Architecture côté serveur NAP

L’architecture de plateforme côté serveur NAP utilise des ordinateurs exécutant Windows Server 2008. La figure suivante montre l’architecture de la prise en charge côté serveur pour la plateforme NAP, composée de points d’application NAP windows et d’un serveur de stratégie d’intégrité NAP.

architecture

Un point d’application NAP basé sur Windows a une couche de composants NAP Enforcement Server (ES). Chaque NAP ES est défini pour un type différent d’accès réseau ou de communication. Par exemple, il existe un ES NAP pour les connexions VPN d’accès à distance et une configuration NAP ES pour DHCP. Le NAP ES est généralement mis en correspondance avec un type spécifique de client compatible NAP. Par exemple, DHCP NAP ES est conçu pour fonctionner avec un client d’application NAP basé sur DHCP (EC). Les fournisseurs de logiciels tiers ou Microsoft peuvent fournir des services NAP ES supplémentaires pour la plateforme NAP. Un NAP ES obtient l’instruction système d’intégrité (SSoH) à partir de son ENVIRONNEMENT NAP correspondant et l’envoie à un serveur de stratégie d’intégrité NAP en tant qu’attribut vsA (Remote Authentication Dial-in User Service) de RADIUS Access-Request message

Comme illustré dans la figure de l’architecture côté serveur, le serveur de stratégie d’intégrité NAP comporte les composants suivants :

• Service NPS (Network Policy Server)

  Reçoit le message RADIUS Access-Request, extrait l’authentification unique et le transmet au composant serveur d’administration NAP. Le service NPS est fourni avec Windows Server 2008.

• Serveur d’administration NAP

  Facilite la communication entre le service NPS et les validateurs d’intégrité du système (SHVS). Le composant serveur d’administration NAP est fourni avec la plateforme NAP.

• Couche de composants SHV

  Chaque SHV est défini pour un ou plusieurs types d’informations d’intégrité système et peut être mis en correspondance avec une sha. Par exemple, il peut y avoir un SHV pour un programme antivirus. Un SHV peut être mis en correspondance avec un ou plusieurs serveurs d’exigences d’intégrité. Par exemple, un SHV pour la vérification des signatures antivirus est mis en correspondance avec le serveur qui contient le dernier fichier de signature. Les shVS n’ont pas besoin d’avoir un serveur d’exigences d’intégrité correspondant. Un SHV peut simplement indiquer aux clients compatibles NAP de vérifier les paramètres système locaux pour s’assurer qu’un pare-feu basé sur l’hôte est activé. Windows Server 2008 inclut le validateur d’intégrité de sécurité Windows (WSHV). Des shVs supplémentaires sont fournis par des fournisseurs de logiciels tiers ou par Microsoft en tant que modules complémentaires à la plateforme NAP.

• SHV API

  Fournit un ensemble d’appels de fonction qui permettent aux shVS de s’inscrire auprès du composant serveur d’administration NAP, de recevoir des instructions d’intégrité (SoHs) du composant serveur d’administration NAP et d’envoyer des réponses d’intégrité (SoHR) au composant serveur d’administration NAP. L’API SHV est fournie avec la plateforme NAP. Consultez les interfaces NAP suivantes : INapSystemHealthValidator et INapSystemHealthValidationRequest.

Comme décrit précédemment, la configuration la plus courante pour l’infrastructure côté serveur NAP se compose de points d’application NAP fournissant l’accès réseau ou la communication d’un type spécifique et des serveurs de stratégie d’intégrité NPS distincts fournissant la validation et la correction de l’intégrité du système. Il est possible d’installer le service NPS en tant que serveur de stratégie d’intégrité NAP sur des points d’application NAP windows individuels. Toutefois, dans cette configuration, chaque point d’application NAP doit ensuite être configuré séparément avec les stratégies d’accès réseau et d’intégrité. La configuration recommandée consiste à utiliser des serveurs de stratégie d’intégrité NAP distincts.

L’architecture NAP globale se compose des ensembles de composants suivants :

• Les trois composants clients NAP (couche SHA, agent NAP et couche NAP EC).
• Les quatre composants côté serveur NAP (couche SHV, serveur d’administration NAP, service NPS et couche NAP ES sur les points d’application NAP basés sur Windows).
• Les serveurs d’exigences d’intégrité, qui sont des ordinateurs capables de fournir des exigences d’intégrité système actuelles pour les serveurs de stratégie d’intégrité NAP.
• Serveurs de correction, qui sont des ordinateurs qui contiennent des ressources de mise à jour d’intégrité auxquelles les clients NAP peuvent accéder pour corriger leur état non conforme.

La figure suivante montre les relations entre les composants de la plateforme NAP.

Notez la correspondance des ensembles de composants suivants :

• Les ECS NAP et les ES NAP sont généralement mis en correspondance.

  Par exemple, l’EC NAP DHCP sur le client NAP est mis en correspondance avec DHCP NAP ES sur le serveur DHCP.

• Les serveurs SHA et de correction peuvent être mis en correspondance.

  Par exemple, une sha antivirus sur le client est mise en correspondance avec un serveur de correction de signature antivirus.

• Les serveurs shVS et les serveurs d’exigences d’intégrité peuvent être mis en correspondance.

  Par exemple, un SHV antivirus sur le serveur de stratégie d’intégrité NAP peut être mis en correspondance avec un serveur d’exigences d’intégrité antivirus.

Les fournisseurs de logiciels tiers peuvent étendre la plateforme NAP de la manière suivante :

• Créez une méthode selon laquelle l’intégrité d’un client NAP est évaluée.

  Les fournisseurs de logiciels tiers doivent créer une sha pour le client NAP, un SHV pour le serveur de stratégie d’intégrité NAP et, si nécessaire, des exigences d’intégrité et des serveurs de correction. Si les serveurs d’intégrité ou de correction existent déjà, tels qu’un serveur de distribution de signature antivirus, seuls les composants SHA et SHV correspondants doivent être créés. Dans certains cas, les exigences d’intégrité ou les serveurs de correction ne sont pas nécessaires.

• Créez une méthode pour appliquer les exigences d’intégrité pour l’accès réseau ou la communication.

  Les fournisseurs de logiciels tiers doivent créer un ENVIRONNEMENT NAP sur le client NAP. Si la méthode d’application utilise un service Windows, les fournisseurs de logiciels tiers doivent créer un nap ES correspondant qui communique avec un serveur de stratégie d’intégrité NAP à l’aide du protocole RADIUS ou à l’aide du service NPS installé sur le point d’application NAP en tant que proxy RADIUS.

Les sections suivantes décrivent en détail les composants de l’architecture côté serveur NAP.

NAP Enforcement Server

Un serveur d’application NAP (ES) autorise un niveau d’accès réseau ou de communication, peut transmettre l’état d’intégrité d’un client NAP au serveur de stratégie d’intégrité réseau pour l’évaluation et, en fonction de la réponse, peut fournir l’application d’un accès réseau limité.

Les services NAP ES inclus dans Windows Server 2008 sont les suivants :

• IPsec NAP ES pour les communications protégées par IPsec.

  Pour la communication protégée par IPsec, l’autorité d’inscription d’intégrité (HRA), un ordinateur exécutant Windows Server 2008 et Internet Information Services (IIS) qui obtient des certificats d’intégrité auprès d’une autorité de certification (CA) pour les ordinateurs conformes, transmet les informations d’état d’intégrité du client NAP au serveur de stratégie d’intégrité NAP.

• Configuration d’une adresse IP DHCP NAP ES pour l’adresse IP basée sur DHCP.

  Dhcp NAP ES est une fonctionnalité du service serveur DHCP qui utilise des messages DHCP standard pour communiquer avec DHCP NAP EC sur un client NAP. L’application DHCP pour l’accès réseau limité est effectuée via les options DHCP.

• Une passerelle TS (Terminal Services) NAP ES pour les connexions basées sur un serveur de passerelle TS.

Pour les connexions VPN d’accès à distance et 802.1X authentifiées, les fonctionnalités du service NPS utilisent PEAP-TLV messages entre les clients NAP et le serveur de stratégie d’intégrité NAP. L’application du VPN est effectuée via des filtres de paquets IP appliqués à la connexion VPN. L’application 802.1X est effectuée sur l’appareil d’accès réseau 802.1X en appliquant des filtres de paquets IP à la connexion ou en affectant à la connexion un ID de réseau local virtuel correspondant au réseau restreint.

Serveur d’administration NAP

Le composant serveur d’administration NAP fournit les services suivants :

• Obtient les SSoH à partir de NAP ES via le service NPS.
• Distribue les soHs dans les SSoH aux validateurs d’intégrité système (SHV) appropriés.
• Collecte les soHRs à partir des shVs et les transmet au service NPS pour évaluation.

NPS Service

RADIUS est un protocole largement déployé qui permet l’authentification centralisée, l’autorisation et la comptabilité de l’accès réseau décrits dans Demandes de commentaires (RFC) 2865 et 2866. Initialement développé pour l’accès à distance rendez-vous, RADIUS est désormais pris en charge par les points d’accès sans fil, l’authentification des commutateurs Ethernet, les serveurs VPN, les serveurs DSL (Digital Subscriber Line) et d’autres serveurs d’accès réseau.

NPS est l’implémentation d’un serveur RADIUS et d’un proxy dans Windows Server 2008. NPS remplace le service d’authentification Internet (IAS) dans Windows Server 2003. Pour la plateforme NAP, le service NPS inclut le composant serveur d’administration NAP, la prise en charge de l’API SHV et des shVs installables, ainsi que les options de configuration des stratégies d’intégrité.

En fonction des soHR des shVs et des stratégies d’intégrité configurées, le service NPS crée une réponse SSoHR (System Statement of Health Response), qui indique si le client NAP est conforme ou non conforme et inclut l’ensemble de soHRs à partir des SHVS.

Validateur d’intégrité système (SHV)

Un SHV reçoit un soH du serveur d’administration NAP et compare les informations d’état d’intégrité du système à l’état d’intégrité du système requis. Par exemple, si le SoH provient d’une sha antivirus et contient le numéro de version du dernier fichier de signature antivirus, l’antivirus SHV correspondant peut vérifier auprès du serveur d’exigences d’intégrité antivirus le numéro de version le plus récent pour valider le soH du client NAP.

Le SHV retourne un soHR au serveur d’administration NAP. Le soHR peut contenir des informations sur la façon dont la sha correspondante sur le client NAP peut répondre aux exigences actuelles en matière d’intégrité du système. Par exemple, le soHR envoyé par l’antivirus SHV peut demander à l’antivirus SHA sur le client NAP de demander la dernière version du fichier de signature antivirus à partir d’un serveur de signature antivirus spécifique par nom ou adresse IP.