NAP クライアント アーキテクチャ

Note

ネットワーク アクセス保護プラットフォームは、Windows 10以降は使用できません

 

NAP クライアントは、WINDOWS XP と Service Pack 3 (SP3)、Windows Vista、または Windows Server 2008 を実行するコンピューターで、NAP プラットフォームが含まれています。

この図は、NAP クライアント上の NAP プラットフォームのアーキテクチャを示しています。

NAP クライアント アーキテクチャは、次で構成されます。

• 強制クライアント (EC) コンポーネントのレイヤー

  各 NAP EC は、異なる種類のネットワーク アクセスに対して定義されます。 たとえば、DHCP 構成用の NAP EC とリモート アクセス VPN 接続用の NAP EC があります。 NAP EC は、特定の種類の NAP 強制ポイントと照合できます。 たとえば、DHCP NAP EC は、DHCP ベースの NAP 強制ポイントで動作するように設計されています。 一部の NAP EC は NAP プラットフォームで提供され、サードパーティのソフトウェア ベンダーまたは Microsoft は他のベンダーを提供できます。

• System Health Agent (SHA) コンポーネントのレイヤー

  SHA コンポーネントは、システム正常性の 1 つまたは複数の要素を維持および報告します。 たとえば、ウイルス対策署名用の SHA と、オペレーティング システムの更新プログラム用の SHA があるとします。 SHA は修復サーバーと照合できます。これは、NAP クライアントが非準拠状態を修復するためにアクセスできる正常性更新リソースを含むコンピューターです。 たとえば、ウイルス対策署名をチェックするための SHA は、最新のウイルス対策署名ファイルを含むサーバーと照合されます。 SHA には、対応する修復サーバーは必要ありません。 たとえば、SHA はローカル システム設定をチェックするだけで、ホスト ベースのファイアウォールが有効になっていることを確認できます。 Windows Vista および Windows XP Service Pack 3 には、Windows セキュリティ アプリの設定を監視する Windows セキュリティ Health Agent (WSHA) が含まれています。 サードパーティのソフトウェア ベンダーまたは Microsoft は、NAP プラットフォームに追加の SHA を提供できます。

• NAP エージェント

  NAP クライアントの現在の正常性状態情報を維持し、NAP EC と SHA レイヤー間の通信を容易にします。 NAP エージェントは NAP プラットフォームで提供されます。

• System Health Agent API

  SHA が NAP エージェントに登録したり、システムの正常性状態を示したり、NAP エージェントからのシステム正常性状態のクエリに応答したり、NAP エージェントがシステム正常性修復情報を SHA に渡したりできるようにする一連の関数を提供します。 SHA API を使用すると、ベンダーは追加の SHA を作成してインストールできます。 SHA API は NAP プラットフォームで提供されます。 次の NAP インターフェイスを参照してください。 INapSystemHealthAgentBinding2、 INapSystemHealthAgentCallback、 および INapSystemHealthAgentRequest。

特定の SHA の正常性状態を示すために、SHA によって正常性ステートメント (SoH) が作成され、NAP エージェントに渡されます。 SoH には、システム正常性の 1 つまたは複数の要素を含めることができます。 たとえば、ウイルス対策プログラムの SHA は、コンピューター上で実行されているウイルス対策ソフトウェアの状態、そのバージョン、最後に受信したウイルス対策署名更新プログラムを含む SoH を作成できます。 SHA によって状態が更新されるたびに、新しい SoH が作成され、NAP エージェントに渡されます。 NAP クライアントの全体的な正常性状態を示すために、NAP エージェントはシステム正常性ステートメント (SSoH) を使用します。これには、NAP クライアントのバージョン情報と、インストールされている SHA の SoHs のセットが含まれます。

以降のセクションでは、NAP クライアント アーキテクチャのコンポーネントについてさらに詳しく説明します。

NAP 強制クライアント

NAP 強制クライアント (EC) は、あるレベルのネットワークへのアクセスを要求し、コンピューターの正常性状態をネットワーク アクセスを提供する NAP 強制ポイントに渡します。 NAP 強制ポイントは、NAP を使用するコンピューターまたはネットワーク アクセス デバイスであり、NAP クライアントの正常性状態の評価を要求し、制限されたネットワーク アクセスまたは通信を提供するために NAP と共に使用できます。 コンピューターの正常性が準拠していない場合、NAP EC は NAP クライアントアーキテクチャの他のコンポーネントに対する NAP クライアントの制限された状態を示します。

WINDOWS XP で SP3、Windows Vista、Windows Server 2008 で提供される NAP プラットフォームの NAP EC は次のとおりです。

• IPsec で保護された通信用の IPsec NAP EC。
• 802.1X 認証接続用の EAPHost NAP EC。
• リモート アクセス VPN 接続用の VPN NAP EC。
• DHCP ベースの IPv4 アドレス構成用の DHCP NAP EC。
• TS ゲートウェイ接続用の TS ゲートウェイ NAP EC。

WINDOWS XP と SP3 の場合、802.1X で認証された有線接続とワイヤレス接続用に個別の NAP EC があります。

IPsec NAP EC

IPsec NAP EC は、NAP エージェントから SSoH を取得し、準拠しているコンピューターの証明機関 (CA) から正常性証明書を取得する Windows Server 2008 およびインターネット インフォメーション サービス (IIS) を実行しているコンピューターである正常性登録機関 (HRA) に送信するコンポーネントです。 IPsec NAP EC は、NAP クライアント構成スナップインの IPsec 証明書利用者 EC と呼ばれます。 IPsec NAP EC は、次とも対話します。

• 正常性証明書を格納する証明書ストア。
• 正常性証明書が IPsec で保護された通信に使用されるようにするための Windows の IPsec コンポーネント。
• IPsec で保護されたトラフィックがファイアウォールによって許可されるように、ホストベースのファイアウォール (Windows ファイアウォールなど)。

EAPHost NAP EC

EAPHost NAP EC は、NAP エージェントから SSoH を取得し、802.1X 認証接続の PEAP-Type-Length-Value (TLV) メッセージとして送信するコンポーネントです。 EAPHost NAP EC は、NAP クライアント構成スナップインの EAP 検疫 EC と呼ばれます。

VPN NAP EC

VPN NAP EC は、NAP エージェントから SSoH を取得し、リモート アクセス VPN 接続用の PEAP-TLV メッセージとして送信するリモート アクセス 接続マネージャー サービスの機能です。 VPN NAP EC は、NAP クライアント構成スナップインのリモート アクセス検疫 EC と呼ばれます。

DHCP NAP EC

DHCP NAP EC は、業界標準の DHCP メッセージを使用してシステム正常性メッセージと制限付きネットワーク アクセス情報を交換する DHCP クライアント サービスの機能です。 IPsec DHCP EC は、NAP クライアント構成スナップインの DHCP 検疫 EC と呼ばれます。 DHCP NAP EC は NAP エージェントから SSoH を取得します。 DHCP クライアント サービスは、必要に応じて SSoH をフラグメント化し、各フラグメントを、DHCPDiscover、DHCPRequest、または DHCPInform メッセージで送信される Microsoft ベンダー固有の DHCP オプションに配置します。 DHCPDecline メッセージと DHCPRelease メッセージに SSoH が含まれていません。

System Health エージェント

システム正常性エージェント (SHA) は、システム正常性の更新を実行し、その状態を SoH の形式で NAP エージェントに発行します。 SoH には、NAP 正常性ポリシー サーバーがクライアント コンピューターが必要な正常性状態であることを確認するために使用できる情報が含まれています。 SHA は、NAP プラットフォーム アーキテクチャのサーバー側のシステム正常性検証コントロール (SHV) と照合されます。 対応する SHV は、NAP クライアントに SoH 応答 (SoHR) を返すことができます。このクライアントは NAP EC と NAP エージェントによって SHA に渡され、SHA が必要な正常性状態でない場合の処理を通知します。 たとえば、ウイルス対策 SHV によって送信された SoHR は、対応するウイルス対策 SHA に対して、ウイルス対策署名サーバーに対してクエリを実行して最新バージョンのウイルス対策署名ファイルを取得するように指示できます。 SoHR には、クエリを実行するウイルス対策署名サーバーの名前または IP アドレスを含めることもできます。

SHA では、ローカルにインストールされたポリシー クライアントを使用して、ポリシー サーバーと組み合わせてシステム正常性管理機能を支援できます。 たとえば、ソフトウェア更新プログラム SHA では、ローカルにインストールされたソフトウェア クライアント ソフトウェア (ポリシー クライアント) を使用して、ソフトウェア更新サーバー (ポリシー サーバー) でバージョンチェックとインストールおよび更新機能を実行できます。

NAP エージェント

NAP エージェントは、次のサービスを提供します。

• 各 SHA から SoHs を収集し、キャッシュします。 SoH キャッシュは、SHA によって新しい SoH または更新された SoH が提供されるたびに更新されます。
• SSoH を格納し、要求に応じて NAP EC に提供します。
• 制限された状態が変更されたときに、SHA に通知を渡します。
• システム制限状態を維持し、各 SHA から状態情報を収集します。
• SoHR を適切な SHA に渡します。