Compartir a través de

Arquitectura de cliente NAP

  • Artículo

Nota

La plataforma protección de acceso a redes no está disponible a partir de Windows 10

 

Un cliente NAP es un equipo que ejecuta Windows XP con Service Pack 3 (SP3), Windows Vista o Windows Server 2008 que incluye la plataforma NAP.

En esta ilustración se muestra la arquitectura de la plataforma NAP en un cliente NAP.

arquitectura de la plataforma nap en un cliente nap

La arquitectura del cliente NAP consta de lo siguiente:

  • Una capa de componentes de Enforcement Client (EC)

    Cada NAP EC se define para un tipo diferente de acceso a la red. Por ejemplo, hay una EC NAP para la configuración dhcp y una EC NAP para conexiones VPN de acceso remoto. La EC nap puede coincidir con un tipo específico de punto de aplicación de NAP. Por ejemplo, el DHCP NAP EC está diseñado para trabajar con un punto de cumplimiento de NAP basado en DHCP. Algunos EC NAP se proporcionan con la plataforma NAP y los proveedores de software de terceros o Microsoft pueden proporcionar a otros usuarios.

  • Una capa de componentes del Agente de mantenimiento del sistema (SHA)

    Un componente SHA mantiene e informa de uno o varios elementos del estado del sistema. Por ejemplo, podría haber un SHA para firmas antivirus y un SHA para las actualizaciones del sistema operativo. Un SHA puede coincidir con un servidor de corrección, que es un equipo que contiene recursos de actualización de estado a los que los clientes NAP pueden acceder para corregir su estado no conforme. Por ejemplo, un SHA para comprobar firmas antivirus coincide con el servidor que contiene el archivo de firma antivirus más reciente. Los SLA no tienen que tener un servidor de corrección correspondiente. Por ejemplo, un SHA solo puede comprobar la configuración del sistema local para asegurarse de que un firewall basado en host está habilitado. Windows Vista y Windows XP Service Pack 3 incluyen el Agente de mantenimiento de seguridad de Windows (WSHA) que supervisa la configuración de la aplicación Seguridad de Windows. Los proveedores de software de terceros o Microsoft pueden proporcionar shAs adicionales a la plataforma NAP.

  • Agente NAP

    Mantiene la información de estado de mantenimiento actual del cliente NAP y facilita la comunicación entre las capas NAP EC y SHA. El agente NAP se proporciona con la plataforma NAP.

  • API del agente de mantenimiento del sistema

    Proporciona un conjunto de funciones que permiten que las ENTIDADES de servicio se registren con el Agente NAP, para indicar el estado de mantenimiento del sistema, responder a las consultas de estado del sistema desde el Agente NAP y para que el Agente NAP pase información de corrección del estado del sistema a un SHA. La API SHA permite a los proveedores crear e instalar SVA adicionales. La API SHA se proporciona con la plataforma NAP. Consulte las siguientes interfaces NAP: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallbacky INapSystemHealthAgentRequest.

Para indicar el estado de mantenimiento de un SHA específico, un SHA crea una declaración de mantenimiento (SoH) y la pasa al agente NAP. Un SoH puede contener uno o varios elementos del estado del sistema. Por ejemplo, el SHA de un programa antivirus puede crear un SoH que contenga el estado del software antivirus que se ejecuta en el equipo, su versión y la última actualización de firma antivirus recibida. Cada vez que un SHA actualiza su estado, crea un nuevo SoH y lo pasa al agente NAP. Para indicar el estado de mantenimiento general de un cliente NAP, el Agente NAP usa una declaración de mantenimiento del sistema (SSoH), que incluye información de versión para el cliente NAP y el conjunto de SoHs para los SHAs instalados.

En las secciones siguientes se describen los componentes de la arquitectura de cliente NAP con más detalle.

Cliente de cumplimiento de NAP

Un cliente de cumplimiento de NAP (EC) solicita algún nivel de acceso a una red, pasa el estado de mantenimiento del equipo a un punto de cumplimiento de NAP que proporciona el acceso a la red. Los puntos de cumplimiento de NAP son equipos o dispositivos de acceso a la red que usan NAP o se pueden usar con NAP para requerir la evaluación del estado de mantenimiento de un cliente NAP y proporcionar acceso o comunicación restringidos a la red. Si el estado del equipo no es compatible, la EC nap indica el estado restringido del cliente NAP a otros componentes de la arquitectura del cliente NAP.

Los EC NAP para la plataforma NAP proporcionadas en Windows XP con SP3, Windows Vista y Windows Server 2008 son los siguientes:

  • IPsec NAP EC para las comunicaciones protegidas por IPsec.
  • EAPHost NAP EC para conexiones autenticadas por 802.1X.
  • UNA EC DE NAP de VPN para conexiones VPN de acceso remoto.
  • UNA EC NAP DHCP para la configuración de direcciones IPv4 basadas en DHCP.
  • Un NAP EC de puerta de enlace de TS para las conexiones de puerta de enlace de TS.

Para Windows XP con SP3, hay ECs NAP independientes para conexiones cableadas y inalámbricas autenticadas por 802.1X.

IPsec NAP EC

IPsec NAP EC es un componente que obtiene el SSoH del Agente NAP y lo envía a una entidad de registro de estado (HRA), un equipo que ejecuta Windows Server 2008 e Internet Information Services (IIS) que obtiene certificados de estado de una entidad de certificación (CA) para equipos compatibles. IPsec NAP EC se conoce como IPsec Relying Party EC en el complemento De configuración del cliente NAP. IPsec NAP EC también interactúa con lo siguiente:

  • Almacén de certificados para almacenar el certificado de mantenimiento.
  • Los componentes de IPsec de Windows para asegurarse de que el certificado de mantenimiento se usa para la comunicación protegida con IPsec.
  • Firewall basado en host (como Firewall de Windows) para que el firewall permita el tráfico protegido por IPsec.

EAPHost NAP EC

EAPHost NAP EC es un componente que obtiene el SSoH del agente NAP y lo envía como un mensaje PEAP-Type-Length-Value (TLV) para las conexiones autenticadas por 802.1X. EAPHost NAP EC se conoce como EC de cuarentena de EAP en el complemento Configuración del cliente NAP.

VPN NAP EC

Vpn NAP EC es una funcionalidad en el servicio Administrador de conexiones de acceso remoto que obtiene el SSoH del agente NAP y lo envía como un mensaje PEAP-TLV para las conexiones VPN de acceso remoto. La EC de NAP de VPN se conoce como EC de cuarentena de acceso remoto en el complemento de configuración del cliente NAP.

DHCP NAP EC

DHCP NAP EC es una funcionalidad en el servicio cliente DHCP que usa mensajes DHCP estándar del sector para intercambiar mensajes de mantenimiento del sistema e información de acceso de red limitada. La EC DHCP de IPsec se conoce como EC de cuarentena DHCP en el complemento De configuración del cliente NAP. Dhcp NAP EC obtiene el SSoH del agente NAP. El servicio cliente DHCP fragmenta el SSoH, si es necesario, y coloca cada fragmento en una opción DHCP específica del proveedor de Microsoft que se envía en los mensajes DHCPDiscover, DHCPRequest o DHCPInform. Los mensajes DHCPDecline y DHCPRelease no contienen el SSoH.

Agente de mantenimiento del sistema

Un Agente de mantenimiento del sistema (SHA) realiza actualizaciones de estado del sistema y publica su estado en forma de soH en el agente NAP. SoH contiene información que el servidor de directivas de mantenimiento nap puede usar para comprobar que el equipo cliente está en el estado de mantenimiento necesario. Un SHA coincide con un validador de estado del sistema (SHV) en el lado servidor de la arquitectura de la plataforma NAP. El SHV correspondiente puede devolver una respuesta SoH (SoHR) al cliente NAP, que pasa el EC nap y el Agente NAP al SHA, informándole de qué hacer si el SHA no está en un estado de mantenimiento obligatorio. Por ejemplo, el SoHR enviado por un SHV antivirus podría indicar al antivirus SHA correspondiente que consulte un servidor de firmas antivirus para obtener la versión más reciente del archivo de firma del antivirus. El SoHR también puede incluir el nombre o la dirección IP del servidor de firmas antivirus que se va a consultar.

Un SHA puede usar un cliente de directiva instalado localmente para ayudar en las funciones de administración del estado del sistema junto con un servidor de directivas. Por ejemplo, una actualización de software SHA puede usar el software cliente de software instalado localmente (el cliente de directivas) para realizar las funciones de comprobación y actualización de versiones con el servidor de actualizaciones de software (el servidor de directivas).

Agente NAP

El agente NAP proporciona los siguientes servicios:

  • Recopila los SoH de cada SHA y los almacena en caché. La memoria caché de SoH se actualiza cada vez que un SHA proporciona un SoH nuevo o actualizado.
  • Almacena el SSoH y lo suministra a los ECs NAP bajo petición.
  • Pasa notificaciones a los SLA cuando cambia el estado restringido.
  • Mantiene el estado restringido del sistema y recopila información de estado de cada SHA.
  • Pasa soHR al SHA adecuado.