• Artykuł

Windows Server 2008

Architektura NAP po stronie klienta NAP Udostępnij na: Facebook

Opublikowano: 6 listopada 2007

Zawartość strony
Opis architektury   Opis architektury
Klient wymuszania ochrony dostępu do sieci   Klient wymuszania ochrony dostępu do sieci
Agent kondycji systemu   Agent kondycji systemu
Agent NAP   Agent NAP

Opis architektury

Klient NAP to komputer z systemem operacyjnym Windows Vista lub Windows Server 2008, wyposażony w nowe i/lub zaktualizowane komponenty platformy NAP.

Architekturę komponentów klienta NAP pokazano na rys. 1.

Rys.1. Architektura platformy NAP po stronie klienta NAP.

W skład architektury platformy NAP po stronie klienta wchodzą:

  • Warstwa klientów wymuszania ochrony dostępu do sieci (NAP EC)

    Poszczególni klienci NAP EC (Network Access Protection Enforcement Client) obsługują osobne typy komunikacji lub sposoby uzyskiwania dostępu do sieci; np, klient wymuszający VPN i klient wymuszający DHCP. Zazwyczaj klient NAP EC jest dopasowany do określonego typu serwera NAP. Na przykład klient DHCP NAP EC został zaprojektowany do współpracy z serwerem NAP, kontrolującym zgodność z wymogami bezpieczeństwa klientów zgłaszających żądanie o sieciowy adres IP do serwera DHCP. Niektórzy klienci wymuszania ochrony dostępu NAP EC są dostarczani razem z platformą NAP, ale niezależni dostawcy oprogramowania mogą tworzyć własne rozwiązania.

  • Warstwa agentów kondycji systemu (SHA )

    Poszczególni agenci systemu, obsługują określone aspekty kondycji systemu, np. agent kondycji systemu służy do sprawdzania sygnatur antywirusowych, agent kondycji systemu służy do weryfikowania aktualizacji systemu operacyjnego. Agenci kondycji systemu mogą być dopasowani do określonych serwerów korygujących (na przykład agent kondycji systemu sygnatur antywirusowych dopasowany do serwera sygnatur antywirusowych), ale nie muszą komunikować się z tymi serwerami. Agent kondycji systemu mógłby wybiórczo sprawdzać lokalne ustawienia systemowe w celu upewnienia się, że na hoście włączona jest zapora sieciowa. W systemach Windows Vista i Windows Server 2008, wbudowani są agenci kondycji systemu, pełniący rolę modułów sprawdzania o nazwie Windows Security Health Validator (SHV). Agenci kondycji systemu platformy Network Access Protection mogą być dostarczani zarówno przez firmę Microsoft, jak i przez niezależnych dostawców.

  • Agent NAP

    Monitoruje kondycję klienta NAP i usprawnia komunikację pomiędzy klientami NAP EC a agentami kondycji systemu.

  • Interfejs programistyczny NAP SHA API

    Zestaw, umożliwiających agentom systemu rejestrację w agencie NAP danego klienta, sygnalizowanie kondycji klienta, odpowiadanie na zadawane pytania, a z drugiej strony umożliwiający agentom NAP przekazywanie do agentów kondycji systemu instrukcji otrzymanych z serwerów korygujących. Interfejs NAP SHA API pozwala niezależnym dostawcom tworzyć dodatkowe moduły agentów kondycji systemu, a także instalować je. Interfejs NAP SHA API jest dostarczany w ramach platformy NAP

  • Interfejs programistyczny NAP EC API.

    Zestaw, umożliwiających klientom NAP EC rejestrację w agencie NAP danego klienta, wysyłanie pytań o kondycję klienta oraz przekazywanie do agentów NAP instrukcji otrzymanych z serwerów korygujących.

W celu wykazania stanu określonego aspektu kondycji klienta (np. stan oprogramowania antywirusowego zainstalowanego na kliencie czy stan aktualizacji systemu operacyjnego), agenci kondycji systemu tworzą raporty o kondycji (Statement of Health, SoH ), a następnie przekazują je do agenta NAP tego klienta. Za każdym razem, gdy jakiś aspekt kondycji klienta ulegnie zmianie, odpowiedni agent kondycji systemu tworzy nowy raport o kondycji, przesyłając go do agenta NAP tego klienta. Całościowy obraz kondycji klienta jest budowany przez agenta NAP w oparciu o listę raportów o kondycji.

 Do początku strony Do początku strony

Klient wymuszania ochrony dostępu do sieci

Klient NAP EC żąda dostępu do sieci w określonym zakresie, przekazuje informację o kondycji swego klienta NAP darchitektury platformy NAP po stronie klienta wchodzą:

  • Warstwa klientów wymuszania ochrony dostępu do sieci (NAP EC)

    Poszczególni klienci NAP EC (Network Access Protection Enforcement Client) obsługują osobne typy komunikacji lub sposoby uzyskiwania dostępu do sieci; np, klient wymuszający VPN i klient wymuszający DHCP. Zazwyczaj klient NAP EC jest dopasowany do określonego typu serwera NAP. Na przykład klient DHCP NAP EC został zaprojektowany do współpracy z serwerem NAP, kontrolującym zgodność z wymogami bezpieczeństwa klientów zgłaszających żądanie o sieciowy adres IP do serwera DHCP. Niektórzy klienci wymuszania ochrony dostępu NAP EC są dostarczani razem z platformą NAP, ale niezależni dostawcy oprogramowania mogą tworzyć własne rozwiązania.

  • Warstwa agentów kondycji systemu (SHA )

    Poszczególni agenci systemu, obsługują określone aspekty kondycji systemu, np. agent kondycji systemu służy do sprawdzania sygnatur antywirusowych, agent kondycji systemu służy do weryfikowania aktualizacji systemu operacyjnego. Agenci kondycji systemu mogą być dopasowani do określonych serwerów korygujących (na przykład agent kondycji systemu sygnatur antywirusowych dopasowany do serwera sygnatur antywirusowych), ale nie muszą komunikować się z tymi serwerami. Agent kondycji systemu mógłby wybiórczo sprawdzać lokalne ustawienia systemowe w celu upewnienia się, że na hoście włączona jest zapora sieciowa. W systemach Windows Vista i Windows Server 2008, wbudowani są agenci kondycji systemu, pełniący rolę modułów sprawdzania o nazwie Windows Security Health Validator (SHV). Agenci kondycji systemu platformy Network Access Protection mogą być dostarczani zarówno przez firmę Microsoft, jak i przez niezależnych dostawców.

  • Agent NAP

    Monitoruje kondycję klienta NAP i usprawnia komunikację pomiędzy klientami NAP EC a agentami kondycji systemu.

  • Interfejs programistyczny NAP SHA API

    Zestaw, umożliwiających agentom systemu rejestrację w agencie NAP danego klienta, sygnalizowanie kondycji klienta, odpowiadanie na zadawane pytania, a z drugiej strony umożliwiający agentom NAP przekazywanie do agentów kondycji systemu instrukcji otrzymanych z serwerów korygujących. Interfejs NAP SHA API pozwala niezależnym dostawcom tworzyć dodatkowe moduły agentów kondycji systemu, a także instalować je. Interfejs NAP SHA API jest dostarczany w ramach platformy NAP

  • Interfejs programistyczny NAP EC API.

    Zestaw, umożliwiających klientom NAP EC rejestrację w agencie NAP danego klienta, wysyłanie pytań o kondycję klienta oraz przekazywanie do agentów NAP instrukcji otrzymanych z serwerów korygujących.

W celu wykazania stanu określonego aspektu kondycji klienta (np. stan oprogramowania antywirusowego zainstalowanego na kliencie czy stan aktualizacji systemu operacyjnego), agenci kondycji systemu twunikatem PEAP-Type-Length-Value (PEAP-TLV) do punktu dostępu 802.1X. Alternatywnie zamiast listy może być wysłany pojedynczy raport o kondycji.

VPN NAP EC

Klient VPN NAP EC zastępuje Menedżera połączeń usługi Dostęp zdalny znanego z wersji 2003. Pobiera listę raportów o kondycji z agenta NAP swego klienta i przekazuje ją komunikatem PEAP-TLV do serwera VPN. Alternatywnie zamiast listy istnieje możliwość przesłania pojedynczego raportu o kondycji.

DHCP NAP EC

Klient DHCP NAP EC to nowa forma usług DHCP, wykorzystująca standardowe w branży komunikaty DHCP w celu wymiany informacji o stanie kondycji i ewentualnej konieczności ograniczenia dostępu do sieci. Klient wymuszania DHCP NAP EC, pobiera listę raportów o kondycji z agenta NAP swego klienta. W razie konieczności lista jest dzielona na fragmenty przesyłane, jako opcje komunikatów DHCPDiscover, DHCPRequest lub DHCPInform. Komunikaty DHCPDecline i DHCPRelease nie zawierają listy raportów o kondycji.

 Do początku strony Do początku strony

Agent kondycji systemu

Agent kondycji systemu aktualizuje stan kondycji swego klienta i publikuje jego status w postaci raportu przesłanego do agenta NAP tego klienta. Raport o kondycji zawiera informacje, na podstawie, których serwer NPS sprawdza, czy klient spełnia aktualnie obowiązujące wymogi bezpieczeństwa. Agenci kondycji systemu są dostosowani do modułów sprawdzania kondycji systemu (System Health Validator, SHV), pracujących po serwerowej stronie platformy NAP. Jeśli któryś z elementów stanu zdrowia klienta nie odpowiada wymogom bezpieczeństwa, dany moduł SHV wystawia odpowiedź System of Health Response (SoHR) z instrukcjami korygującymi, przekazywaną zwrotnie do agenta kondycji systemu za pośrednictwem agenta NAP i klienta NAP EC. Instrukcje te informują agenta kondycji systemu o tym, co należy zrobić, aby doprowadzić danego klienta do stanu zgodności z wymogami bezpieczeństwa.

 Do początku strony Do początku strony

Agent NAP

Agent NAP świadczy następujące usługi:

  • Odbiera raporty kondycji od poszczególnych agentów kondycji systemu i gromadzi je w pamięci podręcznej. Bufor tej pamięci jest aktualizowany zawsze, gdy któryś z agentów kondycji systemu dostarczy nowy lub zaktualizowany raport kondycji.
  • Na żądania komponentów wymuszających NAP EC dostarcza bieżącą listę raportów kondycji.
  • Przekazuje agentom kondycji systemu informacje, po każdej zmianie statusu dostępu klienta do sieci.
  • Gromadzi informacje o kondycji klienta oraz statusie określanym przez poszczególnych agentów kondycji systemu.
  • Przekazuje odpowiedzi SoHR z serwera do agentów kondycji systemu.
 Do początku strony Do początku strony

 

Windows Server 2008