Architecture du client NAP
Notes
La plateforme de protection d’accès réseau n’est pas disponible à partir de Windows 10
Un client NAP est un ordinateur exécutant Windows XP avec Service Pack 3 (SP3), Windows Vista ou Windows Server 2008 qui inclut la plateforme NAP.
Cette figure montre l’architecture de la plateforme NAP sur un client NAP.
L’architecture cliente NAP se compose des éléments suivants :
Couche de composants du client d’application (EC)
Chaque ENVIRONNEMENT NAP est défini pour un type d’accès réseau différent. Par exemple, il existe un ENVIRONNEMENT NAP pour la configuration DHCP et un ENVIRONNEMENT NAP pour les connexions VPN d’accès à distance. L’EC NAP peut être mis en correspondance avec un type spécifique de point d’application NAP. Par exemple, l’ENVIRONNEMENT NAP DHCP est conçu pour fonctionner avec un point d’application NAP basé sur DHCP. Certains PC NAP sont fournis avec la plateforme NAP et des fournisseurs de logiciels tiers ou Microsoft peuvent en fournir d’autres.
Couche de composants de l’agent d’intégrité système (SHA)
Un composant SHA gère et signale un ou plusieurs éléments de l’intégrité du système. Par exemple, il peut y avoir un SHA pour les signatures antivirus et un SHA pour les mises à jour du système d’exploitation. Un SHA peut être mis en correspondance avec un serveur de correction, qui est un ordinateur qui contient des ressources de mise à jour d’intégrité auxquelles les clients NAP peuvent accéder pour corriger leur état non conforme. Par exemple, un SHA pour la vérification des signatures antivirus est mis en correspondance avec le serveur qui contient le dernier fichier de signature antivirus. Les shAs n’ont pas besoin d’avoir un serveur de correction correspondant. Par exemple, un sha peut simplement case activée paramètres système locaux pour s’assurer qu’un pare-feu basé sur l’hôte est activé. Windows Vista et Windows XP Service Pack 3 incluent l’agent d’intégrité Sécurité Windows (WSHA) qui surveille les paramètres de l’application Sécurité Windows. Les éditeurs de logiciels tiers ou Microsoft peuvent fournir des shAs supplémentaires à la plateforme NAP.
NAP Agent
Conserve les informations d’état d’intégrité actuelles du client NAP et facilite la communication entre les couches NAP EC et SHA. L’agent NAP est fourni avec la plateforme NAP.
API de l’agent d’intégrité système
Fournit un ensemble de fonctions qui permettent aux shAs de s’inscrire auprès de l’agent NAP, d’indiquer les status d’intégrité du système, de répondre aux requêtes d’status d’intégrité du système à partir de l’agent NAP et de transmettre les informations de correction de l’intégrité du système à un SHA. L’API SHA permet aux fournisseurs de créer et d’installer des shAs supplémentaires. L’API SHA est fournie avec la plateforme NAP. Consultez les interfaces NAP suivantes : INapSystemHealthAgentBinding2, INapSystemHealthAgentCallback et INapSystemHealthAgentRequest.
Pour indiquer l’état d’intégrité d’un SHA spécifique, un SHA crée une instruction d’intégrité (SoH) et la transmet à l’agent NAP. Un soH peut contenir un ou plusieurs éléments d’intégrité du système. Par exemple, le SHA d’un programme antivirus peut créer un SoH contenant l’état du logiciel antivirus exécuté sur l’ordinateur, sa version et la dernière mise à jour de signature antivirus reçue. Chaque fois qu’un SHA met à jour son status, il crée un nouveau SoH et le transmet à l’agent NAP. Pour indiquer l’état d’intégrité global d’un client NAP, l’agent NAP utilise une instruction système d’intégrité (SSoH), qui inclut des informations de version pour le client NAP et l’ensemble de soHs pour les shAs installés.
Les sections suivantes décrivent plus en détail les composants de l’architecture cliente NAP.
Client d’application NAP
Un client d’application NAP (EC) demande un certain niveau d’accès à un réseau, transmet la status d’intégrité de l’ordinateur à un point d’application NAP qui fournit l’accès réseau. Les points d’application NAP sont des ordinateurs ou des périphériques d’accès réseau qui utilisent NAP ou peuvent être utilisés avec NAP pour exiger l’évaluation de l’état d’intégrité d’un client NAP et fournir un accès réseau restreint ou une communication. Si l’intégrité de l’ordinateur n’est pas conforme, l’EC NAP indique la status restreinte du client NAP à d’autres composants de l’architecture du client NAP.
Les CARTES D’INTÉGRATION NAP pour la plateforme NAP fournies dans Windows XP avec SP3, Windows Vista et Windows Server 2008 sont les suivantes :
- Un ENVIRONNEMENT NAP EC IPsec pour les communications protégées par IPsec.
- Un EAPHost NAP EC pour les connexions authentifiées 802.1X.
- Un ENVIRONNEMENT VPN NAP EC pour les connexions VPN d’accès à distance.
- Un ENVIRONNEMENT DHCP NAP EC pour la configuration d’adresse IPv4 basée sur DHCP.
- Une passerelle TS NAP EC pour les connexions de passerelle TS.
Pour Windows XP avec SP3, il existe des CARTES D’EC NAP distinctes pour les connexions câblées et sans fil authentifiées 802.1X.
IPsec NAP EC
L’EC NAP IPsec est un composant qui obtient l’authentification unique auprès de l’agent NAP et l’envoie à une autorité d’inscription d’intégrité (HRA), à un ordinateur exécutant Windows Server 2008 et Internet Information Services (IIS) qui obtient des certificats d’intégrité auprès d’une autorité de certification (CA) pour les ordinateurs conformes. L’EC NAP IPsec est appelé EC de la partie de confiance IPsec dans le composant logiciel enfichable Configuration du client NAP. L’ENVIRONNEMENT NAP IPsec interagit également avec les éléments suivants :
- Magasin de certificats pour stocker le certificat d’intégrité.
- Composants IPsec dans Windows pour s’assurer que le certificat d’intégrité est utilisé pour la communication protégée par IPsec.
- Le pare-feu basé sur l’hôte (tel que le Pare-feu Windows) afin que le trafic protégé par IPsec soit autorisé par le pare-feu.
EAPHost NAP EC
EapHost NAP EC est un composant qui obtient l’authentification unique de l’agent NAP et l’envoie en tant que message PEAP-Type-Length-Value (TLV) pour les connexions authentifiées 802.1X. L’ENVIRONNEMENT NAP EAPHost est appelé EC de quarantaine EAP dans le composant logiciel enfichable Configuration du client NAP.
VPN NAP EC
L’EC NAP VPN est une fonctionnalité du service d’accès à distance Gestionnaire des connexions qui obtient l’authentification unique à partir de l’agent NAP et l’envoie en tant que message PEAP-TLV pour les connexions VPN d’accès à distance. L’EC NAP VPN est appelé EC de mise en quarantaine de l’accès à distance dans le composant logiciel enfichable Configuration du client NAP.
DHCP NAP EC
L’EC NAP DHCP est une fonctionnalité du service client DHCP qui utilise des messages DHCP standard pour échanger des messages d’intégrité du système et des informations d’accès réseau limité. L’ENVIRONNEMENT DHCP IPsec est appelé EC de quarantaine DHCP dans le composant logiciel enfichable Configuration du client NAP. L’ENVIRONNEMENT NAP DHCP obtient l’authentification unique à partir de l’agent NAP. Le service client DHCP fragmente le SSoH, si nécessaire, et place chaque fragment dans une option DHCP spécifique au fournisseur Microsoft qui est envoyée dans les messages DHCPDiscover, DHCPRequest ou DHCPInform. Les messages DHCPDecline et DHCPRelease ne contiennent pas l’authentification unique.
Agent d’intégrité du système
Un agent d’intégrité système (SHA) effectue des mises à jour d’intégrité du système et publie ses status sous la forme d’un SoH sur l’agent NAP. Le soH contient des informations que le serveur de stratégie d’intégrité NAP peut utiliser pour vérifier que l’ordinateur client est dans l’état d’intégrité requis. Un SHA est mis en correspondance avec un validateur d’intégrité système (SHV) côté serveur de l’architecture de la plateforme NAP. Le SHV correspondant peut retourner une réponse SoH (SoH Response) au client NAP, qui est passée par l’EC NAP et l’agent NAP au SHA, en l’informant de la procédure à suivre si le SHA n’est pas dans un état d’intégrité requis. Par exemple, le SoHR envoyé par un antivirus SHV peut demander au SHA antivirus correspondant d’interroger un serveur de signature antivirus afin d’obtenir la dernière version du fichier de signature antivirus. Le SoHR peut également inclure le nom ou l’adresse IP du serveur de signature antivirus à interroger.
Un SHA peut utiliser un client de stratégie installé localement pour faciliter les fonctions de gestion de l’intégrité du système conjointement avec un serveur de stratégie. Par exemple, une mise à jour logicielle SHA peut utiliser le logiciel client logiciel installé localement (le client de stratégie) pour effectuer des fonctions de vérification de version, d’installation et de mise à jour avec le serveur de mises à jour logicielles (le serveur de stratégie).
NAP Agent
L’agent NAP fournit les services suivants :
- Collecte les soHs de chaque SHA et les met en cache. Le cache SoH est mis à jour chaque fois qu’un SHA fournit un SoH nouveau ou mis à jour.
- Stocke le SSoH et le fournit aux contrôleurs d’applications nap sur demande.
- Transmet des notifications aux autorités de sécurité lorsque l’état restreint change.
- Maintient l’état restreint du système et collecte des informations status à partir de chaque SHA.
- Transmet les SoHR au SHA approprié.