Architettura client NAP

Nota

La piattaforma Network Access Protection non è disponibile a partire da Windows 10

 

Un client nap è un computer che esegue Windows XP con Service Pack 3 (SP3), Windows Vista o Windows Server 2008 che include la piattaforma NAP.

Questa figura mostra l'architettura della piattaforma NAP in un client nap.

architettura della piattaforma nap in un client nap

L'architettura client NAP è costituita dai seguenti elementi:

  • Un livello di componenti del client di applicazione (EC)

    Ogni EC NAP è definito per un tipo diverso di accesso alla rete. Ad esempio, è disponibile un'EC nap per la configurazione DHCP e un'EC nap per le connessioni VPN di accesso remoto. L'EC NAP può essere abbinato a un tipo specifico di punto di applicazione nap. Ad esempio, DHCP NAP EC è progettato per usare un punto di imposizione della protezione rete basato su DHCP. Alcuni controller di rete sono forniti con la piattaforma NAP e i fornitori di software di terze parti o Microsoft possono fornire altri utenti.

  • Un livello di componenti di System Health Agent (SHA)

    Un componente SHA gestisce e segnala uno o più elementi dell'integrità del sistema. Ad esempio, potrebbe esserci uno SHA per le firme antivirus e uno SHA per gli aggiornamenti del sistema operativo. È possibile associare un sha a un server di correzione, ovvero un computer che contiene risorse di aggiornamento dell'integrità a cui i client nap possono accedere per correggere lo stato non conforme. Ad esempio, uno SHA per controllare le firme antivirus è corrispondente al server che contiene il file di firma antivirus più recente. Gli SHA non devono avere un server di correzione corrispondente. Ad esempio, un sha può solo controllare le impostazioni del sistema locale per assicurarsi che sia abilitato un firewall basato su host. Windows Vista e Windows XP Service Pack 3 includono l'agente di integrità (WSHA) Sicurezza di Windows che monitora le impostazioni dell'app Sicurezza di Windows. I fornitori di software di terze parti o Microsoft possono fornire shA aggiuntivi alla piattaforma NAP.

  • Agente NAP

    Gestisce le informazioni sullo stato di integrità correnti del client nap e facilita la comunicazione tra i livelli NAP EC e SHA. L'agente NAP viene fornito con la piattaforma NAP.

  • API agente integrità sistema

    Fornisce un set di funzioni che consentono agli SHA di registrare con l'agente nap, per indicare lo stato di integrità del sistema, rispondere alle query per lo stato di integrità del sistema dall'agente di protezione della rete e per consentire all'agente di protezione della rete di passare le informazioni di correzione dell'integrità del sistema a un'istanza di SHA. L'API SHA consente ai fornitori di creare e installare shA aggiuntivi. L'API SHA viene fornita con la piattaforma NAP. Vedere le interfacce NAP seguenti: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallback e INapSystemHealthAgentRequest.

Per indicare lo stato di integrità di uno sha specifico, un sha crea un'istruzione di integrità (SoH) e lo passa all'agente di protezione della rete. Un SoH può contenere uno o più elementi dell'integrità del sistema. Ad esempio, lo SHA per un programma antivirus può creare un SoH contenente lo stato del software antivirus in esecuzione nel computer, la relativa versione e l'ultimo aggiornamento della firma antivirus ricevuto. Ogni volta che un sha aggiorna lo stato, crea un nuovo soH e lo passa all'agente nap. Per indicare lo stato complessivo di integrità di un client nap, l'agente nap usa un'istruzione di sistema di integrità (SSoH), che include le informazioni sulla versione per il client nap e il set di SoHs per gli SHA installati.

Le sezioni seguenti descrivono i componenti dell'architettura client NAP in dettaglio.

Client di applicazione nap

Un client di applicazione della rete (EC) richiede un certo livello di accesso a una rete, passa lo stato di integrità del computer a un punto di applicazione della rete che fornisce l'accesso alla rete. I punti di applicazione della protezione della rete sono computer o dispositivi di accesso alla rete che usano la protezione della rete o possono essere usati con la protezione della rete per richiedere la valutazione dello stato di integrità di un client della rete e fornire l'accesso o la comunicazione di rete con restrizioni. Se l'integrità del computer non è conforme, l'EC nap indica lo stato limitato del client NAP ad altri componenti dell'architettura client nap.

I controller di rete per la piattaforma NAP forniti in Windows XP con SP3, Windows Vista e Windows Server 2008 sono i seguenti:

  • Un'EC NAP IPsec per le comunicazioni protette da IPsec.
  • EAPHost NAP EC per le connessioni autenticate da 802.1X.
  • VPN NAP EC per le connessioni VPN di accesso remoto.
  • DHCP NAP EC per la configurazione degli indirizzi IPv4 basata su DHCP.
  • TS Gateway NAP EC per le connessioni del gateway TS.

Per Windows XP con SP3, sono disponibili schede di rete separate per le connessioni cablate e wireless autenticate da 802.1X.

IPsec NAP EC

IPsec NAP EC è un componente che ottiene sSoH dall'agente nap e lo invia a un'autorità di registrazione dell'integrità (HRA), un computer che esegue Windows Server 2008 e Internet Information Services (IIS) che ottiene i certificati di integrità da un'autorità di certificazione (CA) per i computer conformi. L'EC IPsec NAP è noto come ec di relying party IPsec nello snap-in Configurazione client nap. L'EC IPsec NAP interagisce anche con quanto segue:

  • Archivio certificati per archiviare il certificato di integrità.
  • I componenti IPsec in Windows per assicurarsi che il certificato di integrità venga usato per la comunicazione protetta da IPsec.
  • Firewall basato su host (ad esempio Windows Firewall) in modo che il traffico protetto da IPsec sia consentito dal firewall.

EAPHost NAP EC

EAPHost NAP EC è un componente che ottiene l'SSoH dall'agente NAP e lo invia come messaggio PEAP-Type-Length-Value (TLV) per le connessioni autenticate da 802.1X. EAPHost NAP EC è noto come EC di quarantena EAP nello snap-in Configurazione client nap.

VPN NAP EC

VPN NAP EC è la funzionalità nel servizio Accesso remoto Gestione connessioni che ottiene il servizio SSoH dall'agente nap e lo invia come messaggio PEAP-TLV per le connessioni VPN di accesso remoto. VPN NAP EC è noto come l'EC di quarantena di accesso remoto nello snap-in Configurazione client nap.

DHCP NAP EC

DHCP NAP EC è funzionalità nel servizio client DHCP che usa messaggi DHCP standard del settore per scambiare messaggi di integrità del sistema e informazioni di accesso di rete limitate. L'EC DHCP IPsec è noto come EC di quarantena DHCP nello snap-in Configurazione client nap. DHCP NAP EC ottiene SSoH dall'agente nap. Il servizio client DHCP frammenta SSoH, se necessario, e inserisce ogni frammento in un'opzione DHCP specifica del fornitore Microsoft inviata nei messaggi DHCPDiscover, DHCPRequest o DHCPInform. I messaggi DHCPDecline e DHCPRelease non contengono SSoH.

Agente integrità sistema

Un agente di integrità del sistema (SHA) esegue gli aggiornamenti dell'integrità del sistema e pubblica lo stato sotto forma di soH all'agente nap. SoH contiene informazioni che il server dei criteri di integrità rete può usare per verificare che il computer client si trova nello stato di integrità richiesto. Un'interfaccia sha viene abbinata a un validator integrità di sistema (SHV) sul lato server dell'architettura della piattaforma NAP. Il SHV corrispondente può restituire una risposta SoH (SoHR) al client NAP, che viene passato dall'EC nap e dall'agente NAP allo SHA, informandolo di cosa fare se lo SHA non è in uno stato di integrità richiesto. Ad esempio, soHR inviato da un antivirus SHV potrebbe indicare al corrispondente antivirus SHA di eseguire query su un server di firma antivirus per ottenere la versione più recente del file di firma antivirus. SoHR può anche includere il nome o l'indirizzo IP del server di firma antivirus per eseguire query.

Un sha può usare un client di criteri installato in locale per assistere le funzioni di gestione dell'integrità del sistema in combinazione con un server di criteri. Ad esempio, un aggiornamento software SHA può usare il software client installato in locale (il client dei criteri) per eseguire il controllo delle versioni e le funzioni di installazione e aggiornamento con il server di aggiornamento software (il server dei criteri).

Agente NAP

L'agente NAP fornisce i servizi seguenti:

  • Raccoglie i soH da ogni SHA e li memorizza nella cache. La cache SoH viene aggiornata ogni volta che un SHA fornisce un soH nuovo o aggiornato.
  • Archivia SSoH e lo fornisce ai controller di rete al momento della richiesta.
  • Passa notifiche a SHAs quando lo stato limitato cambia.
  • Gestisce lo stato con restrizioni del sistema e raccoglie le informazioni sullo stato da ogni SHA.
  • Passa SoHR all'sha appropriato.