Клиентская архитектура защиты доступа к сети (NAP)
Примечание
Платформа защиты доступа к сети недоступна, начиная с Windows 10
Клиент NAP — это компьютер под управлением Windows XP с пакетом обновления 3 (SP3), Windows Vista или Windows Server 2008, который включает платформу NAP.
На этом рисунке показана архитектура платформы NAP в клиенте NAP.
Архитектура клиента NAP состоит из следующих компонентов:
Уровень компонентов клиента принудительного применения (EC)
Каждый nap EC определяется для другого типа сетевого доступа. Например, существует EC NAP для конфигурации DHCP и NAP EC для VPN-подключений удаленного доступа. EC NAP можно сопоставить с определенным типом точки принудительного применения NAP. Например, DHCP NAP EC предназначен для работы с точкой принудительного применения NAP на основе DHCP. Некоторые контроллеры сети предоставляются с платформой NAP, и сторонние поставщики программного обеспечения или Корпорация Майкрософт может предоставить другие.
Уровень компонентов агента работоспособности системы (SHA)
Компонент SHA поддерживает и сообщает об одном или нескольких элементах работоспособности системы. Например, для антивирусных сигнатур может быть SHA, а для обновлений операционной системы — SHA. Sha можно сопоставить с сервером исправления, который представляет собой компьютер, содержащий ресурсы обновления работоспособности, к которым клиенты NAP могут получить доступ для исправления своего несоответствующего состояния. Например, SHA для проверки сигнатур антивирусной программы сопоставляется с сервером, содержащим последний файл сигнатуры антивирусной программы. У SHA не обязательно должен быть соответствующий сервер исправления. Например, SHA может просто проверка параметры локальной системы, чтобы обеспечить включение брандмауэра на основе узла. Windows Vista и Windows XP с пакетом обновления 3 (SP3) включают агент работоспособности Безопасность Windows (WSHA), который отслеживает параметры приложения Безопасность Windows. Сторонние поставщики программного обеспечения или корпорация Майкрософт могут предоставлять дополнительные приложения shas для платформы NAP.
Агент NAP
Поддерживает текущие сведения о состоянии работоспособности клиента NAP и упрощает обмен данными между уровнями NAP EC и SHA. Агент NAP предоставляется вместе с платформой NAP.
API агента работоспособности системы
Предоставляет набор функций, которые позволяют shas регистрироваться в агенте NAP, указывать состояние работоспособности системы, отвечать на запросы о состоянии работоспособности системы от агента NAP и передавать агенту NAP сведения об исправлении работоспособности системы в SHA. API SHA позволяет поставщикам создавать и устанавливать дополнительные приложения SHA. API SHA предоставляется вместе с платформой NAP. См. следующие интерфейсы NAP: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallback и INapSystemHealthAgentRequest.
Чтобы указать состояние работоспособности определенного SHA, SHA создает инструкцию о работоспособности (SoH) и передает ее агенту NAP. SoH может содержать один или несколько элементов работоспособности системы. Например, sha для антивирусной программы может создать SoH, содержащий состояние антивирусной программы, запущенной на компьютере, ее версию и последнее полученное обновление сигнатуры антивирусной программы. Каждый раз, когда SHA обновляет свое состояние, он создает новый SoH и передает его агенту NAP. Чтобы указать общее состояние работоспособности клиента NAP, агент NAP использует системную инструкцию о работоспособности (SSoH), которая включает сведения о версии для клиента NAP и набор SoHs для установленных shas.
В следующих разделах подробно описаны компоненты архитектуры клиента NAP.
Клиент принудительного применения NAP
Клиент принудительного применения nap (EC) запрашивает определенный уровень доступа к сети, передает состояние работоспособности компьютера в точку принудительного применения NAP, которая предоставляет доступ к сети. Точки принудительного применения NAP — это компьютеры или устройства доступа к сети, которые используют nap или могут использоваться с NAP, чтобы требовать оценки состояния работоспособности клиента NAP и предоставления ограниченного доступа к сети или обмена данными. Если работоспособность компьютера не соответствует требованиям, EC nap указывает на ограниченное состояние клиента NAP для других компонентов архитектуры клиента NAP.
Ниже перечислены контроллеры ДОСТУПА для платформы NAP, предоставляемые в Windows XP с пакетом обновления 3 (SP3), Windows Vista и Windows Server 2008.
- EC NAP IPsec для обмена данными, защищенными по протоколу IPsec.
- EAPHost NAP EC для подключений с проверкой подлинности 802.1X.
- VPN NAP EC для VPN-подключений удаленного доступа.
- DHCP NAP EC для конфигурации IPv4-адресов на основе DHCP.
- СЕРВЕР NAP шлюза TS для подключений шлюза TS.
Для Windows XP с пакетом обновления 3 (SP3) существуют отдельные сетевые и беспроводные подключения с проверкой подлинности 802.1X.
IPsec NAP EC
IPsec NAP EC — это компонент, который получает SSoH от агента NAP и отправляет его в центр регистрации работоспособности (HRA), компьютер под управлением Windows Server 2008 и служб IIS, который получает сертификаты работоспособности от центра сертификации (ЦС) для соответствующих компьютеров. EC NAP IPsec называется ecing Party IPsec в оснастке конфигурации клиента NAP. IPsec NAP EC также взаимодействует со следующим:
- Хранилище сертификатов для хранения сертификата работоспособности.
- Компоненты IPsec в Windows, чтобы убедиться, что сертификат работоспособности используется для обмена данными, защищенными по протоколу IPsec.
- Брандмауэр на основе узла (например, брандмауэр Windows), чтобы брандмауэр разрешал трафик с защитой IPsec.
EAPHost NAP EC
EAPHost NAP EC — это компонент, который получает SSoH от агента NAP и отправляет его в виде сообщения PEAP-Type-Length-Value (TLV) для подключений с проверкой подлинности 802.1X. EAPHost NAP EC называется EAP Quarantine EC в оснастке конфигурации клиента NAP.
VPN NAP EC
VPN NAP EC — это функция службы диспетчер подключений удаленного доступа, которая получает SSoH от агента NAP и отправляет его в виде сообщения PEAP-TLV для VPN-подключений удаленного доступа. В оснастке конфигурации клиента NAP VPN называется сервером карантина удаленного доступа.
DHCP NAP EC
DHCP NAP EC — это функция службы DHCP-клиента, которая использует стандартные отраслевые сообщения DHCP для обмена сообщениями о работоспособности системы и сведений об ограниченном доступе к сети. СЕРВЕР DHCP IPsec называется сервером карантина DHCP в оснастке конфигурации клиента NAP. DHCP NAP EC получает SSoH от агента NAP. Служба DHCP-клиента при необходимости фрагментирует SSoH и помещает каждый фрагмент в параметр DHCP конкретного поставщика Майкрософт, который отправляется в сообщения DHCPDiscover, DHCPRequest или DHCPInform. Сообщения DHCPDecline и DHCPRelease не содержат SSoH.
Агент работоспособности системы
Агент работоспособности системы (SHA) выполняет обновления работоспособности системы и публикует свое состояние в виде SoH в агенте NAP. SoH содержит сведения, которые сервер политики работоспособности nap может использовать для проверки того, что клиентский компьютер находится в требуемом состоянии работоспособности. Sha сопоставляется с проверятелем работоспособности системы (SHV) на стороне сервера архитектуры платформы NAP. Соответствующий SHV может возвращать ответ SoH (SoHR) клиенту NAP, который передается СЕРВЕРом NAP и агентом NAP в SHA, информируя его о том, что делать, если SHA не находится в требуемом состоянии работоспособности. Например, soHR, отправляемый антивирусной программой SHV, может указать соответствующему антивирусу SHA запрашивать сервер сигнатур антивирусной программы для получения последней версии файла сигнатуры антивирусной программы. SoHR также может включать имя или IP-адрес сервера сигнатур антивирусной программы для запроса.
Sha может использовать локально установленный клиент политики для помощи в функциях управления работоспособностью системы в сочетании с сервером политики. Например, SHA обновления программного обеспечения может использовать локально установленное клиентское программное обеспечение (клиент политики) для выполнения функций проверки версий, установки и обновления на сервере обновления программного обеспечения (сервере политики).
Агент NAP
Агент NAP предоставляет следующие службы:
- Собирает soH из каждого SHA и кэширует их. Кэш SoH обновляется всякий раз, когда SHA предоставляет новый или обновленный soH.
- Хранит SSoH и по запросу передает его на контроллеры доступа к сети сети сети.
- Передает уведомления в shas при изменении состояния ограниченного доступа.
- Поддерживает состояние ограниченного доступа к системе и собирает сведения о состоянии из каждого SHA.
- Передает SoHR в соответствующий SHA.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по