通过

NAP 客户端体系结构

  • 项目

注意

网络访问保护平台从Windows 10开始不可用

 

NAP 客户端是运行具有 Service Pack 3 的 Windows XP (SP3) 、Windows Vista 或 Windows Server 2008(包括 NAP 平台)的计算机。

此图显示了 NAP 客户端上的 NAP 平台的体系结构。

nap 客户端上的 nap 平台的体系结构

NAP 客户端体系结构包括以下内容:

  • 强制客户端 (EC) 组件层

    每个 NAP EC 都是针对不同类型的网络访问定义的。 例如,有一个 NAP EC 用于 DHCP 配置,有一个 NAP EC 用于远程访问 VPN 连接。 NAP EC 可以与特定类型的 NAP 强制点匹配。 例如,DHCP NAP EC 旨在与基于 DHCP 的 NAP 强制点配合使用。 某些 NAP ECs 与 NAP 平台一起提供,第三方软件供应商或 Microsoft 可以提供其他软件。

  • 系统运行状况代理层 (SHA) 组件

    SHA 组件维护并报告系统运行状况的一个或多个元素。 例如,可能有用于防病毒签名的 SHA,以及用于操作系统更新的 SHA。 可以将 SHA 与修正服务器匹配,该服务器是一台包含运行状况更新资源的计算机,NAP 客户端可以访问这些资源来修正其不符合状态。 例如,用于检查防病毒签名的 SHA 与包含最新防病毒签名文件的服务器匹配。 SH 不必具有相应的修正服务器。 例如,SHA 只需检查本地系统设置,以确保启用基于主机的防火墙。 Windows Vista 和 Windows XP Service Pack 3 包括监视 Windows 安全中心 应用设置的 Windows 安全中心 Health Agent (WSHA) 。 第三方软件供应商或 Microsoft 可以向 NAP 平台提供其他 SHA。

  • NAP 代理

    维护 NAP 客户端的当前运行状况信息,促进 NAP EC 和 SHA 层之间的通信。 NAP 代理随 NAP 平台一起提供。

  • 系统运行状况代理 API

    提供一组函数,这些函数允许 SA 注册到 NAP 代理、指示系统运行状况状态、响应来自 NAP 代理的系统运行状况状态查询,以及使 NAP 代理将系统运行状况修正信息传递给 SHA。 SHA API 允许供应商创建和安装其他 SHA。 SHA API 随 NAP 平台一起提供。 请参阅以下 NAP 接口: INapSystemHealthAgentBinding2INapSystemHealthAgentCallbackINapSystemHealthAgentRequest

为了指示特定 SHA 的运行状况状态,SHA 会创建一个运行状况声明, (SoH) ,并将其传递给 NAP 代理。 SoH 可以包含一个或多个系统运行状况元素。 例如,防病毒程序的 SHA 可以创建一个 SoH,其中包含计算机上运行的防病毒软件的状态、其版本以及上次收到的防病毒签名更新。 每当 SHA 更新其状态时,它都会创建新的 SoH 并将其传递给 NAP 代理。 为了指示 NAP 客户端的总体运行状况状态,NAP 代理使用系统声明的运行状况 (SSoH) ,其中包括 NAP 客户端的版本信息和已安装的 SHA 的 SoH 集。

以下部分进一步详细介绍 NAP 客户端体系结构的组件。

NAP 强制客户端

NAP 强制客户端 (EC) 请求对网络进行某种级别的访问,将计算机的运行状况状态传递给提供网络访问权限的 NAP 强制点。 NAP 强制点是使用 NAP 的计算机或网络访问设备,或可与 NAP 一起使用,以要求评估 NAP 客户端的运行状况并提供受限的网络访问或通信。 如果计算机的运行状况不符合,NAP EC 会将 NAP 客户端的受限状态指示到 NAP 客户端体系结构的其他组件。

Windows XP 中 SP3、Windows Vista 和 Windows Server 2008 中提供的 NAP 平台的 NAP ECs 如下所示:

  • IPsec NAP EC,用于受 IPsec 保护的通信。
  • 用于 802.1X 身份验证连接的 EAPHost NAP EC。
  • 用于远程访问 VPN 连接的 VPN NAP EC。
  • 用于基于 DHCP 的 IPv4 地址配置的 DHCP NAP EC。
  • 用于 TS 网关连接的 TS 网关 NAP EC。

对于具有 SP3 的 Windows XP,有单独的 NAP ECs 用于经过 802.1X 身份验证的有线和无线连接。

IPsec NAP EC

IPsec NAP EC 是一个组件,它从 NAP 代理获取 SSoH 并将其发送到健康注册机构 (HRA) ,这是一台运行 Windows Server 2008 和 Internet Information Services (IIS) 的计算机,该证书颁发机构 (CA) 为合规的计算机获取健康证书。 IPsec NAP EC 在 NAP 客户端配置管理单元中称为 IPsec 信赖方 EC。 IPsec NAP EC 还与以下内容交互:

  • 用于存储运行状况证书的证书存储。
  • Windows 中的 IPsec 组件,以确保运行状况证书用于受 IPsec 保护的通信。
  • 基于主机的防火墙 (,例如 Windows 防火墙) ,以便防火墙允许受 IPsec 保护的流量。

EAPHost NAP EC

EAPHost NAP EC 是一个组件,它从 NAP 代理获取 SSoH,并将其作为 PEAP-Type-Length-Value (TLV) 消息发送给经过 802.1X 身份验证的连接。 EAPHost NAP EC 在 NAP 客户端配置管理单元中称为 EAP 隔离 EC。

VPN NAP EC

VPN NAP EC 是远程访问连接管理器服务中的功能,可从 NAP 代理获取 SSoH 并将其作为 PEAP-TLV 消息发送,用于远程访问 VPN 连接。 VPN NAP EC 在 NAP 客户端配置管理单元中称为远程访问隔离 EC。

DHCP NAP EC

DHCP NAP EC 是 DHCP 客户端服务中的功能,它使用行业标准 DHCP 消息来交换系统运行状况消息和有限的网络访问信息。 IPsec DHCP EC 在 NAP 客户端配置管理单元中称为 DHCP 隔离 EC。 DHCP NAP EC 从 NAP 代理获取 SSoH。 DHCP 客户端服务将 SSoH 分段(如果需要),并将每个片段放入 MICROSOFT 供应商特定的 DHCP 选项中,该选项在 DHCPDiscover、DHCPRequest 或 DHCPInform 消息中发送。 DHCPDecline 和 DHCPRelease 消息不包含 SSoH。

系统运行状况代理

系统运行状况代理 (SHA) 执行系统运行状况更新,并将其状态以 SoH 的形式发布到 NAP 代理。 SoH 包含 NAP 运行状况策略服务器可用于验证客户端计算机是否处于所需的运行状况状态的信息。 SHA 与 NAP 平台体系结构服务器端的系统运行状况验证程序 (SHV) 匹配。 相应的 SHV 可以将 SoH 响应 (SoHR) 返回到 NAP 客户端,该客户端由 NAP EC 和 NAP 代理传递到 SHA,告知其当 SHA 不处于所需的运行状况时应执行的操作。 例如,防病毒 SHV 发送的 SoHR 可以指示相应的防病毒 SHA 查询防病毒签名服务器以获取最新版本的防病毒签名文件。 SoHR 还可以包含要查询的防病毒签名服务器的名称或 IP 地址。

SHA 可以使用本地安装的策略客户端来帮助将系统运行状况管理功能与策略服务器结合使用。 例如,软件更新 SHA 可以使用本地安装的软件客户端软件 (策略客户端) 执行版本检查,并使用软件更新服务器 (策略服务器) 进行安装和更新功能。

NAP 代理

NAP 代理提供以下服务:

  • 从每个 SHA 收集 SoH 并缓存它们。 每当 SHA 提供新的或更新的 SoH 时,SoH 缓存都会更新。
  • 存储 SSoH,并按请求将其提供给 NAP ECs。
  • 当受限状态更改时,将通知传递给 SHA。
  • 维护系统受限状态,并从每个 SHA 收集状态信息。
  • 将 SoHR 传递到相应的 SHA。