NAP 客户端体系结构

注意

从 Windows 10 开始,网络访问保护平台不可用

 

NAP 客户端是运行 Windows XP 且 Service Pack 3(SP3)、Windows Vista 或 Windows Server 2008 的计算机,其中包括 NAP 平台。

下图显示了 NAP 客户端上的 NAP 平台的体系结构。

nap 客户端上的 nap 平台 体系结构

NAP 客户端体系结构包括以下各项:

  • 强制客户端(EC)组件的层

    每个 NAP EC 都为不同类型的网络访问定义。 例如,有用于 DHCP 配置的 NAP EC 和用于远程访问 VPN 连接的 NAP EC。 NAP EC 可以匹配特定类型的 NAP 强制点。 例如,DHCP NAP EC 旨在与基于 DHCP 的 NAP 强制点一起使用。 某些 NAP ECS 随 NAP 平台提供,第三方软件供应商或Microsoft可以提供其他产品。

  • 系统运行状况代理 (SHA) 组件的层

    SHA 组件维护并报告系统运行状况的一个或多个元素。 例如,可能存在防病毒签名的 SHA 和作系统更新的 SHA。 SHA 可以与修正服务器匹配,该服务器是包含 NAP 客户端可以访问的运行状况更新资源的计算机,以修正其不符合状态。 例如,用于检查防病毒签名的 SHA 与包含最新防病毒签名文件的服务器匹配。 SHA 不必有相应的修正服务器。 例如,SHA 只需检查本地系统设置,以确保启用了基于主机的防火墙。 Windows Vista 和 Windows XP Service Pack 3 包括监视 Windows 安全应用的设置的 Windows 安全运行状况代理(WSHA)。 第三方软件供应商或Microsoft可以为 NAP 平台提供额外的 SHA。

  • NAP 代理

    维护 NAP 客户端的当前运行状况状态信息,并有助于 NAP EC 和 SHA 层之间的通信。 NAP 代理随 NAP 平台一起提供。

  • 系统运行状况代理 API

    提供一组函数,允许 SHA 向 NAP 代理注册、指示系统运行状况、响应来自 NAP 代理的系统运行状况的查询,以及 NAP 代理将系统运行状况修正信息传递给 SHA。 SHA API 允许供应商创建和安装其他 SHA。 SHA API 随 NAP 平台一起提供。 请参阅以下 NAP 接口:INapSystemHealthAgentBinding2INapSystemHealthAgentCallbackINapSystemHealthAgentRequest

若要指示特定 SHA 的运行状况状态,SHA 将创建运行状况声明(SoH),并将其传递给 NAP 代理。 SoH 可以包含一个或多个系统运行状况元素。 例如,防病毒程序的 SHA 可以创建一个 SoH,其中包含计算机上运行的防病毒软件的状态、其版本和收到的最后一个防病毒签名更新。 每当 SHA 更新其状态时,都会创建一个新的 SoH 并将其传递给 NAP 代理。 为了指示 NAP 客户端的总体运行状况状态,NAP 代理使用运行状况的系统声明(SSoH),其中包括 NAP 客户端的版本信息以及已安装 SHA 的 SoHs 集。

以下部分进一步详细介绍了 NAP 客户端体系结构的组件。

NAP 强制客户端

NAP 强制客户端(EC)请求对网络进行某种级别的访问,将计算机的运行状况传递给提供网络访问的 NAP 强制点。 NAP 强制点是使用 NAP 的计算机或网络访问设备,或者可用于 NAP,以要求评估 NAP 客户端的运行状况并提供受限的网络访问或通信。 如果计算机的运行状况不符合,NAP EC 将 NAP 客户端的受限状态指示 NAP 客户端到 NAP 客户端体系结构的其他组件。

Windows XP 中随 SP3、Windows Vista 和 Windows Server 2008 一起提供的 NAP 平台的 NAP EC 如下所示:

  • 用于受 IPsec 保护的通信的 IPsec NAP EC。
  • 适用于 802.1X 身份验证连接的 EAPHost NAP EC。
  • 用于远程访问 VPN 连接的 VPN NAP EC。
  • 基于 DHCP 的 IPv4 地址配置的 DHCP NAP EC。
  • 用于 TS 网关连接的 TS 网关 NAP EC。

对于具有 SP3 的 Windows XP,有单独的 NAP EC 用于经过 802.1X 身份验证的有线和无线连接。

IPsec NAP EC

IPsec NAP EC 是一个组件,它从 NAP 代理获取 SSoH,并将其发送到运行状况注册机构(HRA),这是运行 Windows Server 2008 和 Internet Information Services(IIS)的计算机,它从符合的计算机的证书颁发机构(CA)获取运行状况证书。 IPsec NAP EC 在 NAP 客户端配置管理单元中称为 IPsec 信赖方 EC。 IPsec NAP EC 还与以下内容进行交互:

  • 用于存储运行状况证书的证书存储。
  • Windows 中的 IPsec 组件,以确保运行状况证书用于受 IPsec 保护的通信。
  • 基于主机的防火墙(如 Windows 防火墙),以便防火墙允许受 IPsec 保护的流量。

EAPHost NAP EC

EAPHost NAP EC 是一个组件,它从 NAP 代理获取 SSoH,并将其作为 PEAP 类型Length-Value (TLV) 消息发送到 802.1X 身份验证的连接。 EAPHost NAP EC 称为 NAP 客户端配置管理单元中的 EAP 隔离 EC。

VPN NAP EC

VPN NAP EC 是远程访问连接管理器服务中的功能,该服务从 NAP 代理获取 SSoH,并将其作为远程访问 VPN 连接的 PEAP-TLV 消息发送。 VPN NAP EC 称为 NAP 客户端配置管理单元中的远程访问隔离 EC。

DHCP NAP EC

DHCP NAP EC 是 DHCP 客户端服务中的功能,该服务使用行业标准 DHCP 消息来交换系统运行状况消息和有限的网络访问信息。 IPsec DHCP EC 称为 NAP 客户端配置管理单元中的 DHCP 隔离 EC。 DHCP NAP EC 从 NAP 代理获取 SSoH。 如果需要,DHCP 客户端服务会分段 SSoH,并将每个片段放入在 DHCPDiscover、DHCPRequest 或 DHCPInform 消息中发送的特定于供应商的 DHCP 选项Microsoft。 DHCPDecline 和 DHCPRelease 消息不包含 SSoH。

系统运行状况代理

系统运行状况代理(SHA)执行系统运行状况更新,并将其状态以 SoH 的形式发布到 NAP 代理。 SoH 包含 NAP 运行状况策略服务器可用于验证客户端计算机是否处于所需运行状况状态的信息。 SHA 与 NAP 平台体系结构服务器端的系统运行状况验证程序(SHV)匹配。 相应的 SHV 可以将 SoH 响应 (SoHR) 返回到 NAP 客户端,该客户端由 NAP EC 和 NAP 代理传递给 SHA,告知它,如果 SHA 不处于所需运行状况状态,该怎么办。 例如,防病毒 SHV 发送的 SoHR 可以指示相应的防病毒 SHA 查询防病毒签名服务器以获取最新版本的防病毒签名文件。 SoHR 还可以包含要查询的防病毒签名服务器的名称或 IP 地址。

SHA 可以使用本地安装的策略客户端来帮助将系统运行状况管理功能与策略服务器结合使用。 例如,软件更新 SHA 可以使用本地安装的软件客户端软件(策略客户端)通过软件更新服务器(策略服务器)执行版本检查和安装和更新功能。

NAP 代理

NAP 代理提供以下服务:

  • 从每个 SHA 收集 SoHs 并缓存它们。 每当 SHA 提供新的或更新的 SoH 时,SoH 缓存将更新。
  • 存储 SSoH,并按请求将其提供给 NAP DC。
  • 当受限状态发生更改时,将通知传递给 SHA。
  • 维护系统受限状态,并从每个 SHA 收集状态信息。
  • 将 SoHR 传递到相应的 SHA。