ネットワークアクセス保護(NAP)~その1~

Windows Server 2008の目玉となる大きな機能として、NAPがあります。

そもそも、NAPとはなんでしょう?

それは、企業が決めたセキュリティポリシーに準拠していない端末が、企業のネットワーク(社内ネットワーク)にアクセスするのを防ぎたいという目的のために作られた機能になります。

ここで間違えてはいけないのが、悪意のあるユーザーが企業ネットワークに接続するのを防ぐためのものではないということです。

実はWindows Server 2003の時代にも同じような機能を提供していました。

それはネットワークアクセス検疫制御というものです。

これも紆余曲折があって、当初はリソースキットで提供されていたコンポーネントが、この機能をサポートするためにSP1に入ってきました。

仕組み的にはこんな感じ

NW検疫制御

VPN環境において、クライアント上にスクリプト(企業が要求するポリシーチェックを行う)を動作させて、OKならば通常NWに接続し、NGならば制限されたNWに接続させます。この制限されたNW上には、スクリプトをクリヤーするための仕組みを入れておきます。例えば、最新のウイルス定義ファイルをファイルサーバーに保存しておいたり、Webサーバーを構築しておき、作業手順を記載しておくなど。そして、条件をクリヤーしたら通常NWに接続させる仕組みになります。

ここで問題になるのは、スクリプト(企業が要求するポリシーチェックを行う)を企業の管理者が作成しなくてはいけないということになります。また、接続方法もVPNのみということで、構築要件がかなり厳しく簡単には構成はできませんでした。

それを踏まえて、マイクロソフトではWindows Server 2008でNAPという機能を追加しました。

NAPでは上記のような仕組みをあらかじめ用意することにより、管理者の手間を大幅に削減し、簡単に導入できるようになりました(ここでいう簡単にとはWindows Server 2003で提供されていたネットワークアクセス検疫制御よりもということです)。

ではこれからNAPの仕組みについて考えてみたいと思います。

P.S. 最近本業の方が忙しくてなかなか更新ができていません。このテーマは長丁場になるかな?

スポンサーリンク
レクタングル(大)広告
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください