正常性ポリシーでは、評価対象のシステム正常性検証ツール (SHV) だけでなく、このツールを使用してネットワーク アクセス保護 (NAP) クライアント コンピューターの正常性状態を評価する方法を定義します。SHV チェックの結果に基づき、正常性ポリシーによってクライアントの正常性状態が分類されます。正常性ポリシーを作成するときは、インストールされている 1 つ以上の SHV を有効にして、次の SHV チェックのいずれかを選択することができます。
正常性ポリシーで使用するには、少なくとも 1 つの SHV を選択する必要があります。正常性ポリシーで選択されていない SHV は正常性ポリシーによって評価されません。正常性ポリシーでは次の種類の SHV チェックを使用できます。
-
[すべての SHV チェックにパスしたクライアント]。クライアント コンピューターがすべての有効な SHV の要件を満たすことを必要とする正常性ポリシーを作成するには、この設定を使用します。これは、準拠しているコンピューターの評価に使用できる最も制約の多い設定です。
-
[すべての SHV チェックに失敗したクライアント]。クライアント コンピューターがすべての有効な SHV の要件を満たさないことを必要とする正常性ポリシーを作成するには、この設定を使用します。これは、準拠していないコンピューターの評価に使用できる最も制約の少ない設定です。
-
[1 つ以上の SHV チェックにパスしたクライアント]。クライアント コンピューターが少なくとも 1 つの有効な SHV の要件を満たすことを必要とする正常性ポリシーを作成するには、この設定を使用します。これは、準拠しているコンピューターの評価に使用できる最も制約の少ない設定です。
-
[1 つ以上の SHV チェックに失敗したクライアント]。クライアント コンピューターが少なくとも 1 つの有効な SHV の要件を満たさないことを必要とする正常性ポリシーを作成するには、この設定を使用します。これは、準拠していないコンピューターの評価に使用できる最も制約の多い設定です。
-
[1 つ以上の SHV によって移行中とレポートされたクライアント]。拡張状態の情報で移行中状態をレポートするクライアントの正常性ポリシーを作成するには、この設定を使用します。この設定を使用するには、SHV が正常性評価プロセスの一部として拡張状態レポートをサポートしている必要があります。移行中状態とはクライアントの必要なサービスが正常性状態をレポートする準備が整っていないことを示します。移行中状態は一時的である可能性があります。たとえば、サービスが起動されたばかりである場合は、クライアントが移行中状態をレポートすることがあります。
-
[1 つ以上の SHV で感染とレポートされたクライアント]。拡張状態の情報で感染状態をレポートするクライアントの正常性ポリシーを作成するには、この設定を使用します。この設定を使用するには、SHV が正常性評価プロセスの一部として拡張状態レポートをサポートしている必要があります。この拡張状態の情報は、ウイルス対策のシステム正常性エージェント (SHA) によって主に使用され、クライアントが削除できない悪意のあるソフトウェア (マルウェアとも呼ばれる) に感染したことをレポートできます。
-
[1 つ以上の SHV によって不明とレポートされたクライアント]。拡張状態の情報で不明状態をレポートするクライアントの正常性ポリシーを作成するには、この設定を使用します。この設定を使用するには、SHV が正常性評価プロセスの一部として拡張状態レポートをサポートしている必要があります。不明状態とは、エンド ホストの資格情報を特定できないことを示します。不明状態は一時的である可能性があります。
一部の SHV はクライアント コンピューターの複数の設定をチェックしますが、SHV チェックは SHV のすべての要件に対するクライアント コンピューターの 1 つの評価です。たとえば、Windows セキュリティ正常性検証ツール (WSHV) は複数のソフトウェア要件および設定について複数のクライアント コンピューターをチェックできます。クライアント コンピューターはこれらのチェックの一部にパスする場合がありますが、SHV チェックにパスするには SHV のすべての要件を満たしている必要があります。
[この正常性ポリシーで使用されている SHV] の [設定] オプションは Windows Server 2008 R2 の新機能です。SHV で複数の構成の保存をサポートしている場合は、この設定を使用して、正常性ポリシーと併用するためこれらの構成の 1 つを選択することができます。SHV で複数の構成の保存をサポートしていない場合は、[既定の構成] で設定を構成する必要があります。