ネットワーク アクセス保護を Configuration Manager に実装するシナリオ例
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
次のセクションでは、次のビジネス要件を解決するために Configuration Manager 2007 のネットワーク アクセス保護 (NAP) を実装する方法の例について説明します。
ソフトウェアの更新の対応を段階的展開の一部として実施する
ソフトウェアの更新の対応を優先的展開の一部として実施する
ソフトウェアの更新の対応を段階的展開の一部として実施する
このシナリオでは、ソフトウェアの更新の段階的展開の一部として Configuration Manager のネットワーク アクセス保護を使用することで、指定した日付までに必須のソフトウェアの更新をインストールできなかった一部のコンピュータのネットワーク アクセスを制限する方法を示します。
Woodgrove Bank は、毎月 Microsoft からソフトウェアの更新の通知を受け取っています。また、ソフトウェアの更新で対応された攻撃に対して脆弱であるコンピュータからネットワークを保護することを計画しています。Woodgrove Bank は、次の表に示す一連の措置を実行しました。
| プロセス | 参照 |
|---|---|
セキュリティの脆弱性に対応するソフトウェアの更新は、Kevin Verboort をリーダーとする社内セキュリティ チームが評価します。このチームは、脆弱性が自社の環境に該当するかどうかを確認し、該当する場合、企業資産や業務の継続性に対する影響と、脆弱性が悪用される可能性のある状況も確認します。 セキュリティとは無関係なソフトウェアの更新は、他の各分野専門のチームが評価します。 |
会社固有の内部プロセス |
Kevin は、ソフトウェアの更新を担当する Configuration Manager の管理者である Mary North に協力を求めます。彼女は、セキュリティ チームが作成した、重要なセキュリティ関連の更新の一覧を受け取り、そのセキュリティの更新で対応された攻撃に対して脆弱である可能性があるコンピュータがネットワーク上に何台あるかを確認するレポートを実行します。 ネットワーク上の約 1/4 のコンピュータが一覧のソフトウェアのセキュリティ更新から脆弱である可能性があることが判明します。そのすべてのコンピュータは NAP をサポートしています。 |
ネットワーク アクセス保護レポート :[選択したソフトウェアの更新に基づいて非対応になるコンピュータの一覧] 詳細については、次のトピックを参照してください。 |
Kevin は、セキュリティおよび業務への影響の分析に基づき、2 週間以内にソフトウェアの更新を通じて、すべてのコンピュータがセキュリティ関連のソフトウェアの更新をインストールする必要があると判断します。 この期間内にソフトウェアの更新をインストールできない一部のコンピュータには、制限ネットワークでネットワーク アクセス保護を使用してインストールを実施することにします。 |
|
Mary は、4 週間以内にインストールが必要な、セキュリティ関連でない更新の一覧も受け取ります。 |
会社固有の内部プロセス |
1 週間のうちに、Mary は、選択したソフトウェアの更新のインストールを一部のコンピュータ グループでテストして、インストールが成功することとアプリケーションが意図したとおりに機能し続けることを確認します。 |
|
Mary は 2 件の変更要求 (RFC) を提出します。
RFC は 2 件とも許可されます。 |
会社固有の内部プロセス |
Mary は、ネットワーク ポリシー サーバー管理者と話し、Configuration Manager NAP ポリシーが作成されたとき、およびセキュリティ関連のソフトウェアの更新が有効になる日付について連絡をくれるように依頼します。 2 人の管理者は一緒に、非対応のコンピュータが制限ネットワークで自動的に修復されることと、修復が失敗した場合にトラブルシューティング Web サイトでソフトウェアの更新が入手できることを確認します。 また、Mary は、ソフトウェアの更新のインストールが実施されることと、その際にネットワーク アクセス保護が使用されることをヘルプデスクに事前に通知します。 |
|
Mary は、ソフトウェアの更新用に作成したソフトウェアの更新パッケージが、階層内のすべての配布ポイントにレプリケートされていることを確認します。 Mary は次に、ソフトウェアの展開ウィザードを使用して、2 つの展開を作成し、両方ともセントラル サイトの "すべてのシステム" コレクションを対象として設定します。
|
ソフトウェア配布 - パッケージ レポート :特定のパッケージの配布ステータス |
Mary は、セキュリティ チーム、ネットワーク ポリシー サーバー チーム、およびヘルプデスクに展開の確認通知を送ります。 ヘルプデスクは、必要なセキュリティ関連のソフトウェアの更新が期日までにインストールされていないコンピュータはネットワークに接続できなくなる可能性があることを警告し、ユーザーにできるだけ早くインストールするように促すユーザー通知を配布します。 |
会社固有の内部プロセス |
Mary は、ソフトウェアの更新の対応を監視します。 3 週間が経過した時点で、何台かのコンピュータはセキュリティ関連のソフトウェアの更新に非対応のままです。各コンピュータの所有者に、彼らのコンピュータがセキュリティ ポリシーに対応しておらず、週末まで非対応のままである場合は自動修復のためネットワークに接続できなくなる可能性があることを通知する電子メールが送信されます。 |
ネットワーク アクセス保護レポート :[選択したソフトウェアの更新に基づいて非対応になるコンピュータの一覧] 詳細については、次のトピックを参照してください。 |
NAP ポリシーで構成された有効日の 2 日前に、Mary は、セキュリティ関連のソフトウェアの更新に非対応のままのコンピュータがごく少数であることに気付きます。 Mary は、このレポートをセキュリティ チームに転送し、どのコンピュータが非対応のままであり、かつネットワーク アクセス保護をサポートしているかをヘルプデスクに知らせます。 |
会社固有の内部プロセス |
Mary は、選択したソフトウェアの更新の対応を監視し続け、事前に取り決めた間隔で進行状況レポートをセキュリティ チームに転送します。 |
会社固有の内部プロセス |
6 週間後、Mary は、85% のコンピュータがセキュリティ関連でないソフトウェアの更新に対応していることを報告し、100% のコンピュータがセキュリティ関連のソフトウェアの更新に対応していることを報告していることに気付きます。 Mary は、プロセスを見直して変更が必要かどうかを確認し、セキュリティ関連でない更新をインストールしていないコンピュータを調査します。 |
ネットワーク アクセス保護レポート :
|
Mary は、セキュリティ チームにレポートを提供し、ヘルプデスクにフィードバックを依頼して、技術上またはコミュニケーション上で改善できる点がないかどうかを検討します。 |
会社固有の内部プロセス |
Configuration Manager の NAP ポリシーは、段階的展開においてユーザーに次のような影響を与える可能性があります。
ラップトップが企業ネットワークに一定期間アクセスすることなく戻ってきた場合
あるセールスマンは、顧客の会社に頻繁に出張しますが、重要な会議のため本社に戻ってきます。彼は、セキュリティの更新のインストールに関する電子メール通知にさっと目を通しましたが、セキュリティの更新をインストールしませんでした。期日が来て、影響を受けることなく過ぎていきました。
彼は、会議のため本社に到着すると、コンピュータをネットワークに接続します。ログイン後すぐに、セキュリティ ポリシーに対応していないためネットワーク アクセスが制限されているという通知を受けます。彼は、電子メール通知を思い出し、何をすればいいのか調べるため、電子メールを検索します。電子メールを見つけて読み終えるころには、彼のコンピュータでは、必要なソフトウェアの更新が既にインストールされ、ネットワーク アクセスの制限が解除されています。コンピュータでは引き続き、セキュリティ関連でない更新がバックグラウンドでインストールされます。
ユーザーが休暇から戻ってきた場合
あるユーザーは数週間の休暇から仕事に戻ってきました。休暇前には彼女のコンピュータは完全に対応していましたが、休暇中には電源が切られていたため、ソフトウェアの更新を受け取ることができませんでした。彼女は休暇から戻ってくると、コンピュータのスイッチを入れ、ログオンし、Microsoft Outlook を起動します。しかし、メールボックスはサーバーに接続せず、コンピュータがポリシーに対応していないため、ネットワーク アクセスが制限されているという通知が表示されます。
この数週間に送信された電子メール通知を知らず、ヘルプデスクに電話します。ヘルプデスクは、彼女のコンピュータが Configuration Manager NAP ポリシーの有効日までに対応しなかったコンピュータの 1 台として一覧に記載されていることを確認します。ヘルプデスクは、彼女のコンピュータが自動的に修復されるまで待っているだけでいいこと、30 分後に接続が復旧したことを確認するため彼女に折り返し電話することを説明します。
彼女は、1 杯のコーヒーを入れ、休暇中のオフィスの最新ニュースを確認します。自分の席に戻ると、コンピュータはネットワーク アクセスの制限が解除されています。このことをヘルプデスクに確認し、彼女のユーザー アシスタンス チケットはクローズされます。
新しいコンピュータのセットアップ
新しいユーザーに、Windows Vista を実行し、Configuration Manager クライアントでイメージングされたデスクトップ コンピュータが支給されました。彼女は、コンピュータを開梱し、ケーブルを接続して、スイッチを入れます。初期セットアップを完了すると、ネットワーク アクセスが制限されていることを知らせるバルーンが表示されます。
彼女は、通知をクリックし、彼女のコンピュータで会社のセキュリティ ポリシーに必要なソフトウェアの更新がインストール中であることを知ります。箱を片付けた後、コンピュータの前に戻ると、コンピュータのアクセス制限が解除されていることを示す別の通知が表示されています。彼女がデスクトップを構成している間、バックグラウンドでは、セキュリティ関連でない更新と彼女が必要とするアプリケーションが自動的にインストールされています。
ゲストは完全なネットワーク アクセスを拒否されます。
別の会社から来ているコンサルタントがラップトップを企業ネットワークに接続します。このゲストは、コンピュータのネットワーク アクセスが制限されていて、制限されたネットワークでの修復処理が失敗したことを知ります。彼は、ヘルプデスクに連絡します。
この動作は仕様です。このコンピュータには Configuration Manager クライアントがインストールされていないため、システム正常性検証ツール ポイントは、このコンピュータが対応しているかどうかを検証できません。このシナリオでは、ネットワーク ポリシー サーバー上の Configuration Manager システム正常性検証ツールは、コンピュータに非対応という正常性状態を与えるように構成されており、自動修復は可能ではありません。
ヘルプデスクは、このシナリオの手続きは、完全なネットワーク アクセスは可能ではないが、制限されたネットワーク上の Web プロキシ サーバーを使用できることをゲストに説明するためのものであることを伝えます。ゲストは、インターネット アクセスにはプロキシ Web サーバーを、自社の企業ネットワークには VPN 接続をそれぞれ使用します。
少数のユーザーが経験するネットワーク接続性の一時的な喪失
有効日前でも、一部のユーザーは、ネットワーク アクセス保護の通知で自分のコンピュータが対応しておらず、ネットワーク アクセスが制限されていることが通知されます。その後まもなく、コンピュータが対応を完了し、ネットワーク アクセスの制限が解除されていることを知らせるメッセージが表示されます。一部のユーザーは、これらのメッセージについてヘルプデスクに電話します。これはコンピュータを最新の状態に保つための、ネットワーク アクセス保護の仕様どおりの動作であり、問題を示すものではないと説明されます。
しばらくすると、ユーザーはこの新しい処理にも慣れ、ヘルプデスクに電話するのは、エラー メッセージが表示されたときのみになります。
注意
クライアントにソフトウェアの更新がインストールされているかどうかに関係なく、システム正常性検証ツールによって非対応と判断される可能性があるシナリオがいくつかあります。たとえば、クライアントが正常性ステートメントの有効期間以前に構成された正常性ステートメントをキャッシュしていて、かつそのクライアントが最新の Configuration Manager NAP ポリシーを保持していない場合などです。Configuration Manager 2007 クライアントが修復に至る原因はいくつかある点に注意してください。また、展開前にユーザーとヘルプデスクにこの可能性について伝達してください。
このシナリオの詳細については、「ネットワーク アクセス保護の修復について」および「Configuration Manager のネットワーク アクセス保護に対する対応について」を参照してください。
ソフトウェアの更新の対応を優先的展開の一部として実施する
このシナリオでは、緊急でインストールする必要があるソフトウェアの更新の優先的展開の一部として Configuration Manager のネットワーク アクセス保護を使用することで、ネットワーク リソースを保護する方法を示します。
Woodgrove Bank は、Microsoft からソフトウェアの重要なセキュリティ更新に関する緊急通知を受け取り、攻撃に対して脆弱であるネットワーク上のコンピュータの数を直ちに最小化しようとしています。Woodgrove Bank は、次の表に示す一連の措置を実行しました。
| プロセス | 参照 |
|---|---|
Kevin Verboort は、セキュリティ通知を受け取り、セキュリティ責任者としてセキュリティ チームに連絡して、ソフトウェアの重要なセキュリティ更新を確認し、会社の環境にとってのセキュリティへの影響を理解するための緊急会議を開きます。 企業資産や業務の継続性に対する影響と、脆弱性が悪用される可能性のある状況について、セキュリティ上の脅威を評価します。 |
会社固有の内部プロセス |
会議中、ソフトウェアの更新を担当する Configuration Manager 管理者である Mary North は、セキュリティ関連のソフトウェアの更新で対応されたセキュリティ ホールに対して脆弱である可能性があるコンピュータの数を割り出すためのレポートを実行するように指示されました。 ネットワーク上の半分以上のコンピュータが一覧のソフトウェアのセキュリティ更新から脆弱であることが判明します。そのほとんどのコンピュータはネットワーク アクセス保護をサポートしています。 |
ネットワーク アクセス保護レポート :選択したソフトウェアの更新に基づいて非対応になるコンピュータの一覧 ネットワーク アクセス保護レポート :NAP 対応および NAP 対応にアップグレード可能なコンピュータの一覧 詳細については、次のトピックを参照してください。 |
セキュリティ チームは、セキュリティ関連のソフトウェアの更新で対応された攻撃に対して脆弱であるコンピュータのリスクは、短時間の生産性の低下を覚悟しても、直ちにインストールすることを必要とするのに十分な重要性があると判断しました。 |
|
Mary は、ソフトウェアの更新パッケージを作成し、ソフトウェアの更新をダウンロードして、階層内のすべての配布ポイントに追加します。 |
|
Mary は、このソフトウェアの更新の最小限のテストを一部のコンピュータのグループで実行し、インストールが成功することと基本的なアプリケーションが意図したとおりに機能し続けることを確認します。 |
会社固有の内部プロセス |
Kevin は、特別な変更要求の緊急手続きを開始します。特別な変更要求は、直ちに確認され、許可されます。 短時間に多数のコンピュータが修復を試みるためにトラフィックが急増することを警告する通知が、Mary、ネットワーク ポリシー サーバー管理者、およびサービス リソースの監視チームに送られます。 |
会社固有の内部プロセス |
Mary は、テストしたソフトウェアの更新に問題がないことを確認すると、ポリシーの新規作成ウィザードを使用して、ソフトウェアの更新を確認し、有効日を[直ちに]に構成します。 次に、システム正常性検証ツール ポイント コンポーネントのプロパティを構成し、[次の日付以降の作成日に限定する (UTC)]オプションを現在の日時に構成します。 |
|
Mary は、一部のコンピュータがネットワーク アクセス保護をサポートできないこと、それらのコンピュータが Windows XP Service Pack 1 または Windows Server 2003 を実行していることを知っています。そのセキュリティの更新は、Windows XP Service Pack 1 を実行しているコンピュータには適用できますが、Windows Server 2003 を実行しているサーバーには適用できません。 Mary は、期日を[直ちに]に設定したソフトウェアの更新の展開を作成します。このソフトウェアの更新の展開を、Windows XP Service Pack 1 のみを含むコレクションを対象にします。 |
|
Mary は、変更要求の作業が完了したという確認通知を送ります。この通知は、関係者に転送されます。 |
会社固有の内部プロセス |
Mary は、重要なセキュリティ関連のソフトウェアの更新の対応を監視し、進行状況をセキュリティ チームに報告します。 特に、ネットワーク アクセス保護をサポートできないコンピュータには特別な注意を払います。これらのコンピュータへのインストールが失敗すると、これらのコンピュータからのネットワークへのアクセスを制限できないためです。これらのコンピュータでインストールが失敗した場合は、積極的に調査を行い、問題を解決するため、直ちにヘルプデスクに報告されます。 |
ネットワーク アクセス保護レポート :選択したソフトウェアの更新に基づいて非対応になるコンピュータの一覧 詳細については、次のトピックを参照してください。 |
24 時間後、適用可能なコンピュータの 90% はソフトウェアの更新に対応しました。Mary は、非対応のコンピュータを調査し、それらのコンピュータが現在正当な理由で企業ネットワークに存在していないことが判明します。 それらのコンピュータのユーザーに、ソフトウェアの更新を手動でインストールするように指示する電子メール通知が送信されます。Mary は、このメカニズムが失敗した場合 (ユーザーがコンピュータの電源を切ったまま休暇に入った場合など)、コンピュータが企業ネットワークに接続されたときに対応が実施されることを知っています。 |
会社固有の内部プロセス |
Mary は、選択したソフトウェアの更新の対応を監視し続け、事前に取り決めた間隔で進行状況レポートをセキュリティ チームに転送します。 |
会社固有の内部プロセス |
セキュリティ チームとの取り決め期間の終了時に、Mary は、すべてのコンピュータが選択したソフトウェアの更新への対応を報告していることを確認したり、プロセスを見直して、緊急のソフトウェアの更新をより効率的にインストールするために変更が必要かどうかを確認したりします。 |
ネットワーク アクセス保護レポート :
|
Mary は、セキュリティ チームに所見を提供し、ヘルプデスクにフィードバックを依頼して、技術上またはコミュニケーション上で改善できる点がないかどうかを検討します。 |
会社固有の内部プロセス |
Configuration Manager の NAP ポリシーは、緊急セキュリティ日の優先的展開としてネットワーク アクセス保護を使用したときに、ユーザーに次のような影響を与える可能性があります。
ほとんどのユーザーに対して発生する重大度の低いネットワーク接続の切断
ほとんどのユーザーは、同時にネットワークへの接続が切断されます。また、ネットワーク接続を必要とするアプリケーションは、修復が完了するまでエラーを報告します。多くのユーザーにとっては、この状況はごく短時間で終わり、ユーザーがそのことに気が付かない場合もあります。
管理者に対して発生する重大度の高いネットワーク接続の切断
本社で、1 人の管理者がプレゼンテーションを行っている途中であり、リモート コンピュータにホストされているスライドを使用しています。プレゼンテーションの途中で彼女のコンピュータはネットワークに接続できなくなり、彼女はコンピュータがネットワーク ポリシーに対応していないことと、対応するまでネットワーク アクセスが制限されているという通知を受け取ります。
彼女は、プレゼンテーションの中断に不満を感じ、次回は自分のコンピュータにスライドをローカル コピーすることで解決しようと決意します。彼女は、接続できない時間がどれぐらい続くかわかりませんでしたが、プレゼンテーションを一時中断し、これまでに提示したスライドについての質疑応答に割り当てることにしました。10 分後、ネットワークへの接続が復旧しているという通知に気付き、プレゼンテーションを継続します。
ネットワーク接続性の喪失が納品に影響する
ある開発者は、その日の終業までにチェックインする必要がある社内アプリケーションの変更作業を行っています。彼は 4 時に変更を完了しましたが、変更はネットワーク エラーによってチェックインできませんでした。自分のコンピュータのネットワーク アクセスが制限されていることに気付き、ヘルプデスクに電話します。
ヘルプデスクは、直ちにインストールする必要がある緊急のソフトウェアの更新について説明し、自動的にインストールされるまでしばらく待つように指示します。彼はネットワーク アクセス保護の通知をクリックし、コンピュータが Configuration Manager システム正常性エージェントを通じてソフトウェアの更新をインストール中であることを確認できますが、インストールに非常に長い時間がかかっています。
ヘルプデスクは、原因を調査し、彼のネットワーク セグメントが飽和状態にあり、需要が大きいため配布ポイントの実行速度も通常より低下していることを確認します。開発者は、その日の終業までに新しいコードをチェックインできそうにないと判断し、上司に報告します。彼は、コンピュータの電源を入れたまま帰宅します。翌日出社すると、コンピュータがネットワークに再び接続されていることに気付き、コードをチェックインできます。
リモート オフィスでのネットワークの喪失の継続
遠隔地にある支社のユーザーが電子メールの送信を試みているときにネットワークに接続できなくなりました。彼は、ヘルプデスクに連絡し、重要なソフトウェアの更新についての情報を得ます。しかし、彼のコンピュータはソフトウェアの更新をインストールできません。調査の結果、ヘルプデスクは修復エラーの原因がネットワーク タイムアウトであることを発見します。ソフトウェアの更新パッケージがブランチ配布ポイントにレプリケートされていないため、コンピュータは低速で信頼性の低いネットワーク接続を介してソフトウェアの更新をダウンロードしようとしていました。
ヘルプデスク エンジニアは、トラブルシューティング Web サイトからソフトウェアの更新をインストールする方法について説明し、インストール後にコンピュータを再起動するように指示します。ユーザーはこのアドバイスに従い、再起動後、彼のコンピュータはアクセスが制限されていない状態で接続されました。
参照:
概念
ソフトウェアの更新とネットワーク アクセス保護との違いについて
ネットワーク アクセス保護プロセスについて
段階的および優先的なネットワーク アクセス保護の展開について
ネットワーク アクセス保護の管理者の役割とプロセスを決定する
Configuration Manager のネットワーク アクセス保護に対する対応について
ネットワーク アクセス保護の修復について
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.