À propos des déploiements de protection d'accès réseau échelonnées et expédiées
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Les informations ci-dessous vous permettent d'identifier les deux types de fonctionnement de protection d'accès réseau (NAP) au sein de Configuration Manager 2007 et indiquent comment les configurer.
Types échelonnés et expédiés
Les types de fonctionnement de protection d'accès réseau sont les suivants :
Déploiement échelonné : en tant que deuxième filtre pour un déploiement de mises à jour logicielles.
Déploiement expédié : en tant que mesure d'urgence (par exemple, pour éviter que les ordinateurs se connectent au réseau lorsqu'ils présentent une vulnérabilité à effet immédiat).
Vous trouverez ci-dessous une description de ces deux types de fonctionnement et de leurs conséquences sur la configuration des stratégies NAP de Configuration Manager. Pour des exemples qui illustrent ces types de fonctionnement, consultez la rubrique Exemples de scénarios d'implémentation d'une protection d'accès réseau dans Configuration Manager.
Déploiements de protection d'accès réseau échelonnés
Un déploiement de protection d'accès réseau échelonné représente le deuxième filtre (ou le filtre suivant) pour un déploiement de mises à jour logicielles qui n'est pas urgent.
Les déploiements de mises à jour logicielles de ce type sont créés en tant que tâche d'administration de routine à échéances futures (par exemple, deux semaines plus tard). Par ailleurs, les déploiements de mises à jour logicielles sont configurés de manière à être activés pour l'évaluation NAP à une date ultérieure à l'échéance du déploiement (par exemple, quatre semaines plus tard). La coordination avec l'administrateur du serveur de stratégie réseau assure la correction des ordinateurs non conformes, soit par un accès au réseau limité, soit par un accès réseau complet pour une durée limitée. Du fait de cette stratégie, les clients installent la mise à jour logicielle par le biais des mises à jour logicielles de Configuration Manager ou des mises à jour de la protection d'accès réseau en tant que deuxième filtre.
Il s'agit d'un déploiement échelonné, qui n'est pas urgent, grâce auquel certains utilisateurs installent la mise à jour logicielle avant échéance. La plupart des ordinateurs installent automatiquement la mise à jour logicielle par le biais de la fonction de mise à jour logicielle. La protection d'accès réseau est utilisée en tant que mesure de sécurité intégrée. Le déploiement échelonné laisse beaucoup de temps à la mise à jour logicielle pour se dupliquer sur les points de distribution et permet d'éviter les dégradations de performances du réseau et des serveurs lors des demandes de service.
Lorsque ces conditions sont remplies, créez les stratégies de protection d'accès réseau de Configuration Manager au sein de votre déploiement de mises à jour logicielles (à l'aide de l'Assistant Distribution de mises à jour logicielles) et configurez la date d'effet de la protection d'accès réseau à une date ultérieure à l'échéance du déploiement. Configurez également cette échéance en prenant soin de laisser suffisamment de temps pour que tous les clients reçoivent le déploiement de mises à jour logicielles et d'autoriser la duplication du package sur les points de distribution.
Cependant, si des administrateurs gèrent la protection d'accès réseau dans Configuration Manager mais qu'ils ne gèrent pas les mises à jour logicielles, créez les stratégies de protection d'accès réseau de Configuration Manager à l'aide de l'Assistant Nouvelles stratégies sous le nœud Protection d'accès réseau, Stratégies et assurez-vous que la coordination entre les deux rôles d'administrateur de Configuration Manager est activée afin de pouvoir configurer une date d'effet des stratégies de protection d'accès réseau adéquate, ultérieure à l'échéance configurée pour le déploiement des mises à jour logicielles.
Déploiements de protection d'accès réseau expédiés
Un déploiement de protection d'accès réseau expédié est créé en tant que mesure d'urgence (par exemple, pour éviter que les ordinateurs se connectent au réseau lorsqu'ils présentent une vulnérabilité à effet immédiat).
Un déploiement expédié représente une tâche urgente hors-bande, effectuée généralement en réponse à un incident de sécurité et pour empêcher les clients compatibles NAP de se connecter au réseau tant qu'ils n'ont pas sélectionné de mises à jour logicielles. Lorsque ces conditions sont remplies, créez une stratégie de protection d'accès réseau qui identifie les mises à jour logicielles essentielles, configurez la date d'effet sur Dès que possible et configurez le point du programme de validation d'intégrité système de sorte que les clients obtiennent les dernières stratégies de protection d'accès réseau de Configuration Manager. Effectuez également une coordination avec l'administrateur du serveur de stratégie réseau pour assurer la correction des ordinateurs non conformes par un accès au réseau limité. S'il est essentiel que seuls les ordinateurs compatibles puissent accéder complètement au réseau, les stratégies du serveur de stratégie réseau peuvent être configurées de sorte que les clients non compatibles NAP ne bénéficient pas d'un accès réseau complet.
Un déploiement expédié représente une situation dans laquelle la présence d'ordinateurs non mis à jour est jugée plus importante que la présence d'ordinateurs qui ne peuvent pas se connecter au réseau et risquent donc des retards ou des échecs lors des mises à jour. Une telle situation entraîne des répercussions négatives dues au fait que la fonction de mises à jour logicielles de Configuration Manager ne dispose pas du temps standard pour installer la mise à jour logicielle à une date antérieure à l'application de la compatibilité. Il est alors possible que de nombreux ordinateurs ne soient pas compatibles et que le réseau et les points de distribution (ainsi que les points de gestion) subissent une demande plus importante que d'ordinaire, ce qui peut entraîner des échecs lors des mises à jour et affecter les performances d'autres services réseau. De plus, une durée trop courte présente le risque de ne pas laisser suffisamment de temps pour répliquer le package de mises à jour logicielles sur tous les points de distribution, ce qui peut empêcher les clients d'installer localement les mises à jour logicielles dont ils ont besoin pour des raisons de compatibilité et d'effectuer des téléchargements à partir de connexions réseau lentes et non fiables.
Si une situation qui nécessite un déploiement expédié se présente alors que la mise à jour logicielle n'est pas encore déployée, vous pouvez déployer celle-ci à l'aide de l'Assistant Distribution de mises à jour logicielles, configurer la date d'effet de l'évaluation NAP sur Dès que possible et configurer une installation automatique dont la date d'échéance correspond à la date et à l'heure actuelles. Cette configuration de déploiement permet de cibler la mise à jour logicielle pour les clients du regroupement que vous avez sélectionné. Elle est appliquée à tous les ordinateurs compatibles NAP affectés au site, ainsi qu'à tous les ordinateurs affectés aux sites situés plus bas dans la hiérarchie de Configuration Manager. Si vous utilisez le regroupement par défaut Tous les systèmes, tous les ordinateurs ciblés par les stratégies NAP de Configuration Manager s'affichent.
Cependant, si vous passez d'un déploiement de protection d'accès réseau échelonné à un déploiement de protection d'accès réseau expédié, il est bien plus facile de créer des stratégies de protection d'accès réseau à l'aide de l'Assistant Nouvelles stratégies sous le nœud Protection d'accès réseau, Stratégies plutôt qu'à l'aide de la fonction de mises à jour logicielles, afin de configurer la stratégie de protection d'accès réseau en tant que propriété de la mise à jour logicielle.
Notes
Si vous passez d'un déploiement de protection d'accès réseau échelonné à un déploiement de protection d'accès réseau expédié alors que certains de vos clients Configuration Manager ne sont pas compatibles NAP, modifiez le déploiement de la mise à jour logicielle de façon à ce qu'il soit installé automatiquement à échéance rapide et assurez-vous qu'il est ciblé sur un regroupement qui contient tous vos clients compatibles NAP.
Voir aussi
Tâches
Comment configurer une stratégie NAP de Configuration Manager pour une vulnérabilité à effet immédiat dans la protection d'accès réseau
Comment créer une stratégie NAP de Configuration Manager pour la protection d'accès réseau
Comment définir les date et heure d'effet de début de l'évaluation NAP pour la protection d'accès réseau
Concepts
À propos des différences entre les mises à jour logicielles et la protection d'accès réseau
À propos de l'activation de la conformité avec la protection d'accès réseau
Exemples de scénarios d'implémentation d'une protection d'accès réseau dans Configuration Manager
Détermination de votre stratégie pour la protection d'accès réseau
À propos de la mise à jour de la protection d'accès réseau
À propos de l'Assistant Déploiement des mises à jour logicielles
Autres ressources
Configuration du serveur NPS pour Configuration Manager
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.