aspx
• Windows Server 使い倒し塾 http://blogs.technet.com/b/windowsserverjp/archive/2009/10/07/3284916.aspx
NAP 構築時に役立つ情報群です。