ネットワーク アクセス保護 (NAP)
Windows7 での NAP の有効化手順
コントロールパネル > 管理ツール > コンピューターの管理 を開く
左ペインの "サービスとアプリケーション" を展開、
"サービス" をクリックしてサービス一覧を表示
"Network Access Protection Agent" を右クリックして、ポップアップメニューの [開始] をクリック
ネットワーク アクセス保護 (NAP) は、
ネットワーク管理者の実装に則して、
クライアントがネットワークに接続する際に検疫が実行され、
ポリシーを満たさない場合は、接続が制限される。
物理的に接続したまま、論理的にアクセスを制限もできる。
Windows Server 2008 から提供されるNAPは、
クライアント側のコンポーネントが標準で含まれ(WinXPsp3より)ており、柔軟な運用が可能
サーバとクライアントのソフトウェアだけで運用する方法
ネットワーク機器と連携する方法
それぞれを組み合わせて運用する方法
ネットワーク構成を変えない、あるいは、より高度な検疫環境を構築できる
課題は、サポートされるクライアントOSが限られている、検疫可能な項目が限られている
NAPは、Windows Server 2008 上で構成される
「サーバ」「クライアント」「NAP強制」「ポリシー」の4つの要素からなる
認証メカニズムを持っていない
ポリシーを満たしてさえいれば、ユーザ権限に関係なくネットワーク接続を許可
ネットワーク・ポリシー・サーバ(NPS:Network Policy Server)は、
ポリシーを設定したり、「システム正常性検証ツール(SHV:System Health Validator)」と連携して
NAP強制(クライアントの正常性の状態により、強制的に接続先を制御する)を行う
修復サーバがあるネットワークを制限ネットワークと呼ぶ
参考:ネットワーク・アクセス保護NAPとは
解説 http://www.atmarkit.co.jp/ait/articles/0805/08/news153.html
手法 http://www.atmarkit.co.jp/ait/articles/0810/23/news133.html
(Windows Server 2008, Windows 7)
VBAプロジェクトのデジタル証明書の保存場所
Office 2010 ツールの
[VBAプロジェクトのデジタル証明書] (C:\Program Files (x86)\Microsoft Office\Office14\Selfcert.exe)
で作成されるデジタル証明書の保存場所
C:\Users\ユーザー名\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates
証明書のエクスポートでは、秘密キーが削除されてしまうが、上記フォルダから直接コピーすると
秘密キーごとコピーできる
マクロの開発マシンを変更したい場合などに、証明書を移動させることができる
--> 証明書は移動できても、異なるPCでは、これを使ったデジタル署名はできなかった
インターネットオプション > コンテンツ > 証明書 (C:\Windows\System32\certmgr.msc)の
「個人」タブで確認できる
また、この証明書でデジタル署名した場合のキーの保存先は、
マクロへのデジタル署名
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\Root\Certificates\Root\Certificates
ブックへのデジタル署名
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPeople\Certificates
(Windows7, Office2010, Internet Explorer11)
ポートの死活確認方法(Windows)
●telnet
通常 telnetポート(TCPの23番ポート)に接続して利用するが、ポート番号を変えれば、
TCPの接続確認用ツールとして利用することができる
C:\>telnet <ホスト名> <ポート番号>
-----接続成功例-----
C:\>telnet server 80
接続中: server...
エスケープ文字は 'CTRL+]' です
-----接続失敗例-----
C:\>telnet server 80
接続中: server...ホストへ接続できませんでした。 ポート番号 80: 接続に失敗しました
Microsoft Telnet> q (quit)
●netsh diag
etsh.exeは、ネットワーク関連の設定、動作確認のためのコマンド
ネットワークの接続性の確認には、netsh diag connect というコマンドを利用する
C:\>netsh diag connect
使用できるコマンドは次のとおりです:
このコンテキストのコマンド:
connect ieproxy - Internet Explorer のプロキシへ接続します。
connect iphost - ユーザー定義の IP ホストに接続します。
connect mail - メール サーバへ接続します。outlook
connect news - ニュース サーバへ接続します。outlook
指定されたサーバの指定されたTCPポートに対して接続要求を行い、その結果を表示する。データをやりとりするわけではなく、単にTCPの接続が確立すれば、それだけで結果はOKとなる。
C:\>netsh diag connect iphost www.microsoft.com 80
IPHost (www.microsoft.com)
IPHost = www.microsoft.com
Port = 80
サーバは次のポートで実行中と思われます [80]
●portqry
マイクロソフトからはportqry.exe(port query)という、より高機能なツールが提供されている
SQL Server 2008 に ODBC 接続するための設定
1.SQL Serverのリモート接続の許可
2.SQL Serverのネットワーク設定
3.SQL Server Browserの設定
4.Windowsファイアウォールの設定
1.SQL Serverのリモート接続の許可(デフォルト=許可)
1.スタート > すべてのプログラム > Microsoft SQL Server 2008 R2 > 構成ツール > SQL Server Management Studio
2.オブジェクトエクスプローラー > HostName\SQLEXPRESS を右クリックし、プロパティを開く
3.ページの選択 > 接続 を開く
4.右ペインで "このサーバーへのリモート接続を許可する" をチェックして [OK] とする
2.SQL Serverのネットワーク設定
1.スタート > すべてのプログラム > Microsoft SQL Server 2008 R2 > 構成ツール > SQL Server 構成マネージャー
2.SQL Server 構成マネージャー(ローカル)> SQL Server ネットワークの構成 > SQLEXPRESSのプロトコル
3.右ペインのプロトコル名で、"TCP/IP" と "名前付きパイプ" を右クリックし、"有効化" を行う
3.SQL Server Browserの設定
1.スタート > すべてのプログラム > Microsoft SQL Server 2008 R2 > 構成ツール > SQL Server 構成マネージャー
2.SQL Server 構成マネージャー(ローカル)> SQL Server のサービス
3.右ペインのサービスで、"SQL Server Browser" を右クリックし、プロパティを開く
4.[サービス]タブの開始モードを "自動" に変更
5.[ログオン]タブの[開始]ボタンをクリックし開始する
6.右ペインのサービスで、"SQL Server(SQLEXPRESS)" を右クリックし、"再起動" を実施する
※ SQL Server Browserとは
SQL Server は、複数の名前付きインスタンスをサポートし、個別のポート番号を動的に割り当てる。
各インスタンスは、そのポート番号で待機し、クライアントからの要求に応答する。
SQL Server Browserは、UDP 1434ポートを使って、個々の名前付きインスタンスのポート番号を通知する。
4.Windowsファイアウォールの設定
1.スタート > コントロールパネル > Windowsファイアウォール
2."Windowsファイアウォールを介したプログラムまたは機能を許可する" をクリック
3.[設定の変更]ボタンをクリック、続けて[別のプログラムの許可]ボタンをクリック
4.[参照] から以下のプログラムを追加
C:\Program Files\Microsoft SQL Server\MSSQL10_50.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
5.許可されたプログラムの一覧に[SQL Server Windows NT]が表示されたことを確認して、[OK]
6.[詳細設定]ボタンをクリック
7.[受信の規則] > [新しい規則]をクリック
8.「規則の種類」で "ポート" を選択し [次へ]
9.「プロトコルおよびポート」で "UDP" を選択、特定のローカルポートに "1434" と入力し [次へ]
10.「操作」で "接続を許可する" を選択し [次へ]
11.「プロファイル」で全てチェックして [次へ]
12.「名前」で、任意の名前をつけて [完了]
13.続けて [新しい規則]をクリック
14.同様に、"TCP" で "1433" を許可する設定を行い [完了]
(Windows Server2008 R2, SQL Server 2008 R2 Express)
Internet Explorer セキュリティ強化の構成を無効にする
サーバー OS では "Internet Explorer セキュリティ強化の構成" (IE ESC)がデフォルトで有効になっており、
アクセスする必要のあるサイトは、"信頼済みサイト" ゾーンに登録する必要があり、運用するうえで不便な場合がある。
この "Internet Explorer セキュリティ強化の構成" を無効にするには、
スタート > 管理ツール > サーバマネージャ の "セキュリティ情報" セクションの右側ペインにある "IE ESC の構成" をクリックします。
"Internet Explorer セキュリティ強化の構成" ダイアログの "Administratorsグループ" に対して "オフ" を選択します。
IE ESCが無効の状態だと、クライアントOSレベルのセキュリティに低下しするので、
"Userグループ" に対しては "オン(推奨)" のままのほうがよいと思います。
(Windows Server 2008 R2、Internet Explorer 8)