Bagikan melalui

Arsitektur Klien NAP

  • Artikel

Nota

Platform Perlindungan Akses Jaringan tidak tersedia dimulai dengan Windows 10

 

Klien NAP adalah komputer yang menjalankan Windows XP dengan Paket Layanan 3 (SP3), Windows Vista, atau Windows Server 2008 yang menyertakan platform NAP.

Angka ini menunjukkan arsitektur platform NAP pada klien NAP.

arsitektur platform tidur siang pada klien tidur siang

Arsitektur klien NAP terdiri dari yang berikut:

  • Lapisan komponen Klien Penegakan (EC)

    Setiap NAP EC didefinisikan untuk jenis akses jaringan yang berbeda. Misalnya, ada NAP EC untuk konfigurasi DHCP dan NAP EC untuk koneksi VPN akses jarak jauh. NAP EC dapat dicocokkan dengan jenis titik penegakan NAP tertentu. Misalnya, DHCP NAP EC dirancang untuk bekerja dengan titik penegakan NAP berbasis DHCP. Beberapa UE NAP disediakan dengan platform NAP dan vendor perangkat lunak pihak ketiga atau Microsoft dapat menyediakan yang lain.

  • Lapisan komponen Agen Kesehatan Sistem (SHA)

    Komponen SHA mempertahankan dan melaporkan satu atau beberapa elemen kesehatan sistem. Misalnya, mungkin ada SHA untuk tanda tangan antivirus dan SHA untuk pembaruan sistem operasi. SHA dapat dicocokkan dengan server remediasi, yang merupakan komputer yang berisi sumber daya pembaruan kesehatan yang dapat diakses klien NAP untuk memulihkan status yang tidak patuh. Misalnya, SHA untuk memeriksa tanda tangan antivirus cocok dengan server yang berisi file tanda tangan antivirus terbaru. SHAs tidak harus memiliki server remediasi yang sesuai. Misalnya, SHA hanya dapat memeriksa pengaturan sistem lokal untuk memastikan bahwa firewall berbasis host diaktifkan. Windows Vista dan Windows XP Service Pack 3 menyertakan Windows Security Health Agent (WSHA) yang memantau pengaturan aplikasi Keamanan Windows. Vendor perangkat lunak pihak ketiga atau Microsoft dapat menyediakan SHAs tambahan ke platform NAP.

  • Agen NAP

    Mempertahankan informasi status kesehatan klien NAP saat ini dan memfasilitasi komunikasi antara lapisan NAP EC dan SHA. Agen NAP disediakan dengan platform NAP.

  • API Agen Kesehatan Sistem

    Menyediakan serangkaian fungsi yang memungkinkan SHAs untuk mendaftar dengan Agen NAP, untuk menunjukkan status kesehatan sistem, menanggapi kueri untuk status kesehatan sistem dari Agen NAP, dan agar Agen NAP meneruskan informasi remediasi kesehatan sistem ke SHA. SHA API memungkinkan vendor untuk membuat dan menginstal SHAs tambahan. SHA API disediakan dengan platform NAP. Lihat antarmuka NAP berikut: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallback, dan INapSystemHealthAgentRequest.

Untuk menunjukkan status kesehatan SHA tertentu, SHA membuat pernyataan kesehatan (SoH) dan meneruskannya ke Agen NAP. SoH dapat berisi satu atau beberapa elemen kesehatan sistem. Misalnya, SHA untuk program antivirus dapat membuat SoH yang berisi status perangkat lunak antivirus yang berjalan di komputer, versinya, dan pembaruan tanda tangan antivirus terakhir yang diterima. Setiap kali SHA memperbarui statusnya, SHA membuat SoH baru dan meneruskannya ke Agen NAP. Untuk menunjukkan status kesehatan keseluruhan klien NAP, Agen NAP menggunakan pernyataan sistem kesehatan (SSoH), yang mencakup informasi versi untuk klien NAP dan set SoH untuk SHAs yang diinstal.

Bagian berikut menjelaskan komponen arsitektur klien NAP secara lebih rinci.

Klien Penegakan NAP

Klien Penegakan NAP (EC) meminta beberapa tingkat akses ke jaringan, meneruskan status kesehatan komputer ke titik penegakan NAP yang menyediakan akses jaringan. Titik penegakan NAP adalah komputer atau perangkat akses jaringan yang menggunakan NAP atau dapat digunakan dengan NAP untuk mewajibkan evaluasi status kesehatan klien NAP dan menyediakan akses atau komunikasi jaringan terbatas. Jika kesehatan komputer tidak sesuai, NAP EC menunjukkan status klien NAP yang dibatasi ke komponen lain dari arsitektur klien NAP.

EK NAP untuk platform NAP yang disediakan di Windows XP dengan SP3, Windows Vista, dan Windows Server 2008 adalah sebagai berikut:

  • IPsec NAP EC untuk komunikasi yang dilindungi IPsec.
  • EAPHost NAP EC untuk koneksi yang diautentikasi 802.1X.
  • VPN NAP EC untuk koneksi VPN akses jarak jauh.
  • DHCP NAP EC untuk konfigurasi alamat IPv4 berbasis DHCP.
  • TS Gateway NAP EC untuk koneksi Gateway TS.

Untuk Windows XP dengan SP3, ada NAP EC terpisah untuk koneksi kabel dan nirkabel yang diautentikasi 802.1X.

IPsec NAP EC

IPsec NAP EC adalah komponen yang mendapatkan SSoH dari Agen NAP dan mengirimkannya ke Otoritas Pendaftaran Kesehatan (HRA), komputer yang menjalankan Windows Server 2008 dan Internet Information Services (IIS) yang mendapatkan sertifikat kesehatan dari otoritas sertifikasi (CA) untuk komputer yang sesuai. IPsec NAP EC dikenal sebagai EC Pihak Yang Mengandalkan IPsec dalam snap-in Konfigurasi Klien NAP. IPsec NAP EC juga berinteraksi dengan hal-hal berikut:

  • Penyimpanan sertifikat untuk menyimpan sertifikat kesehatan.
  • Komponen IPsec di Windows untuk memastikan bahwa sertifikat kesehatan digunakan untuk komunikasi yang dilindungi IPsec.
  • Firewall berbasis host (seperti Windows Firewall) sehingga lalu lintas yang dilindungi IPsec diizinkan oleh firewall.

EAPHost NAP EC

EAPHost NAP EC adalah komponen yang mendapatkan SSoH dari Agen NAP dan mengirimkannya sebagai pesan PEAP-Type-Length-Value (TLV) untuk koneksi yang diautentikasi 802.1X. EAPHost NAP EC dikenal sebagai EAP Quarantine EC dalam snap-in Konfigurasi Klien NAP.

VPN NAP EC

VPN NAP EC adalah fungsionalitas dalam layanan Pengelola Koneksi Akses Jarak Jauh yang mendapatkan SSoH dari Agen NAP dan mengirimkannya sebagai pesan PEAP-TLV untuk koneksi VPN akses jarak jauh. VPN NAP EC dikenal sebagai EC Karantina Akses Jarak Jauh dalam snap-in Konfigurasi Klien NAP.

DHCP NAP EC

DHCP NAP EC adalah fungsionalitas dalam layanan Klien DHCP yang menggunakan pesan DHCP standar industri untuk bertukar pesan kesehatan sistem dan informasi akses jaringan terbatas. IPsec DHCP EC dikenal sebagai DHCP Quarantine EC dalam snap-in Konfigurasi Klien NAP. DHCP NAP EC mendapatkan SSoH dari Agen NAP. Layanan Klien DHCP memfragmen SSoH, jika diperlukan, dan menempatkan setiap fragmen ke dalam opsi DHCP khusus vendor Microsoft yang dikirim dalam pesan DHCPDiscover, DHCPRequest, atau DHCPInform. Pesan DHCPDecline dan DHCPRelease tidak berisi SSoH.

Agen Kesehatan Sistem

Agen Kesehatan Sistem (SHA) melakukan pembaruan kesehatan sistem dan menerbitkan statusnya dalam bentuk SoH ke Agen NAP. SoH berisi informasi yang dapat digunakan server kebijakan kesehatan NAP untuk memverifikasi bahwa komputer klien dalam keadaan kesehatan yang diperlukan. SHA dicocokkan dengan Validator Kesehatan Sistem (SHV) di sisi server arsitektur platform NAP. SHV yang sesuai dapat mengembalikan Respons SoH (SoHR) ke klien NAP, yang diteruskan oleh NAP EC dan Agen NAP ke SHA, menginformasikan apa yang harus dilakukan jika SHA tidak dalam keadaan kesehatan yang diperlukan. Misalnya, SoHR yang dikirim oleh antivirus SHV dapat menginstruksikan SHA antivirus yang sesuai untuk mengkueri server tanda tangan antivirus untuk mendapatkan versi terbaru file tanda tangan antivirus. SoHR juga dapat menyertakan nama atau alamat IP server tanda tangan antivirus untuk dikueri.

SHA dapat menggunakan klien kebijakan yang diinstal secara lokal untuk membantu dalam fungsi manajemen kesehatan sistem bersama dengan server kebijakan. Misalnya, SHA pembaruan perangkat lunak dapat menggunakan perangkat lunak klien perangkat lunak yang diinstal secara lokal (klien kebijakan) untuk melakukan pemeriksaan versi dan penginstalan dan fungsi pembaruan dengan server pembaruan perangkat lunak (server kebijakan).

Agen NAP

Agen NAP menyediakan layanan berikut:

  • Mengumpulkan SoH dari setiap SHA dan menyimpannya. Cache SoH diperbarui setiap kali SHA menyediakan SoH baru atau yang diperbarui.
  • Menyimpan SSoH dan memasoknya ke NAP EC berdasarkan permintaan.
  • Meneruskan pemberitahuan ke SHAs saat status terbatas berubah.
  • Mempertahankan status terbatas sistem dan mengumpulkan informasi status dari setiap SHA.
  • Meneruskan SoHR ke SHA yang sesuai.