Compartilhar via

Arquitetura do cliente NAP

  • Artigo

Observação

A plataforma de Proteção de Acesso à Rede não está disponível a partir do Windows 10

 

Um cliente NAP é um computador que executa o Windows XP com Service Pack 3 (SP3), Windows Vista ou Windows Server 2008 que inclui a plataforma NAP.

Essa figura mostra a arquitetura da plataforma NAP em um cliente NAP.

arquitetura da plataforma de cochilo em um cliente de soneca

A arquitetura do cliente NAP consiste no seguinte:

  • Uma camada de componentes do EC (Enforcement Client)

    Cada NAP EC é definido para um tipo diferente de acesso à rede. Por exemplo, há uma configuração de NAP EC para DHCP e um NAP EC para conexões VPN de acesso remoto. O NAP EC pode ser correspondido a um tipo específico de ponto de imposição NAP. Por exemplo, o DHCP NAP EC foi projetado para trabalhar com um ponto de imposição de NAP baseado em DHCP. Alguns ECs NAP são fornecidos com a plataforma NAP e fornecedores de software de terceiros ou a Microsoft pode fornecer outros.

  • Uma camada de componentes SHA (System Health Agent)

    Um componente SHA mantém e relata um ou vários elementos de integridade do sistema. Por exemplo, pode haver um SHA para assinaturas antivírus e um SHA para atualizações do sistema operacional. Um SHA pode ser correspondido a um servidor de correção, que é um computador que contém recursos de atualização de integridade que os clientes NAP podem acessar para corrigir seu estado não compatível. Por exemplo, um SHA para verificar assinaturas antivírus é correspondido ao servidor que contém o arquivo de assinatura antivírus mais recente. Os SHAs não precisam ter um servidor de correção correspondente. Por exemplo, um SHA pode apenas marcar configurações do sistema local para garantir que um firewall baseado em host esteja habilitado. O Windows Vista e o Windows XP Service Pack 3 incluem o agente de integridade do Segurança do Windows (WSHA) que monitora as configurações do aplicativo Segurança do Windows. Fornecedores de software de terceiros ou a Microsoft podem fornecer SHAs adicionais para a plataforma NAP.

  • Agente NAP

    Mantém as informações de estado de integridade atuais do cliente NAP e facilita a comunicação entre as camadas NAP EC e SHA. O AGENTE NAP é fornecido com a plataforma NAP.

  • API do Agente de Integridade do Sistema

    Fornece um conjunto de funções que permitem que os SHAs se registrem no Agente NAP, para indicar status de integridade do sistema, responder a consultas para status de integridade do sistema do Agente NAP e para que o Agente NAP passe informações de correção de integridade do sistema para um SHA. A API SHA permite que os fornecedores criem e instalem SHAs adicionais. A API SHA é fornecida com a plataforma NAP. Consulte as seguintes interfaces NAP: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallback e INapSystemHealthAgentRequest.

Para indicar o estado de integridade de um SHA específico, um SHA cria uma instrução de integridade (SoH) e a passa para o Agente NAP. Um SoH pode conter um ou vários elementos de integridade do sistema. Por exemplo, o SHA para um programa antivírus pode criar um SoH que contém o estado do software antivírus em execução no computador, sua versão e a última atualização de assinatura antivírus recebida. Sempre que um SHA atualiza seu status, ele cria um novo SoH e o passa para o Agente NAP. Para indicar o estado geral de integridade de um cliente NAP, o Agente NAP usa uma instrução de integridade do sistema (SSoH), que inclui informações de versão para o cliente NAP e o conjunto de SoHs para os SHAs instalados.

As seções a seguir descrevem os componentes da arquitetura do cliente NAP em mais detalhes.

Cliente de imposição de NAP

Um EC (Cliente de Imposição de NAP) solicita algum nível de acesso a uma rede, passa o status de integridade do computador para um ponto de imposição de NAP que está fornecendo o acesso à rede. Os pontos de imposição de NAP são computadores ou dispositivos de acesso à rede que usam NAP ou podem ser usados com NAP para exigir a avaliação do estado de integridade de um cliente NAP e fornecer acesso ou comunicação de rede restrita. Se a integridade do computador não estiver em conformidade, o NAP EC indicará a status restrita do cliente NAP para outros componentes da arquitetura do cliente NAP.

Os ECs NAP para a plataforma NAP fornecida no Windows XP com SP3, Windows Vista e Windows Server 2008 são os seguintes:

  • Um EC de NAP IPsec para comunicações protegidas por IPsec.
  • Um EC EAPHost NAP para conexões autenticadas em 802.1X.
  • Um VPN NAP EC para conexões VPN de acesso remoto.
  • Uma configuração de endereço IPv4 baseada em DHCP NAP para DHCP.
  • Um GATEWAY TS EC NAP para conexões de Gateway TS.

Para o Windows XP com SP3, há ECs NAP separados para conexões com fio e sem fio autenticadas em 802.1X.

IPsec NAP EC

O IPsec NAP EC é um componente que obtém o SSoH do Agente NAP e o envia para uma HRA (Autoridade de Registro de Integridade), um computador que executa o Windows Server 2008 e os Serviços de Informações da Internet (IIS) que obtém certificados de integridade de uma AC (autoridade de certificação) para computadores em conformidade. O EC do NAP IPsec é conhecido como a EC da Terceira Parte Confiável do IPsec no snap-in configuração do cliente NAP. O EC do NAP IPsec também interage com o seguinte:

  • O repositório de certificados para armazenar o certificado de integridade.
  • Os componentes IPsec no Windows para garantir que o certificado de integridade seja usado para comunicação protegida por IPsec.
  • O firewall baseado em host (como o Firewall do Windows) para que o tráfego protegido por IPsec seja permitido pelo firewall.

EAPHost NAP EC

O EC EAPHost NAP é um componente que obtém o SSoH do Agente NAP e o envia como uma mensagem TLV (tipo PEAP- length-value) para conexões autenticadas por 802,1X. O EC EAPHost NAP é conhecido como EC de Quarentena EAP no snap-in configuração do cliente NAP.

VPN NAP EC

O VPN NAP EC é uma funcionalidade no serviço de Gerenciador de Conexões de Acesso Remoto que obtém o SSoH do Agente NAP e o envia como uma mensagem PEAP-TLV para conexões VPN de acesso remoto. O VPN NAP EC é conhecido como ec de quarentena de acesso remoto no snap-in configuração do cliente NAP.

DHCP NAP EC

O DHCP NAP é a funcionalidade no serviço cliente DHCP que usa mensagens DHCP padrão do setor para trocar mensagens de integridade do sistema e informações limitadas de acesso à rede. O EC dhcp IPsec é conhecido como ec de quarentena DHCP no snap-in configuração do cliente NAP. O DHCP NAP EC obtém o SSoH do agente NAP. O serviço cliente DHCP fragmenta o SSoH, se necessário, e coloca cada fragmento em uma opção DHCP específica do fornecedor da Microsoft que é enviada em mensagens DHCPDiscover, DHCPRequest ou DHCPInform. As mensagens DHCPDecline e DHCPRelease não contêm o SSoH.

Agente de Integridade do Sistema

Um SHA (Agente de Integridade do Sistema) executa atualizações de integridade do sistema e publica seus status na forma de um SoH para o AGENTE NAP. O SoH contém informações que o servidor de política de integridade NAP pode usar para verificar se o computador cliente está no estado de integridade necessário. Um SHA é correspondido a um SHV (Validador de Integridade do Sistema) no lado do servidor da arquitetura da plataforma NAP. O SHV correspondente pode retornar uma SoHR (Resposta SoH) para o cliente NAP, que é passado pelo NAP EC e pelo AGENTE NAP para o SHA, informando-o do que fazer se o SHA não estiver em um estado de integridade necessário. Por exemplo, o SoHR enviado por um SHV antivírus poderia instruir o SHA antivírus correspondente a consultar um servidor de assinatura antivírus para obter a versão mais recente do arquivo de assinatura antivírus. O SoHR também pode incluir o nome ou o endereço IP do servidor de assinatura antivírus a ser consultado.

Um SHA pode usar um cliente de política instalado localmente para ajudar nas funções de gerenciamento de integridade do sistema em conjunto com um servidor de política. Por exemplo, uma sha de atualização de software pode usar o software cliente de software instalado localmente (o cliente de política) para executar funções de verificação e instalação e atualização de versão com o servidor de atualização de software (o servidor de política).

Agente NAP

O AGENTE NAP fornece os seguintes serviços:

  • Coleta os SoHs de cada SHA e os armazena em cache. O cache SoH é atualizado sempre que um SHA fornece um SoH novo ou atualizado.
  • Armazena o SSoH e o fornece aos ECs NAP mediante solicitação.
  • Passa notificações para SHAs quando o estado restrito é alterado.
  • Mantém o estado restrito do sistema e coleta status informações de cada SHA.
  • Passa SoHRs para o SHA apropriado.