Freigeben über

Serverseitige NAP-Architektur

  • Artikel

Hinweis

Die Netzwerkzugriffsschutzplattform ist ab Windows 10

 

Die serverseitige NAP-Plattformarchitektur verwendet Computer, auf denen Windows Server 2008 ausgeführt wird. Die folgende Abbildung zeigt die Architektur der serverseitigen Unterstützung für die NAP-Plattform, bestehend aus Windows-basierten NAP-Erzwingungspunkten und einem NAP-Integritätsrichtlinienserver.

Architektur der serverseitigen Unterstützung für die NAP-Plattform

Ein Windows-basierter NAP-Erzwingungspunkt verfügt über eine Ebene von ES-Komponenten (NAP Enforcement Server). Jeder NAP ES ist für einen anderen Typ des Netzwerkzugriffs oder der Kommunikation definiert. Beispielsweise gibt es einen NAP ES für VPN-Verbindungen mit Remotezugriff und eine NAP ES für die DHCP-Konfiguration. Der NAP ES wird in der Regel mit einem bestimmten Typ von NAP-fähigen Clients abgeglichen. Beispielsweise ist der DHCP-NAP ES für die Arbeit mit einem DHCP-basierten NAP-Erzwingungsclient (EC) konzipiert. Softwarehersteller von Drittanbietern oder Microsoft können zusätzliche NAP-ESs für die NAP-Plattform bereitstellen. Ein NAP ES ruft die System statement of Health (SSoH) von der entsprechenden NAP EC ab und sendet ihn als radius-spezifisches Attribut (Remote Authentication Dial-in User Service, VSA) der RADIUS-Access-Request Nachricht an einen NAP-Integritätsrichtlinienserver.

Wie in der Abbildung zur serverseitigen Architektur gezeigt, verfügt der NAP-Integritätsrichtlinienserver über die folgenden Komponenten:

  • Netzwerkrichtlinienserver-Dienst (NPS)

    Empfängt die RADIUS-Access-Request-Nachricht, extrahiert die SSoH und übergibt sie an die NAP-Verwaltungsserverkomponente. Der NPS-Dienst wird mit Windows Server 2008 bereitgestellt.

  • NAP-Verwaltungsserver

    Erleichtert die Kommunikation zwischen dem NPS-Dienst und den Systemintegritätsüberprüfungen (System Health Validators, SHVs). Die NAP-Verwaltungsserverkomponente wird mit der NAP-Plattform bereitgestellt.

  • Eine Schicht von SHV-Komponenten

    Jede SHV ist für einen oder mehrere Arten von Systemintegritätsinformationen definiert und kann mit einem SHA abgeglichen werden. Beispielsweise könnte es eine SHV für ein Antivirenprogramm geben. Ein SHV kann mit einem oder mehreren Integritätsanforderungsservern abgeglichen werden. Beispielsweise wird ein SHV zum Überprüfen von Antivirensignaturen mit dem Server abgeglichen, der die neueste Signaturdatei enthält. SHVs müssen nicht über einen entsprechenden Integritätsanforderungsserver verfügen. Ein SHV kann NAP-fähige Clients lediglich anweisen, lokale Systemeinstellungen zu überprüfen, um sicherzustellen, dass eine hostbasierte Firewall aktiviert ist. Windows Server 2008 enthält den Windows-Sicherheit Health Validator (WSHV). Zusätzliche SHVs werden von Drittanbietern oder von Microsoft als Add-Ons für die NAP-Plattform bereitgestellt.

  • SHV-API

    Stellt eine Reihe von Funktionsaufrufen bereit, die es SHVs ermöglichen, sich bei der NAP-Verwaltungsserverkomponente zu registrieren, Integritätsanweisungen (Statements of Health, SoHs) von der NAP-Verwaltungsserverkomponente zu empfangen und SoHRs (Statement of Health Responses) an die NAP-Verwaltungsserverkomponente zu senden. Die SHV-API wird mit der NAP-Plattform bereitgestellt. Siehe die folgenden NAP-Schnittstellen: INapSystemHealthValidator und INapSystemHealthValidationRequest.

Wie bereits beschrieben, besteht die häufigere Konfiguration für die serverseitige NAP-Infrastruktur aus NAP-Erzwingungspunkten, die Netzwerkzugriff oder Kommunikation eines bestimmten Typs ermöglichen, und separaten NPS-Integritätsrichtlinienservern, die die Überprüfung und Wartung der Systemintegrität ermöglichen. Es ist möglich, den NPS-Dienst als NAP-Integritätsrichtlinienserver auf einzelnen Windows-basierten NAP-Erzwingungspunkten zu installieren. In dieser Konfiguration muss jedoch jeder NAP-Erzwingungspunkt separat mit Netzwerkzugriffs- und Integritätsrichtlinien konfiguriert werden. Die empfohlene Konfiguration besteht darin, separate NAP-Integritätsrichtlinienserver zu verwenden.

Die allgemeine NAP-Architektur besteht aus den folgenden Komponentensätzen:

  • Die drei NAP-Clientkomponenten (eine SHA-Ebene, der NAP-Agent und eine NAP EC-Ebene).
  • Die vier serverseitigen NAP-Komponenten (eine SHV-Ebene, der NAP-Verwaltungsserver, der NPS-Dienst und eine NAP ES-Ebene auf Windows-basierten NAP-Erzwingungspunkten).
  • Server für Integritätsanforderungen, d. h. Computer, die aktuelle Systemintegritätsanforderungen für NAP-Integritätsrichtlinienserver bereitstellen können.
  • Wartungsserver, d. h. Computer, die Ressourcen für Integritätsupdates enthalten, auf die NAP-Clients zugreifen können, um ihren nicht konformen Zustand zu korrigieren.

Die folgende Abbildung zeigt die Beziehungen zwischen den Komponenten der NAP-Plattform.

Beziehungen zwischen den Komponenten der NAP-Plattform

Beachten Sie den Abgleich der folgenden Komponentensätze:

  • NAP-ECs und NAP-ES werden in der Regel abgeglichen.

    Beispielsweise wird die DHCP-NAP-EC auf dem NAP-Client mit dem DHCP-NAP ES auf dem DHCP-Server abgeglichen.

  • SHA- und Wartungsserver können abgeglichen werden.

    Beispielsweise wird eine Antiviren-SHA auf dem Client mit einem Server zur Korrektur von Antivirensignaturen abgeglichen.

  • SHVs und Integritätsanforderungsserver können abgeglichen werden.

    Beispielsweise kann ein Antivirus-SHV auf dem NAP-Integritätsrichtlinienserver mit einem Server für die Antivirusintegritätsanforderung abgeglichen werden.

Softwarehersteller von Drittanbietern können die NAP-Plattform auf folgende Weise erweitern:

  • Erstellen Sie eine neue Methode, mit der die Integrität eines NAP-Clients ausgewertet wird.

    Softwarehersteller von Drittanbietern müssen einen SHA für den NAP-Client, einen SHV für den NAP-Integritätsrichtlinienserver und ggf. Integritätsanforderungs- und Wartungsserver erstellen. Wenn die Integritätsanforderungen oder Wartungsserver bereits vorhanden sind, z. B. ein Verteilungsserver für Antivirensignaturen, müssen nur die entsprechenden SHA- und SHV-Komponenten erstellt werden. In einigen Fällen sind Integritätsanforderungen oder Wartungsserver nicht erforderlich.

  • Erstellen Sie eine neue Methode zum Erzwingen von Integritätsanforderungen für den Netzwerkzugriff oder die Kommunikation.

    Softwarehersteller von Drittanbietern müssen auf dem NAP-Client eine NAP-EC-Datei erstellen. Wenn die Erzwingungsmethode einen Windows-basierten Dienst verwendet, müssen Softwarehersteller von Drittanbietern einen entsprechenden NAP ES erstellen, der mit einem NAP-Integritätsrichtlinienserver kommuniziert, indem das RADIUS-Protokoll oder der auf dem NAP-Erzwingungspunkt installierte NPS-Dienst als RADIUS-Proxy verwendet wird.

In den folgenden Abschnitten werden die Komponenten der serverseitigen NAP-Architektur ausführlicher beschrieben.

NAP-Erzwingungsserver

Ein NAP-Erzwingungsserver (ES) ermöglicht eine gewisse Ebene des Netzwerkzugriffs oder der Kommunikation, kann die Integrität eines NAP-Clients status zur Auswertung an den Netzwerkintegritätsrichtlinienserver übergeben und basierend auf der Antwort die Erzwingung des eingeschränkten Netzwerkzugriffs ermöglichen.

In Windows Server 2008 enthaltene NAP-ES sind die folgenden:

  • Ein IPsec-NAP ES für IPsec-geschützte Kommunikation.

    Für die IPsec-geschützte Kommunikation übergibt die Integritätsregistrierungsstelle (Health Registration Authority, HRA), ein Computer unter Windows Server 2008 und Internetinformationsdienste (IIS), der Integritätszertifikate von einer Zertifizierungsstelle (CA) für kompatible Computer erhält, die Integritätsinformationen des NAP-Clients status an den NAP-Integritätsrichtlinienserver.

  • Ein DHCP-NAP ES für die DHCP-basierte IP-Adresskonfiguration.

    Der DHCP-NAP ES ist eine Funktion im DHCP-Serverdienst, der DHCP-Standardnachrichten verwendet, um mit dem DHCP NAP EC auf einem NAP-Client zu kommunizieren. Die DHCP-Erzwingung für eingeschränkten Netzwerkzugriff erfolgt über DHCP-Optionen.

  • Eine TERMINAL SERVICES-Gateway-NAP ES für serverbasierte TS-Gatewayverbindungen.

Für VPN- und 802.1X-authentifizierte Verbindungen verwendet die Funktionalität im NPS-Dienst PEAP-TLV-Nachrichten zwischen NAP-Clients und dem NAP-Integritätsrichtlinienserver. Die VPN-Erzwingung erfolgt über IP-Paketfilter, die auf die VPN-Verbindung angewendet werden. Die 802.1X-Erzwingung erfolgt auf dem 802.1X-Netzwerkzugriffsgerät durch Anwenden von IP-Paketfiltern auf die Verbindung oder durch Zuweisen einer VLAN-ID, die dem eingeschränkten Netzwerk entspricht.

NAP-Verwaltungsserver

Die NAP-Verwaltungsserverkomponente stellt die folgenden Dienste bereit:

  • Ruft die SSoHs vom NAP ES über den NPS-Dienst ab.
  • Verteilt die SoHs in den SSoHs an die entsprechenden System Health Validators (SHV).
  • Sammelt SoHRs aus den SHVs und übergibt sie zur Auswertung an den NPS-Dienst.

NPS-Dienst

RADIUS ist ein weit verbreitetes Protokoll, das die zentrale Authentifizierung, Autorisierung und Abrechnung des Netzwerkzugriffs ermöglicht und unter Anforderungen für Kommentare (RFCs) 2865 und 2866 beschrieben ist. Ursprünglich für den DFÜ-Remotezugriff entwickelt, wird RADIUS jetzt von drahtlosen Zugriffspunkten, authentifizierenden Ethernet-Switches, VPN-Servern, DSL-Zugriffsservern (Digital Subscriber Line) und anderen Netzwerkzugriffsservern unterstützt.

NPS ist die Implementierung eines RADIUS-Servers und -Proxys in Windows Server 2008. NPS ersetzt den Internetauthentifizierungsdienst (IAS) in Windows Server 2003. Für die NAP-Plattform umfasst der NPS-Dienst die NAP-Administratorserverkomponente, Unterstützung für die SHV-API und installierbare SHVs sowie Optionen zum Konfigurieren von Integritätsrichtlinien.

Basierend auf den SoHRs der SHVs und den konfigurierten Integritätsrichtlinien erstellt der NPS-Dienst eine Systemanweisung der Integritätsantwort (System Statement of Health Response, SSoHR), die angibt, ob der NAP-Client konform oder nicht konform ist, und den Satz von SoHRs aus den SHVs enthält.

Systemintegritätsüberprüfung (System Health Validator, SHV)

Ein SHV empfängt eine SoH vom NAP-Verwaltungsserver und vergleicht die Systemintegrität status Informationen mit dem erforderlichen Systemintegritätszustand. Wenn der SoH beispielsweise von einem Antiviren-SHA stammt und die Versionsnummer der letzten Virensignaturdatei enthält, kann der entsprechende Antivirus-SHV mit dem Server für die Antivirusintegritätsanforderung die neueste Versionsnummer überprüfen, um die SoH des NAP-Clients zu überprüfen.

Der SHV gibt einen SoHR an den NAP-Verwaltungsserver zurück. Der SoHR kann Informationen darüber enthalten, wie der entsprechende SHA auf dem NAP-Client aktuelle Systemintegritätsanforderungen erfüllen kann. Beispielsweise könnte der vom Antivirus-SHV gesendete SoHR den Antiviren-SHA auf dem NAP-Client anweisen, die neueste Version der Antivirensignaturdatei von einem bestimmten Antivirensignaturserver anhand des Namens oder der IP-Adresse anzufordern.