次の方法で共有

ネットワーク アクセス保護について推奨するセキュリティ運用方法

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

悪意のあるユーザーからネットワークをセキュリティ保護するとき、NAP に依存しない    ネットワーク アクセス保護は、管理者がネットワーク上のコンピュータの正常性を維持できるように設計されたもので、ネットワーク全体の整合性を維持することもできます。たとえば、コンピュータに Microsoft System Center Configuration Manager 2007 NAP ポリシーで必要なソフトウェアの更新がすべて搭載されている場合、コンピュータは対応していると見なされ、ネットワークに対する適切なアクセスが許可されます。ネットワーク アクセス保護では、対応コンピュータの認証ユーザーがネットワークに悪意のあるプログラムをアップロードしたり、またはNAP エージェントを無効化することを防ぐことはできません。

サイト階層全体で一貫性のある NAP ポリシーを使用して混乱を最小限に抑える    NAP ポリシーを間違って構成すると、制限されているクライアントがネットワークにアクセスしたり、または有効なクライアントが間違って制限を受けたりすることがあります。NAP ポリシーの設計が複雑であればあるほど、構成を間違えるリスクは高まります。Configuration Manager 2007 NAP クライアント エージェントおよび Configuration Manager 2007 システム正常性検証ツール ポイントを構成して、階層全体、または、クライアントが組織間をローミングする場合は、組織内の追加階層全体で同じ設定を使用できるようにします。

重要

ネットワーク アクセス保護クライアント エージェントが有効になった Configuration Manager クライアントが異なる Configuration Manager 階層へローミングして、階層外のシステム正常性検証ツール ポイントでクライアントの正常性ステートメントが検証されている場合、検証プロセスによるサイトの確認は失敗します。この場合、クライアントの正常性ステートメントが不明と判断され、既定でネットワーク ポリシー サーバーに非対応として構成されてしまいます。ネットワーク ポリシー サーバーに制限したネットワーク アクセスを構成するネットワーク ポリシーがある場合、これらクライアントは修復できず、完全なネットワークへのアクセスができない危険性もあります。ネットワーク ポリシー サーバーの除外ポリシーは、Configuration Manager 階層外をローミングする Configuration Manager クライアントに対して無制限のネットワーク アクセスを与えます。

新規の Configuration Manager サイトですぐにネットワーク アクセス保護クライアント エージェントを有効化しない    Configuration Manager NAP ポリシーが変更されたとき、サイト サーバーは Configuration Manager の正常性状態の参照をドメイン コントローラに公開しますが、この新しいデータは Active Directory レプリケーションが完了するまでシステム正常性検証ツール ポイントがすぐに取得できない可能性があります。レプリケーションが完了する前にネットワーク アクセス保護クライアント エージェントを有効化し、Windows ネットワーク ポリシー サーバーが制限されたネットワーク アクセスを非対応クライアントに与える場合、自分自身にサービス拒否攻撃を実施する恐れがあります。

NAP を即時またはリアルタイムの実装機構として使用しない    NAP 実装機構には、特有の遅延があります。NAP は長期的にコンピュータの対応状態を維持しますが、さまざまな構成パラメータの設定を含む多様な要素により、実装による遅延は一般に数時間またはそれ以上発生する可能性があります。

参照:

その他のリソース

Configuration Manager のネットワーク アクセス保護
Configuration Manager 機能について推奨するセキュリティ運用方法とプライバシー情報

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.