オラクる。

oracle専門ブログにしてみようかな~っと

カテゴリ: NAP

NAPの設定が完了したので、早速クライアントの接続検証です。
まず、ドメインに参加していない状態
ワークグループはNAP非対応ですが、その場合デフォルトでは制限付きアクセスが与えられます。

 ad_000229

ad_000228

DHCPの制限付きアクセスのサーバオプションで設定した「restricted.contoso.com」が割り当てられています。

ad_000230

続いてはドメインに参加している状態

nap_000310

コンピューターアカウントを「NAP Client~」のセキュリティグループに追加します。
このセキュリティグループに入っているコンピューターアカウントだけが、NAPによる検証の対象です。

ad_000232

ファイアーウォールを有効にしている状態

ad_000231

DHCPの 既定のユーザクラスで設定したcontoso.comが割り当てられています。

 ad_000233

ファイアーウォールを無効にした場合

ad_000234
 
DHCPのネットワークアクセス保護クラスで設定した「restricted.contoso.com」が割り当てられています。

ad_000235
ad_000236
 
ネットワークのアクセスが制限されていることが表示されています。
また、修復方法も確認することが出来ます。 

修復サーバの設定をしてみましょう。
ここで設定したサーバはNAP非準拠でアクセスが制限されたサーバからもアクセスできます。
言い換えるとNAP非準拠のサーバは修復サーバにしかアクセスすることが出来ません。

 nap_000301

ファイル名を指定して実行から「nps.msc」を実行し、NPSのコンソールを開きます。

nap_000302

 
ポリシー→ネットワークポリシーを選択し、NAP DHCP非準拠、NAP DHCP NAP非対応のいずれかをダブルクリックします。

nap_000303
 
設定タブの「NAP強制」から構成ボタンを押下します。

nap_000304
 
修復サーバはグループ単位で管理されます。
新しいグループボタンを押下して、新しいグループを作成します。

nap_000306
 
新しい修復サーバーグループ画面で新しいグループ名を入力します。
「追加」ボタンを押下し、新しいグループに含めるコンピューターを選択します。

nap_000305
 
新しいサーバの追加画面です。

nap_000308

nap_000307

もう1つのポリシーにも設定を行ないます。
修復サーバグループは先ほど作成したグループを利用します。

nap_000309

新しい修復サーバグループが作成されました、

NAP用にGPOを構成してみましょう。

nap_000283

gpme.mscでGPOの参照画面を開きます。

nap_000284
nap_000285

左から二番目のボタンを押下して、新規GPOを作成
新規GPOの名前をNAP client settingsと名付けます。
OKボタンを押下して、編集画面に移ります。

nap_000289

 「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「システムサービス」の「Network Access Protection Agent」を選択

nap_000288
 
サービスのスタートアップモードを「自動」に設定します。

nap_000290

 「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「ネットワークアクセス保護」→「NAPクライアントの構成」→「強制クライアント」から「DHCP検疫強制クライアント」を選択

nap_000291

 「この強制クライアントを有効にする」にチェックを入れます。

nap_000292

「コンピューターの構成」→「ポリシー」→「[管理用テンプレート」→「Windows コンポーネント」→「セキュリティ センター」の「セキュリティセンターをオンにする(ドメイン上のコンピューターのみ)」を選択します。

nap_000293
 
有効を選択します。

--

GPOの編集は以上です。
今回は作成したGPOにセキュリティフィルター処理を設定して、GPOが適用されるグループを限定させています。

nap_000295

グループポリシーの管理画面(gpmc.msc)を開き、先ほど作成したGPOを選択します。
セキュリティフィルター処理の項目から「Authenticated Users」を選択し、削除ボタンを押下します。

nap_000296

OKを押して、削除を行ないます。

次に追加ボタンを押下します。

nap_000298

GPOを適用したいグループを選択してOKボタンを押下します。

nap_000299

これで、GPOが適用されるのは「NAP Client Computers」に属するコンピューターのみになりました。 

DHCPのスコープに対してNAPを有効にします。
DHCPのコンソール画面より行ないます。

nap_000276

DHCPのコンソール画面からスコープを右クリックして、「プロパティ」を選択します。

nap_000277

スコープのプロパティ画面の「ネットワークアクセス保護」タブで「このスコープに対して有効にする」を選択します。
 
nap_000278

続いてスコープオプションで右クリックして、「オプションの構成」を選択します。

nap_000279

詳細設定タブで、ユーザクラスは「既定のユーザクラス」を選択して、「015:DNSドメイン名」の値を指定します。
ここで指定した値はNAP準拠のクライアントに対して割り当てられます。

nap_000280

nap_000281

ユーザクラスとして「既定のネットワークアクセス保護クラス」を選択して、「015 DNSドメイン名」の値を指定します。
ここで指定した値はNAP非準拠のサーバに対して割り当てられます。

以上でスコープの設定は終わりです。
 

システム正常性検証ツール(SHV)ではネットワークに接続するコンピューターの構成要件を定義します。
例えば、ファイアウォールが有効になっているか、自動更新が有効になっているかなどを要件とすることが出来ます。
今回は新しくSHVを作成し、既存のポリシーに適用する手順を検証してみます。

 nap_000262

NPSコンソールより「ネットワークアクセス保護」→「システム正常性検証ツール」→「Windowsセキュリティ正常性検証ツール」→「設定」と進んで行きます。

nap_000263

右クリックで「新規」を選択します。

nap_000264
 
名前を決めて・・・

nap_000265
nap_000266
 
SHVの要件を定義します。
OSごとに要件を分けられるようです。

nap_000267
 
新しいSHVが作成されました。

nap_000268
 
続いて前回作成したポリシーとSHVを紐付けます。
NPSコンソールより、「ポリシー」→「正常性ポリシー」を選択します。

nap_000269

 編集したいポリシーを右クリックして、「プロパティ」を選択します。

nap_000270
nap_000271
nap_000272

ポリシーで使用するSHVを先ほど作成したものに変更します。

nap_000273
 
ポリシーの修正が完了しました。 

このページのトップヘ