2007 년 11 월 21 일
저자 : 크로스 기능 그룹 IT 엔지니어링 사무실 플랫폼 프로모션 부서 Kishima Masakazu 03-1121
이 검증 보고서의 첫 번째 주제는 NAP (Network Access Protection)입니다.
NAP는 기업 네트워크를 보호하기위한 포괄적 인 프레임 워크로 Windows Server 2008에 포함 된 새로운 기능 중 주목을 받고 있습니다.
낮잠이란?
NAP를 "네트워크 검역소"(또는 단순히 "검역소")라고하며 설정 보안 수준 아래에있는 클라이언트 PC를 격리 된 네트워크 (검역 네트워크)로 분리하고 적절한 수리 작업이 수행되지 않는 한 내부 LAN에 연결하지 않는 기술입니다. 예를 들어, 바이러스 백신 소프트웨어의 패턴 파일이 구식이거나 Windows 방화벽이 비활성화되면 설정을 변경하거나 패턴 파일이 업데이트되었습니다. 이로 인해 "고객의 보안 수준을 적절하게 유지하는"이전에 어려움을 겪고있는 과제가 줄어들 수 있으며 수면 부족으로 어려움을 겪고있는 시스템 관리자에게는 복음이 될 수 있습니다.
이제 Windows Server 2008 NAP는 5 가지 방법으로 구성 할 수 있습니다.
- 메이저 카지노
- IP SEC
- vpn
- 802.1x
- TS 게이트웨이
일반 검역 솔루션의 경우 대부분의 구성은 네트워크 장치와 연결되어 있지만 NAP를 사용하면 메이저 카지노 및 IP SEC와 같은 소프트웨어 수준에서만 달성 할 수 있습니다. 먼저 메이저 카지노 구성을 사용하여 설정 절차 및 실제 작업을 확인하십시오. 메이저 카지노 구성은 NAP 작동을 확인할 때 가장 쉽게 구성됩니다.
NAP 설치
그림 1 : 역할 선택 화면
메이저 카지노 구성에서 NAP를 확인하려면 최소 구성 요소가 필요합니다 :
- 도메인 컨트롤러 (DC)
- 네트워크 정책 서버 (NPS)
- 메이저 카지노 Server
- 클라이언트 PC
이전 검증 보고서에 따르면 Windows Server 2008의 설치에 대해 언급했습니다. 또한 도메인 구성 절차에는 어려움이 없으며 절차는 다양한 기술 문서에 설명되어 있으므로 여기에서 생략하지 않습니다. 도메인 환경이 있다고 가정하면 다음을 계속 읽으십시오. DHCP를 사용하여 NAP를 구성 할 때 가장 간단한 구성 예는 NPS 및 DHCP 서버가 함께 실시되도록하는 것입니다. 따라서이 검증 보고서는 동거 구성 단계를 따릅니다. NPS와 DHCP는 서버 관리자 "추가 역할"을 통해 설치할 수 있습니다 (그림 1). 마법사 형식이므로 "메이저 카지노 Server"와 "Network Policy and Access Services"(Windows Server 2003의 IAS 및 RRAS 기능을 통합) 중에서 선택할 수 있습니다. 설치를 완료하려면 마법사에 필요한 매개 변수를 입력하십시오.
NAP 용 메이저 카지노 서버
그림 2 : 네트워크 액세스 보호 탭 추가
Windows Server 2008 DHCP 서버에서 "네트워크 액세스 보호"라는 탭이 스코프 속성에 추가되었습니다 (그림 2). 이에서 NAP에 활성화되었는지 또는 비활성화되었는지 여부를 지정하십시오. 기본값이 비활성화되어 있으므로 활성화하십시오. 또한 NAP 옵션은 범위 옵션으로 사용할 수 있습니다. 사용자 클래스에서 "기본 네트워크 액세스 보호 클래스"를 선택하고 006 DNS 서버 015 DNS 도메인 이름을 설정하십시오. 검역 네트워크는 일반 DNS 접미사와 DNS 도메인 이름의 다른 이름을 지정하여 구별됩니다.
NAP 구성 마법사
NAP를 구성하려면 몇 가지 정책을 작성해야하지만 NP에는 NAP 구성 마법사가 제공되므로이를 실행하면 필요한 정책을 함께 생성 할 수 있습니다. 마법사는 NPS 관리 콘솔에서 "NAP 구성"을 클릭하여 시작합니다. 마법사에 필요한 몇 가지 매개 변수를 입력하여이를 완료 할 수 있기 때문에 그리 어렵지 않습니다.
마법사가 완료된 후, 보안 수준을 충족하는 고객, 그렇지 않은 상태 및 NAP를 지원하지 않는 고객을위한 정책이 만들어졌습니다.
| 건강 정책 | NAP 메이저 카지노 준수 |
| NAP 메이저 카지노 비준수 | |
| 연결 요청 정책 | NAP메이저 카지노 |
| 네트워크 정책 | NAP 메이저 카지노 준수 |
| NAP 메이저 카지노 비준수 | |
| NAP 메이저 카지노 지원되지 않음 |
이러한 정책 외에도 "보안 건강 검증 도구"를 설정하고 유지할 보안 수준을 정의하십시오. 기본 "보안 건강 검증 도구"를 사용하면 Windows Vista/Windows XP에서 다음 확인을 수행할지 여부를 설정할 수 있습니다.
| 방화벽 | 활성화/비활성화 |
| 바이러스 예방 | 활성화/최신/비활성화 |
| 스파이웨어 예방 | 활성화/최신/장애인 |
| 자동 업데이트 | 활성화/비활성화 |
| 보안 업데이트 | 중요성 WSUS/Windows Update |
검증 수준에서 Windows 방화벽을 켜거나 끄면 작업을 확인할 수 있으므로 바이러스 예방을 위해 WSU 또는 서버를 준비 할 필요가 없습니다.
클라이언트 설정
사용자 정의 클라이언트 설정 서버 측 환경이 완료된 후. 일반적으로 AD GPOS를 사용하여 대량으로 설정할 수있는 경우에는 좋지만 아직 지원되지 않은 것 같습니다. 따라서 클라이언트 측에서 개별적으로 설정합니다. 먼저 NAPCLCFG.MSC를 시작하고 "DHCP 검역 강제 클라이언트"를 활성화하십시오. 다음으로 네트워크 액세스 보호 에이전트 서비스를 시작하고 시작을 자동으로 만듭니다. 현재 Windows Vista에는 표준으로 에이전트가 포함되어 있지만 Windows XP는 아닙니다. XP와 관련하여, 우리는 그것이 SP3과 호환 될 것이며 에이전트가 SP3의 베타 버전에 포함될 것임을 확인했습니다. 그러나, 위의 NAPCLCFG.MSC는 XP에 포함되지 않은 것으로 보인다.
작동 점검
준비는이 시점까지 설정을 완료해야하므로 즉시 작업을 확인하겠습니다. 클라이언트의 Windows 방화벽을 비활성화하면 검역 네트워크에서 거의 즉시 격리되었습니다. NPS 정책에 자동 수리가 활성화되면 Windows 방화벽이 자동으로 변경됩니다. 작동 점검이 완료되었다고 생각했지만 NAP 에이전트의 상태는 "업데이트 된"상태는 여전히 복원되지 않았습니까? ? ? 다시 말해, 일반 네트워크와의 연결을 만들 수없는 상황이 발생했으며 시행 착오가 갑자기 시작되었습니다. (계속되는)
(PDF/3.3MB)
