NAP に関する各種 Tips

Published 07 October 09 11:30 AM | Sysplag 

みなさん、こんにちは。今回は NAP(ネットワークアクセス保護)についての幾つか役に立つ情報・機能をご紹介します。


Windows 7 ではアクションセンターと連携

Windows XP, Vistaでは、NAP(Windows 標準 SHA/SHV)はセキュリティセンターと連携して動作していましたが、Windows 7 ではアクションセンター(セキュリティセンターの後継)と連携します。従来のセキュリティセンターではユーザーが NAP の状態を確認する事はできませんでしたが、Windows 7 アクションセンターでは、クライアントが制限された場合、NAP ステータスが表示され、アクションに誘導されるようになっています。

   


NAPSTAT で通知メッセージを再表示

NAP クライアントの状態が変化した時合(正常性評価 OK → NG、NG → OK)にタスクバーに通知メッセージが表示されますが、カーソルが別の場所にあると数秒後に消えてしまいます。NAPSTATコマンドを使えば、これを再度表示させることができます。NAP の動作確認の際に便利ですので、覚えておくと便利です。


SCCMで Windows Server を NAP クライアントに

Windows Server 2008 / 2008 R2 には NAP エージェント(Network Access Protection Agent サービス)が搭載されています。ただし、Windows Server には、セキュリティセンター/アクションセンターが搭載されていないため、OS 標準だけでは Windows SHA が利用できず NAP クライアントとして利用できません。SCCM (System Center Configuration Manager)を利用すれば、Windows Server を NAP クライアントとして利用できるようになります。SCCM 2007 R2 では NAP 用の SHA/SHV が提供されており、Windows Update / WSUS で扱えない更新プログラムの配布ができます。

実は私は仕事柄 Windows Server 2008 R2 をデスクトップ OS として使っているのですが、弊社の IT 部門は私の PC も取りこぼすことなく、NAP、SCCMでしっかり管理しています。

 
 * SCCM SHA が英語なのは、ワールドワイドで統一管理されているため

[参考情報]
 Configuration Manager のネットワーク アクセス保護(Technet)
    http://technet.microsoft.com/ja-jp/library/bb693725.aspx


Windows XP への SP3 適用はお早めに

Windows XP SP2を使用されている方も多いかと思いますが、SP2(サービスパックとして)のサポートライフサイクルは 2010年7月までです。SP3 の適用に合わせて NAP の導入はいかがでしょうか?

[参考情報]
 Windows XP のプロダクト サポート ライフサイクル
    http://support.microsoft.com/lifecycle/?c2=1173


SoH の中身は?

SoH(Statement of Health, 状態ステートメント)は、NAP クライアントが自身の正常性状態を NPS(ネットワークポリシーサーバーに提示するメッセージです。SoH は DHCP 実施の場合は DHCP プロトコル、802.1実施の場合は PEAP に埋め込まれる形で、実施ポイント(DHCP サーバーや 802.1xスイッチ経由で)NPS に渡されます。これら標準プロトコル内に、メッセージを埋め込む事で、既存のネットワーク機器に特別な対応が必要ないように配慮されています。なお、この SoH メッセージ、プロトコル拡張の仕様は MSDN にて公開されていますので、興味のある方は参照してみてください。

[参考情報]
 ・NAP SoH and SSoH Messages
    http://msdn.microsoft.com/en-us/library/aa506353.aspx
 ・Dynamic Host Configuration Protocol (DHCP) Extensions for NAP
    http://msdn.microsoft.com/en-us/library/cc227316(PROT.13).aspx


以上、NAP に関するもろもろの情報を記載させていただきました。粒度がバラバラで申し訳ありません。

なお、NAP についてご存知ない方は、製品サイトを参照ください。
 ・Windows Server 2008 NAP
  http://www.microsoft.com/japan/windowsserver2008/technologies/network-access-protection.mspx
 ・Windows Server 2008 R2 NAP
  http://www.microsoft.com/japan/windowsserver2008/r2/technologies/network-access-protection.mspx 


瀧本 文男

 

Filed under:
New Comments to this post are disabled

Search

This Blog

Syndication


【このブログについて】
Windows Server の最新情報や Tips をマイクロソフト社員が発信していくブログです。毎週火曜と金曜の夕方に更新予定です。

【免責事項】
コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。
Page view tracker