NAP 客户端体系结构

注意

从Windows 10开始,网络访问保护平台不可用

 

NAP 客户端是运行 service Pack 3 (SP3) 、Windows Vista 或包含 NAP 平台的 Windows Server 2008 Windows XP 的计算机。

此图显示了 NAP 客户端上的 NAP 平台的体系结构。

architecture of the nap platform on a nap client

NAP 客户端体系结构包括以下各项:

  • 强制客户端 (EC) 组件层

    每个 NAP EC 都为不同类型的网络访问定义。 例如,有用于 DHCP 配置的 NAP EC 和用于远程访问 VPN 连接的 NAP EC。 NAP EC 可以与特定类型的 NAP 强制点匹配。 例如,DHCP NAP EC 旨在与基于 DHCP 的 NAP 强制点配合使用。 某些 NAP EC 随 NAP 平台和第三方软件供应商或 Microsoft 提供其他产品。

  • 系统运行状况代理 (SHA) 组件的层

    SHA 组件维护并报告系统运行状况的一个或多个元素。 例如,可能有用于防病毒签名的 SHA 和操作系统更新的 SHA。 SHA 可以与修正服务器匹配,该服务器是包含 NAP 客户端可以访问的运行状况更新资源的计算机,以修正其不符合状态。 例如,用于检查防病毒签名的 SHA 与包含最新防病毒签名文件的服务器匹配。 SHA 不必具有相应的修正服务器。 例如,SHA 只需检查本地系统设置,以确保启用了基于主机的防火墙。 Windows Vista 和 Windows XP Service Pack 3 包括监视Windows 安全中心应用的设置的 Windows 安全中心 Health Agent (WSHA) 。 第三方软件供应商或 Microsoft 可以为 NAP 平台提供额外的 SHA。

  • NAP 代理

    维护 NAP 客户端的当前运行状况状态信息,并有助于 NAP EC 和 SHA 层之间的通信。 NAP 代理随 NAP 平台一起提供。

  • 系统运行状况代理 API

    提供一组函数,允许 SHA 注册到 NAP 代理、指示系统运行状况、响应来自 NAP 代理的系统运行状况的查询,以及 NAP 代理将系统运行状况修正信息传递给 SHA。 SHA API 允许供应商创建和安装其他 SHA。 SHA API 随 NAP 平台一起提供。 请参阅以下 NAP 接口: INapSystemHealthAgentBinding2INapSystemHealthAgentCallbackINapSystemHealthAgentRequest

若要指示特定 SHA 的运行状况状态,SHA 将创建运行状况声明 (SoH) ,并将其传递给 NAP 代理。 SoH 可以包含系统运行状况的一个或多个元素。 例如,防病毒程序的 SHA 可以创建一个 SoH,其中包含计算机上运行的防病毒软件的状态、其版本和收到的最后一个防病毒签名更新。 每当 SHA 更新其状态时,都会创建一个新的 SoH 并将其传递给 NAP 代理。 为了指示 NAP 客户端的总体运行状况状态,NAP 代理使用运行状况 (SSoH) 的系统声明,其中包括 NAP 客户端的版本信息以及已安装 SHA 的 SoHs 集。

以下部分详细介绍了 NAP 客户端体系结构的组件。

NAP 强制客户端

NAP 强制客户端 (EC) 请求对网络进行某种级别的访问,将计算机的运行状况传递给提供网络访问的 NAP 强制点。 NAP 强制点是使用 NAP 的计算机或网络访问设备,也可以与 NAP 一起使用,以要求评估 NAP 客户端的运行状况并提供受限的网络访问或通信。 如果计算机的运行状况不符合,NAP EC 会将 NAP 客户端的受限状态传递给 NAP 客户端体系结构的其他组件。

SP3、Windows Vista 和 Windows Server 2008 Windows XP 中提供的 NAP 平台的 NAP EC 如下所示:

  • IPsec NAP EC 用于 IPsec 保护的通信。
  • 适用于 802.1X 身份验证连接的 EAPHost NAP EC。
  • 用于远程访问 VPN 连接的 VPN NAP EC。
  • 基于 DHCP 的 IPv4 地址配置的 DHCP NAP EC。
  • 用于 TS 网关连接的 TS 网关 NAP EC。

对于 SP3 Windows XP,有单独的 NAP EC 用于 802.1X 身份验证的有线和无线连接。

IPsec NAP EC

IPsec NAP EC 是一个组件,它从 NAP 代理获取 SSoH 并将其发送到运行状况注册机构 (HRA) 、运行 Windows Server 2008 的计算机和 Internet Information Services (IIS) ,用于从证书颁发机构 (CA) 获取符合要求的计算机的运行状况证书。 IPsec NAP EC 称为 NAP 客户端配置管理单元中的 IPsec 信赖方 EC。 IPsec NAP EC 还与以下内容进行交互:

  • 用于存储运行状况证书的证书存储。
  • Windows中的 IPsec 组件,以确保运行状况证书用于受 IPsec 保护的通信。
  • 基于主机的防火墙 (,例如Windows防火墙) ,以便防火墙允许 IPsec 保护的流量。

EAPHost NAP EC

EAPHost NAP EC 是从 NAP 代理获取 SSoH 的组件,并将其作为 PEAP-Type-Length-Value (TLV) 消息发送到 802.1X 身份验证的连接。 EAPHost NAP EC 称为 NAP 客户端配置管理单元中的 EAP 隔离 EC。

VPN NAP EC

VPN NAP EC 是远程访问连接管理器服务中的功能,该服务从 NAP 代理获取 SSoH,并将其作为 PEAP-TLV 消息发送到远程访问 VPN 连接。 VPN NAP EC 称为 NAP 客户端配置管理单元中的远程访问隔离 EC。

DHCP NAP EC

DHCP NAP EC 是 DHCP 客户端服务中的功能,该服务使用行业标准 DHCP 消息交换系统运行状况消息和有限的网络访问信息。 IPsec DHCP EC 称为 NAP 客户端配置管理单元中的 DHCP 隔离 EC。 DHCP NAP EC 从 NAP 代理获取 SSoH。 如果需要,DHCP 客户端服务会将 SSoH 分段,并将每个片段放入 MICROSOFT 供应商特定的 DHCP 选项中,该选项在 DHCPDiscover、DHCPRequest 或 DHCPInform 消息中发送。 DHCPDecline 和 DHCPRelease 消息不包含 SSoH。

系统运行状况代理

系统运行状况代理 (SHA) 执行系统运行状况更新,并将其状态以 SoH 的形式发布到 NAP 代理。 SoH 包含 NAP 运行状况策略服务器可用于验证客户端计算机是否处于所需运行状况的信息。 SHA 与 NAP 平台体系结构服务器端的系统运行状况验证程序 (SHV) 匹配。 相应的 SHV 可以将 SoH 响应 (SoHR) 返回到 NAP 客户端,该客户端由 NAP EC 和 NAP 代理传递给 SHA,告知它,如果 SHA 不处于所需状态,该怎么办。 例如,防病毒 SHV 发送的 SoHR 可以指示相应的防病毒 SHA 查询防病毒签名服务器以获取最新版本的防病毒签名文件。 SoHR 还可以包含要查询的防病毒签名服务器的名称或 IP 地址。

SHA 可以使用本地安装的策略客户端来帮助系统运行状况管理功能与策略服务器结合使用。 例如,软件更新 SHA 可以使用本地安装的软件客户端软件 (策略客户端) 对软件更新服务器执行版本检查和安装和更新功能, (策略服务器) 。

NAP 代理

NAP 代理提供以下服务:

  • 从每个 SHA 收集 SoHs 并缓存它们。 每当 SHA 提供新的或更新的 SoH 时,SoH 缓存都会更新。
  • 存储 SSoH,并按请求将其提供给 NAP DC。
  • 当受限状态发生更改时,将通知传递给 SHA。
  • 维护系统受限状态,并从每个 SHA 收集状态信息。
  • 将 SoHR 传递给相应的 SHA。