MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。
参考書は下記を使用。
これはまだ使ったことないので、なかなか難解な部分です。。。
■3.2.1 ネットワークアクセス保護(NAP)
セキュリティ要件を満たしていないPCを隔離(検疫)する機能。
■3.2.2 NAP実施環境の要素
下記の要素があるらしい。
NAPクライアント
NAPクライアント機能が有効化されてないとダメ。
ネットワークポリシーサーバ(NPS)
クライアントに対するポリシーを定義しておく。
また、ポリシーにOK、ポリシーにNG、NAP非対応時の動作も定義できる。
修復サーバー
ポリシー満たしていないクライアントに対して、ポリシーを満たさせるためのパッチや手順等を提供するサーバ。
アクセスデバイス(NAP実施サーバ)
NAPクライアントとNPSとの間にある機器。NAP実施方法により、配置物は変わるらしい。
NAPの動作
NAPではネットワーク的に3つのゾーンとなるらしい。
・検疫ゾーン:ポリシーNG、NAP非対応のクライアントがいるゾーン
・境界ゾーン:アクセスデバイス、修復サーバ
・セキュアゾーン:保護されてるサーバ達
NAP実施方法として以下5つが提供されている。
・DHCP NAP
クライアントがDHCPサーバーからIP取得するときにNAPを実施する。
DHCPオプションやサブネットで区別。
・VPN NAP
アクセスデバイス:RRASサーバ。
VPNクライアントが接続するときにNAPを実施。
ポリシーNGな場合は、パケットフィルタで、限定的アクセスを強制。
・IPSec NAP
セキュアゾーンにアクセスにIPSecを強制。
認証に正常性証明書とやらを使うらしい。なにやら複雑そう。
・IEEE802.1x NAP
アクセスデバイス:802.1x対応のスイッチ、アクセスポイント。
有線でも無線でもOK。ポリシーNGは違うVLANにするなどができる。
・ターミナルサービスゲートウェイNAP
ポリシーNGだと、ターミナルサーバへのアクセス拒否。
■3.2.2 NAPコンポーネント
システム正常性エージェント(SHA)
クライアントの状態検査と、検証。サーバのSHVと対になる。
システム正常性検証ツール(SHV)
SHAに対応するNPS側コンポーネント。ポリシーのチェックをするのかな。
検疫エージェント(QA)
SHAの情報をECに渡す。
実施クライアント(EC)
動作を強制するクライアントコンポーネント。ESに正常性ステートメントを送信する。
実施サーバ(ES)
ECから渡された情報をSHVに中継。
検疫サーバ(QS)
SHVから来た正常性ステートメント応答(SoHR)を受け取り、RADIUSを使ってアクセスデバイスに送信。
■3.2.3 NAPクライアントの構成
・セキュリティセンター
・Network Access Protection Agentサービス
・NAP実施クライアント
が有効になってないとダメ。
※現状では Vista と XP SP3 が対応。
これらがグループポリシーで有効化できる。(AD環境)
NAP実施クライアントをローカルで指定するにはnapclcfg.mscの「NAPクライアントの構成」から有効にできる。
■3.2.4 DHCP強制
クライアントはDHCPを使わないといけない。
ポリシーNGのときは下記のDHCPオプションをリースする。
・サブネットマスク : 255.255.255.255
・デフォルトゲートウェイなし
・設定した非準拠用DHCPオプション
DHCP NAPは最も制限の緩やかな方法。クライアントが手動でIP構成すると制限が適用されないから。
ただし、お手軽感あり。
DHCP NAP構成ポイント
NAPサーバ側
管理ツール「ネットワークポリシーサーバ」→「NAPを構成する」から可能。(ネットワーク接続の方法でDHCPを選択)
・NPSとDHCPサーバが別コンピュータのときは「RADIUSクライアント」を追加する。
この場合、DHCPサーバにもNPSをインストールし、RADIUSプロキシとして構成する。
※アクセスデバイスとNPS間は RADIUS 通信が必要のため。
DHCPサーバ側
・DHCPサーバのスコープでNAPを有効化するには、管理ツール「DHCP」のプロパティで、「ネットワークアクセス保護」タブ→「このスコープに対して有効にする」で可能。
・ポリシーNG時の構成を変更するには、管理ツール「DHCP」の「スコープオプション」右クリ「オプションの構成」→「詳細設定」タブで可能。
■3.2.5 VPN強制
VPN NAP構成ポイント
NAPサーバ側
管理ツール「ネットワークポリシーサーバ」→「NAPを構成する」から可能。(ネットワーク接続の方法で仮想プライベートネットワークを選択)
・「認証方法の構成」で EPP-TLS , PEAP-MS-CHAP のどちらかを選択。
VPNクライアント側(RRASサーバではなくVPNクライアント側の設定となる)
・VPN接続プロパティで「詳細(カスタム設定)」→「拡張認証プロトコルを使う(EAP)」で、認証方法選択。
後は、サーバの証明書を検証する、すばやい再接続を有効化する、検疫のチェックを有効にするでOK。
■3.2.6 IPSec強制
正常性証明書
これを用いてコンピュータ認証を行う。
ポリシーがOKなクライアントのみ、これを受けてとれる。ポリシーNGになったらクライアントは証明書を削除する。
正常性登録機関
セキュアゾーンのサーバはIPSec出ないと通信できない。
境界ゾーンはIPSecと通常の通信両方ともOK。
※NAPポリシーOKなクライアント間でもIPSecで安全な通信ができる。(エンドtoエンドで安全なのはIPSec NAPだけ)
IPSecで必要な設定
・セキュア、境界ゾーンのコンピュータに正常性証明書を配布。
・IPSecポリシー設定
セキュアゾーン:正常性証明書によるIPSec通信必須。
境界ゾーン:IPSecと通常の通信両方許可。
クライアント:IPSecで要求されたら、IPSec通信で応答する。
・正常性登録機関(アクセスデバイス)とCAを設定(正常性証明書を配布)
・NAPポリシー作成(NPS
・NAPクライアントの構成(セキュリティセンター、NAPサービス、NAP実施クライアントの有効化)
と、ここでタイムアウト。。。
試験本番まで残り数時間しかないので、あとは赤本を斜め読みでなんとか踏ん張るのみです。。。
残っているはNAPの802.1x、無線LAN、ファイウォールと、ファイルおよび印刷サービスの構成、ネットワークの監視と管理です。。
赤本でのこりおよそ240頁ほど。。
さあて、どうなることやら。。。。