Windows Server 2008

  

ユニットのNPSポリシーはほとんどがモバイルオフィスであり、ウイルスデータベースは時間内に更新されず、システムパッチもインストールされていないため、モバイルオフィス機器は危険な状態にあります。 。このドアにアクセスするためのネットワークの防御方法は何ですか?

著者は何百人ものレポーターを抱えるメディア会社にいますそれぞれのレポーターはラップトップとインターネット機器を備えています。ジャーナリストは出張時にラップトップを携帯することが多く、内部ネットワークに長時間ログインしません。レポーターがVPNなどの手段で社内ネットワークに接続すると、接続時間が非常に短くなり、システムパッチとウイルスデータベースをすぐにダウンロードできなくなります。ウイルスデータベースが期限内に更新されず、システムパッチもインストールされていないため、ラップトップは "危険な"状態になり、ウイルスが感染し、ウイルスやトロイの木馬などの他のウイルスが内部ネットワークに侵入すると、ネットワークに大きな影響を与えます。

ネットワークにログインしたときにクライアントコンピュータのセキュリティを自動的に検出し、セキュリティ基準を遵守した後でネットワークにログインできるようにする方法はありますか?NAP、つまりネットワーク保護戦略です。

NAPは厳密に管理されています

Windows Server 2008ではNAP(ネットワークアクセス保護)が提供されています。最新のセキュリティパッチをインストールするかどうか、アンチウイルスソフトウェアのシグネチャデータベースを更新するかどうか、ファイアウォールを有効にするかどうかなどは、セキュリティ条件を満たした後に内部ネットワークに入ることを許可されます。システムヘルスチェックに失敗したコンピュータは、アクセスが制限されたネットワークに隔離されます。アクセスが制限されたネットワークでは、コンピュータの状態を修復し(パッチサーバーから特別なシステムパッチをダウンロードする、ファイアウォールポリシーを強制的に開くなど)、ネットワークの正常性基準に達した後に会社の内部ネットワークにアクセスします。

Windows Server 2008には、ネットワークアクセス保護のためのさまざまな方法が用意されていますが、最も簡単な方法は、DHCPサービスでNPS(ネットワークポリシーサーバー)ポリシーを使用してネットワークアクセス保護を完成させることです。このポリシーを展開するには、クライアントコンピュータを構成する必要があります。グループポリシーで[セキュリティセンターを有効にする(ドメインPCのみ)]ポリシーを有効にし、[DHCP検疫強制クライアント]ポリシーを有効にします。 NAPプロキシサービスを有効にするには、 "自動"スタートアップモードに設定することをお勧めします。

NPSサービスのインストール

既定でWindows Server 2008をインストールすると、NPS(ネットワークアクセスポリシー)サービスはインストールされず、ネットワーク管理者は手動でサービスをインストールする必要があります。

サーバーマネージャを起動して役割の追加ウィザードを実行し、[役割の選択]ダイアログボックスの[役割]ボックスの一覧で、インストールするネットワークポリシーとアクセスサービスのオプションを選択します。ただ大丈夫です。

NPSサービスがインストールされると、メンバサーバーのDHCPサービスは新しいNPS対応コンポーネントに置き換えられますネットワーク管理者は、NPSに関連するDHCPオプションを構成する必要があります。既定では、NPS関連コンポーネントの "ネットワークアクセス保護"は有効になっておらず、ポリシーはDHCPスコープ属性で有効になっています。

NAPでは、ユーザークラススコープカテゴリを追加して、同じネットワーク内で制限付きネットワークと無制限ネットワークアクセスの間でコンピュータを切り替えます。この特別な範囲のオプション(DNSサーバー、DNSドメイン名、ルーターなど)は、パフォーマンスが低下しているクライアントコンピューターにリースを提供するときに使用されます。たとえば、正常なクライアントに提供されるデフォルトのDNSサフィックスは「book.com」で、不正なクライアントに提供されるDNSサフィックスは「Testbook.com」です。

NPSポリシーを構成する

NPSポリシーは、ネットワーク正常性認証システム、更新サーバーグループ、正常性ポリシー、およびネットワークポリシーの4つの部分で構成されています。これらは、企業ネットワークに参加するコンピューターに使用されます。検証、隔離、修復、および健康ポリシーの確認

Network Health Validator:設定されたポリシーに従って、コンピュータの実行状態、実行する必要があるチェック、およびネットワークに接続されているどのコンピュータが安全で安全ではないかを検出するためのチェックリストを設定します。安全ではないとみなされ、ウイルス対策ソフトウェアはインストールされていません。安全なコンピュータではありません。 「ネットワークポリシーサーバー」コンポーネントを起動し、「NPS(ローカル)」→「ネットワークアクセス保護」→「システム正常性検証ツール」を開き、図1に示すように、属性リストで検出されるステータスを設定します。

サーバーグループの更新:ネットワーク管理者が、性能の悪いコンピュータがアクセスできるシステムを設定することを許可します定義されたシステムにアクセスすることによって、状態の悪いコンピュータは通常の状態に復元されます。セットアッププロセス中に、ターゲットサーバーのIPアドレスとDNSドメイン名解決が同じであることに注意してください。 「ネットワークポリシーサーバー」コンポーネントを起動し、「NPS」→「ネットワークアクセス保護」→「システム正常性検証ツール」を開き、新しい「アップデートサーバーグループ」を作成し、ウイルスデータベースアップデートサーバーまたはパッチアップデートサーバーのIPアドレスと名前を設定します。

正常性ポリシーは、クライアントコンピューターの正常性に関する標準を確立するために使用されます。セキュリティで保護されたコンピュータポリシー用とセキュリティで保護されていないコンピュータ用の2つのポリシーを作成することをお勧めします。ネットワーク正常性検証ツールによって検証されたコンピューターは、安全であれば安全なコンピューターポリシーに分類され、ネットワーク正常性検証ツールがコンピューターが安全でないと検証された場合には、安全でないコンピューターに分類されます。 「ネットワークポリシーサーバー」コンポーネントを起動し、「NPS」→「ポリシー」→「正常性ポリシー」を開き、2つの新しい「正常性戦略」を作成します。1つは図2に示すように「すべてのセキュリティ検証に合格」戦略です。安全衛生チェックの方針はありません。

ネットワークポリシー:コンピュータの状態に基づいて処理方法を決定するための処理ロジックの規則を定義します。ネットワーク正常性検証ツール、サーバーグループの更新、および正常性処理は、ネットワークポリシーを通じてグループ化されています。ネットワークポリシーは管理者によって定義され、コンピューターの実行状態に基づいてコンピューターの処理方法をNPSに指示するために使用されます。 NPSはこれらのポリシーを上から下に評価し、コンピュータがポリシールールに一致すると、処理はすぐに停止します。

「すべてのセキュリティ検証に合格する」ポリシーと「ネットワークセキュリティチェックを行わない」ポリシーの2つのポリシーが作成されました。 Previous 12 Next全文を読む

Copyright © Windowsの知識 All Rights Reserved