Freigeben über


NAP-Clientarchitektur

Hinweis

Die Netzwerkzugriffsschutzplattform ist ab Windows 10

 

Ein NAP-Client ist ein Computer unter Windows XP mit Service Pack 3 (SP3), Windows Vista oder Windows Server 2008, der die NAP-Plattform enthält.

Diese Abbildung zeigt die Architektur der NAP-Plattform auf einem NAP-Client.

Architektur der Nap-Plattform auf einem NAP-Client

Die NAP-Clientarchitektur besteht aus folgenden Komponenten:

  • Eine Ebene von Erzwingungsclientkomponenten (EC)

    Jede NAP-EC-Instanz ist für einen anderen Netzwerkzugriffstyp definiert. Es gibt z. B. eine NAP EC für die DHCP-Konfiguration und eine NAP EC für REMOTEzugriffs-VPN-Verbindungen. Die NAP-EC kann mit einem bestimmten Typ von NAP-Erzwingungspunkt abgeglichen werden. Beispielsweise ist die DHCP-NAP-EC für die Arbeit mit einem DHCP-basierten NAP-Erzwingungspunkt konzipiert. Einige NAP-ECs werden mit der NAP-Plattform bereitgestellt, und Drittanbieter von Software oder Microsoft können andere bereitstellen.

  • Eine Ebene von Sha-Komponenten (System Health Agent)

    Eine SHA-Komponente verwaltet und meldet ein oder mehrere Elemente der Systemintegrität. Es kann z. B. einen SHA für Antivirensignaturen und einen SHA für Betriebssystemupdates geben. Ein SHA kann mit einem Wartungsserver abgeglichen werden. Hierbei handelt es sich um einen Computer, der Ressourcen für Integritätsupdates enthält, auf die NAP-Clients zugreifen können, um ihren nicht konformen Zustand zu korrigieren. Beispielsweise wird ein SHA zum Überprüfen von Antivirensignaturen mit dem Server abgeglichen, der die neueste Antivirensignaturdatei enthält. SHAs müssen nicht über einen entsprechenden Wartungsserver verfügen. Ein SHA kann beispielsweise einfach die lokalen Systemeinstellungen überprüfen, um sicherzustellen, dass eine hostbasierte Firewall aktiviert ist. Windows Vista und Windows XP Service Pack 3 enthalten den Windows-Sicherheit Health Agent (WSHA), der die Einstellungen der Windows-Sicherheit-App überwacht. Softwarehersteller von Drittanbietern oder Microsoft können zusätzliche SHAs für die NAP-Plattform bereitstellen.

  • NAP-Agent

    Verwaltet die aktuellen Integritätsstatusinformationen des NAP-Clients und erleichtert die Kommunikation zwischen den NAP EC- und SHA-Ebenen. Der NAP-Agent wird mit der NAP-Plattform bereitgestellt.

  • Systemintegritäts-Agent-API

    Stellt eine Reihe von Funktionen bereit, die es SHAs ermöglichen, sich beim NAP-Agent zu registrieren, die Systemintegrität anzugeben, status anzugeben, auf Abfragen zur Systemintegrität status vom NAP-Agent zu reagieren und informationen zur Systemintegritätsbehebung an einen SHA zu übergeben. Mit der SHA-API können Anbieter zusätzliche SHAs erstellen und installieren. Die SHA-API wird mit der NAP-Plattform bereitgestellt. Siehe die folgenden NAP-Schnittstellen: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallback und INapSystemHealthAgentRequest.

Um den Integritätszustand eines bestimmten SHA anzugeben, erstellt ein SHA eine Integritätsanweisung (Statement of Health, SoH) und übergibt sie an den NAP-Agent. Ein SoH kann ein oder mehrere Elemente der Systemintegrität enthalten. Beispielsweise kann der SHA für ein Antivirenprogramm einen SoH erstellen, der den Status der auf dem Computer ausgeführten Antivirensoftware, deren Version und das letzte empfangene Update der Antivirensignatur enthält. Wenn ein SHA seine status aktualisiert, erstellt er ein neues SoH und übergibt ihn an den NAP-Agent. Um den allgemeinen Integritätsstatus eines NAP-Clients anzugeben, verwendet der NAP-Agent eine Systemanweisung der Integrität (System Statement of Health, SSoH), die Versionsinformationen für den NAP-Client und den Satz von SoHs für die installierten SHAs enthält.

In den folgenden Abschnitten werden die Komponenten der NAP-Clientarchitektur ausführlicher beschrieben.

NAP-Erzwingungsclient

Ein NAP-Erzwingungsclient (EC) fordert eine bestimmte Ebene des Zugriffs auf ein Netzwerk an und übergibt die Integrität des Computers status an einen NAP-Erzwingungspunkt, der den Netzwerkzugriff bereitstellt. NAP-Erzwingungspunkte sind Computer oder Netzwerkzugriffsgeräte, die NAP verwenden oder mit NAP verwendet werden können, um die Bewertung des Integritätszustands eines NAP-Clients zu erfordern und eingeschränkten Netzwerkzugriff oder eingeschränkte Kommunikation bereitzustellen. Wenn die Integrität des Computers nicht konform ist, gibt die NAP EC die eingeschränkte status des NAP-Clients auf andere Komponenten der NAP-Clientarchitektur an.

Die NAP-ECs für die NAP-Plattform, die in Windows XP mit SP3, Windows Vista und Windows Server 2008 bereitgestellt werden, sind die folgenden:

  • Eine IPsec NAP EC für IPsec-geschützte Kommunikation.
  • Ein EAPHost NAP EC für 802.1X-authentifizierte Verbindungen.
  • Eine VPN-NAP-EC-Instanz für REMOTEzugriffs-VPN-Verbindungen.
  • Ein DHCP NAP EC für die DHCP-basierte IPv4-Adresskonfiguration.
  • Eine TS-Gateway-NAP-EC für TS-Gatewayverbindungen.

Für Windows XP mit SP3 gibt es separate NAP-ECs für 802.1X-authentifizierte kabelgebundene und drahtlose Verbindungen.

IPsec NAP EC

Die IPsec NAP EC ist eine Komponente, die das SSoH vom NAP-Agent abruft und an eine Integritätsregistrierungsstelle (Health Registration Authority, HRA) sendet, einen Computer unter Windows Server 2008 und Internetinformationsdienste (IIS), der Integritätszertifikate von einer Zertifizierungsstelle (CA) für kompatible Computer erhält. Die IPsec NAP EC wird im NAP-Clientkonfigurations-Snap-In als EC der vertrauenden IPsec-Seite bezeichnet. Die IPsec NAP EC interagiert auch mit folgendem:

  • Der Zertifikatspeicher zum Speichern des Integritätszertifikats.
  • Die IPsec-Komponenten in Windows, um sicherzustellen, dass das Integritätszertifikat für die IPsec-geschützte Kommunikation verwendet wird.
  • Die hostbasierte Firewall (z. B. Windows-Firewall), sodass IPsec-geschützter Datenverkehr von der Firewall zugelassen wird.

EAPHost NAP EC

Das EAPHost NAP EC ist eine Komponente, die das SSoH vom NAP-Agent abruft und als PEAP-Type-Length-Value (TLV)-Nachricht für 802.1X-authentifizierte Verbindungen sendet. Das EAPHost NAP EC wird im NAP-Clientkonfigurations-Snap-In als EAP-Quarantäne-EC bezeichnet.

VPN NAP EC

Das VPN NAP EC ist eine Funktion im Remotezugriffsdienst Verbindungs-Manager, der SSoH vom NAP-Agent abruft und als PEAP-TLV-Nachricht für VPN-Verbindungen mit Remotezugriff sendet. Die VPN-NAP-EC wird im NAP-Clientkonfigurations-Snap-In als Remotezugriffsquarantäne EC bezeichnet.

DHCP NAP EC

Die DHCP NAP EC ist eine Funktion im DHCP-Clientdienst, der DHCP-Standardnachrichten verwendet, um Systemintegritätsmeldungen und Informationen über eingeschränkten Netzwerkzugriff auszutauschen. IPsec DHCP EC wird im NAP-Clientkonfigurations-Snap-In als DHCP-Quarantäne-EC bezeichnet. Das DHCP-NAP-EC ruft den SSoH vom NAP-Agent ab. Der DHCP-Clientdienst fragmentiert die SSoH, falls erforderlich, und fügt jedes Fragment in eine anbieterspezifische DHCP-Option von Microsoft ein, die in DHCPDiscover-, DHCPRequest- oder DHCPInform-Nachrichten gesendet wird. DHCPDecline- und DHCPRelease-Nachrichten enthalten keine SSoH.

Systemintegritäts-Agent

Ein Systemintegritäts-Agent (SHA) führt Systemintegritätsupdates durch und veröffentlicht seine status in Form eines SoH für den NAP-Agent. Der SoH enthält Informationen, die der NAP-Integritätsrichtlinienserver verwenden kann, um zu überprüfen, ob sich der Clientcomputer im erforderlichen Integritätszustand befindet. Ein SHA wird mit einem System Health Validator (SHV) auf der Serverseite der NAP-Plattformarchitektur abgeglichen. Der entsprechende SHV kann eine SoH-Antwort (SoHR) an den NAP-Client zurückgeben, die von der NAP-EC und dem NAP-Agent an den SHA übergeben wird, und informiert ihn darüber, was zu tun ist, wenn sich der SHA nicht in einem erforderlichen Integritätszustand befindet. Beispielsweise könnte der von einem Antivirus-SHV gesendete SoHR die entsprechende Antiviren-SHA anweisen, einen Antivirensignaturserver abzufragen, um die neueste Version der Antivirensignaturdatei abzurufen. Der SoHR kann auch den Namen oder die IP-Adresse des abzufragenden Antivirensignaturservers enthalten.

Ein SHA kann einen lokal installierten Richtlinienclient verwenden, um Systemintegritätsverwaltungsfunktionen in Verbindung mit einem Richtlinienserver zu unterstützen. Beispielsweise kann ein Softwareupdate-SHA die lokal installierte Softwareclientsoftware (den Richtlinienclient) verwenden, um Versionsüberprüfungs- und Installations- und Updatefunktionen mit dem Softwareupdateserver (dem Richtlinienserver) auszuführen.

NAP-Agent

Der NAP-Agent stellt die folgenden Dienste bereit:

  • Sammelt die SoHs aus jedem SHA und speichert sie zwischen. Der SoH-Cache wird aktualisiert, wenn ein SHA ein neues oder aktualisiertes SoH bereitstellt.
  • Speichert das SSoH und liefert es auf Anfrage an die NAP-ECs.
  • Übergibt Benachrichtigungen an SHAs, wenn sich der eingeschränkte Zustand ändert.
  • Verwaltet den eingeschränkten Systemzustand und sammelt status Informationen von jedem SHA.
  • Übergibt SoHRs an die entsprechende SHA.