Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Nuta
Platforma ochrony dostępu do sieci nie jest dostępna od systemu Windows 10
Architektura platformy po stronie serwera ochrony dostępu do sieci korzysta z komputerów z systemem Windows Server 2008. Na poniższej ilustracji przedstawiono architekturę obsługi po stronie serwera dla platformy ochrony dostępu do sieci, składającej się z punktów wymuszania ochrony dostępu do sieci systemu Windows i serwera zasad kondycji ochrony dostępu do sieci.
Punkt wymuszania ochrony dostępu do sieci systemu Windows ma warstwę składników serwera wymuszania ochrony dostępu do sieci (ES). Każda ochrona dostępu do sieci jest definiowana dla innego typu dostępu do sieci lub komunikacji. Na przykład istnieje ochrona dostępu do sieci ES dla połączeń sieci VPN dostępu zdalnego i ES ochrony dostępu do sieci na potrzeby konfiguracji DHCP. Ochrona dostępu do sieci jest zwykle dopasowywana do określonego typu klienta z obsługą ochrony dostępu do sieci. Na przykład protokół DHCP NAP ES jest przeznaczony do pracy z klientem wymuszania ochrony dostępu do sieci (EC) opartym na protokole DHCP. Dostawcy oprogramowania innych firm lub firma Microsoft mogą zapewnić dodatkowe ES ochrony dostępu do sieci dla platformy ochrony dostępu do sieci. Ochrona dostępu do sieci uzyskuje systemową instrukcję kondycji (SSoH) z odpowiadającej jej ochrony dostępu do sieci EC i wysyła ją do serwera zasad kondycji ochrony dostępu do sieci jako atrybutu specyficznego dla dostawcy usługi dial-in (RADIUS) uwierzytelniania zdalnego (RADIUS) określonego przez dostawcę (VSA) Access-Request komunikat
Jak pokazano na rysunku architektury po stronie serwera, serwer zasad kondycji ochrony dostępu do sieci ma następujące składniki:
Usługa serwera zasad sieciowych (NPS)
Odbiera komunikat usługi RADIUS Access-Request, wyodrębnia SSoH i przekazuje go do składnika serwera administracyjnego ochrony dostępu do sieci. Usługa NPS jest dostarczana z systemem Windows Server 2008.
Serwer administracyjny ochrony dostępu do sieci
Ułatwia komunikację między usługą NPS a modułami sprawdzania kondycji systemu (SHV). Składnik Serwera administracyjnego ochrony dostępu do sieci jest dostarczany z platformą ochrony dostępu do sieci.
Warstwa składników shV
Każdy shV jest definiowany dla jednego lub wielu typów informacji o kondycji systemu i może być dopasowany do algorytmu SHA. Na przykład może istnieć shV dla programu antywirusowego. ShV można dopasować do jednego lub wielu serwerów wymagań dotyczących kondycji. Na przykład shV do sprawdzania podpisów antywirusowych jest dopasowywany do serwera, który zawiera najnowszy plik podpisu. Woluminy SHV nie muszą mieć odpowiedniego serwera wymagań dotyczących kondycji. ShV może po prostu poinstruować klientów obsługujących ochronę dostępu do sieci, aby sprawdzić ustawienia systemu lokalnego, aby upewnić się, że zapora oparta na hoście jest włączona. System Windows Server 2008 zawiera moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV). Dodatkowe woluminy SHV są udostępniane przez innych dostawców oprogramowania lub przez firmę Microsoft jako dodatki do platformy ochrony dostępu do sieci.
SHV API
Udostępnia zestaw wywołań funkcji, które umożliwiają woluminom SHV rejestrowanie w składniku Serwera administracyjnego ochrony dostępu do sieci, odbieranie instrukcji kondycji (SoHs) ze składnika serwera administracji ochrony dostępu do sieci i wysyłanie instrukcji odpowiedzi kondycji (SoHRs) do składnika Serwera administracyjnego ochrony dostępu do sieci. Interfejs API SHV jest dostarczany z platformą ochrony dostępu do sieci. Zobacz następujące interfejsy ochrony dostępu do sieci: INapSystemHealthValidator i INapSystemHealthValidationRequest.
Jak opisano wcześniej, bardziej typowa konfiguracja infrastruktury po stronie serwera ochrony dostępu do sieci składa się z punktów wymuszania ochrony dostępu do sieci, zapewniając dostęp do sieci lub komunikację określonego typu i oddzielne serwery zasad kondycji serwera NPS zapewniające weryfikację kondycji systemu i korygowanie. Istnieje możliwość zainstalowania usługi NPS jako serwera zasad kondycji ochrony dostępu do sieci na poszczególnych punktach wymuszania ochrony dostępu do sieci w systemie Windows. Jednak w tej konfiguracji każdy punkt wymuszania ochrony dostępu do sieci musi być skonfigurowany oddzielnie przy użyciu zasad dostępu do sieci i kondycji. Zalecaną konfiguracją jest użycie oddzielnych serwerów zasad kondycji ochrony dostępu do sieci.
Ogólna architektura ochrony dostępu do sieci składa się z następujących zestawów składników:
- Trzy składniki klienta ochrony dostępu do sieci (warstwa SHA, agent ochrony dostępu do sieci i warstwa EC ochrony dostępu do sieci).
- Cztery składniki po stronie serwera ochrony dostępu do sieci (warstwa SHV, serwer administracyjny ochrony dostępu do sieci, usługa NPS i warstwa ES ochrony dostępu do sieci w punktach wymuszania ochrony dostępu do sieci w systemie Windows).
- Serwery wymagań dotyczących kondycji, które są komputerami, które mogą zapewnić bieżące wymagania dotyczące kondycji systemu dla serwerów zasad kondycji ochrony dostępu do sieci.
- Serwery korygowania, które są komputerami zawierającymi zasoby aktualizacji kondycji, do których klienci ochrony dostępu do sieci mogą uzyskać dostęp w celu skorygowania ich niezgodnego stanu.
Na poniższej ilustracji przedstawiono relacje między składnikami platformy ochrony dostępu do sieci.
Zwróć uwagę na dopasowanie następujących zestawów składników:
Adresy EC ochrony dostępu do sieci i ES ochrony dostępu do sieci są zwykle zgodne.
Na przykład protokół DHCP NAP EC na kliencie ochrony dostępu do sieci jest zgodny z serwerem DHCP NAP ES na serwerze DHCP.
Serwery SHA i korygowania można dopasować.
Na przykład algorytm SHA oprogramowania antywirusowego na kliencie jest zgodny z serwerem korygowania podpisu antywirusowego.
Serwery wymagań dotyczących kondycji i shVs można dopasować.
Na przykład program antywirusowy SHV na serwerze zasad kondycji ochrony dostępu do sieci można dopasować do serwera wymagań dotyczących kondycji oprogramowania antywirusowego.
Dostawcy oprogramowania innych firm mogą rozszerzyć platformę ochrony dostępu do sieci w następujący sposób:
Utwórz nową metodę, za pomocą której jest oceniana kondycja klienta ochrony dostępu do sieci.
Dostawcy oprogramowania innych firm muszą utworzyć algorytm SHA dla klienta ochrony dostępu do sieci, shV serwera zasad kondycji ochrony dostępu do sieci i, w razie potrzeby, wymagania dotyczące kondycji i serwerów korygowania. Jeśli istnieją już serwery wymagań dotyczących kondycji lub korygowania, takie jak serwer dystrybucji podpisu antywirusowego, należy utworzyć tylko odpowiednie składniki SHA i SHV. W niektórych przypadkach nie są wymagane wymagania dotyczące kondycji lub serwery korygowania.
Utwórz nową metodę wymuszania wymagań dotyczących kondycji dostępu do sieci lub komunikacji.
Zewnętrzni dostawcy oprogramowania muszą utworzyć usługę OCHRONY dostępu do sieci na kliencie ochrony dostępu do sieci. Jeśli metoda wymuszania korzysta z usługi opartej na systemie Windows, dostawcy oprogramowania innych firm muszą utworzyć odpowiednią ES ochrony dostępu do sieci, która komunikuje się z serwerem zasad kondycji ochrony dostępu do sieci przy użyciu protokołu RADIUS lub przy użyciu usługi NPS zainstalowanej w punkcie wymuszania ochrony dostępu do sieci jako serwer proxy usługi RADIUS.
W poniższych sekcjach opisano szczegółowo składniki architektury po stronie serwera ochrony dostępu do sieci.
Serwer wymuszania ochrony dostępu do sieci
Serwer wymuszania ochrony dostępu do sieci (ES) umożliwia pewien poziom dostępu do sieci lub komunikacji, może przekazać stan kondycji klienta ochrony dostępu do sieci do serwera zasad kondycji sieci do oceny i, na podstawie odpowiedzi, może zapewnić wymuszanie ograniczonego dostępu do sieci.
Systemy ES ochrony dostępu do sieci dołączone do systemu Windows Server 2008 są następujące:
Protokół IPsec NAP ES na potrzeby komunikacji chronionej przez protokół IPsec.
W przypadku komunikacji chronionej przez protokół IPsec urząd rejestracji kondycji (HRA), komputer z systemem Windows Server 2008 i Internet Information Services (IIS), który uzyskuje certyfikaty kondycji z urzędu certyfikacji (CA) dla zgodnych komputerów, przekazuje informacje o stanie kondycji klienta ochrony dostępu do serwera zasad kondycji ochrony dostępu do sieci.
Protokół DHCP NAP ES na potrzeby konfiguracji adresów IP opartych na protokole DHCP.
Protokół DHCP NAP ES to funkcja w usłudze serwera DHCP, która używa standardowych komunikatów DHCP do komunikowania się z usługą OCHRONY dostępu do sieci DHCP na kliencie ochrony dostępu do sieci. Wymuszanie protokołu DHCP dla ograniczonego dostępu do sieci odbywa się za pośrednictwem opcji DHCP.
Brama usług terminalowych (TS) ES bramy ochrony dostępu do sieci dla połączeń opartych na serwerze usługi TS Gateway.
W przypadku połączeń sieci VPN i 802.1 X uwierzytelnionych zdalnego dostępu funkcja w usłudze NPS używa PEAP-TLV komunikatów między klientami ochrony dostępu do sieci i serwerem zasad kondycji ochrony dostępu do sieci. Wymuszanie sieci VPN odbywa się za pośrednictwem filtrów pakietów IP, które są stosowane do połączenia sieci VPN. Wymuszanie 802.1X odbywa się na urządzeniu dostępu do sieci 802.1X przez zastosowanie filtrów pakietów IP do połączenia lub przez przypisanie połączenia identyfikator sieci VLAN odpowiadającej sieci z ograniczeniami.
Serwer administracyjny ochrony dostępu do sieci
Składnik Serwera administracyjnego ochrony dostępu do sieci udostępnia następujące usługi:
- Uzyskuje SSoHs z ochrony dostępu do sieci za pośrednictwem usługi NPS.
- Dystrybuuje sohs w SSoHs do odpowiednich modułów sprawdzania kondycji systemu (SHV).
- Zbiera pliki SoHRs z woluminów SHV i przekazuje je do usługi NPS na potrzeby oceny.
Usługa NPS
USŁUGA RADIUS to szeroko wdrożony protokół umożliwiający scentralizowane uwierzytelnianie, autoryzację i księgowanie dostępu do sieci opisanego w artykule Requests for Comments (RFCs) 2865 i 2866. Pierwotnie opracowany na potrzeby dostępu zdalnego do wybierania numerów, usługa RADIUS jest obecnie obsługiwana przez punkty dostępu bezprzewodowego, uwierzytelnianie przełączników Ethernet, serwerów sieci VPN, serwerów dostępu do cyfrowego subskrybenta (DSL) i innych serwerów dostępu do sieci.
Serwer NPS to implementacja serwera RADIUS i serwera proxy w systemie Windows Server 2008. Serwer NPS zastępuje usługę uwierzytelniania internetowego (IAS) w systemie Windows Server 2003. W przypadku platformy ochrony dostępu do sieci usługa NPS zawiera składnik Serwera administratora ochrony dostępu do sieci, obsługę interfejsu API SHV i instalowalne woluminy SHV oraz opcje konfigurowania zasad kondycji.
Na podstawie reguł SoHRs z woluminów SHV i skonfigurowanych zasad kondycji usługa NPS tworzy instrukcję systemową odpowiedzi kondycji (SSoHR), która wskazuje, czy klient ochrony dostępu do sieci jest zgodny, czy niezgodny i zawiera zestaw soHRs z woluminów SHV.
Moduł sprawdzania kondycji systemu (SHV)
ShV odbiera soH z serwera administracyjnego ochrony dostępu do sieci i porównuje informacje o stanie kondycji systemu z wymaganym stanem kondycji systemu. Jeśli na przykład soH pochodzi z sha oprogramowania antywirusowego i zawiera numer wersji ostatniego pliku podpisu wirusa, odpowiedni program antywirusowy SHV może sprawdzić z serwerem wymagań dotyczących kondycji oprogramowania antywirusowego dla najnowszego numeru wersji, aby zweryfikować soH klienta ochrony dostępu do sieci.
ShV zwraca soHR do serwera administracyjnego ochrony dostępu do sieci. SoHR może zawierać informacje o tym, jak odpowiedni algorytm SHA na kliencie ochrony dostępu do sieci może spełniać bieżące wymagania dotyczące kondycji systemu. Na przykład soHR wysyłane przez program antywirusowy SHV może instruować sha ochrony antywirusowej na kliencie ochrony dostępu do sieci zażądać najnowszej wersji pliku podpisu antywirusowego z określonego serwera sygnatury antywirusowej według nazwy lub adresu IP.