Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Nuta
Platforma ochrony dostępu do sieci nie jest dostępna od systemu Windows 10
Klient ochrony dostępu do sieci to komputer z systemem Windows XP z dodatkiem Service Pack 3 (SP3), Windows Vista lub Windows Server 2008, który zawiera platformę ochrony dostępu do sieci.
Na tym rysunku przedstawiono architekturę platformy ochrony dostępu do sieci na kliencie ochrony dostępu do sieci.
klienta ochrony dostępu
Architektura klienta ochrony dostępu do sieci składa się z następujących elementów:
Warstwa składników wymuszania klienta (EC)
Każda usługa NAP EC jest definiowana dla innego typu dostępu do sieci. Na przykład dla konfiguracji PROTOKOŁU DHCP istnieje ochrona dostępu do sieci oraz protokół NAP EC na potrzeby połączeń sieci VPN dostępu zdalnego. Punkt wymuszania ochrony dostępu do sieci można dopasować do określonego typu punktu wymuszania ochrony dostępu do sieci. Na przykład protokół DHCP NAP EC jest przeznaczony do pracy z punktem wymuszania ochrony dostępu do sieci NAP opartym na protokole DHCP. Niektóre kontrolery ochrony dostępu do sieci są dostarczane z platformą ochrony dostępu do sieci i dostawcami oprogramowania innych firm lub firma Microsoft może zapewnić innym.
Warstwa składników agenta kondycji systemu (SHA)
Składnik SHA obsługuje i zgłasza jeden lub wiele elementów kondycji systemu. Na przykład może istnieć algorytm SHA dla podpisów antywirusowych i algorytm SHA aktualizacji systemu operacyjnego. Algorytm SHA można dopasować do serwera korygowania, który jest komputerem zawierającym zasoby aktualizacji kondycji, do których klienci ochrony dostępu do sieci mogą uzyskać dostęp w celu skorygowania ich niezgodnego stanu. Na przykład algorytm SHA do sprawdzania podpisów oprogramowania antywirusowego jest zgodny z serwerem zawierającym najnowszy plik podpisu antywirusowego. Serwery SHA nie muszą mieć odpowiedniego serwera korygowania. Na przykład algorytm SHA może po prostu sprawdzić ustawienia systemu lokalnego, aby upewnić się, że zapora oparta na hoście jest włączona. Windows Vista i Windows XP z dodatkiem Service Pack 3 obejmują agenta windows Security Health Agent (WSHA), który monitoruje ustawienia aplikacji Zabezpieczenia Windows. Dostawcy oprogramowania innych firm lub firma Microsoft mogą udostępniać dodatkowe umowy SHA na platformie ochrony dostępu do sieci.
Agent ochrony dostępu do sieci
Utrzymuje bieżące informacje o stanie kondycji klienta ochrony dostępu do sieci i ułatwia komunikację między warstwami EC i SHA ochrony dostępu do sieci. Agent ochrony dostępu do sieci jest dostarczany z platformą OCHRONY dostępu do sieci.
Interfejs API agenta kondycji systemu
Udostępnia zestaw funkcji, które umożliwiają administratorom ochrony dostępu do rejestracji za pomocą agenta ochrony dostępu do sieci, wskazywanie stanu kondycji systemu, odpowiadanie na zapytania dotyczące stanu kondycji systemu z agenta ochrony dostępu do sieci oraz przekazywanie informacji korygujących kondycji systemu do algorytmu SHA. Interfejs API SHA umożliwia dostawcom tworzenie i instalowanie dodatkowych kart SHA. Interfejs API SHA jest dostarczany z platformą ochrony dostępu do sieci. Zobacz następujące interfejsy ochrony dostępu do sieci: INapSystemHealthAgentBinding2, INapSystemHealthAgentCallbacki INapSystemHealthAgentRequest.
Aby wskazać stan kondycji określonego algorytmu SHA, sha tworzy instrukcję kondycji (SoH) i przekazuje ją do agenta ochrony dostępu do sieci. SoH może zawierać jeden lub wiele elementów kondycji systemu. Na przykład sha sha dla programu antywirusowego może utworzyć soH zawierający stan oprogramowania antywirusowego uruchomionego na komputerze, jego wersji i odebranej ostatniej aktualizacji podpisu antywirusowego. Za każdym razem, gdy sha aktualizuje swój stan, tworzy nowy soH i przekazuje go do agenta ochrony dostępu do sieci. Aby wskazać ogólny stan kondycji klienta ochrony dostępu do sieci, agent ochrony dostępu do sieci używa instrukcji systemowej kondycji (SSoH), która zawiera informacje o wersji dla klienta ochrony dostępu do sieci i zestawu soHs dla zainstalowanych modułów SHA.
W poniższych sekcjach opisano szczegółowo składniki architektury klienta ochrony dostępu do sieci.
Klient wymuszania ochrony dostępu do sieci
Klient wymuszania ochrony dostępu do sieci (EC) żąda pewnego poziomu dostępu do sieci, przekazuje stan kondycji komputera do punktu wymuszania ochrony dostępu do sieci, który zapewnia dostęp do sieci. Punkty wymuszania ochrony dostępu do sieci to komputery lub urządzenia dostępu do sieci korzystające z ochrony dostępu do sieci lub mogą być używane z ochrony dostępu do sieci w celu wymagania oceny stanu kondycji klienta ochrony dostępu do sieci i zapewnienia ograniczonego dostępu do sieci lub komunikacji. Jeśli kondycja komputera jest niezgodna, NAP EC wskazuje ograniczony stan klienta ochrony dostępu do sieci do innych składników architektury klienta ochrony dostępu do sieci.
Kontrolery EC ochrony dostępu do sieci dla platformy ochrony dostępu do sieci dostarczone w systemie Windows XP z dodatkiem SP3, Windows Vista i Windows Server 2008 są następujące:
- Protokół IPsec NAP EC na potrzeby komunikacji chronionej przez protokół IPsec.
- EAPHost NAP EC dla 802.1X-uwierzytelnionych połączeń.
- Sieć VPN NAP EC na potrzeby połączeń sieci VPN dostępu zdalnego.
- Protokół DHCP NAP EC na potrzeby konfiguracji adresów IPv4 opartych na protokole DHCP.
- Brama TS NAP EC dla połączeń bramy TS.
W przypadku systemu Windows XP z dodatkiem SP3 dostępne są oddzielne kontrolery ochrony dostępu do sieci dla połączeń przewodowych i bezprzewodowych uwierzytelnionych w wersji 802.1X.
IPsec NAP EC
IPsec NAP EC jest składnikiem, który uzyskuje SSoH z agenta ochrony dostępu do sieci i wysyła go do urzędu rejestracji kondycji (HRA), komputera z systemem Windows Server 2008 i Internet Information Services (IIS), który uzyskuje certyfikaty kondycji z urzędu certyfikacji (CA) dla zgodnych komputerów. IPsec NAP EC jest znany jako IPsec jednostki uzależnionej EC w przystawce Konfiguracja klienta ochrony dostępu do sieci. Protokół IPsec NAP EC współdziała również z następującymi elementami:
- Magazyn certyfikatów do przechowywania certyfikatu kondycji.
- Składniki protokołu IPsec w systemie Windows w celu zapewnienia, że certyfikat kondycji jest używany do komunikacji chronionej przez protokół IPsec.
- Zapora oparta na hoście (na przykład Zapora systemu Windows), aby ruch chroniony przez protokół IPsec był dozwolony przez zaporę.
EAPHost NAP EC
EAPHost NAP EC to składnik, który uzyskuje SSoH z agenta ochrony dostępu do sieci i wysyła go jako komunikat PEAP-Type-Length-Value (TLV) dla połączeń uwierzytelnionych w formacie 802.1X. EAPHost NAP EC jest znany jako EAP Kwarantanna EC w przystawce Konfiguracja klienta ochrony dostępu do sieci.
VPN NAP EC
Usługa EC ochrony dostępu do sieci VPN jest funkcją w usłudze Menedżera połączeń dostępu zdalnego, która uzyskuje SSoH z agenta ochrony dostępu do sieci i wysyła go jako komunikat PEAP-TLV dla połączeń sieci VPN dostępu zdalnego. Napaście dostępu do sieci VPN EC jest znany jako dostęp zdalny Kwarantanna EC w przystawce Konfiguracja klienta ochrony dostępu do sieci.
DHCP NAP EC
Protokół DHCP NAP EC to funkcja w usłudze klienta DHCP, która używa standardowych komunikatów DHCP do wymiany komunikatów kondycji systemu i ograniczonych informacji o dostępie do sieci. Protokół DHCP EC protokołu IPsec jest znany jako protokół DHCP Kwarantanna EC w przystawce Konfiguracja klienta ochrony dostępu do sieci. Usługa DHCP NAP EC uzyskuje SSoH z agenta ochrony dostępu do sieci. Usługa klienta DHCP fragmentuje usługę SSoH, jeśli jest to wymagane, i umieszcza każdy fragment w opcji DHCP specyficznej dla dostawcy firmy Microsoft, która jest wysyłana w komunikatach DHCPDiscover, DHCPRequest lub DHCPInform. Komunikaty DHCPDecline i DHCPRelease nie zawierają SSoH.
Agent kondycji systemu
Agent kondycji systemu (SHA) wykonuje aktualizacje kondycji systemu i publikuje jego stan w postaci soH agenta ochrony dostępu do sieci. SoH zawiera informacje, których serwer zasad kondycji ochrony dostępu do sieci może użyć do sprawdzenia, czy komputer kliencki jest w wymaganym stanie kondycji. Sha jest dopasowywany do modułu sprawdzania kondycji systemu (SHV) po stronie serwera architektury platformy ochrony dostępu do sieci. Odpowiedni shV może zwrócić odpowiedź SoH (SoHR) do klienta ochrony dostępu do sieci, który jest przekazywany przez ec ochrony dostępu do sieci i agenta ochrony dostępu do sha, informując go o tym, co zrobić, jeśli sha nie jest w wymaganym stanie kondycji. Na przykład soHR wysłany przez program antywirusowy SHV może poinstruować odpowiedni program antywirusowy SHA, aby wykonać zapytanie o serwer sygnatury antywirusowej w celu uzyskania najnowszej wersji pliku podpisu antywirusowego. SoHR może również zawierać nazwę lub adres IP serwera sygnatury antywirusowej do wykonywania zapytań.
Algorytm SHA może używać lokalnie zainstalowanego klienta zasad, aby pomóc w funkcjach zarządzania kondycją systemu w połączeniu z serwerem zasad. Na przykład algorytm SHA aktualizacji oprogramowania może używać zainstalowanego lokalnie oprogramowania klienckiego (klienta zasad) do przeprowadzania sprawdzania wersji i instalowania i aktualizowania funkcji z serwerem aktualizacji oprogramowania (serwer zasad).
Agent ochrony dostępu do sieci
Agent ochrony dostępu do sieci udostępnia następujące usługi:
- Zbiera pliki SoHs z każdego sha i buforuje je. Pamięć podręczna SoH jest aktualizowana za każdym razem, gdy sha dostarcza nowy lub zaktualizowany soH.
- Przechowuje SSoH i dostarcza go do kontrolerów sieciowych po żądaniu.
- Przekazuje powiadomienia do usługi SHAs, gdy stan ograniczony ulegnie zmianie.
- Utrzymuje stan z ograniczeniami systemu i zbiera informacje o stanie z każdego algorytmu SHA.
- Przekazuje soHRs do odpowiedniego algorytmu SHA.