「NAP」タグアーカイブ

Windows Server 2008 と Vista におけるNAP検証

演習環境として、Windows Server 2008 と Vista SP1 があり、NAPの検証を同僚が行いましたのでその結果をUPしておきます。

NAP正常性ポリシーの制御の検証

NAP正常性ポリシーの設定が不適切だった場合、準拠でも非準拠でもないクライアントが存在する。そのような場合、どういった制御になるのかDHCP NAPで検証した。

■テスト１
SHV・・・F/Wが有効であること
正常性ポリシー
・Compliant・・・すべてにパス
・NonCompliant・・１つ以上にパス
※これは、すべて失敗のクライアントは準拠でも非準拠でもなくなる設定。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。

⇒クライアント側で
F/W有効
→制限なしのIPアドレスもらえる
F/W無効
→IPアドレスもらえない。APIPAのアドレスになる。
（すべて失敗のクライアントなので、準拠でも非準拠でもなくなるため、
IPアドレスがもらえない。予想どおり。）

■テスト２
SHV・・・F/Wが有効であること
正常性ポリシー
・Compliant・・・すべてにパス
・NonCompliant・・すべてにパス
※これは、わざと準拠と非準拠を同条件にした設定。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。

⇒クライアント側で
F/W有効
→制限なしのIPアドレス
F/W無効
→IPアドレスもらえない。APIPAのアドレスになる。

この結果は、ネットワークポリシーの順序で変わる。
ネットワークポリシー
NonCompliant-Restrictedが一番上、次がCompliant-FULLの順だと。

⇒クライアント側で
F/W有効
→制限ありのIPアドレス
F/W無効
→IPアドレスもらえない。APIPAのアドレスになる。

■テスト３
SHV・・・F/Wが有効であること
ウイルス対策ソフトが有効であること
正常性ポリシー
・Compliant・・・すべてにパス
・NonCompliant・・１つ以上にパス
※これは、すべて失敗のクライアントは準拠でも非準拠でもなくなる設定。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。

⇒クライアント側で
F/W有効　＆　ウイルス対策なし
→IPアドレスもらえない。APIPAのアドレスになる。
（これはヘン。F/W：パス　＆　ウイルス：失敗だから、「１つ以上に
パス」に合致する。それなのに制限ありのIPアドレスがもらえない。）
F/W無効　＆　ウイルス対策なし
→IPアドレスもらえない。APIPAのアドレスになる。
（こちらは予想どおり）

■テスト４
SHV・・・F/Wが有効であること
ウイルス対策ソフトが有効であること
正常性ポリシー
・Compliant・・・すべてにパス
・NonCompliant・・すべてに失敗
※これは、部分的にパスのクライアントは準拠でも非準拠でもなくなる設定。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。

⇒クライアント側で
F/W有効　＆　ウイルス対策なし
→制限ありのIPアドレス
（これもヘン。F/W：パス　＆　ウイルス：失敗だから、「すべてに失敗」
ではないのに、制限ありのIPアドレスがもらえてしまう。）
F/W無効　＆　ウイルス対策なし
→制限ありのIPアドレス
（こちらは予想どおり）

■テスト５
SHV・・・F/Wが有効であること
ウイルス対策ソフトが有効であること
正常性ポリシー
・Compliant・・・１つ以上にパス
・NonCompliant・・すべてに失敗
※これは、矛盾する設定ではない。
ネットワークポリシー
Compliant-FULLが一番上、次がNonCompliant-Restrictedの順。

⇒クライアント側で
F/W有効　＆　ウイルス対策なし
→制限ありのIPアドレス
（やはりヘン。F/W：パス　＆　ウイルス：失敗だから、「１つ以上に
パス」に合致する。それなのに制限なしにならない。）
F/W無効　＆　ウイルス対策なし
→制限ありのIPアドレス
（こちらは「すべてに失敗」に合致するから、予想どおり）

まとめ

正常性ポリシーの設定が悪く、準拠でも非準拠でもないクライアントができてしまうと、それらは制限付きどころか、通信そのものができない。
問題は、「一部のチェックに失敗」しているだけのクライアントを「すべてに失敗」で把握してしまっていることだ。NAPでは「一部のチェックに失敗」のクライアントの制御に問題があると考えられる。

ただし最新のOSやサービスパックを使用しての検証ではないので現状では解決しているか不明

ネットワークアクセス保護（NAP）～その３～　DHCP NAP編

コメントを残す

それではDHCP NAPに関して解説していきます。

クライアント側の準備

クライアント側ではDHCP NAPに限らず、全てのNAP接続においての要件があります。それは

セキュリティセンター
Network Access protection Agentサービス
NAP実施クライアント（napclcfg.msc）

が動作していなくてはなりません。ちなみに対応クライアントはVistaおよびXP SP3になります。

＊注意　XP SP3にはNAP実施クライアント（napclcfg.msc）は入っていませんのでグループポリシーでの適用が基本になります。

セキュリティセンターおよびNetwork Access protection Agentサービスは、管理ツールのサービスより起動します。そしてnapclcfg.mscより実施クライアント＞DHCP検疫強制クライアントを有効にします。

これでクライアント側の準備はOKです。

サーバー側の準備（NAPサーバー）

役割の追加よりNAPサーバーをインストールします。

その後SHVの設定を行う必要があります。これはネットワークポリシーサーバー＞ネットワークアクセス保護＞システム正常性検証ツール＞Windowsセキュリティ正常性ツールより行います。

今回はFWが有効な場合セキュリティ準拠という設定にします。

次に正常性ポリシーの作成です。ここで準拠と非準拠のポリシーを作成します。

次にネットワークポリシーを作成します。ここでは準拠する場合と非準拠の場合の動作を設定します。

条件には先ほど作成した正常性ポリシーを使用して、準拠の場合と非準拠の場合を分けることができますね！

認証方法の構成では「コンピュータの正常性チェックのみを実行する」にチェックをいれ、そのほかのチェックは全て外します。ここがある意味ポイントになります。

制約は特にないのでここはスルー

そして、最後にNAP強制の設定を行いますが、準拠の場合はこのまま～

これで準拠時のポリシー完成です。

次に非準拠時のポリシーを作成します。ポイントはNAP強制時の動作になります。ここでは制限付きアクセスを許可するにチェックを入れます。そして通常は自動修復にもチェックを入れましょう。そうすれば、クライアントが非準拠になっても自動的に準拠する状態に変化します。

さて、これで通常はNAPの構成は終了になりますが、ここである設定ができます。それは修復ネットワークを作成することができるんです。「修復サーバーグループとトラブルシューティングのURL」の構成よりグループ名とアドレスを指定します。そうするとこのグループに登録したサーバーに対して非準拠時でもアクセスできるようになります。

サーバー側の準備（DHCPサーバー）

役割の追加よりDHCPサーバーをインストールします。ここで注意が必要なのは、NAPサーバーと同じサーバー上にDHCPサーバーをインストールするならば問題はないのですが、他のサーバーにDHCPサーバーをインストールする場合はNAPプロキシーの設定をしてNAPサーバーに状態を転送させなくてはならない問題があります。

通常のスコープを作成しましょう。

そしてネットワークアクセス保護を有効にします。

あとは、非準拠時の設定を行う必要があります。スコープオプションの詳細設定タブ＞ユーザークラス＞規定のネットワークアクセス保護クラスに非準拠時の設定を行います。

これで準備が終わりました。

クライアントの動作

ではまず準拠時のクライアントから

ipconfig /all の結果

Windows IP 構成

ホスト名 . . . . . . . . . . . . : NYC-CL1
プライマリ DNS サフィックス . . . . . . . : WoodgroveBank.com
ノードタイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : WoodgroveBank.com
システムの検疫の状態 . . . . . : 制限なし

イーサネットアダプタローカルエリア接続:

接続固有の DNS サフィックス . . . : WoodgroveBank.com
説明. . . . . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
物理アドレス. . . . . . . . . . . : 00-03-FF-FF-EA-84
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : fe80::7511:d80d:97aa:8298%10(優先)
IPv4 アドレス . . . . . . . . . . : 10.10.0.50(優先)
サブネットマスク . . . . . . . . : 255.255.0.0
リース取得. . . . . . . . . . . . : 2008年5月28日 15:08:47
リースの有効期限. . . . . . . . . : 2008年6月3日 15:12:18
デフォルトゲートウェイ . . . . . : 10.10.0.254
DHCP サーバー . . . . . . . . . . : 10.10.0.24
DNS サーバー. . . . . . . . . . . : 10.10.0.10
検疫の状態 . . . . . . . . . . : 制限なし

プライマリ WINS サーバー. . . . . : 10.10.0.10
NetBIOS over TCP/IP . . . . . . . : 有効

Tunnel adapter ローカルエリア接続*:

メディアの状態. . . . . . . . . . : メディアは接続されていません
接続固有の DNS サフィックス . . . : WoodgroveBank.com
説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい

route print の結果

===========================================================================
インターフェイス一覧
10 …00 03 ff ff ea 84 …… Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
1 ……………………… Software Loopback Interface 1
11 …00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
===========================================================================

IPv4 ルートテーブル
===========================================================================
アクティブルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイスメトリック
0.0.0.0          0.0.0.0      10.10.0.254       10.10.0.50     20
10.10.0.0      255.255.0.0        リンク上        10.10.0.50    276
10.10.0.50 255.255.255.255        リンク上        10.10.0.50    276
10.10.255.255 255.255.255.255        リンク上        10.10.0.50    276
127.0.0.0        255.0.0.0        リンク上         127.0.0.1    306
127.0.0.1 255.255.255.255        リンク上         127.0.0.1    306
127.255.255.255 255.255.255.255        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上        10.10.0.50    276
255.255.255.255 255.255.255.255        リンク上         127.0.0.1    306
255.255.255.255 255.255.255.255        リンク上        10.10.0.50    276
===========================================================================
固定ルート:
なし

IPv6 ルートテーブル
===========================================================================
アクティブルート:
If メトリックネットワーク宛先      ゲートウェイ
1    306 ::1/128                  リンク上
10    276 fe80::/64                リンク上
10    276 fe80::7511:d80d:97aa:8298/128
リンク上
1    306 ff00::/8                 リンク上
10    276 ff00::/8                 リンク上
===========================================================================
固定ルート:
なし

次に非準拠のクライアントは

ipconfig /all の結果

Windows IP 構成

ホスト名 . . . . . . . . . . . . : NYC-CL1
プライマリ DNS サフィックス . . . . . . . : WoodgroveBank.com
ノードタイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : WoodgroveBank.com
restricted.Woodgrovebank.com
システムの検疫の状態 . . . . . : 制限あり

イーサネットアダプタローカルエリア接続:

接続固有の DNS サフィックス . . . : restricted.Woodgrovebank.com
説明. . . . . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
物理アドレス. . . . . . . . . . . : 00-03-FF-FF-EA-84
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : fe80::7511:d80d:97aa:8298%10(優先)
IPv4 アドレス . . . . . . . . . . : 10.10.0.50(優先)
サブネットマスク . . . . . . . . : 255.255.255.255
リース取得. . . . . . . . . . . . : 2008年5月28日 15:08:47
リースの有効期限. . . . . . . . . : 2008年6月3日 15:09:41
デフォルトゲートウェイ . . . . . :
DHCP サーバー . . . . . . . . . . : 10.10.0.24
DNS サーバー. . . . . . . . . . . : 10.10.0.10
検疫の状態 . . . . . . . . . . : 制限あり

プライマリ WINS サーバー. . . . . : 10.10.0.10
NetBIOS over TCP/IP . . . . . . . : 有効

Tunnel adapter ローカルエリア接続*:

メディアの状態. . . . . . . . . . : メディアは接続されていません
接続固有の DNS サフィックス . . . : restricted.Woodgrovebank.com
説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい

route print の結果

IPv4 ルートテーブル
===========================================================================
アクティブルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイスメトリック
10.10.0.24 255.255.255.255        リンク上        10.10.0.50     21
10.10.0.50 255.255.255.255        リンク上        10.10.0.50    276
10.10.0.90 255.255.255.255        リンク上        10.10.0.50     21
127.0.0.0        255.0.0.0        リンク上         127.0.0.1    306
127.0.0.1 255.255.255.255        リンク上         127.0.0.1    306
127.255.255.255 255.255.255.255        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上        10.10.0.50    276
255.255.255.255 255.255.255.255        リンク上         127.0.0.1    306
255.255.255.255 255.255.255.255        リンク上        10.10.0.50    276
===========================================================================
固定ルート:
なし

まとめ

準拠時は特に問題なくネットワークに接続できます。いうなれば、これがセキュリティで保護されたネットワークになります。そして非準拠時には自分が所属しているネットワークのルートが消えて自分自身にしか通信ができません。さらにデフォルトゲートウェイがある場合はこれもなくなります。この例では、0.0.0.0と10.10.0.0/16が消えてますよね。ただし修復ネットワークが設定してある場合はそのルートが追加されます。この例では10.10.0.90/32が追加されています。

修復ネットワークの作成方法としては別のアプローチもあります。それはDHCP側のオプション設定において、[121 クラスレス静的ルート]を設定する方法です。

こうやってみると、DHCP NAP はルーティングテーブルを制御することによって論理ネットワークを作っていることがわかりますね～

ネットワークアクセス保護（NAP）～その２～

コメントを残す

久々の更新になります。

それでは、NAPの基本的な仕組みについて考えてみます。

NAPを行うためにはクライアントおよびサーバーに何らかの仕組みが必要になります。それでは、まずはクライアントが準拠すべきポリシー（正常性）に関して考えてみます。

クライアントとサーバーではどのような仕組みが必要になるのでしょうか？

これから様々な用語が出てきますのでご注意ください。

まずはクライアント側ではポリシーを判断するためのシステム正常性エージェント（SHA）が動作しています。このSHAに対応したものが、サーバー上でシステム正常性ツール（SHV）として動作しています。よって、クライアントのSHAがポリシーの判断をしてサーバーのSHVに対して結果を送信することになります。この更新情報が正常性ステートメント（SoH）となります。

ではクライアントのSHAに相当するものは何か？ということになりますが、VistaやXP SP3ではセキュリティセンターが相当します。サーバー側はSHVがネットワークポリシーサーバー（NPS）に入っています。

このSHVを見るとわかると思われますが、クライアント側のセキュリティセンターで判断できる項目が並んでいますよね！

サーバー側のSHVに基づいてクライアントのSHAが正常性の判断をしてSoHを送信するというメカニズムですね。

ではここで考えなくてはいけないのが、この正常性の判断によってネットワークアクセス保護（NAP）は何をするのか？ですね。

基本的にNAPにおける考え方は次のようになります。

NAPでは論理的に３つのNWを作成することになります。それぞれのNWの呼び名は異なりますが、制限付きNWは正常性に関しては非準拠か、もしくは非対応のクライアントが所属することになります。そしてセキュリティで保護されたNWは正常に準拠したクライアントのみ所属します。それでは非準拠のクライアントは何らかの方法で準拠させなくてはなりません。ということで、準拠するための仕組みを整えるNWである境界NW（修復NW）を作るわけです。

このネットワークを作成するのが実施サーバー/実施デバイスになります。

マイクロソフトがサポートしているのは、おもに４つの方法になります。

DHCP NAP
VPN NAP
802.1x NAP
IPSec NAP

になります。要するに上記４つの方法のどれかを使用して論理的なNWを作るわけですね～

まとめ

NAPでは論理的なNWを作り、クライアントの正常性の状態にしたがって所属するNWが異なることによりセキュリティを確保する仕組みなることが分かったと思われます。

ここで知っといてほしいことは、SHAとSHVは対になるということです。現在のところマイクロソフトが提供しているSHAとSHVしかありませんが、今後は他ベンダーがこのNAPに対応したSHAとSHVを提供することにより、正常性の判断の仕組みが増えることになるでしょう。

NPSのシステム正常性ツール（SHV）に現在はWindows セキュリティ正常性ツールしかありませんが、サードパーティ製のSHVが増えるとここの項目が増えるということになりますね。当然、クライアント側にもSHAに相当するものがないといけませんが・・・

また今回の説明ではSHAがSHVに対してSoHを送信すると書きましたが、厳密には複数のSoHを送信することが想定されますので、ネットワーク上には複数のSoHをまとめた”SSoH”が送信されることになります。

ネットワークアクセス保護（NAP）～その１～

コメントを残す

Windows Server 2008の目玉となる大きな機能として、NAPがあります。

そもそも、NAPとはなんでしょう？

それは、企業が決めたセキュリティポリシーに準拠していない端末が、企業のネットワーク（社内ネットワーク）にアクセスするのを防ぎたいという目的のために作られた機能になります。

ここで間違えてはいけないのが、悪意のあるユーザーが企業ネットワークに接続するのを防ぐためのものではないということです。

実はWindows Server 2003の時代にも同じような機能を提供していました。

それはネットワークアクセス検疫制御というものです。

これも紆余曲折があって、当初はリソースキットで提供されていたコンポーネントが、この機能をサポートするためにSP1に入ってきました。

仕組み的にはこんな感じ

VPN環境において、クライアント上にスクリプト（企業が要求するポリシーチェックを行う）を動作させて、OKならば通常NWに接続し、NGならば制限されたNWに接続させます。この制限されたNW上には、スクリプトをクリヤーするための仕組みを入れておきます。例えば、最新のウイルス定義ファイルをファイルサーバーに保存しておいたり、Webサーバーを構築しておき、作業手順を記載しておくなど。そして、条件をクリヤーしたら通常NWに接続させる仕組みになります。

ここで問題になるのは、スクリプト（企業が要求するポリシーチェックを行う）を企業の管理者が作成しなくてはいけないということになります。また、接続方法もVPNのみということで、構築要件がかなり厳しく簡単には構成はできませんでした。

それを踏まえて、マイクロソフトではWindows Server 2008でNAPという機能を追加しました。

NAPでは上記のような仕組みをあらかじめ用意することにより、管理者の手間を大幅に削減し、簡単に導入できるようになりました（ここでいう簡単にとはWindows Server 2003で提供されていたネットワークアクセス検疫制御よりもということです）。

ではこれからNAPの仕組みについて考えてみたいと思います。

P.S.　最近本業の方が忙しくてなかなか更新ができていません。このテーマは長丁場になるかな？

MCTの憂鬱

Microsoft 関連情報サイト

「NAP」タグアーカイブ

Windows Server 2008 と Vista におけるNAP検証

ネットワークアクセス保護（NAP）～その３～　DHCP NAP編

ネットワークアクセス保護（NAP）～その２～

ネットワークアクセス保護（NAP）～その１～