Compartir a través de

Arquitectura de cliente NAP

  • Artículo

Nota

La plataforma protección de acceso a redes no está disponible a partir de Windows 10

 

Un cliente NAP es un equipo que ejecuta Windows XP con Service Pack 3 (SP3), Windows Vista o Windows Server 2008 que incluye la plataforma NAP.

En esta ilustración se muestra la arquitectura de la plataforma NAP en un cliente NAP.

arquitectura de la plataforma nap en un cliente nap

La arquitectura de cliente NAP consta de lo siguiente:

  • Una capa de componentes de Enforcement Client (EC)

    Cada EC nap se define para un tipo diferente de acceso a la red. Por ejemplo, hay una EC NAP para la configuración dhcp y una EC NAP para conexiones VPN de acceso remoto. Las CE nap pueden coincidir con un tipo específico de punto de aplicación de NAP. Por ejemplo, la NAP EC dhcp está diseñada para funcionar con un punto de cumplimiento de NAP basado en DHCP. Algunos EC nap se proporcionan con la plataforma NAP y los proveedores de software de terceros o Microsoft pueden proporcionar otros.

  • Una capa de componentes del Agente de mantenimiento del sistema (SHA)

    Un componente SHA mantiene e informa de uno o varios elementos del estado del sistema. Por ejemplo, podría haber un SHA para firmas antivirus y un SHA para las actualizaciones del sistema operativo. Un SHA puede coincidir con un servidor de corrección, que es un equipo que contiene recursos de actualización de estado a los que los clientes NAP pueden acceder para corregir su estado no conforme. Por ejemplo, un SHA para comprobar las firmas antivirus coincide con el servidor que contiene el archivo de firma antivirus más reciente. Los SHAs no tienen que tener un servidor de corrección correspondiente. Por ejemplo, un SHA solo puede comprobar la configuración del sistema local para asegurarse de que está habilitado un firewall basado en host. Windows Vista y Windows XP Service Pack 3 incluyen el agente de mantenimiento de Seguridad de Windows (WSHA) que supervisa la configuración de la aplicación de Seguridad de Windows. Los proveedores de software de terceros o Microsoft pueden proporcionar shAs adicionales a la plataforma NAP.

  • Agente NAP

    Mantiene la información de estado de mantenimiento actual del cliente NAP y facilita la comunicación entre las capas NAP EC y SHA. El agente NAP se proporciona con la plataforma NAP.

  • System Health Agent API

    Proporciona un conjunto de funciones que permiten que los SHAs se registren con el Agente NAP, para indicar el estado de mantenimiento del sistema, responder a las consultas del estado de mantenimiento del sistema del Agente NAP y para que el Agente NAP pase información de corrección del estado del sistema a un SHA. La API sha permite a los proveedores crear e instalar SDA adicionales. La API sha se proporciona con la plataforma NAP. Consulte las siguientes interfaces nap: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallback e INapSystemHealthAgentRequest.

Para indicar el estado de mantenimiento de un SHA específico, un SHA crea una declaración de mantenimiento (SoH) y la pasa al Agente NAP. Un SoH puede contener uno o varios elementos del estado del sistema. Por ejemplo, el SHA de un programa antivirus puede crear un SoH que contenga el estado del software antivirus que se ejecuta en el equipo, su versión y la última actualización de firma antivirus recibida. Cada vez que un SHA actualiza su estado, crea un nuevo SoH y lo pasa al agente NAP. Para indicar el estado de mantenimiento general de un cliente NAP, el Agente NAP usa una declaración de mantenimiento del sistema (SSoH), que incluye información de versión para el cliente NAP y el conjunto de SoHs para los SCA instalados.

En las secciones siguientes se describen los componentes de la arquitectura de cliente NAP con más detalle.

Cliente de cumplimiento de NAP

Un cliente de cumplimiento de NAP (EC) solicita algún nivel de acceso a una red, pasa el estado de mantenimiento del equipo a un punto de cumplimiento de NAP que proporciona el acceso a la red. Los puntos de cumplimiento de NAP son equipos o dispositivos de acceso a la red que usan NAP o se pueden usar con NAP para requerir la evaluación del estado de mantenimiento de un cliente NAP y proporcionar acceso o comunicación de red restringidos. Si el estado del equipo no es compatible, la EC nap indica el estado restringido del cliente NAP a otros componentes de la arquitectura del cliente NAP.

Las EC nap para la plataforma NAP proporcionadas en Windows XP con SP3, Windows Vista y Windows Server 2008 son las siguientes:

  • IPsec NAP EC para las comunicaciones protegidas por IPsec.
  • EAPHost NAP EC para conexiones autenticadas por 802.1X.
  • UNA EC de NAP de VPN para conexiones VPN de acceso remoto.
  • UNA EC DHCP NAP para la configuración de direcciones IPv4 basadas en DHCP.
  • Una puerta de enlace de TS NAP EC para las conexiones de puerta de enlace de TS.

Para Windows XP con SP3, hay ECs NAP independientes para conexiones cableadas e inalámbricas autenticadas por 802.1X.

IPsec NAP EC

IPsec NAP EC es un componente que obtiene el SSoH del agente NAP y lo envía a una entidad de registro de mantenimiento (HRA), un equipo que ejecuta Windows Server 2008 e Internet Information Services (IIS) que obtiene certificados de estado de una entidad de certificación (CA) para equipos compatibles. La EC nap de IPsec se conoce como EC del usuario de confianza de IPsec en el complemento De configuración del cliente NAP. El IPsec NAP EC también interactúa con lo siguiente:

  • Almacén de certificados para almacenar el certificado de mantenimiento.
  • Los componentes IPsec de Windows para asegurarse de que el certificado de mantenimiento se usa para la comunicación protegida con IPsec.
  • Firewall basado en host (como Firewall de Windows) para que el firewall permita el tráfico protegido por IPsec.

EAPHost NAP EC

EAPHost NAP EC es un componente que obtiene el SSoH del agente NAP y lo envía como un mensaje PEAP-Type-Length-Value (TLV) para conexiones autenticadas por 802.1X. EAPHost NAP EC se conoce como ec de cuarentena de EAP en el complemento configuración del cliente NAP.

VPN NAP EC

La VPN NAP EC es una funcionalidad en el servicio de Administrador de conexiones de acceso remoto que obtiene el SSoH del agente NAP y lo envía como un mensaje PEAP-TLV para las conexiones VPN de acceso remoto. La EC nap de VPN se conoce como EC de cuarentena de acceso remoto en el complemento configuración del cliente NAP.

DHCP NAP EC

DHCP NAP EC es una funcionalidad en el servicio cliente DHCP que usa mensajes DHCP estándar del sector para intercambiar mensajes de estado del sistema e información limitada de acceso a la red. La EC DHCP de IPsec se conoce como EC de cuarentena DHCP en el complemento Configuración del cliente NAP. Dhcp NAP EC obtiene el SSoH del Agente NAP. El servicio cliente DHCP fragmenta el SSoH, si es necesario, y coloca cada fragmento en una opción DHCP específica del proveedor de Microsoft que se envía en los mensajes DHCPDiscover, DHCPRequest o DHCPInform. Los mensajes DHCPDecline y DHCPRelease no contienen el SSoH.

Agente de mantenimiento del sistema

Un Agente de mantenimiento del sistema (SHA) realiza actualizaciones de estado del sistema y publica su estado en forma de soH en el agente NAP. El SoH contiene información que el servidor de directivas de mantenimiento nap puede usar para comprobar que el equipo cliente está en el estado de mantenimiento necesario. Un SHA coincide con un validador de estado del sistema (SHV) en el lado servidor de la arquitectura de la plataforma NAP. El SHV correspondiente puede devolver una respuesta SoH (SoHR) al cliente NAP, que pasa la EC nap y el Agente NAP al SHA, informando de qué hacer si el SHA no está en un estado de mantenimiento necesario. Por ejemplo, el SoHR enviado por un SHV antivirus podría indicar al antivirus SHA correspondiente que consulte un servidor de firmas antivirus para obtener la versión más reciente del archivo de firma antivirus. SoHR también puede incluir el nombre o la dirección IP del servidor de firmas antivirus que se va a consultar.

Un SHA puede usar un cliente de directiva instalado localmente para ayudar en las funciones de administración de estado del sistema junto con un servidor de directivas. Por ejemplo, un SHA de actualización de software puede usar el software cliente de software instalado localmente (el cliente de directivas) para realizar las funciones de comprobación e instalación y actualización de versiones con el servidor de actualización de software (el servidor de directivas).

Agente NAP

El agente NAP proporciona los siguientes servicios:

  • Recopila los soH de cada SHA y los almacena en caché. La memoria caché de SoH se actualiza cada vez que un SHA proporciona un SoH nuevo o actualizado.
  • Almacena el SSoH y lo suministra a los ECs NAP bajo petición.
  • Pasa notificaciones a las entidades de servicio cuando cambia el estado restringido.
  • Mantiene el estado restringido del sistema y recopila información de estado de cada SHA.
  • Pasa soHR al SHA adecuado.