Windows ファイアウォールのインターネット プロトコル セキュリティ (IPsec) ポリシーに対するネットワーク アクセス保護 (NAP) 強制は、正常性証明書サーバー、正常性登録機関 (HRA) サーバー、ネットワーク ポリシー サーバー (NPS) を実行するサーバー、および IPsec 強制クライアントを使用して展開します。正常性証明書サーバーは、NAP クライアントが準拠していると判断された場合に、NAP クライアントに対して X.509 証明書を発行します。その後、NAP クライアントがイントラネット上の他の NAP クライアントとの IPsec 通信を開始するときに、NAP クライアントの認証にこの証明書が使用されます。

IPsec 強制は、ネットワーク上の通信が準拠しているクライアントにのみ許可されるようにし、最高のレベルの NAP 実装を提供します。この強制方法では IPsec を使用するため、IP アドレスまたは TCP/UDP ポート番号を基に、セキュリティで通信を保護するための要件を定義できます。

要件

IPsec および HRA の NAP を展開するには、次の構成を行う必要があります。

  • NPS で、接続要求ポリシー、ネットワーク ポリシー、および NAP 正常性ポリシーを構成します。これらのポリシーは、NPS コンソールを使用して個別に構成することも、新しいネットワーク アクセス保護ウィザードを使用して構成することもできます。

  • NAP の IPsec 強制クライアントと NAP 対応クライアント コンピューターの NAP サービスを有効にします。

  • ローカル コンピューターまたはリモート コンピューターに HRA をインストールします。

  • Active Directory® 証明書サービス (AD CS) および証明書テンプレートをインストールして構成します。

  • グループ ポリシーと、展開に必要なその他の設定を構成します。

  • NAP の展開に応じて、Windows セキュリティ正常性検証ツール (WSHV) を構成するか、他のシステム正常性エージェント (SHA) およびシステム正常性検証ツール (SHV) をインストールおよび構成します。

ローカル コンピューターに HRA がインストールされていない場合は、次の構成も行う必要があります。

  • HRA を実行しているコンピューターに NPS をインストールします。

  • 接続要求をローカルの NPS サーバーに転送するために、HRA および NPS をインストールしたリモート サーバーの NPS をリモート認証ダイヤルイン ユーザー サービス (RADIUS) プロキシとして構成します。

HRA の詳細については、HRA コンソールを開き、F1 キーを押して HRA のヘルプ コンテンツを参照してください。


目次