NAP 用戶端架構
注意
從 Windows 10 開始,無法使用網路存取保護平臺
NAP 用戶端是執行 Windows XP 的電腦,其中包含 NAP 平臺的 Service Pack 3 (SP3) 、Windows Vista 或 Windows Server 2008。
此圖顯示 NAP 用戶端上 NAP 平臺的架構。
NAP 用戶端架構包含下列各項:
強制用戶端 (EC) 元件層
每個 NAP EC 都會針對不同類型的網路存取定義。 例如,有 NAP EC 用於 DHCP 設定,以及用於遠端存取 VPN 連線的 NAP EC。 NAP EC 可以比對特定類型的 NAP 強制端點。 例如,DHCP NAP EC 的設計目的是使用 DHCP 型 NAP 強制執行點。 某些 NAP DC 隨附于 NAP 平臺和協力廠商軟體廠商,或 Microsoft 可以提供其他解決方案。
系統健康情況代理程式層 (SHA) 元件
SHA 元件會維護並報告系統健康情況的一或多個元素。 例如,可能有防毒簽章的 SHA,以及作業系統更新的 SHA。 SHA 可以與補救伺服器比對,這是一部電腦,其中包含 NAP 用戶端可以存取的健全狀況更新資源,以補救其不符合規範的狀態。 例如,用於檢查防毒簽章的 SHA 會與包含最新防毒軟體簽章檔案的伺服器相符。 SHA 不需要有對應的補救伺服器。 例如,SHA 只能檢查本機系統設定,以確保已啟用主機型防火牆。 Windows Vista 和 Windows XP Service Pack 3 包含Windows 安全性 Health Agent (WSHA) ,可監視Windows 安全性應用程式的設定。 協力廠商軟體廠商或 Microsoft 可以將額外的 SHA 提供給 NAP 平臺。
NAP 代理程式
維護 NAP 用戶端目前的健全狀態資訊,並協助 NAP EC 與 SHA 層之間的通訊。 NAP 代理程式會與 NAP 平臺一起提供。
系統健康情況代理程式 API
提供一組函式,可讓 SHA 向 NAP 代理程式註冊、指出系統健康狀態、回應 NAP 代理程式的系統健康狀態查詢,以及 NAP 代理程式將系統健康情況補救資訊傳遞至 SHA。 SHA API 可讓廠商建立及安裝額外的 SHA。 SHA API 隨附于 NAP 平臺。 請參閱下列 NAP 介面: INapSystemHealthAgentBinding2、 INapSystemHealthAgentCallback和 INapSystemHealthAgentRequest。
若要指出特定 SHA 的健康情況狀態,SHA 會建立健康情況 (SoH) 的語句,並將它傳遞至 NAP 代理程式。 SoH 可以包含系統健康情況的一或多個元素。 例如,防毒軟體程式的 SHA 可以建立 SoH,其中包含在電腦上執行的防毒軟體狀態、其版本,以及收到的最後一個防毒軟體簽章更新。 每當 SHA 更新其狀態時,它會建立新的 SoH,並將它傳遞至 NAP 代理程式。 為了指出 NAP 用戶端的整體健全狀況狀態,NAP 代理程式會使用健康情況 (SSoH) 的系統語句,其中包含 NAP 用戶端的版本資訊,以及已安裝 SHA 的 SoHs 集合。
下列各節詳細說明 NAP 用戶端架構的元件。
NAP 強制用戶端
NAP 強制用戶端 (EC) 要求對網路的某些存取層級,將電腦的健全狀態傳遞至提供網路存取的 NAP 強制端點。 NAP 強制端點是使用 NAP 的電腦或網路存取裝置,也可以與 NAP 搭配使用,以要求評估 NAP 用戶端的健康情況狀態,並提供受限制的網路存取或通訊。 如果電腦的健全狀況不符合規範,NAP EC 會向 NAP 用戶端架構的其他元件指出 NAP 用戶端的限制狀態。
Windows XP 隨附 SP3、Windows Vista 和 Windows Server 2008 之 NAP 平臺的 NAP ECS 如下:
- IPsec NAP EC 適用于受 IPsec 保護的通訊。
- 適用于 802.1X 驗證連線的 EAPHost NAP EC。
- 用於遠端存取 VPN 連線的 VPN NAP EC。
- DHCP NAP EC,用於 DHCP 型 IPv4 位址設定。
- 適用于 TS 閘道連線的 TS 閘道 NAP EC。
針對具有 SP3 的 Windows XP,針對 802.1X 驗證的有線和無線連線,有個別的 NAP ECS。
IPsec NAP EC
IPsec NAP EC 是一個元件,可從 NAP 代理程式取得 SSoH,並將它傳送至健康情況註冊授權單位 (HRA) ,這是執行 Windows Server 2008 和 Internet Information Services (IIS) 的電腦,可從憑證授權單位單位取得健康情況憑證, (CA) 符合規範的電腦。 IPsec NAP EC 稱為 NAP 用戶端組態嵌入式管理單元中的 IPsec 信賴憑證者 EC。 IPsec NAP EC 也會與下列專案互動:
- 用來儲存健康情況憑證的憑證存放區。
- Windows 中的 IPsec 元件,以確保健康情況憑證用於受 IPsec 保護的通訊。
- 主機型防火牆 (例如 Windows 防火牆) ,讓防火牆允許受 IPsec 保護的流量。
EAPHost NAP EC
EAPHost NAP EC 是從 NAP 代理程式取得 SSoH 的元件,並以 PEAP-Type-Length-Value (TLV) 訊息傳送給 802.1X 驗證連線。 EAPHost NAP EC 稱為 NAP 用戶端設定嵌入式管理單元中的 EAP 隔離 EC。
VPN NAP EC
VPN NAP EC 是遠端存取連線管理員服務中的功能,可從 NAP 代理程式取得 SSoH,並將它當做 PEAP-TLV 訊息傳送給遠端存取 VPN 連線。 VPN NAP EC 稱為 NAP 用戶端設定嵌入式管理單元中的遠端存取隔離 EC。
DHCP NAP EC
DHCP NAP EC 是 DHCP 用戶端服務中的功能,其使用業界標準 DHCP 訊息來交換系統健康情況訊息和有限的網路存取訊號。 IPsec DHCP EC 稱為 NAP 用戶端設定嵌入式管理單元中的 DHCP 隔離 EC。 DHCP NAP EC 會從 NAP 代理程式取得 SSoH。 DHCP 用戶端服務會視需要分散 SSoH,並將每個片段放入 Microsoft 廠商特定的 DHCP 選項中,該選項會傳送于 DHCPDiscover、DHCPRequest 或 DHCPInform 訊息中。 DHCPDecline 和 DHCPRelease 訊息不包含 SSoH。
系統健康情況代理程式
系統健康情況代理程式 (SHA) 會執行系統健康情況更新,並以 SoH 的形式將其狀態發佈至 NAP 代理程式。 SoH 包含 NAP 健康狀態原則伺服器可用來驗證用戶端電腦是否處於健康狀態的資訊。 SHA 會與 NAP 平臺架構的伺服器端上的系統健康情況驗證程式 (SHV) 相符。 對應的 SHV 可以將 SoH 回應 (SoHR) 傳回至 NAP 用戶端,該用戶端會由 NAP EC 和 NAP 代理程式傳遞至 SHA,告知它如果 SHA 不是處於必要健康狀態,該怎麼辦。 例如,由防毒軟體 SHV 傳送的 SoHR 可能會指示對應的防毒軟體 SHA 查詢防毒軟體簽章伺服器,以取得最新版的防毒軟體簽章檔案。 SoHR 也可以包含要查詢之防毒簽章伺服器的名稱或 IP 位址。
SHA 可以使用本機安裝的原則用戶端來協助系統健康情況管理功能與原則伺服器搭配使用。 例如,軟體更新 SHA 可以使用本機安裝的軟體用戶端軟體 (原則用戶端) ,以 (原則伺服器) 執行版本檢查和安裝和更新功能。
NAP 代理程式
NAP 代理程式提供下列服務:
- 從每個 SHA 收集 SoHs 並加以快取。 每當 SHA 提供新的或更新的 SoH 時,就會更新 SoH 快取。
- 儲存 SSoH,並在要求時將其提供給 NAP DC。
- 當受限制的狀態變更時,將通知傳遞至 SHA。
- 維護系統受限制的狀態,並從每個 SHA 收集狀態資訊。
- 將 SoHR 傳遞至適當的 SHA。