Freigeben über

Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Eine Richtlinienstrategie für den Netzwerkzugriffsschutz (Network Access Protection, NAP) für Configuration Manager 2007 wird bestimmt, indem eine Gruppe bestimmter Mitarbeiter an den Entscheidungen bezüglich der Ziele, Anforderungen und Prozesse zusammenarbeiten. Zu dieser Gruppe zählen in der Regel der Configuration Manager-Administrator, der Netzwerkrichtlinienserver-Administator und Mitglieder des Sicherheitsteams, des Infrastrukturteams und möglicherweise des Helpdesks.

Das Konfigurieren der Configuration Manager-NAP-Richtlinien erfordert zwei Gruppen von Richtlinien: die NAP-Richtlinien, die im Configuration Manager definiert sind, und die NAP-Richtlinien, die auf dem Netzwerkrichtlinienserver definiert sind.

  • Die Configuration Manager-NAP-Richtlinien bestimmen, welche Softwareupdates bis zu einem definierten Datum auf Computern installiert sein müssen. Aufgrund der Richtlinien leitet der Configuration Manager den Integritätszustand des Computers und bei Bedarf eine Liste der für die Wiederherstellung erforderlichen Server an den Netzwerkrichtlinienserver weiter.

  • Die NAP-Richtlinien auf dem Netzwerkrichtlinienserver bestimmen, ob Clients vollen oder eingeschränkten Netzwerkzugriff haben und ob nicht kompatible Computer wiederhergestellt werden. Die Entscheidung hängt vom Integritätszustand des Computers ab, der an den Configuration Manager gesendet wird. Richtlinien auf dem Netzwerkrichtlinienserver können wie folgt konfiguriert werden:

    • NAP-fähige, kompatible Clients haben vollen Netzwerkzugriff.

    • NAP-fähige, nicht kompatible Clients haben bis zur Wiederherstellung begrenzten Netzwerkzugriff.

    • NAP-fähige, nicht kompatible Clients haben für begrenzte Zeit vollen Netzwerkzugriff und werden sofort wiederhergestellt.

    • Nicht NAP-fähige Clients haben vollen Netzwerkzugriff.

    • Nicht NAP-fähige Clients haben begrenzten Netzwerkzugriff, werden jedoch nicht wiederhergestellt.

    • Alle Fehlerbedingungen haben standardmäßig zur Folge, dass Computer nur begrenzten Zugriff haben (mit Wiederherstellung, sofern vom Client unterstützt), sie können jedoch für vollen Netzwerkzugriff konfiguriert werden.

Hinweis

Wenn in der Netzwerkrichtlinie auf dem Netzwerkrichtlinienserver keine Integritätsrichtlinien erzwungen werden, kann der Netzwerkzugriffsschutz im Configuration Manager nicht kompatible Computer nicht wiederherstellen. Die Kompatibilität kann in diesem Fall durch die definierte Configuration Manager-Softwareupdatefunktion erzielt werden. Wenn in der Netzwerkrichtlinie auf dem Netzwerkrichtlinienserver Integritätsrichtlinien erzwungen werden, versucht der Netzwerkzugriffsschutz im Configuration Manager stets, nicht kompatible Computer wiederherzustellen, selbst wenn die Option zum automatischen Wiederherstellen nicht kompatibler Computer in der Netzwerkrichtlinie deaktiviert ist.

Wenn Sie sich für eine Richtlinienstrategie für Ihr Netzwerk entschieden haben, sollten Sie Verbindungsanforderungsrichtlinien, Integritätsrichtlinien und Netzwerkrichtlinien konfigurieren. Die Netzwerkrichtlinien müssen Einstellungen für folgende Komponenten enthalten:

  1. NAP-fähige, kompatible Computer

  2. NAP-fähige, nicht kompatible Computer

  3. Nicht NAP-fähige Computer, deren Kompatibilität nicht festgestellt werden kann

Diese Richtlinien werden in der Regel wie folgt konfiguriert:

  1. Kompatible Computer haben vollen Netzwerkzugriff.

  2. Nicht kompatible Computer haben entweder begrenzten Netzwerkzugriff, werden wiederhergestellt und erhalten anschließend vollen Netzwerkzugriff, oder sie haben für begrenzte Zeit vollen Netzwerkzugriff und werden sofort im uneingeschränkten Netzwerk wiederhergestellt.

  3. Nicht NAP-fähige Computer haben vollen Netzwerkzugriff. In einer Umgebung mit hoher Sicherheit, in der der Integritätsstatus dieser Computer nicht bewertet werden kann, kann es jedoch angemessen sein, diesen Computern begrenzten Netzwerkzugriff zu gewähren, auch wenn sie nicht wiederhergestellt werden können und somit nie vollen Netzwerkzugriff erhalten.

Wenn Sie entschieden haben, wie die Computer im Großen und Ganzen mit Netzwerkzugriffsschutz arbeiten sollen, können Sie detailliertere Richtlinien für spezielle Bedingungen planen. Eventuell liegen beispielsweise die folgenden Ausnahmen vor:

  • Angegebene Personen haben nie begrenzten Netzwerkzugriff.

  • Standardnetzwerkcomputer haben in nicht kompatiblem Zustand für begrenzte Zeit vollen Netzwerkzugriff, während nicht kompatible Heimcomputer begrenzten Zugriff erhalten.

  • Während der Stunden, in denen ein lokaler Helpdesk nicht verfügbar ist, sollen nicht kompatible Computer für einen begrenzten Zeitraum über vollständigen Netzwerkzugriff (anstatt nur eines begrenzten Zugriffs) verfügen.

  • Angegebene Computer werden aus Integritätsrichtlinien ausgeschlossen. Diese Ausnahme ist beispielsweise angemessen, wenn der Configuration Manager-Client auf ausgewählten Computern nicht installiert werden darf.

Das Implementieren von Richtlinien für Ausnahmen erfolgt mithilfe von Richtlinienbedingungen und durch das Festlegen einer Reihenfolge. Da die erste Richtlinie verwendet wird, die einem Computer entspricht, der gerade eine Verbindung herstellt, müssen Sie die spezielleren Richtlinien (die Ausnahmen) in der Regel vor den allgemeinen Richtlinien platzieren. Wenn Sie Richtlinienausnahmen für Personen oder Computer benötigen, erstellen Sie die erforderlichen Microsoft Windows-Gruppen, die auf dem Netzwerkrichtlinienserver ausgewählt werden sollen.

Wichtig

Wenn Sie an einem Configuration Manager-Standort mit aktiviertem Netzwerkzugriffsschutz über NAP-fähige Computer verfügen, auf diesen Computern jedoch der Configuration Manager-Client nicht installiert ist, benötigen Sie für diese Computer entweder Ausnahmerichtlinien, die nicht auf die Configuration Manager-Systemintegritätsprüfung verweisen, oder eine Möglichkeit zum Installieren des Configuration Manager-Clients auf Computern im begrenzten Netzwerk (z. B. über einen benutzerfreundlichen Installationslink auf der Problembehandlungswebsite).

Siehe auch

Konzepte

Konfigurieren von Verbindungsanforderungsrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager
Konfigurieren von Netzwerkrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager
Konfigurieren der Fehlerkategorien für den Netzwerkzugriffsschutz in Configuration Manager
Konfigurieren von Integritätsrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager
Konfigurieren der Wiederherstellungsservergruppen für den Netzwerkzugriffsschutz in Configuration Manager
Konfigurieren der Benutzerführung bei der Wiederherstellung für den Netzwerkzugriffsschutz in Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com