Condividi tramite

Architettura lato server protezione accesso alla rete

  • Articolo

Nota

La piattaforma Protezione accesso alla rete non è disponibile a partire da Windows 10

 

L'architettura della piattaforma lato server protezione accesso alla rete usa computer che eseguono Windows Server 2008. La figura seguente illustra l'architettura del supporto lato server per la piattaforma Protezione accesso alla rete, costituita da punti di imposizione protezione accesso alla rete basati su Windows e da un server dei criteri di integrità protezione accesso alla rete.

'architettura del supporto lato server per la piattaforma nap

Un punto di imposizione protezione accesso alla rete basato su Windows dispone di un livello di componenti di Protezione accesso alla rete (ES). Ogni protezione accesso alla rete viene definito per un tipo diverso di accesso o comunicazione di rete. Ad esempio, è disponibile un ES protezione accesso alla rete per le connessioni VPN di accesso remoto e un ES protezione accesso alla rete per la configurazione DHCP. Protezione accesso alla rete viene in genere abbinato a un tipo specifico di client con supporto protezione accesso alla rete. Ad esempio, DHCP NAP ES è progettato per funzionare con un client di imposizione protezione accesso alla rete (EC) basato su DHCP. I fornitori di software di terze parti o Microsoft possono fornire servizi di protezione accesso alla rete aggiuntivi per la piattaforma protezione accesso alla rete. Un servizio protezione accesso alla rete ottiene l'istruzione di integrità del sistema (SSoH) dall'EC nap corrispondente e lo invia a un server dei criteri di integrità protezione accesso alla rete come attributo specifico del fornitore RADIUS (Remote Authentication Dial-in User Service) di RADIUS Access-Request messaggio

Come illustrato nella figura dell'architettura lato server, il server dei criteri di integrità protezione accesso alla rete presenta i componenti seguenti:

  • Servizio Server dei criteri di rete

    Riceve il messaggio RADIUS Access-Request, estrae SSoH e lo passa al componente Del server di amministrazione protezione accesso alla rete. Il servizio Server dei criteri di rete viene fornito con Windows Server 2008.

  • Server di amministrazione protezione accesso alla rete

    Facilita la comunicazione tra il servizio Server dei criteri di rete e i validator di integrità del sistema (SHV). Il componente Del server di amministrazione protezione accesso alla rete viene fornito con la piattaforma Protezione accesso alla rete.

  • Un livello di componenti SHV

    Ogni SHV è definito per uno o più tipi di informazioni sull'integrità del sistema e può essere confrontato con uno SHA. Ad esempio, potrebbe esserci un SHV per un programma antivirus. Un SHV può essere abbinato a uno o più server dei requisiti di integrità. Ad esempio, un SHV per il controllo delle firme antivirus viene confrontato con il server che contiene il file di firma più recente. Gli SHV non devono disporre di un server dei requisiti di integrità corrispondente. Un SHV può semplicemente indicare ai client con supporto protezione accesso alla rete di controllare le impostazioni del sistema locale per assicurarsi che sia abilitato un firewall basato su host. Windows Server 2008 include il validator di integrità della sicurezza di Windows (WSHV). Gli SHV aggiuntivi vengono forniti da fornitori di software di terze parti o da Microsoft come componenti aggiuntivi per la piattaforma Protezione accesso alla rete.

  • SHV API

    Fornisce un set di chiamate di funzione che consentono agli SHV di registrarsi con il componente Del server di amministrazione protezione accesso alla rete, ricevere istruzioni di integrità dal componente del server di amministrazione protezione accesso alla rete e inviare istruzioni di risposta all'integrità (SoHR) al componente del server di amministrazione protezione accesso alla rete. L'API SHV viene fornita con la piattaforma Protezione accesso alla rete. Vedere le interfacce NAP seguenti: INapSystemHealthValidator e INapSystemHealthValidationRequest.

Come descritto in precedenza, la configurazione più comune per l'infrastruttura lato server nap è costituita da punti di imposizione protezione accesso alla rete che forniscono l'accesso alla rete o la comunicazione di un tipo specifico e server dei criteri di integrità dei criteri di rete separati che forniscono la convalida e la correzione dell'integrità del sistema. È possibile installare il servizio Server dei criteri di rete come server dei criteri di integrità protezione accesso alla rete in singoli punti di imposizione protezione accesso alla rete basati su Windows. In questa configurazione, tuttavia, ogni punto di imposizione protezione accesso alla rete deve essere configurato separatamente con i criteri di integrità e accesso alla rete. La configurazione consigliata consiste nell'usare server di criteri di integrità protezione accesso alla rete separati.

L'architettura complessiva di Protezione accesso alla rete è costituita dai set di componenti seguenti:

  • I tre componenti client di Protezione accesso alla rete (un livello SHA, l'agente protezione accesso alla rete e un livello EC nap).
  • I quattro componenti lato server protezione accesso alla rete (un livello SHV, il server di amministrazione protezione accesso alla rete, il servizio NPS e un livello protezione accesso alla rete in punti di imposizione protezione accesso alla rete basati su Windows).
  • Requisiti di integrità, ovvero computer che possono fornire i requisiti di integrità del sistema correnti per i server dei criteri di integrità protezione accesso alla rete.
  • Server di correzione, che sono computer che contengono risorse di aggiornamento dell'integrità a cui i client nap possono accedere per correggere il proprio stato non conforme.

La figura seguente illustra le relazioni tra i componenti della piattaforma Nap.

relazioni tra i componenti della piattaforma nap

Si noti la corrispondenza dei seguenti set di componenti:

  • Le ES ES ES e nap sono in genere abbinate.

    Ad esempio, l'ec protezione accesso alla rete DHCP nel client Nap viene confrontato con il servizio protezione accesso alla rete DHCP nel server DHCP.

  • È possibile trovare una corrispondenza tra server SHA e correzione.

    Ad esempio, un antivirus SHA nel client viene confrontato con un server di correzione della firma antivirus.

  • I server con requisiti di integrità e SHV possono essere corrispondenti.

    Ad esempio, un antivirus SHV nel server dei criteri di integrità protezione accesso alla rete può essere confrontato con un server dei requisiti di integrità antivirus.

I fornitori di software di terze parti possono estendere la piattaforma protezione accesso alla rete nei modi seguenti:

  • Creare un nuovo metodo in base al quale viene valutato l'integrità di un client nap.

    I fornitori di software di terze parti devono creare uno SHA per il client nap, un SHV per il server dei criteri di integrità protezione accesso alla rete e, se necessario, i requisiti di integrità e i server di correzione. Se il requisito di integrità o i server di correzione esistono già, ad esempio un server di distribuzione delle firme antivirus, è necessario creare solo i componenti SHA e SHV corrispondenti. In alcuni casi, non sono necessari requisiti di integrità o server di correzione.

  • Creare un nuovo metodo per applicare i requisiti di integrità per l'accesso alla rete o la comunicazione.

    I fornitori di software di terze parti devono creare un'ec protezione accesso alla rete nel client protezione accesso alla rete. Se il metodo di imposizione usa un servizio basato su Windows, i fornitori di software di terze parti devono creare un ES protezione accesso alla rete corrispondente che comunica con un server dei criteri di integrità protezione accesso alla rete usando il protocollo RADIUS o usando il servizio NPS installato nel punto di imposizione protezione accesso alla rete come proxy RADIUS.

Le sezioni seguenti descrivono i componenti dell'architettura lato server protezione accesso alla rete in modo più dettagliato.

Server di imposizione protezione accesso alla rete

Un server di imposizione protezione accesso alla rete (ES) consente un certo livello di accesso alla rete o comunicazione, può passare lo stato di integrità di un client nap al server dei criteri di integrità di rete per la valutazione e, in base alla risposta, può fornire l'applicazione dell'accesso di rete limitato.

I servizi di protezione accesso alla rete inclusi in Windows Server 2008 sono i seguenti:

  • IPsec NAP ES per le comunicazioni protette da IPsec.

    Per la comunicazione protetta da IPsec, l'Autorità registrazione integrità (Autorità registrazione integrità), un computer che esegue Windows Server 2008 e Internet Information Services (IIS) che ottiene i certificati di integrità da un'autorità di certificazione (CA) per i computer conformi, passa le informazioni sullo stato di integrità del client Nap al server dei criteri di integrità protezione accesso alla rete.

  • Dhcp Nap ES per la configurazione dell'indirizzo IP basato su DHCP.

    DHCP NAP ES è una funzionalità del servizio server DHCP che usa messaggi DHCP standard di settore per comunicare con DHCP NAP EC in un client nap. L'applicazione DHCP per l'accesso di rete limitato viene eseguita tramite le opzioni DHCP.

  • Un gateway TS (Terminal Services) ES per connessioni basate sul server del gateway TS.

Per le connessioni VPN con accesso remoto e 802.1X autenticate, la funzionalità nel servizio Server dei criteri di rete usa PEAP-TLV messaggi tra i client nap e il server dei criteri di integrità protezione accesso alla rete. L'applicazione della VPN viene eseguita tramite filtri di pacchetti IP applicati alla connessione VPN. L'imposizione 802.1X viene eseguita nel dispositivo di accesso alla rete 802.1X applicando filtri di pacchetti IP alla connessione o assegnando alla connessione un ID VLAN corrispondente alla rete con restrizioni.

Server di amministrazione protezione accesso alla rete

Il componente Del server di amministrazione protezione accesso alla rete fornisce i servizi seguenti:

  • Ottiene gli SSoH dal servizio Protezione accesso alla rete tramite il servizio Server dei criteri di rete.
  • Distribuisce le soH nei SSoHs ai validator di integrità del sistema appropriati (SHV).
  • Raccoglie soHR dagli SHV e li passa al servizio NPS per la valutazione.

Servizio Server dei criteri di rete

RADIUS è un protocollo ampiamente distribuito che abilita l'autenticazione centralizzata, l'autorizzazione e la contabilità per l'accesso alla rete descritto in Richieste di commenti (RFC) 2865 e 2866. Originariamente sviluppato per l'accesso remoto remoto, RADIUS è ora supportato da punti di accesso wireless, autenticando commutatori Ethernet, server VPN, server di accesso DSL (Digital Subscriber Line) e altri server di accesso alla rete.

Server dei criteri di rete è l'implementazione di un server RADIUS e di un proxy in Windows Server 2008. Server dei criteri di rete sostituisce il servizio di autenticazione Internet (IAS) in Windows Server 2003. Per la piattaforma Protezione accesso alla rete, il servizio Server dei criteri di rete include il componente Server amministratore protezione accesso alla rete, il supporto per l'API SHV e gli SHV installabili e le opzioni per la configurazione dei criteri di integrità.

In base ai criteri di protezione dell'integrità e ai criteri di integrità configurati, il servizio Server dei criteri di rete crea un'istruzione di sistema di risposta all'integrità (SSoHR), che indica se il client Nap è conforme o non conforme e include il set di soHR dalle shV.

Validator integrità sistema (SHV)

Un SHV riceve un soH dal server di amministrazione protezione accesso alla rete e confronta le informazioni sullo stato di integrità del sistema con lo stato di integrità del sistema richiesto. Ad esempio, se soH proviene da uno SHA antivirus e contiene il numero di versione dell'ultimo file di firma antivirus, il corrispondente antivirus SHV può controllare con il server dei requisiti di integrità antivirus per il numero di versione più recente per convalidare il soH del client nap.

SHV restituisce un soHR al server di amministrazione protezione accesso alla rete. SoHR può contenere informazioni sul modo in cui l'sha corrispondente nel client nap può soddisfare i requisiti di integrità del sistema correnti. Ad esempio, il SoHR inviato dall'antivirus SHV potrebbe indicare all'antivirus SHA nel client Nap di richiedere la versione più recente del file di firma antivirus da un server di firma antivirus specifico per nome o indirizzo IP.