Поделиться через

Архитектура сервера NAP

  • Статья

Заметка

Платформа защиты доступа к сети недоступна начиная с Windows 10

 

Архитектура платформы NAP на стороне сервера использует компьютеры под управлением Windows Server 2008. На следующем рисунке показана архитектура серверной поддержки платформы NAP, состоящей из точек принудительного применения NAP на основе Windows и сервера политики работоспособности NAP.

архитектуре серверной поддержки платформы nap

Точка принудительного применения NAP под управлением Windows содержит слой компонентов сервера принудительного применения NAP (ES). Каждый ES NAP определяется для другого типа сетевого доступа или связи. Например, для VPN-подключений удаленного доступа и ES ДЛЯ DHCP-конфигурации существует NAP ES. ES NAP обычно соответствует определенному типу клиента, поддерживающего NAP. Например, DHCP NAP ES предназначен для работы с клиентом принудительного применения NAP на основе DHCP (EC). Сторонние поставщики программного обеспечения или Майкрософт могут предоставлять дополнительные ES NAP для платформы NAP. NAP ES получает системную инструкцию работоспособности (SSoH) из соответствующего EC NAP и отправляет ее на сервер политики работоспособности NAP в качестве атрибута поставщика службы удаленной проверки подлинности (RADIUS) RADIUS Access-Request сообщения

Как показано на рисунке архитектуры на стороне сервера, сервер политики работоспособности NAP имеет следующие компоненты:

  • Служба сервера политики сети (NPS)

    Получает сообщение RADIUS Access-Request, извлекает единый вход и передает его компоненту сервера администрирования NAP. Служба NPS предоставляется в Windows Server 2008.

  • Сервер администрирования NAP

    Упрощает обмен данными между службой NPS и средствами проверки работоспособности системы (SHV). Компонент сервера администрирования NAP предоставляется платформой NAP.

  • Слой компонентов SHV

    Каждый SHV определяется для одного или нескольких типов сведений о работоспособности системы и может быть сопоставлен с SHA. Например, для антивирусной программы может быть SHV. ShV можно сопоставить с одним или несколькими серверами требований о работоспособности. Например, SHV для проверки антивирусных подписей сопоставляется с сервером, содержащим последний файл подписи. SVS не должны иметь соответствующий сервер требований к работоспособности. ShV может просто указать клиентам, поддерживающим NAP, проверить параметры локальной системы, чтобы убедиться, что брандмауэр на основе узла включен. Windows Server 2008 включает в себя проверяющий элемент работоспособности системы безопасности Windows (WSHV). Дополнительные SHV предоставляются сторонними поставщиками программного обеспечения или корпорацией Майкрософт в качестве надстроек на платформу NAP.

  • SHV API

    Предоставляет набор вызовов функций, которые позволяют SHV регистрироваться с помощью компонента сервера администрирования NAP, получать инструкции работоспособности (SoHs) из компонента сервера администрирования NAP и отправлять инструкции ответов на работоспособность (SoHRs) в компонент сервера администрирования NAP. API SHV предоставляется платформой NAP. См. следующие интерфейсы NAP: INapSystemHealthValidator и INapSystemHealthValidationRequest.

Как описано ранее, более распространенная конфигурация для инфраструктуры на стороне сервера NAP состоит из точек применения NAP, предоставляющих сетевой доступ или связь определенного типа, а также отдельные серверы политики работоспособности NPS, обеспечивающие проверку работоспособности системы и исправление. Можно установить службу NPS в качестве сервера политики работоспособности NAP на отдельных точках принудительного применения NAP под управлением Windows. Однако в этой конфигурации каждая точка принудительного применения NAP должна быть настроена отдельно с помощью политик доступа к сети и работоспособности. Рекомендуемая конфигурация — использовать отдельные серверы политики работоспособности NAP.

Общая архитектура NAP состоит из следующих наборов компонентов:

  • Три клиентских компонента NAP (уровень SHA, агент NAP и слой NAP EC).
  • Четыре компонента NAP на стороне сервера (уровень SHV, сервер администрирования NAP, служба NPS и слой NAP ES на точках принудительного применения NAP на основе Windows).
  • Требования к работоспособности, которые являются компьютерами, которые могут предоставлять текущие требования к работоспособности системы для серверов политик работоспособности NAP.
  • Серверы исправления, которые являются компьютерами, содержащими ресурсы обновления работоспособности, которые клиенты NAP могут получить доступ к исправлению их несоответствующего состояния.

На следующем рисунке показаны связи между компонентами платформы NAP.

связи между компонентами платформы nap

Обратите внимание на сопоставление следующих наборов компонентов:

  • ECS NAP и NAP ES обычно соответствуют.

    Например, DHCP NAP EC на клиенте NAP сопоставляется с DHCP NAP ES на DHCP-сервере.

  • Серверы SHA и исправления могут быть сопоставлены.

    Например, антивирусная программа SHA на клиенте сопоставляется с сервером исправления сигнатур антивирусной программы.

  • Можно сопоставить shvs и серверы требований к работоспособности.

    Например, антивирусная программа SHV на сервере политики работоспособности NAP может быть сопоставлена с сервером требований к работоспособности антивирусной программы.

Сторонние поставщики программного обеспечения могут расширить платформу NAP следующим образом:

  • Создайте новый метод, с помощью которого оценивается работоспособность клиента NAP.

    Сторонние поставщики программного обеспечения должны создать SHA для клиента NAP, SHV для сервера политики работоспособности NAP и, при необходимости, требования к работоспособности и серверы исправления. Если требования к работоспособности или серверы исправления уже существуют, например сервер распространения антивирусной подписи, необходимо создать только соответствующие компоненты SHA и SHV. В некоторых случаях не требуются требования к работоспособности или серверы исправления.

  • Создайте новый метод для применения требований к работоспособности для сетевого доступа или связи.

    Сторонние поставщики программного обеспечения должны создать EC NAP на клиенте NAP. Если метод принудительного применения использует службу на основе Windows, сторонние поставщики программного обеспечения должны создать соответствующий ES NAP, который взаимодействует с сервером политики работоспособности NAP с помощью протокола RADIUS или с помощью службы NPS, установленной в точке принудительного применения NAP в качестве прокси-сервера RADIUS.

В следующих разделах подробно описаны компоненты архитектуры на стороне сервера NAP.

Сервер принудительного применения NAP

Сервер принудительного применения NAP (ES) позволяет получить определенный уровень сетевого доступа или связи, передать состояние работоспособности клиента NAP серверу политики работоспособности сети для оценки, и на основе ответа может обеспечить принудительное применение ограниченного сетевого доступа.

ES NAP, включенные в Windows Server 2008, приведены ниже.

  • IPsec NAP ES для обмена данными, защищенными IPsec.

    Для обмена данными с защитой IPsec центр регистрации работоспособности (HRA), компьютер под управлением Windows Server 2008 и СЛУЖБ IIS, получающий сертификаты работоспособности от центра сертификации (ЦС) для соответствующих компьютеров, передает сведения о состоянии работоспособности клиента NAP серверу политики работоспособности NAP.

  • DHCP NAP ES для конфигурации IP-адресов на основе DHCP.

    DHCP NAP ES — это функции в службе DHCP-сервера, которая использует стандартные сообщения DHCP для взаимодействия с DHCP NAP на клиенте NAP. Принудительное применение DHCP для ограниченного сетевого доступа осуществляется с помощью параметров DHCP.

  • Шлюз служб терминалов (TS) NAP ES для подключений на основе сервера шлюза TS.

Для подключений с проверкой подлинности удаленного доступа и 802.1X функции в службе NPS используют PEAP-TLV сообщения между клиентами NAP и сервером политики работоспособности NAP. Принудительное применение VPN осуществляется с помощью фильтров IP-пакетов, применяемых к VPN-подключению. Принудительное применение 802.1X выполняется на устройстве доступа к сети 802.1X путем применения фильтров IP-пакетов к подключению или путем назначения подключения идентификатора виртуальной локальной сети, соответствующего ограниченной сети.

Сервер администрирования NAP

Компонент сервера администрирования NAP предоставляет следующие службы:

  • Получает SSoH из NAP ES через службу NPS.
  • Распределяет soHs в SSoH для соответствующих проверяющих систем (SHV).
  • Собирает soHRs из SHV и передает их в службу NPS для оценки.

Служба NPS

RADIUS — это широко развернутый протокол, обеспечивающий централизованную проверку подлинности, авторизацию и учет сетевого доступа, описанного в статье "Запросы комментариев" (RFCs) 2865 и 2866. Первоначально разработано для удаленного доступа к телефону, RADIUS теперь поддерживается точками беспроводного доступа, проверка подлинности коммутаторов Ethernet, VPN-серверов, серверов доступа к цифровым подписчикам (DSL) и других серверов доступа к сети.

NPS — это реализация сервера RADIUS и прокси-сервера в Windows Server 2008. NPS заменяет службу проверки подлинности Интернета (IAS) в Windows Server 2003. Для платформы NAP служба NPS включает компонент сервера администратора NAP, поддержку API SHV и устанавливаемые SHV-интерфейсы и параметры настройки политик работоспособности.

На основе soHRs из SHV и настроенных политик работоспособности служба NPS создает системную инструкцию реагирования на работоспособность (SSoHR), которая указывает, соответствует ли клиент NAP или не соответствует требованиям и включает набор SoHRs из SHV.

Проверка работоспособности системы (SHV)

ShV получает soH от сервера администрирования NAP и сравнивает сведения о состоянии работоспособности системы с необходимым состоянием работоспособности системы. Например, если SoH находится из антивирусной программы SHA и содержит номер версии последнего файла сигнатуры вируса, соответствующий антивирусный SHV может проверить с сервером требований к работоспособности антивирусной программы последнюю версию, чтобы проверить soH клиента NAP.

ShV возвращает SoHR серверу администрирования NAP. SoHR может содержать сведения о том, как соответствующий SHA на клиенте NAP может соответствовать текущим требованиям к работоспособности системы. Например, SoHR, отправленный антивирусной программой SHV, может поручить антивирусной программе SHA на клиенте NAP запрашивать последнюю версию файла антивирусной подписи от определенного антивирусного сервера сигнатуры по имени или IP-адресу.