Freigeben über

NAP-Clientarchitektur

  • Artikel

Anmerkung

Die Netzwerkzugriffsschutzplattform ist ab Windows 10 nicht verfügbar.

 

Ein NAP-Client ist ein Computer mit Windows XP mit Service Pack 3 (SP3), Windows Vista oder Windows Server 2008, der die NAP-Plattform enthält.

Diese Abbildung zeigt die Architektur der NAP-Plattform auf einem NAP-Client.

Architektur der Nap-Plattform auf einem Nap-Client

Die NAP-Clientarchitektur besteht aus den folgenden Komponenten:

  • Eine Ebene der Erzwingungsclientkomponenten (EC)

    Jede NAP EC ist für einen anderen Netzwerkzugriffstyp definiert. Beispielsweise gibt es eine NAP EC für DHCP-Konfiguration und eine NAP EC für VPN-Verbindungen für den Remotezugriff. Die NAP EC kann mit einer bestimmten Art von NAP-Erzwingungspunkt abgeglichen werden. Beispielsweise ist die DHCP NAP EC für die Arbeit mit einem DHCP-basierten NAP-Erzwingungspunkt konzipiert. Einige NAP-ECs werden mit der NAP-Plattform und Softwareanbietern von Drittanbietern bereitgestellt, oder Microsoft kann andere Bereitstellen.

  • Eine Ebene von SYSTEM Health Agent (SHA)-Komponenten

    Eine SHA-Komponente verwaltet und meldet ein oder mehrere Elemente der Systemintegrität. Es kann z. B. ein SHA für Antivirensignaturen und eine SHA für Betriebssystemupdates geben. Ein SHA kann mit einem Wartungsserver abgeglichen werden, bei dem es sich um einen Computer handelt, der Integritätsupdateressourcen enthält, auf die NAP-Clients zugreifen können, um ihren nicht kompatiblen Zustand zu beheben. Beispielsweise wird ein SHA zum Überprüfen von Antivirensignaturen mit dem Server abgeglichen, der die neueste Antivirensignaturdatei enthält. SHAs müssen keinen entsprechenden Wartungsserver haben. Beispielsweise kann eine SHA nur lokale Systemeinstellungen überprüfen, um sicherzustellen, dass eine hostbasierte Firewall aktiviert ist. Windows Vista und Windows XP Service Pack 3 enthalten den Windows Security Health Agent (WSHA), der die Einstellungen der Windows Security-App überwacht. Softwareanbieter von Drittanbietern oder Microsoft können der NAP-Plattform zusätzliche SHAs bereitstellen.

  • NAP-Agent

    Verwaltet die aktuellen Integritätsstatusinformationen des NAP-Clients und erleichtert die Kommunikation zwischen den NAP EC- und SHA-Ebenen. Der NAP-Agent wird mit der NAP-Plattform bereitgestellt.

  • Systemintegritäts-Agent-API

    Stellt eine Reihe von Funktionen bereit, mit denen SHAs sich beim NAP-Agent registrieren können, um den Systemstatus anzugeben, auf Abfragen zum Systemintegritätsstatus vom NAP-Agent zu reagieren und für den NAP-Agent informationen zur Systemintegrität an eine SHA zu übergeben. Mit der SHA-API können Anbieter zusätzliche SHAs erstellen und installieren. Die SHA-API wird mit der NAP-Plattform bereitgestellt. Siehe die folgenden NAP-Schnittstellen: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallbackund INapSystemHealthAgentRequest.

Um den Integritätszustand eines bestimmten SHA anzugeben, erstellt ein SHA eine Integritätsanweisung (SoH) und übergibt ihn an den NAP-Agent. Ein SoH kann ein oder mehrere Elemente der Systemintegrität enthalten. Beispielsweise kann die SHA für ein Antivirenprogramm ein SoH erstellen, das den Status der Auf dem Computer ausgeführten Antivirensoftware, deren Version und das letzte empfangene Antivirensignaturupdate enthält. Wenn ein SHA seinen Status aktualisiert, wird ein neuer SoH erstellt und an den NAP-Agent übergeben. Um den Gesamtstatus eines NAP-Clients anzugeben, verwendet der NAP-Agent eine System-Integritätsanweisung (SSoH), die Versionsinformationen für den NAP-Client und den Satz von SoHs für die installierten SHAs enthält.

In den folgenden Abschnitten werden die Komponenten der NAP-Clientarchitektur ausführlicher beschrieben.

NAP-Erzwingungsclient

Ein NAP-Erzwingungsclient (EC) fordert eine gewisse Zugriffsebene auf ein Netzwerk an, übergibt den Integritätsstatus des Computers an einen NAP-Erzwingungspunkt, der den Netzwerkzugriff bereitstellt. NAP-Erzwingungspunkte sind Computer oder Netzwerkzugriffsgeräte, die NAP verwenden oder mit NAP verwendet werden können, um die Bewertung des Integritätszustands eines NAP-Clients zu erfordern und eingeschränkten Netzwerkzugriff oder -kommunikation bereitzustellen. Wenn die Integrität des Computers nicht kompatibel ist, gibt die NAP EC den eingeschränkten Status des NAP-Clients an andere Komponenten der NAP-Clientarchitektur an.

Die NAP-ECs für die NAP-Plattform, die in Windows XP mit SP3, Windows Vista und Windows Server 2008 bereitgestellt werden, sind die folgenden:

  • Eine IPsec NAP EC für IPsec-geschützte Kommunikation.
  • Ein EAPHost NAP EC für 802.1X-authentifizierte Verbindungen.
  • EIN VPN NAP EC für VPN-Verbindungen für den Remotezugriff.
  • Eine DHCP NAP EC für die DHCP-basierte IPv4-Adresskonfiguration.
  • Ein TS-Gateway NAP EC für TS-Gatewayverbindungen.

Für Windows XP mit SP3 gibt es separate NAP-ECs für 802.1X-authentifizierte kabelgebundene und drahtlose Verbindungen.

IPsec NAP EC

Die IPsec NAP EC ist eine Komponente, die den SSoH vom NAP-Agent abruft und an eine Integritätsregistrierungsstelle (Health Registration Authority, HRA), einen Computer mit Windows Server 2008 und Internetinformationsdienste (Internet Information Services, IIS) sendet, der Integritätszertifikate von einer Zertifizierungsstelle (CA) für kompatible Computer abruft. IPsec NAP EC wird als IPsec-Vertrauensstellungs-EC im NAP-Clientkonfigurations-Snap-In bezeichnet. Die IPsec NAP EC interagiert auch mit den folgenden Komponenten:

  • Der Zertifikatspeicher zum Speichern des Integritätszertifikats.
  • Die IPsec-Komponenten in Windows, um sicherzustellen, dass das Integritätszertifikat für die IPsec-geschützte Kommunikation verwendet wird.
  • Die hostbasierte Firewall (z. B. Windows-Firewall), sodass IPsec-geschützter Datenverkehr von der Firewall zugelassen wird.

EAPHost NAP EC

Das EAPHost NAP EC ist eine Komponente, die SSoH vom NAP-Agent abruft und als PEAP-Type-Length-Value (TLV)-Nachricht für 802.1X-authentifizierte Verbindungen sendet. Das EAPHost NAP EC wird als EAP-Quarantäne-EC im NAP-Clientkonfigurations-Snap-In bezeichnet.

VPN NAP EC

Die VPN NAP EC ist Funktionalität im Remotezugriffsverbindungs-Manager-Dienst, der SSoH vom NAP-Agent abruft und als PEAP-TLV Nachricht für VPN-Verbindungen für den Remotezugriff sendet. Das VPN NAP EC wird im NAP-Clientkonfigurations-Snap-In als Remotezugriffsquarantäne EC bezeichnet.

DHCP NAP EC

Die DHCP NAP EC ist Funktionen im DHCP-Clientdienst, die Branchenstandard-DHCP-Nachrichten zum Austauschen von Systemintegritätsmeldungen und eingeschränkten Netzwerkzugriffsinformationen verwendet. IPsec DHCP EC wird als DHCP-Quarantäne-EC im NAP-Clientkonfigurations-Snap-In bezeichnet. Die DHCP NAP EC ruft die SSoH vom NAP-Agent ab. Der DHCP-Clientdienst fragmentiert die SSoH( falls erforderlich) und fügt jedes Fragment in eine anbieterspezifische DHCP-Option von Microsoft ein, die in DHCPDiscover-, DHCPRequest- oder DHCPInform-Nachrichten gesendet wird. DHCPDecline- und DHCPRelease-Nachrichten enthalten nicht die SSoH.

Systemintegritäts-Agent

Ein System health Agent (SHA) führt Systemintegritätsupdates durch und veröffentlicht seinen Status in Form eines SoH an den NAP-Agent. Der SoH enthält Informationen, die der NAP-Integritätsrichtlinienserver verwenden kann, um zu überprüfen, ob sich der Clientcomputer im erforderlichen Zustand des Zustands befindet. Ein SHA wird auf der Serverseite der NAP-Plattformarchitektur mit einem Systemintegritäts-Validator (System Health Validator, SHV) abgeglichen. Der entsprechende SHV kann eine SoH-Antwort (SoHR) an den NAP-Client zurückgeben, der vom NAP EC und dem NAP-Agent an die SHA übergeben wird, und informiert ihn darüber, was zu tun ist, wenn sich die SHA nicht in einem erforderlichen Zustand der Integrität befindet. Beispielsweise könnte das von einem Antiviren-SHV gesendete SoHR die entsprechende Antiviren-SHA anweisen, einen Antivirensignaturserver abzufragen, um die neueste Version der Antivirensignaturdatei abzurufen. Das SoHR kann auch den Namen oder die IP-Adresse des Zufragenden Antivirensignaturservers enthalten.

Ein SHA kann einen lokal installierten Richtlinienclient verwenden, um Systemintegritätsverwaltungsfunktionen in Verbindung mit einem Richtlinienserver zu unterstützen. Beispielsweise kann ein Softwareupdate SHA die lokal installierte Softwareclientsoftware (der Richtlinienclient) verwenden, um Versionsüberprüfungs- und Installations- und Updatefunktionen mit dem Softwareupdateserver (dem Richtlinienserver) durchzuführen.

NAP-Agent

Der NAP-Agent stellt die folgenden Dienste bereit:

  • Sammelt die SoHs aus den einzelnen SHA und speichert sie zwischen. Der SoH-Cache wird aktualisiert, wenn ein SHA einen neuen oder aktualisierten SoH bereitstellt.
  • Speichert die SSoH und liefert sie auf Anfrage an die NAP-ECs.
  • Übergibt Benachrichtigungen an SHAs, wenn sich der eingeschränkte Zustand ändert.
  • Verwaltet den eingeschränkten Zustand des Systems und sammelt Statusinformationen aus den einzelnen SHA.
  • Übergibt SoHRs an die entsprechende SHA.