Windows Server® 2008 R2

今すぐ始めるネットワーク検疫

ＩＴライブラリーより （pdf １００冊）http://itlib1.sakura.ne.jp/

2

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）http://itlib1.sakura.ne.jp/

目次番号 ２７０番 Windows Server Enterprise 2008 R2

完全解説 （再入門 ） 全２６冊

制限ネットワーク（修復用）

社内ネットワーク

ネットワーク検疫とは？

3

ネットワークアクセス保護（NAP）

❑ ネットワーク検疫 とはクライアント PC が社内ネットワークに接続する際に、セキュリティチェックを行う仕組みです。

一定のセキュリティ要件（ポリシー）を満たしていないと社内ネットワークにアクセスさせないように強制できます。

ネットワーク検疫を導入することで次のメリットを期待できます。

・機密情報の漏洩の防止：不正に接続された PC からのアクセスを制限

・他のサーバー/ PCへのウィルス感染の防止：ウイルス対策が不十分、セキュリティ更新プログラムが未適用といった P Cのアクセスを制限

❑ Windows 標準の ネットワーク検疫機能： NAPNAP（ネットワークアクセス保護）は Windows Server 2008 /R2 に標準搭載されたネットワーク検疫機能です。

Windows クライアント（Windows XP SP3 / Vista / 7) に標準搭載された NAP クライアント機能と連携して動作します。

❑ NAP の仕組みと特徴PC がネットワークに接続された際に、自動でポリシーと適合するかをチェックします。

チェックに合格すれば、社内ネットワークにアクセスが許可されますが、不合格の場合はアクセスが拒否または制限されます。

制限された場合は、別の隔離されたネットワークに自動接続され、ポリシーを満たすよう修復させることができます。

NAPサーバーWindows 標準でチェックできる項目• ウィルス対策ソフト：有効、定義が最新か• スパイウェア対策ソフト：有効、定義が最新か• ファイアウォール：有効、定義が最新か• 自動更新の設定：有効• セキュリティ更新プログラムの適用：重要度、最終更新

業務サーバー

セキュリティ違反の PC を排除

4

課題: 社内でのウィルス感染や不正アクセスを防ぎたい

解決策: NAP を使用して、セキュリティ ポリシー違反の PC を排除

社内ネットワーク

• 更新プログラム未適用• ウィルス定義が古い• ファイアウォール無効• etc…

社内ネットワーク

ネットワークアクセス保護（NAP）セキュリティ ポリシーへの適合度に応じてネットワークへのアクセスを制限

どうやって危険なPC を排除したらい

いか…

セキュリティの脆弱な PC や不正な持ち込み PC が社内に接続できてしまうと…

ウィルス蔓延や情報漏えいのリスクが高まる

各種ネットワーク アクセス ポイント

システム管理者

PC の健康状態をアクセス ポイント経由で検疫サーバーへ通知

ポリシーへの適合結果で接続を制限

脆弱性あり

検疫サーバー（ネットワーク ポリシー サーバー）

New

検疫で問題のあった PC を自動修復

5

課題: 検疫 NG の結果、社内にアクセスできないと、問い合わせが殺到してしまう

解決策: 検疫 NG の PC を排除するだけでなく、自動的に問題を修復して再接続も可能

③ 再アクセス

② 修復

① アクセス検疫 NG

検疫 NG の場合に、ネットワークから遮断するだけだと…

ユーザーが PC の更新を忘れるたびに

問い合わせがくるんじゃ、対応してられないよ…

ringringring…

ユーザーからの問い合わせが殺到してしまう！

検疫 NG

システム管理者

アクセス

検疫で問題のあった PC は自動的に修復され、再度アクセスできる

修復サーバー検疫 NG の際に修復のため誘導されるサーバー

自動的に更新プログラムを適用できる

なんか繋がらないんですけど？

ファイアウォール有効化更新プログラム適用等

社内ネットワーク

検疫 OK

社内リソース

ネットワークポリシー サーバー

修復サーバー

New

既存環境に合わせて容易に導入

6

課題: 低コストで現実的に導入可能な検疫環境を構築したい

解決策: 既存環境に合わせて構成を選択可能

コストがかさむし、切り替えだって大変だよ…

○○社製ソフト

特定のハード・ソフトで固めればできるけど…

社内ネットワーク

既存設備や標準ソフトの刷新が必要

○○社製スイッチ

クライアントは標準構成の PC で OK

既存のネットワーク機器を利用可能特定ベンダに依存しない

• 選択が可能• 組み合わせが可能• 段階的な導入も可能

DHCP方式(DHCPサーバー)

IPSec 方式(IPsec 設定)

802.1x 方式(対応スイッチ)

多様なネットワーク（実施ポイント）選択ネットワークの選択肢が広く、既存環境も活用可能

（※ SP3以降）

導入コスト セキュリティ強化 不正接続防止

◎ ◎ △

○ ◎ ○

△ ◎ ◎

New

コストもかかりそうだしプランニングも大変だ…

初期投資を抑えて段階的に導入

7

課題: 検疫を実施したいが、初期投資の負担が大きい

解決策: まずは低コストでセキュリティ強化を、次に不正接続の防止へ

STEP 1 DHCP で検疫

ポリシー

判定

セキュリティ脆弱

ネットワークポリシーサーバー

DHCPサーバー

STEP 2 802.1X の導入

セキュリティ脆弱

ネットワーク認証失敗

ネットワークポリシーサーバー

802.1x対応スイッチ

ポリシー

判定

まずはネットワーク機器に依存しないDHCP 方式でセキュリティを強化

そして 802.1x 対応機器を導入して接続ポート単位で不正アクセス防止

不正接続…

社内リソース

セキュリティ脆弱性…

802.1x 対応にインフラを刷新？

コンプライアンス…

DHCP から802.1x へ段階的に導入

導入しやすい仕組みから順に展開できる

New

社外からの VPN アクセスを検疫

8

課題: 自宅や外出先からのアクセスを検疫したい

解決策: VPN サーバー上でも検疫が可能

セキュリティ ポリシーに違反した PC は接続させ

たくない…

社内ネットワーク

リモートから仕事できるようにして利便性を高めたいけど…

Internet

認証だけだとセキュリティが不安…

社内ネットワーク

Internet

修復

接続時に PC の健康状態を送信ポリシーに合致した PC のみ VPN アクセスが可能合致しない PC は修復サーバーにのみ接続が可能

VPN 検疫VPN でも接続時に検疫＆自動修復できる

制限エリア

ポリシー判定

VPN サーバー

• 更新プログラム未適用• ウィルス定義が古い• ファイアウォール無効• etc… 修復サーバー

ポリシー準拠

ネットワークポリシー サーバー

New

社外からのリモート デスクトップ接続を検疫

9

課題: 情報漏えいを防ぎつつ、社外から安全に仕事ができる環境を提供したい

解決策: リモート デスクトップも検疫できて、情報漏えいも防ぐ

アクセス元を検疫できて、かつローカルにデータを保存させない

仕組みはないかな…

社内ネットワーク

社外からも仕事ができるようにしたいけど…

Internet

セキュリティが不安だし、情報漏えいも心配だなあ…

社内ネットワーク

リモート デスクトップなら社内と同じ操作性で、ローカルにデータを保存しない

※ RD ゲートウェイ：インターネット経由でリモートデスクトップを利用するためのゲートウェイ

RD ゲートウェイ検疫社外からのリモートデスクトップ接続をNAP で検疫

RD ゲートウェイ

ネットワークポリシー サーバー

リモートデスクトップサーバー

やりとりするのは画面の情報だけ！

• 更新プログラム未適用• ウィルス定義が古い• ファイアウォール無効• etc…

ローカル PC へのデータ保存禁止

New

検疫の内容を強化

10

課題: 標準の検疫内容に、さらに機能を追加したい

解決策: アドインで検疫機能を強化できる

•ウィルス対策•スパイウェア対策•ファイアウォール•自動更新•更新プログラム

・ウィルス対策ソフトが停止しても強制起動

・ウィルス定義ファイルの更新に猶予期間を設定できる

・etc…

更新プログラムに限らず、任意のインストール条件を検査

MSDN ライブラリ: Network Access Protection（英語）

標準の検疫内容を… 他製品と連携して拡張！例えば…

独自のルールを組み込みたい…ウィルス対策ソフトと連携したり、あるプログラムのインストールを必須にするとか…

セキュリティー センター

さらに API でカスタム開発も可能

NAP 対応パートナー情報

拡張性の高さ他製品またはカスタム製のアドオンを組み込み可能

さらに項目を追加したい

検疫／修復

ネットワーク ポリシー サーバー

標準でできる検疫内容に…

標準の検疫内容• 更新プログラムが最新• ウィルス定義が最新• ファイアウォール有効• etc…

修復サーバー

http://www.microsoft.com/japan/windowsserver2008/nap-partners.mspx

+

New

検疫の実施ログとレポート

11

課題: 検疫の実施状況をログで見たい、そこから手軽にレポートを作成したい

解決策: 監査ログとレポート パックによる監査レポート

どのくらいの PC が NG になっているのか監査ログを採りたい

毎日たくさんの PC がアクセスしてきて…

検疫自体はちゃんと機能していそうだけど…

社内リソース

実際のところ、検疫 NG ってどれくらい検知してるんだろう？

検疫結果リアルタイムにログ採取

ポリシー判定（ネットワーク ポリシー サーバー）

データベースにログを貯めてレポート出力

監査ログ

SQL Server ＋ NAP レポート パック検疫結果のログを取得してレポート（誰が／いつ／どの端末で NG になったか、etc…）

レポート生成(SQL Server)

NAP レポート パックhttp://www.microsoft.com/japan/technet/itsolutions/cits/mo/default.mspx

脆弱性あり

脆弱性あり

New

参考構成例

12

Windows Server 2008 R2 Standard x 1, Windows Server 2008 R2 Enterprise × 4,Windows Server CAL × 1,000

参考価格: ¥ 8,463,300-

• 記載の価格は、2009 年 10 月現在の参考価格です。(参考価格は、Select の価格レベル A の新規ライセンス (L) + SA 3 年分で算出しております。)

• お客様の実際のお支払額は、お客様のご注文先である LAR 様、販売会社様との間で決定されます。• 上記はあくまで参考情報であり、導入の際には実環境に合わせた構成を考慮する必要があります。• 本構成例には ハードウェア、構築費用は含まれておりません。• NAP 動作要件として Active Directory が必要になります。（本構成例では ドメインコントローラーの費用は含まれていません。）• Windows Server CAL は 2008 用のライセンスをお持ちであればその分の購入の必要はありません。•クライアントPC（Windows 7、Windows Vista、Windows XP SP3）には、 NAP クライアント機能が標準で搭載されます。

クライアント PCx 1,000 台

構成例 (DHCP による検疫実施)

Active Directory(ドメイン コントローラー)

DHCP サーバー（冗長化構成）

ネットワークポリシーサーバー（冗長化構成）

Windows Server Update Services (WSUS)

導入事例

◼ 栗山米菓➢ 新社屋移転にともない、NAP 対応スイッチ (802.1x）を導入➢ PC のセキュリティチェックと 持ち込み PC 対策のコストを削減

✓ 「情報漏えいなどのリスクは常に存在します。しかし、外部で利用した PC を社内に持ち込むことは、業務上必要な場合もあります。それを禁止してしまうと逆に業務に支障が出たり、効率が悪くなるということがありました。反面、自宅などでダウンロードしたファイルでウイルスに感染するといった可能性もあり、これらの課題を解決できるのがNAP だったのです」

➢ 公開事例✓ http://www.microsoft.com/japan/windowsserver2008/casestudies/kuriyamabeika.mspx

◼ 国内 製造業➢ 7000 台のクライアント PC を DHCP 方式にて検疫➢ ネットワーク ポリシーサーバー x 2 台、DHCP サーバー x 2 台（冗長構成）

◼ マイクロソフト➢ 全世界 13 万台のクライアントを IPsec 方式にて検疫➢ System Center Configuration Manager との連携でソフトウェアの更新を実施➢ 公開事例

✓ http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=4000000983✓ http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=4000002160

13

Windows Server 2008 導入事例はこちらからアクセスhttp://www.microsoft.com/japan/windowsserver2008/casestudies/default.mspx

もっと知りたい方は

14

製品情報ポータル

Windows Server 2008 : ネットワーク アクセス保護 (NAP)

ネットワーク アクセス保護（NAP）に関する製品情報のポータル サイトです。協賛パートナーの一覧や、無償の NAP レポート パックのダウンロードも下記のサイトより案内があります。

http://www.microsoft.com/japan/windowsserver2008/network-access-protection.mspx

技術情報

「Windows Server 2008 TechCenter」で検索

Windows Server 2008 TechCenter本 Web サイトには、Windows Server 2008 の評価・導入に役立つ技術情報が掲載されています。機能説明、ステップバイ ステップ ガイドなど、Windows Server 2008 / Windows Server 2008 R2 の評価・導入にお役立てください。

http://technet.microsoft.com/ja-jp/library/cc754521(WS.10).aspx

Webcast

デモンストレーションでよくわかる Windows Server 2008 R2 Webcast 「ネットワークアクセス保護 (NAP) 」

Windows Server 2008 R2 に搭載されたネットワーク アクセス保護 (NAP) 機能とその強化点 (Windows 7 クライアントのサポート、管理機能の強化、DHCP フィルターなど) についてご紹介します。ご都合のよい時間に視聴下さい。

http://www.microsoft.com/japan/windowsserver2008/r2/webcast/default.mspx

2014 年2013 年2010 年 2011 年 2012 年 2015 年 2016 年 2017 年2009 年

•マイクロソフトのWeb サイトでの製品情報提供

Windows Server のサポート ライフサイクルは以下のとおりです。Windows 2000 Server はまもなく延長サポート終了です。新バージョン移行へのご計画を早期にお願いいたします。

サポート ライフサイクル

15

マイクロソフトは、ビジネス製品および開発用製品について、最短でも 10 年間 (メインストリームサポート フェーズ 5 年間、および延長サポート フェーズ 5 年間) サポートを提供します。

• 上記はビジネス製品および開発用製品についての情報です。• コンシューマ製品、 ハードウェア製品、マルチメディア製品、および Microsoft Dynamics 製品については、最短でも 5 年間のメインストリームサポートを提供します。

• 詳細については、マイクロソフトのサポートライフサイクルのWeb サイトをご覧ください。http://support.microsoft.com/lifecycle/

1 年 2 年 4 年3 年 5 年 6 年 7 年 9 年8 年 10 年

メインストリーム サポート 延長サポート

•製品の仕様変更、機能追加

•セキュリティ更新プログラム提供

•セキュリティ以外の更新プログラムのリクエスト

•無償サポート

•有償サポート

メインストリームサポート

•セキュリティ更新プログラム提供

•セキュリティ以外の更新プログラムのリクエスト(別途契約が必要)

•有償サポート

延長サポート

メインストリーム サポート

メインストリームサポート

オンライン セルフヘルプ サポート

オンライン セルフ ヘルプ サポート

延長サポート

延長サポート

延長サポート

2010 年 7 月終了

Windows Server 2008 R2 をお勧めします

2015 年 7 月終了

+

16

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）http://itlib1.sakura.ne.jp/

目次番号 ２７０番 Windows Server Enterprise 2008 R2

完全解説 （再入門 ） 全２６冊