2008年10月15日 07時30分 UPDATE
特集/連載

NAPと4つの強制手段MSのNetwork Access Protectionを活用したポリシー強制

Windows Server 2008とWindows Vistaに組み込まれているNAPでは、カスタマイズされたポリシーを作り、ネットワークのセキュリティ状態をチェックすることができる。

[Elizabeth Quinlan,TechTarget]

 Network Access Protection(NAP)はMicrosoftのWindows Server 2008Windows Vistaに組み込まれているセキュリティポリシー強制プラットフォームで、システムの正常性を保つためのコンプライアンス強制によって、ネットワーク資産の保護を実現する。NAPユーザーはカスタマイズ版のポリシーを作成し、クライアント(Windows搭載PC)がネットワークに接続したり通信したりする前に、セキュリティをチェックできる。

 NAPは問題の是正に関して複数のオプションを設定できる。オプションでポリシーを順守していないクライアントを隔離してネットワークアクセスを制限したり、クライアントを許容できるセキュリティ水準にまで復元したり、ポリシーに沿ったコンピュータを自動更新して最新のコンプライアンスを適用したりできる。NAPはクライアントのセキュリティ状況に応じて、ネットワークへの完全アクセス、制限されたネットワークへの限定アクセス、ネットワークへのアクセス全面禁止などを設定できる。

 NAP用に選んだ強制手段によってポリシーの適用方法が決まる。ポリシーはDHCP(Dynamic Host Configuration Protocol)、VPN with Routing and Remote Access、IEEE 802.1Xポートベースの有線/無線LAN接続コントロール、IPsecで守られたトラフィック経由で強制できる。NAPではまた、既にネットワークに接続している順守PCに最新のコンプライアンスを適用することも可能だ。これは、ポリシーやクライアントの状態が変わった際に役に立つ。

NAPの仕組み

 NAPはWindows Server 2008、Windows Vista、Windows XP SP3クライアントのエージェントで機能する。クライアント環境にはシステム正常性エージェント(SHA)、検疫エージェント(QA)、強制クライアント(EC)が含まれる。クライアントがDHCP、VPN、IEEE 802.1X、IPsec経由で接続すると、SHAがクライアントの現状を判断し、ネットワーク接続要求をネットワークポリシーサーバ(NPS)に転送する。NPSはシステム正常性検証ツール(SHV)と検疫サーバ(QS)を備える。もしクライアントがポリシーに準拠していなければ、隔離ネットワークに送られて修復サーバが適切なセキュリティアップデートを適用し、システムを準拠させる。クライアントが準拠していれば、会社のネットワークへのアクセスを許可する。

DHCP検疫

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news051.jpg

「SATORI」が機能アップデート、シナリオ機能を強化
SATORIはマーケティングオートメーションツール「SATORI」の機能アップデートを発表した。

news012.jpg

AIで社会課題を抽出して国会議員に届けてみた結果――東大・電通PR・ホットリンク調べ
国会議員の政策策定にもAIを活用する日がくるかもしれません。

news028.jpg

電通が分類する30の「メディアライフスタイル」はなぜ生まれたのか、ここから何が見えてくるのか
電通メディアイノベーションラボが類型化する30の「メディアライフスタイル」。これによ...