Поделиться через

Архитектура клиента NAP

  • Статья

Заметка

Платформа защиты доступа к сети недоступна начиная с Windows 10

 

Клиент NAP — это компьютер под управлением Windows XP с пакетом обновления 3 (SP3), Windows Vista или Windows Server 2008, который включает платформу NAP.

На этом рисунке показана архитектура платформы NAP на клиенте NAP.

архитектуре платформы nap на клиенте nap

Архитектура клиента NAP состоит из следующих элементов:

  • Уровень компонентов клиента принудительного применения (EC)

    Каждый EC NAP определяется для другого типа сетевого доступа. Например, для конфигурации DHCP используется EC NAP, а для VPN-подключений с удаленным доступом используется EC. EC NAP можно сопоставить с определенным типом точки принудительного применения NAP. Например, ec DHCP NAP предназначен для работы с точкой принудительного применения NAP на основе DHCP. Некоторые сетевые адаптеры nap предоставляются платформой NAP и сторонними поставщиками программного обеспечения или майкрософт могут предоставлять другие.

  • Слой компонентов агента работоспособности системы (SHA)

    Компонент SHA поддерживает и сообщает один или несколько элементов работоспособности системы. Например, для антивирусных подписей может быть SHA и SHA для обновлений операционной системы. Sha может быть сопоставлен с сервером исправления, который является компьютером, который содержит ресурсы обновления работоспособности, к которым клиенты NAP могут получить доступ к исправлению их несоответствующего состояния. Например, SHA для проверки антивирусных подписей сопоставляется с сервером, содержащим последний файл антивирусной подписи. SAS не должны иметь соответствующий сервер исправления. Например, SHA может просто проверить параметры локальной системы, чтобы убедиться, что брандмауэр на основе узла включен. Windows Vista и Windows XP с пакетом обновления 3 включают агент работоспособности windows (WSHA), отслеживающий параметры приложения безопасности Windows. Сторонние поставщики программного обеспечения или Майкрософт могут предоставлять дополнительные поставщики программного обеспечения для платформы NAP.

  • Агент NAP

    Поддерживает текущую информацию о состоянии работоспособности клиента NAP и упрощает взаимодействие между уровнями NAP EC и SHA. Агент NAP предоставляется платформой NAP.

  • API агента работоспособности системы

    Предоставляет набор функций, позволяющих SAS регистрироваться в агенте NAP, указывать состояние работоспособности системы, отвечать на запросы состояния работоспособности системы от агента NAP и передавать сведения об исправлении работоспособности системы в SHA. API SHA позволяет поставщикам создавать и устанавливать дополнительные SAS. API SHA предоставляется платформой NAP. См. следующие интерфейсы NAP: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallbackи INapSystemHealthAgentRequest.

Чтобы указать состояние работоспособности определенного SHA, SHA создает оператор работоспособности (SoH) и передает его агенту NAP. SoH может содержать один или несколько элементов работоспособности системы. Например, SHA для антивирусной программы может создать soH, содержащую состояние антивирусного программного обеспечения, работающего на компьютере, его версию и последнее обновление антивирусной подписи, полученное. Всякий раз, когда SHA обновляет состояние, он создает новый soH и передает его агенту NAP. Чтобы указать общее состояние работоспособности клиента NAP, агент NAP использует системную инструкцию работоспособности (SSoH), которая включает сведения о версиях для клиента NAP и набор SoHs для установленных SAS.

В следующих разделах подробно описаны компоненты клиентской архитектуры NAP.

Клиент принудительного применения NAP

Клиент принудительного применения NAP (EC) запрашивает некоторый уровень доступа к сети, передает состояние работоспособности компьютера в точку принудительного применения NAP, которая предоставляет сетевой доступ. Точки применения NAP — это компьютеры или устройства доступа к сети, использующие NAP или которые могут использоваться с NAP для оценки состояния работоспособности клиента NAP и предоставления ограниченного сетевого доступа или обмена данными. Если работоспособность компьютера не соответствует требованиям, EC NAP указывает ограниченное состояние клиента NAP на другие компоненты клиентской архитектуры NAP.

ECs NAP для платформы NAP, предоставляемой в Windows XP с пакетом обновления 3 (SP3), Windows Vista и Windows Server 2008, приведены ниже.

  • PPsec NAP EC для обмена данными, защищенными IPsec.
  • EAPHost NAP EC для подключений, прошедших проверку подлинности 802.1X.
  • VPN-сервер NAP для подключений VPN для vpn-подключений удаленного доступа.
  • Dhcp NAP EC для конфигурации IPv4-адресов на основе DHCP.
  • ШЛЮЗ TS NAP для подключений шлюза TS.

Для Windows XP с пакетом обновления 3 (SP3) существуют отдельные сетевые адаптеры ДЛЯ проводных и беспроводных подключений с проверкой подлинности 802.1X.

IPsec NAP EC

IPsec NAP EC — это компонент, который получает единый вход из агента NAP и отправляет его в центр регистрации работоспособности (HRA), компьютер под управлением Windows Server 2008 и служб IIS, который получает сертификаты работоспособности от центра сертификации (ЦС) для совместимых компьютеров. PPsec NAP EC называется EC IPsec проверяющей стороной в оснастке конфигурации клиента NAP. IPsec NAP EC также взаимодействует со следующими элементами:

  • Хранилище сертификатов для хранения сертификата работоспособности.
  • Компоненты IPsec в Windows, чтобы убедиться, что сертификат работоспособности используется для обмена данными, защищенными IPsec.
  • Брандмауэр на основе узла (например, брандмауэр Windows), чтобы трафик, защищенный IPsec, разрешен брандмауэром.

EAPHost NAP EC

EAPHost NAP EC — это компонент, который получает единый вход из агента NAP и отправляет его в виде сообщения PEAP-Type-Length-Value (TLV) для подключений, прошедших проверку подлинности 802.1X. EAPHost NAP EC называется EAP Карантин EC в оснастке конфигурации клиента NAP.

VPN NAP EC

VPN NAP EC — это функция в службе диспетчера подключений удаленного доступа, которая получает единый вход из агента NAP и отправляет его в виде сообщения PEAP-TLV для VPN-подключений удаленного доступа. VPN NAP EC известен как EC для удаленного доступа к карантину в оснастке конфигурации клиента NAP.

DHCP NAP EC

DHCP NAP EC — это функциональные возможности в службе DHCP-клиента, которая использует стандартные сообщения DHCP для обмена сообщениями о работоспособности системы и сведений об ограниченном доступе к сети. IPsec DHCP EC называется DHCP-сервером карантина DHCP в оснастке конфигурации клиента NAP. DHCP NAP EC получает единый вход из агента NAP. Служба DHCP-клиента фрагментирует единый вход (при необходимости) и помещает каждый фрагмент в параметр DHCP, который отправляется в сообщения DHCPRequest или DHCPInform, отправляемый поставщиком Майкрософт. Сообщения DHCPDecline и DHCPRelease не содержат SSoH.

Агент работоспособности системы

Агент работоспособности системы (SHA) выполняет обновления работоспособности системы и публикует его состояние в виде soH в агенте NAP. SoH содержит сведения о том, что сервер политики работоспособности NAP может использовать для проверки того, что клиентский компьютер находится в требуемом состоянии работоспособности. Sha соответствует проверке работоспособности системы (SHV) на стороне сервера архитектуры платформы NAP. Соответствующий SHV может вернуть ответ SoH (SoHR) клиенту NAP, который передается EC NAP и агенту NAP в SHA, уведомляя его о том, что делать, если SHA не находится в требуемом состоянии работоспособности. Например, SoHR, отправленный антивирусной программой SHV, может указать соответствующему антивирусной программе SHA запрашивать сервер антивирусной подписи, чтобы получить последнюю версию файла антивирусной подписи. SoHR также может включать имя или IP-адрес сервера антивирусной подписи для запроса.

SHA может использовать локально установленный клиент политики для поддержки функций управления работоспособностью системы в сочетании с сервером политики. Например, SHA обновления программного обеспечения может использовать локально установленное клиентское программное обеспечение (клиент политики) для выполнения проверки версий и установки и обновления функций с сервером обновления программного обеспечения (сервер политики).

Агент NAP

Агент NAP предоставляет следующие службы:

  • Собирает soHs из каждого SHA и кэширует их. Кэш SoH обновляется всякий раз, когда SHA предоставляет новый или обновленный soH.
  • Сохраняет единый вход и передает его в сетевые адаптеры NAP по запросу.
  • Передает уведомления в shAs при изменении ограниченного состояния.
  • Поддерживает состояние ограниченной системы и собирает сведения о состоянии из каждого SHA.
  • Передает SoHRs соответствующему SHA.