Windows Server 2008でNPSポリシーを使用する

ウイルスデータベースは更新されず、システム修正プログラムもインストールされていないため、モバイルオフィス機器は危険な状態にあり、内部ネットワークにアクセスするとネットワーク全体を脅かす可能性があります。 。このドアにアクセスするためにネットワークを防御する方法は？

著者の部署は何百人もの記者からなるメディア会社で、各記者はノートパソコンとインターネットデバイスを備えています。ジャーナリストは出張時にラップトップを携帯することが多く、内部ネットワークに長時間ログインしません。レポーターがVPNなどの手段で社内ネットワークに接続すると、接続時間が非常に短くなり、システムパッチとウイルスデータベースをすぐにダウンロードできなくなります。ウイルスデータベースが期限内に更新されず、システムパッチもインストールされていないため、ラップトップは "危険な"状態になり、ウイルスが感染してウイルスやトロイの木馬などの他のウイルスが内部ネットワークに侵入すると、ネットワークに大きな影響を与えます。

ネットワークにログインしたときにクライアントコンピュータのセキュリティを自動的に検出し、セキュリティ基準を満たした後でネットワークにログインできるようにする方法はありますか。それがNAP、ネットワーク保護戦略です。

NAPは厳密に管理されています

Windows Server 2008ではNAP（ネットワークアクセス保護）が提供されていますネットワーク保護ポリシーでは、すべてのクライアントコンピュータ（クライアントおよびVPNクライアント）が次のようにネットワークヘルスチェックに合格する必要があります。最新のセキュリティパッチをインストールするかどうか、アンチウイルスソフトウェアのシグネチャデータベースを更新するかどうか、ファイアウォールを有効にするかどうかなどは、セキュリティ条件を満たした後に内部ネットワークに入ることを許可されます。システムヘルスチェックに失敗したコンピュータは、アクセスが制限されたネットワークに隔離されます。アクセスが制限されたネットワークでは、コンピュータの状態を修復し（パッチサーバーから特別なシステムパッチをダウンロードする、ファイアウォールポリシーを強制的に開くなど）、ネットワークの正常性基準に達した後に会社の内部ネットワークにアクセスします。

Windows Server 2008では、ネットワークアクセス保護のためのさまざまな方法が提供されていますが、最も簡単な方法は、DHCPサービスでNPS（ネットワークポリシーサーバー）ポリシーを使用してネットワークアクセス保護を完成させることです。このポリシーを展開するには、クライアントコンピュータを構成する必要があります。グループポリシーで[セキュリティセンターを有効にする（ドメインPCのみ）]ポリシーを有効にし、[DHCP検疫強制クライアント]ポリシーを有効にします。 NAPプロキシサービスを有効にするには、 "自動"スタートアップモードに設定することをお勧めします。

NPSサービスをインストールする

既定でWindows Server 2008をインストールすると、NPS（ネットワークアクセスポリシー）サービスはインストールされず、ネットワーク管理者は手動でサービスをインストールする必要があります。

サーバーマネージャを起動して役割の追加ウィザードを実行し、[役割の選択]ダイアログボックスの[役割]ボックスの一覧で、インストールするネットワークポリシーとアクセスサービスのオプションを選択します。ただ大丈夫。

NPSサービスがインストールされると、メンバサーバーのDHCPサービスは新しいNPS対応コンポーネントに置き換えられますネットワーク管理者は、NPSに関連するDHCPオプションを構成する必要があります。既定では、NPS関連コンポーネントの "ネットワークアクセス保護"は有効になっておらず、ポリシーはDHCPスコープ属性で有効になっています。

NAPでは、ユーザークラススコープカテゴリを追加して、同じネットワーク内で制限付きネットワークと無制限ネットワークアクセスの間でコンピュータを切り替えます。この一連の特別な範囲オプション（DNSサーバー、DNSドメイン名、ルーターなど）は、パフォーマンスの低いクライアントコンピュータにリースを提供するときに使用されます。たとえば、優良クライアントに提供されるデフォルトのDNSサフィックスは「book.com」で、悪質なクライアントに提供されるDNSサフィックスは「Testbook.com」です。

NPS戦略は4つの部分で構成されています。ネットワーク正常性検証ツール、更新サーバーグループ、正常性ポリシー、およびネットワークポリシーは、企業ネットワークに参加しているコンピューターの正常性ポリシーを確認、隔離、修正、および確認します。

Network Health Validator：設定されたポリシーに従って、コンピュータの実行状態、実行する必要があるチェック、およびネットワークに接続されているどのコンピュータが安全で安全ではないかを検出するためのチェックリストを設定します。安全ではないとみなされ、ウイルス対策ソフトウェアはインストールされていません。安全なコンピュータではありません。 「ネットワークポリシーサーバー」コンポーネントを起動し、「NPS（ローカル）」→「ネットワークアクセス保護」→「システム正常性検証ツール」を開き、図1に示すように属性リストで検出されるステータスを設定します。

サーバーグループの更新：ネットワーク管理者は、性能の悪いコンピュータがアクセスできるシステムを設定することができます定義されたシステムにアクセスすることで、正常でない状態のコンピュータが通常の状態に復元されます。セットアッププロセス中に、ターゲットサーバーのIPアドレスとDNSドメイン名解決が同じであることに注意してください。 「ネットワークポリシーサーバー」コンポーネントを起動し、「NPS」→「ネットワークアクセス保護」→「システム正常性検証ツール」を開き、新しい「アップデートサーバーグループ」を作成し、ウイルスデータベースアップデートサーバーまたはパッチアップデートサーバーのIPアドレスと名前を設定します。

正常性ポリシーは、クライアントコンピューターの正常性に関する標準を確立するために使用されます。セキュリティで保護されたコンピュータポリシー用とセキュリティで保護されていないコンピュータ用の2つのポリシーを作成することをお勧めします。ネットワーク正常性検証ツールによって検証されたコンピューターは、安全であれば安全なコンピューターポリシーに分類され、ネットワーク正常性検証ツールがコンピューターが安全でないと検証された場合には、保護されていないコンピューターに分類されます。 「ネットワークポリシーサーバー」コンポーネントを起動し、「NPS」→「ポリシー」→「正常性ポリシー」を開き、2つの新しい「正常性戦略」を作成します。1つは図2に示すように「すべてのセキュリティ検証に合格」戦略です。安全衛生チェックの方針はありません。

ネットワークポリシー：コンピュータの状態に基づいて処理方法を決定するための処理ロジックの規則を定義します。ネットワーク正常性検証ツール、サーバーグループの更新、および正常性処理は、ネットワークポリシーを通じてグループ化されています。ネットワークポリシーは管理者によって定義され、コンピューターの実行状態に基づいてコンピューターの処理方法をNPSに指示するために使用されます。 NPSはこれらのポリシーを上から下に評価し、コンピュータがポリシールールに一致すると、処理はすぐに停止します。

「すべてのセキュリティ検証に合格する」ポリシーと「ネットワークセキュリティチェックを行わない」ポリシーの2つのポリシーが作成されました。

"すべてのセキュリティ検証に合格する"ポリシーは、セキュリティセンターのすべてのチェックを通過したコンピュータが無制限のネットワークアクセスを取得できることを示しています。 「ネットワークセキュリティチェックなし」ポリシーは、1つ以上のSHV（システム正常性検証ツール）チェックに合格していないコンピュータに対応します。コンピュータがこのポリシーに一致すると、NPSはDHCPサーバーに、特別なNAP制限付きスコープオプションを使用してIPリースをクライアントに提供するように指示します。このアドレスでは、違反しているコンピュータが更新サーバーグループに定義されているリソースにのみアクセスできます。 「ネットワークポリシーサーバー」コンポーネントを起動し、「NPS（ローカル）」→「ポリシー」→「ネットワークポリシー」を開き、「すべてのセキュリティヘルスチェックを通じた」ポリシーを新規作成し、アクセス権を設定します。

NAPの展開後、レポーターが会社のネットワークに戻ったときに、クライアントはまず最新のウイルスデータベースを持たないコンピューターを検出し、ウイルスデータベースをアップグレードするためにウイルスデータベース更新サーバーに自動的に接続します。システムにパッチが適用されたコンピューターは自動的にWSUSサーバーアップグレードパッチに接続します;ファイアウォールが有効なコンピューターがない場合、クライアントはファイアウォールを有効にするように求められます。上記の条件が満たされると、クライアントは内部ネットワークに接続してネットワークセキュリティを最大限に高めることができます。

ネットワークアクセス保護4つのステップ

ネットワークアクセス保護は、ポリシーの検証、分離、修復、および継続的な監視という4つの部分に分けられます。

ポリシー検証

ポリシー検証とは、NAPがネットワーク管理者によって定義された一連の規則に基づいてクライアントコンピューターシステムの状態を評価することを意味します。 NAPは、コンピューターがネットワークに接続しようとしたときに、セキュリティ正常性プログラムの使用を定義済みのポリシーと比較しますこれらのポリシーに準拠するコンピューターは良好な状態であり、1つ以上の検査基準を満たさないコンピューターは正常と見なされます。状態が悪いコンピュータ

分離

分離はネットワーク接続の制限として理解することができます。ネットワーク管理者によって定義されたポリシーに従って、NAPはコンピュータのネットワーク接続をさまざまな状態に設定できます。たとえば、重要なセキュリティ更新プログラムがないためにコンピュータが問題であると見なされた場合、NAPはそのコンピュータを分離されたネットワークに配置し、正常に動作するまで（パッチがインストールされるまで）ネットワーク上の他のコンピュータから分離します。

修復

接続状態が制限されているコンピューターの場合、NAPは、検疫されたコンピューターがネットワーク管理者の介入なしに動作状態を修正できるという修復戦略を提供します。ネットワークが制限されているため、必要な更新プログラムをインストールするためのコンピュータアクセスのパフォーマンスが低下します。

継続的な監視

継続的な監視。初回の接続中ではなく、ネットワークに接続したままコンピュータにこれらの正常なポリシーを監視させます。 Windowsファイアウォールを無効にするなど、コンピュータの状態がポリシーと一致しない場合、NAPはネットワークが復旧するまでファイアウォールを自動的にオンにします。


で