は、パーソナルコンピュータのセキュリティ管理のために企業がネットワークアクセス保護(NAP)を強化するのを支援するために使用できるWindows Server 2008の機能です。 1つ、特にネットワーク情報セキュリティの2つの分野。簡単に言うと、企業のセキュリティポリシーに準拠していないコンピュータを防ぐために、接続を承認することでNAPを制限することができます。またはパーソナルファイアウォールを有効にすると、アンチウイルスソフトウェアのシグネチャ/アンチウイルスエンジンが期限を超えて更新されません。ポリシー制御とID認証および承認の統合NAPを起動するには、まずサーバーマネージャで新しいサーバーの役割(ネットワークポリシーとアクセスサービス(NPAS))を起動する必要があります。一連のインストール手順が完了すると、[スタート]アセンブリのシステムツールにショートカット - ネットワークポリシーサーバー(NPS)が追加されます。 Network Policy Serverコンソールを実行すると、すぐに3つの標準オプションが表示されるので、すぐに設定を適用できます。 [NAPの構成]を押すとインストールアシスタントが起動し、管理者がセットアップ手順を段階的に完了できるようになります。実際、NPSの前身はWindows Server 2003上のインターネット認証サービス(IAS)で、集中RADIUS認証、承認、および記録メカニズムを備えており、新しいサーバーを作成するのではなく、有線、ワイヤレス、およびVPNネットワークをカバーし続けています。実行環境したがって、RADUISプロキシサーバーとして使用するために、認証および統計メッセージを他のRADIUSサーバーに転送することもできます。全体として、NAPは機能名ですが、Windows Server 2008の場合、この機能は主に上記のサーバーの役割によって提供されます。ポリシーサーバーと必須チェックサーバーを含むNPASを初めてインストールしたときには、NPS、リモートアクセスサービス(RAS)、ルーティング(ルーティング)、および正常性登録機関(HRA)が含まれていることがわかります。 HRAは非常に特殊で、主にNAP IPsecポリシーによって強化されたアーキテクチャで使用されますIPsecで保護されたローカルエリアネットワークの分野では、パーソナルコンピュータがネットワークセキュリティポリシーに準拠していると判断された場合同じネットワークに接続されているパーソナルコンピュータが接続されていると、証明書が同時に検証され、ポリシーがチェックされていないと正常性証明書が取得できず、IPsecエンドポイント認証が失敗します。その他のコンピュータ通信NPSは、次の4つの主要コンポーネントにも分類できます。RADIUSクライアントとサーバー:エンタープライズユーザーがNPSサーバーをRADIUSプロキシサーバーとして設定した場合、他のRADIUSパーソナルデバイスを参照し、サーバーは他のNPSサーバーを参照します。会社のネットワーク環境で複数のドメインまたは複数のツリーシステムが使用されている場合は、このメカニズムによってそれを導くことができます。ポリシー:3つのタイプのポリシー設定に分けられます:接続要件、ネットワークおよび健康状態。接続要件ポリシーは、リモートNPSサーバーまたは他のRADIUSサーバーへの接続を処理するために使用され、NPSを、802.1x対応ワイヤレスAPや認証スイッチなどのRADIUSプロトコル認証、ルーティング、リモートアクセスサービスなどへの準拠を検証するゲートウェイデバイスにします。 (RRAS)は、VPNまたはダイヤルアップネットワークのサーバー、およびターミナルサービスゲートウェイになります。ローカルドメインと信頼されたドメインは、事前設定されたポリシーで設定できます。ネットワークポリシーは、不特定のリモートアクセスサーバー、イーサネットネットワーク、ターミナルサービスゲートウェイ、ワイヤレスAP、HRA、HCAPサーバー、DHCPサーバーなど、6つ以上の形式に分類できます。健康状態戦略に関しては、一般に、「すべてのチェックに合格する」または「それらのうちの1つが失敗する」に設定できます。また、すべての失敗、部分的な合格、悪意のあるプログラムに感染していると判断されるなどの5つのオプションを選択できます。あなたが決めることができない場合は、戦略を適用するための対応する状況を見つけることができます。ネットワークアクセス保護:コンソールコンピュータ(システム正常性検証ツール、SHV)および修復サーバー(修復サーバー)の設定の正常性を確認する責任のみがあります。 DNSサーバー、ドメインコントロールステーション、ウイルス対策シグネチャが配置されているファイルサーバー、ソフトウェア更新サーバーなどを含む、いわゆる修復サーバーは、ヘルスチェックに合格できないコンピューターを修正する機会があります。検証が完了した後に他の作業を実行したい場合は、戦略的な決定を下す必要があります。 SHVは、Windowsファイアウォールを有効にするかどうか、自動アップデート、ウイルス対策ソフトウェアをインストールするかどうか、スパイウェア対策(Windows XP SHVはこのチェックをサポートしていません)、および両方のシグネチャが最新かどうかなど、Windows XPおよびVistaの正常性状態を定義できます。ステータス、および数時間以内にセキュリティアップデートを完了するように設定できます。以前にWindows Server Update Services(WSUS)更新サーバーを提供するようにMicrosoftを設定していた場合は、ここでそれを設定して、更新された情報とファイルを入手することもできます。ウイルス対策ソフトウェアのサポートに関しては、マイクロソフトは自社のForefront Client Secuirty、シマンテック、Trends、McAfeeおよび他のブランドのウイルス対策ソフトウェアのシグネチャコードを、現在Windows Defenderのみをサポートするものとして識別できると主張しています。アカウンティング:IAS.logまたはSQL Serverが読み書きできるログファイルとして保存できるログファイルの生成を担当します。金融業界のように、会社自体に厳しい監査レベルがある場合は、この情報をSQL Serverに転送できます。 NPSは各管理端末をどのように認証するのですか?ユーザーはインターネット上のコンピュータを起動してネットワークにアクセスしようとしているため、ネットワークデバイスとネットワークポリシーサーバーは、システムが自動的にステータスを更新するなどの正常性証明書を提示する必要があります。パーソナルコンピュータのシステム正常性エージェント(SHA)によって宣言されたシステムステータスがSHVチェックとNAPポリシーに合格すると、ファイアウォール、ウイルス対策ソフトウェアが有効になっているかどうかなど、これらのデバイスとシステムは証明書と接続の詳細をポリシーサーバーに渡します。 。接続の詳細を評価した後、ネットワークポリシーサーバーは、承認のためにユーザー承認証明書をActive Directoryに渡し、ポリシー要件が満たされてユーザー承認が渡されると、ネットワークへのアクセスが許可され、ユーザーまたはデバイスアクセスが承認されます。 NPSはそれ自身のポリシー設定でそれを評価することに対して責任があるだけであり、承認された行動を処理しないことに注意することは重要です。すべてのネットワークアクセス承認とアカウント管理は、ドメインコントロールステーションと一致する必要があります。