次の方法で共有

NAP クライアント アーキテクチャ

手記

ネットワーク アクセス保護プラットフォームは、Windows 10 以降では使用できません

 

NAP クライアントは、Windows XP と Service Pack 3 (SP3)、Windows Vista、または Windows Server 2008 を実行するコンピューターで、NAP プラットフォームが含まれています。

この図は、NAP クライアント上の NAP プラットフォームのアーキテクチャを示しています。

nap クライアント

NAP クライアント アーキテクチャは、次の要素で構成されます。

  • 強制クライアント (EC) コンポーネントのレイヤー

    各 NAP EC は、異なる種類のネットワーク アクセスに対して定義されます。 たとえば、DHCP 構成用の NAP EC とリモート アクセス VPN 接続用の NAP EC があります。 NAP EC は、特定の種類の NAP 強制ポイントと照合できます。 たとえば、DHCP NAP EC は、DHCP ベースの NAP 強制ポイントを使用するように設計されています。 一部の NAP EC は NAP プラットフォームで提供され、サードパーティのソフトウェア ベンダーまたは Microsoft は他のソフトウェア ベンダーを提供できます。

  • System Health Agent (SHA) コンポーネントのレイヤー

    SHA コンポーネントは、システム正常性の 1 つまたは複数の要素を維持および報告します。 たとえば、ウイルス対策署名用の SHA と、オペレーティング システムの更新プログラム用の SHA があるとします。 SHA は修復サーバーと照合できます。これは、NAP クライアントがアクセスして非準拠状態を修復できる正常性更新リソースを含むコンピューターです。 たとえば、ウイルス対策署名を確認するための SHA は、最新のウイルス対策署名ファイルを含むサーバーと照合されます。 SHA には対応する修復サーバーは必要ありません。 たとえば、SHA では、ローカル システムの設定を確認して、ホスト ベースのファイアウォールが有効になっていることを確認できます。 Windows Vista および Windows XP Service Pack 3 には、Windows セキュリティ アプリの設定を監視する Windows Security Health Agent (WSHA) が含まれています。 サードパーティのソフトウェア ベンダーまたは Microsoft は、NAP プラットフォームに追加の SHA を提供できます。

  • NAP エージェント

    NAP クライアントの現在の正常性状態情報を維持し、NAP EC レイヤーと SHA レイヤー間の通信を容易にします。 NAP エージェントには NAP プラットフォームが用意されています。

  • System Health Agent API

    SHA が NAP エージェントに登録したり、システムの正常性状態を示したり、NAP エージェントのシステム正常性状態のクエリに応答したり、NAP エージェントがシステム正常性修復情報を SHA に渡したりできるようにする一連の関数を提供します。 SHA API を使用すると、ベンダーは追加の SHA を作成してインストールできます。 SHA API は NAP プラットフォームで提供されます。 次の NAP インターフェイスを参照してください。INapSystemHealthAgentBinding2INapSystemHealthAgentCallback、および INapSystemHealthAgentRequestします。

特定の SHA の正常性状態を示すために、SHA は正常性ステートメント (SoH) を作成し、NAP エージェントに渡します。 SoH には、システム正常性の 1 つまたは複数の要素を含めることができます。 たとえば、ウイルス対策プログラムの SHA は、コンピューター上で実行されているウイルス対策ソフトウェアの状態、そのバージョン、および最後に受信したウイルス対策署名の更新プログラムを含む SoH を作成できます。 SHA が状態を更新するたびに、新しい SoH が作成され、NAP エージェントに渡されます。 NAP エージェントは、NAP クライアントの全体的な正常性状態を示すために、システム正常性ステートメント (SSoH) を使用します。これには、NAP クライアントのバージョン情報と、インストールされている SHA の SoHs のセットが含まれます。

次のセクションでは、NAP クライアント アーキテクチャのコンポーネントについて詳しく説明します。

NAP 強制クライアント

NAP 強制クライアント (EC) は、あるレベルのネットワークへのアクセスを要求し、コンピューターの正常性状態を、ネットワーク アクセスを提供する NAP 強制ポイントに渡します。 NAP 強制ポイントは、NAP を使用するコンピューターまたはネットワーク アクセス デバイスです。また、NAP と共に使用して NAP クライアントの正常性状態の評価を要求し、制限されたネットワーク アクセスまたは通信を提供できます。 コンピューターの正常性が準拠していない場合、NAP EC は NAP クライアントの状態が NAP クライアント アーキテクチャの他のコンポーネントに制限されていることを示します。

WINDOWS XP SP3、Windows Vista、および Windows Server 2008 で提供される NAP プラットフォーム用 NAP EC は次のとおりです。

  • IPsec で保護された通信用の IPsec NAP EC。
  • 802.1X 認証接続用の EAPHost NAP EC。
  • リモート アクセス VPN 接続用の VPN NAP EC。
  • DHCP ベースの IPv4 アドレス構成用の DHCP NAP EC。
  • TS ゲートウェイ接続用の TS ゲートウェイ NAP EC。

SP3 を使用する Windows XP の場合、802.1X で認証された有線接続とワイヤレス接続用の個別の NAP EC があります。

IPsec NAP EC

IPsec NAP EC は、NAP エージェントから SSoH を取得し、それを正常性登録機関 (HRA) (Windows Server 2008 を実行するコンピューター)、および準拠しているコンピューターの証明機関 (CA) から正常性証明書を取得するインターネット インフォメーション サービス (IIS) に送信するコンポーネントです。 IPsec NAP EC は、NAP クライアント構成スナップインの IPsec 証明書利用者 EC と呼ばれます。 IPsec NAP EC は、次とも対話します。

  • 正常性証明書を格納する証明書ストア。
  • IPsec で保護された通信に正常性証明書が確実に使用されるようにするための Windows の IPsec コンポーネント。
  • IPsec で保護されたトラフィックがファイアウォールによって許可されるように、ホスト ベースのファイアウォール (Windows ファイアウォールなど)。

EAPHost NAP EC

EAPHost NAP EC は、NAP エージェントから SSoH を取得し、802.1X 認証接続の PEAP-Type-Length-Value (TLV) メッセージとして送信するコンポーネントです。 EAPHost NAP EC は、NAP クライアント構成スナップインの EAP 検疫 EC と呼ばれます。

VPN NAP EC

VPN NAP EC は、リモート アクセス接続マネージャー サービスの機能であり、NAP エージェントから SSoH を取得し、リモート アクセス VPN 接続の PEAP-TLV メッセージとして送信します。 VPN NAP EC は、NAP クライアント構成スナップインのリモート アクセス検疫 EC と呼ばれます。

DHCP NAP EC

DHCP NAP EC は、業界標準の DHCP メッセージを使用してシステム正常性メッセージと制限付きネットワーク アクセス情報を交換する DHCP クライアント サービスの機能です。 IPsec DHCP EC は、NAP クライアント構成スナップインの DHCP 検疫 EC と呼ばれます。 DHCP NAP EC は、NAP エージェントから SSoH を取得します。 DHCP クライアント サービスは、必要に応じて SSoH をフラグメント化し、各フラグメントを、DHCPDiscover、DHCPRequest、または DHCPInform メッセージで送信される Microsoft ベンダー固有の DHCP オプションに格納します。 DHCPDecline メッセージと DHCPRelease メッセージに SSoH が含まれていません。

System Health エージェント

システム正常性エージェント (SHA) は、システム正常性の更新を実行し、その状態を SoH の形式で NAP エージェントに発行します。 SoH には、NAP 正常性ポリシー サーバーがクライアント コンピューターが必要な正常性状態であることを確認するために使用できる情報が含まれています。 SHA は、NAP プラットフォーム アーキテクチャのサーバー側のシステム正常性検証コントロール (SHV) と照合されます。 対応する SHV は、NAP クライアントに SoH 応答 (SoHR) を返すことができます。これは、NAP EC と NAP エージェントによって SHA に渡され、SHA が必要な正常性状態でない場合の処理を通知します。 たとえば、ウイルス対策 SHV によって送信された SoHR は、対応するウイルス対策 SHA に対して、ウイルス対策署名サーバーに対してクエリを実行して最新バージョンのウイルス対策署名ファイルを取得するように指示できます。 SoHR には、クエリを実行するウイルス対策署名サーバーの名前または IP アドレスを含めることもできます。

SHA では、ローカルにインストールされたポリシー クライアントを使用して、ポリシー サーバーと組み合わせてシステム正常性管理機能を支援できます。 たとえば、ソフトウェア更新プログラム SHA では、ローカルにインストールされたソフトウェア クライアント ソフトウェア (ポリシー クライアント) を使用して、ソフトウェア更新サーバー (ポリシー サーバー) でバージョン チェックおよびインストールおよび更新機能を実行できます。

NAP エージェント

NAP エージェントは、次のサービスを提供します。

  • 各 SHA から SoHs を収集し、キャッシュします。 SoH キャッシュは、SHA が新しい SoH または更新された SoH を提供するたびに更新されます。
  • SSoH を格納し、要求に応じて NAP EC に提供します。
  • 制限された状態が変化したときに、通知を SHA に渡します。
  • システム制限状態を維持し、各 SHA から状態情報を収集します。
  • SoHR を適切な SHA に渡します。

 

 

  • Last updated on