Condividi tramite

Architettura client nap

  • Articolo

Nota

La piattaforma Protezione accesso alla rete non è disponibile a partire da Windows 10

 

Un client protezione accesso alla rete è un computer che esegue Windows XP con Service Pack 3 (SP3), Windows Vista o Windows Server 2008 che include la piattaforma Protezione accesso alla rete.

Questa figura mostra l'architettura della piattaforma Protezione accesso alla rete in un client nap.

'architettura della piattaforma nap in un client nap

L'architettura client nap è costituita dai seguenti elementi:

  • Un livello di componenti client di imposizione (EC)

    Ogni protezione accesso alla rete è definito per un tipo diverso di accesso alla rete. Ad esempio, è disponibile un'ec protezione accesso alla rete per la configurazione DHCP e un'ec di protezione accesso alla rete per le connessioni VPN di accesso remoto. La protezione accesso alla rete EC può essere abbinata a un tipo specifico di punto di imposizione protezione accesso alla rete. Ad esempio, DHCP NAP EC è progettato per funzionare con un punto di imposizione protezione accesso alla rete basato su DHCP. Alcuni controller di rete sono forniti con la piattaforma Protezione accesso alla rete e fornitori di software di terze parti o Microsoft possono fornire altri.

  • Un livello di componenti dell'agente integrità del sistema (SHA)

    Un componente SHA gestisce e segnala uno o più elementi dell'integrità del sistema. Ad esempio, potrebbe essere presente uno SHA per le firme antivirus e uno SHA per gli aggiornamenti del sistema operativo. È possibile associare uno SHA a un server di correzione, ovvero un computer che contiene risorse di aggiornamento dell'integrità a cui i client nap possono accedere per correggere lo stato non conforme. Ad esempio, uno SHA per il controllo delle firme antivirus viene confrontato con il server che contiene il file di firma antivirus più recente. Gli SHA non devono disporre di un server di correzione corrispondente. Ad esempio, un sha può solo controllare le impostazioni di sistema locali per assicurarsi che sia abilitato un firewall basato su host. Windows Vista e Windows XP Service Pack 3 includono Windows Security Health Agent (WSHA) che monitora le impostazioni dell'app Sicurezza di Windows. I fornitori di software di terze parti o Microsoft possono fornire ulteriori shA alla piattaforma protezione accesso alla rete.

  • Agente protezione accesso alla rete

    Gestisce le informazioni sullo stato di integrità correnti del client nap e facilita la comunicazione tra i livelli PROTEZIONE accesso alla rete EC e SHA. L'agente protezione accesso alla rete viene fornito con la piattaforma Protezione accesso alla rete.

  • API agente integrità sistema

    Fornisce un set di funzioni che consentono agli SHA di registrarsi con l'agente protezione accesso alla rete, di indicare lo stato di integrità del sistema, di rispondere alle query relative allo stato di integrità del sistema dall'agente protezione accesso alla rete e per consentire all'agente protezione accesso alla rete di passare le informazioni di correzione dell'integrità del sistema a uno SHA. L'API SHA consente ai fornitori di creare e installare shA aggiuntivi. L'API SHA viene fornita con la piattaforma Protezione accesso alla rete. Vedere le interfacce NAP seguenti: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallbacke INapSystemHealthAgentRequest.

Per indicare lo stato di integrità di uno specifico sha, un sha crea un'istruzione di integrità (SoH) e la passa all'agente protezione accesso alla rete. Un soH può contenere uno o più elementi dell'integrità del sistema. Ad esempio, sha per un programma antivirus può creare un SoH contenente lo stato del software antivirus in esecuzione nel computer, la sua versione e l'ultimo aggiornamento della firma antivirus ricevuto. Ogni volta che un sha aggiorna lo stato, crea un nuovo SoH e lo passa all'agente protezione accesso alla rete. Per indicare lo stato di integrità complessivo di un client protezione accesso alla rete, l'agente protezione accesso alla rete usa un'istruzione di sistema di integrità (SSoH), che include le informazioni sulla versione per il client nap e il set di soH per gli SHA installati.

Le sezioni seguenti descrivono i componenti dell'architettura client nap in modo più dettagliato.

Client di imposizione protezione accesso alla rete

Un client di imposizione protezione accesso alla rete (EC) richiede un certo livello di accesso a una rete, passa lo stato di integrità del computer a un punto di imposizione protezione accesso alla rete che fornisce l'accesso alla rete. I punti di imposizione protezione accesso alla rete sono computer o dispositivi di accesso alla rete che usano Protezione accesso alla rete o possono essere usati con Protezione accesso alla rete per richiedere la valutazione dello stato di integrità di un client nap e fornire accesso o comunicazione di rete limitati. Se l'integrità del computer non è conforme, protezione accesso alla rete EC indica lo stato limitato del client Protezione accesso alla rete ad altri componenti dell'architettura client protezione accesso alla rete.

I controller di rete per la piattaforma Protezione accesso alla rete forniti in Windows XP con SP3, Windows Vista e Windows Server 2008 sono i seguenti:

  • IPsec NAP EC per le comunicazioni protette da IPsec.
  • EAPHost NAP EC per le connessioni autenticate 802.1X.
  • Un'ec di protezione accesso alla rete VPN per le connessioni VPN di accesso remoto.
  • DHCP NAP EC per la configurazione degli indirizzi IPv4 basata su DHCP.
  • Un'ec ec di protezione accesso alla rete del gateway TS per le connessioni del gateway TS.

Per Windows XP con SP3, sono disponibili schede di protezione accesso alla rete separate per connessioni cablate e wireless autenticate 802.1X.

IPsec NAP EC

IPsec NAP EC è un componente che ottiene SSoH dall'agente protezione accesso alla rete e lo invia a un'autorità di registrazione dell'integrità ,un computer che esegue Windows Server 2008 e Internet Information Services (IIS) che ottiene i certificati di integrità da un'autorità di certificazione (CA) per i computer conformi. IPsec NAP EC è noto come RELYing Party EC IPsec nello snap-in Configurazione client protezione accesso alla rete. La protezione accesso alla rete IPsec EC interagisce anche con quanto segue:

  • Archivio certificati per archiviare il certificato di integrità.
  • I componenti IPsec in Windows per assicurarsi che il certificato di integrità venga usato per la comunicazione protetta da IPsec.
  • Il firewall basato su host, ad esempio Windows Firewall, in modo che il traffico protetto da IPsec sia consentito dal firewall.

EAPHost NAP EC

EAPHost NAP EC è un componente che ottiene SSoH dall'agente protezione accesso alla rete e lo invia come messaggio PEAP-Type-Length-Value (TLV) per le connessioni autenticate 802.1X. EAPHost NAP EC è noto come EAP Quarantine EC nello snap-in Configurazione client protezione accesso alla rete.

VPN NAP EC

L'ec protezione accesso alla rete VPN è una funzionalità nel servizio Gestione connessione accesso remoto che ottiene il servizio SSoH dall'agente protezione accesso alla rete e lo invia come messaggio di PEAP-TLV per le connessioni VPN di accesso remoto. L'EC protezione accesso alla rete VPN è noto come CONNESSIONE alla quarantena accesso remoto nello snap-in Configurazione client protezione accesso alla rete.

DHCP NAP EC

DHCP NAP EC è una funzionalità del servizio client DHCP che usa messaggi DHCP standard di settore per scambiare messaggi di integrità del sistema e informazioni di accesso alla rete limitate. L'EC DHCP IPsec è noto come DHCP Quarantine EC nello snap-in Configurazione client protezione accesso alla rete. DHCP NAP EC ottiene l'SSoH dall'agente protezione accesso alla rete. Il servizio client DHCP frammenta SSoH, se necessario, e inserisce ogni frammento in un'opzione DHCP specifica del fornitore Microsoft inviata nei messaggi DHCPDiscover, DHCPRequest o DHCPInform. I messaggi DHCPDecline e DHCPRelease non contengono SSoH.

Agente integrità sistema

Un agente integrità sistema (SHA) esegue gli aggiornamenti dell'integrità del sistema e ne pubblica lo stato sotto forma di soH nell'agente protezione accesso alla rete. SoH contiene informazioni che il server dei criteri di integrità protezione accesso alla rete può usare per verificare che il computer client sia nello stato di integrità richiesto. Un sha viene confrontato con un validator di integrità del sistema (SHV) sul lato server dell'architettura della piattaforma Protezione accesso alla rete. L'SHV corrispondente può restituire una risposta SoH (SoHR) al client nap, che viene passato dalla protezione accesso alla rete EC e dall'agente protezione accesso alla rete all'sha, informandolo di cosa fare se sha non è in uno stato di integrità richiesto. Ad esempio, soHR inviato da un antivirus SHV potrebbe indicare all'antivirus corrispondente SHA di eseguire una query su un server di firma antivirus per ottenere la versione più recente del file di firma antivirus. SoHR può includere anche il nome o l'indirizzo IP del server di firma antivirus su cui eseguire query.

Uno SHA può usare un client di criteri installato localmente per facilitare le funzioni di gestione dell'integrità del sistema in combinazione con un server dei criteri. Ad esempio, un aggiornamento software SHA può usare il software client software installato localmente (il client dei criteri) per eseguire il controllo della versione e l'installazione e le funzioni di aggiornamento con il server di aggiornamento software (il server dei criteri).

Agente protezione accesso alla rete

L'agente protezione accesso alla rete offre i servizi seguenti:

  • Raccoglie i soH da ogni sha e li memorizza nella cache. La cache SoH viene aggiornata ogni volta che un sha fornisce un soH nuovo o aggiornato.
  • Archivia lo SSoH e lo fornisce ai controller di rete su richiesta.
  • Passa le notifiche agli SHA quando lo stato con restrizioni cambia.
  • Gestisce lo stato con restrizioni del sistema e raccoglie informazioni sullo stato da ogni sha sha.
  • Passa soHR all'sha appropriato.