Определение ролей и процессов администратора для защиты доступа к сети
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Последнее обновление раздела: май 2008
В производственной среде реализация защиты доступа к сети (NAP) требует взаимодействия и сотрудничества с рядом различных групп по всему предприятию. Например, эти группы могут включать:
Архитекторов доменной службы Active Directory, которые назначают лес для публикации ссылок на состояние работоспособности NAP и расширяют схему при помощи расширения схем Configuration Manager 2007.
Администраторов службы домена Active Directory для расширения схемы и конфигурирования контейнера System Management с необходимыми разрешениями безопасности. Этих же администраторов можно привлекать к созданию или идентификации учетных записей или групп безопасности Windows для использования при конфигурировании точки средства проверки работоспособности системы и политик NAP.
Архитекторов инфраструктуры для проектирования архитектуры сети и сервера, необходимой для поддержки защиты доступа к сети, в том числе принятия решения о выборе технологии принудительной защиты.
Специалистов по инфраструктуре открытого ключа (PKI) для предоставления службы сертификатов в случае применения системы ограничений IPSec с защитой доступа к сети.
Администраторов Windows Server для создания и настройки серверов политики сети и поддерживающих служб Windows.
Администраторов брандмауэров для внесения изменений в конфигурацию брандмауэров и сетевых устройств, необходимых для поддержки защиты доступа к сети.
Экспертов по безопасности для помощи в определении критериев выбора обновлений программного обеспечения для принудительной защиты доступа к сети, даты внедрения этих обновлений, и решения об ограничениях в отношении несовместимых компьютеров, не соответствующих политике, до устранения несоответствия.
Работающих на постоянной основе веб-конструкторов для создания всеобъемлющего веб-сайта устранения неисправностей компьютеров, которые не удалось восстановить в ограниченной сети.
Инженеров службы технической поддержки, к которым могут обращаться пользователи компьютеров с ограниченным доступом, не позволяющих подключаться к сети, или те, кому не удалось восстановить свои компьютеры.
Администраторов распространения программного обеспечения Configuration Manager для обновления клиентов с поддерживаемыми версиями Windows XP и до Windows XP с пакетом обновления 3, с тем, чтобы эти клиенты могли поддерживать защиту доступа к сети.
Администраторов обновления программного обеспечения Configuration Manager для конфигурирования точек обновления и создания пакетов обновления программного обеспечения на точках распространения.
Администраторов Configuration Manager для конфигурирования точек средства проверки работоспособности системы, конфигурирования агента клиента защиты доступа к сети и, затем, конфигурирования и мониторинга политик NAP Configuration Manager.
Конечных пользователей, которых необходимо обучать и извещать о процессах защиты доступа к сети, а также о том, что делать в случае возникновения проблем.
Поскольку защита доступа к сети включает множество ролей, успех реализации зависит от определения того, кто будет нести ответственность за различные роли, и обеспечения, при необходимости, совместной работы групп. Успешность текущей реализации будет зависеть от распознавания и согласованности с процессами, которые координируют различные функции всех ролей.
Ниже перечислены некоторые последствия отсутствия либо несоблюдения заданных процессов в условиях защиты доступа к сети, реализованной в производственной среде.
Перегруженность службы технической поддержки обращениями пользователей по поводу сообщений и ошибок защиты доступа к сети.
Падение производительности и несоблюдение сроков из-за отсутствия у пользователей доступа к необходимым сетевым ресурсам.
Падение уровня удовлетворенности информационными услугами и невыполнение условий соглашений об уровне обслуживания (SLA).
Предоставление полного сетевого доступа несоответствующим компьютерам, что порождает опасность для корпоративных ресурсов.
Используйте определенную методологию, например, ITIL или Microsoft Operations Framework (https://go.microsoft.com/fwlink/?LinkId=88047), которая поможет реализовать защиту доступа к сети в рамках архитектуры заданных процессов. Обязательно документируйте проектирование, процедуры тестирования, сферы ответственности и процессы настройки политик, мониторинга и устранения неполадок, а затем распространяйте эти сведения, обеспечивая их регулярное обновление и доступность для всех пользователей.
Примечание
Анализируйте существующие корпоративные политики безопасности и, при необходимости, изменяйте их, включая защиту доступа к сети. Корпоративные политики безопасности зачастую принудительно обеспечивают совместимость политик за счет нисходящих процессов.
Разделение ролей в Configuration Manager
При определении ролей, необходимых для защиты доступа в Configuration Manager, существует возможность перекрывания обновлений программного обеспечения и защиты доступа к сети. Эти две роли можно сочетать либо разделять, в зависимости от производственной необходимости. Как правило, небольшие организации сочетают обе роли, однако есть и такие, которые предпочитают разделение. Роль защиты доступа к сети в Configuration Manager можно даже сочетать с ролями, внешними по отношению к продукту – например, ролями администраторов безопасности или сервера политик сети.
Разделение ролей в обновлении программного обеспечения или защите доступа к сети в Configuration Manager 2007 поддерживается наличием отдельного узла защиты доступа к сети в консоли Configuration Manager. Для определения разрешений определенным пользователям или группам на выполнение в Configuration Manager задач, связанных с защитой доступа к сети, воспользуйтесь вкладкой Безопасность в свойствах узла Защита доступа к сети. Затем воспользуйтесь вкладкой Безопасность в свойствах узла Обновления программного обеспечения для ограничения администраторам защиты доступа к сети доступа к обновлениям программного обеспечения. Такая конфигурация обеспечит следующие условия.
Администраторы защиты доступа к сети могут просматривать статистику этого доступа в узле Защита доступа к сети.
Администраторы защиты доступа к сети могут создавать, просматривать, изменять и удалять политики NAP.
Администраторы защиты доступа к сети могут создавать, просматривать, изменять и удалять развертывания обновлений программного обеспечения, пакеты и шаблоны.
Поскольку узел Политики обладает собственной вкладкой Безопасность, можно детализировать разрешения, выделив группу администраторов защиты доступа к сети, которые могут создавать, просматривать, изменять и удалять политики NAP.
Однако, ввиду возможности конфигурирования обновления программного обеспечения таким образом, чтобы была возможна оценка NAP в Мастере развертывания обновлений программного обеспечения, а также в форме упакованного обновления, администраторам обновления программного обеспечения невозможно закрыть доступ к конфигурированию политик NAP из узла Обновления программного обеспечения.
В случае разделения ролей в Configuration Manager, может понадобиться также конфигурирование безопасности, при котором администраторы защиты доступа к сети будут иметь доступ к узлу Отчеты, что позволит им открывать отчеты с категорией защиты доступа к сети .
Администратору, который занимается только защитой доступа к сети в Configuration Manager 2007, нет надобности в доступе к коллекциям, поскольку политики NAP Configuration Manager автоматически ориентируются на всех клиентов, зарегистрированных на сайте.
Подробнее о правах безопасности для защиты доступа к сети в Configuration Manager см. в разделе Права безопасности для защиты доступа к сети.
См. также
Основные понятия
Рабочий процесс администратора: настройка защиты доступа к сети для Configuration Manager
О ссылках на состояние работоспособности NAP в защите доступа к сети
О точках средства проверки работоспособности системы в защите доступа к сети
О процессе защиты доступа к сети
Другие ресурсы
Контрольный список администратора: настройка защиты доступа к сети для Configuration Manager
Планирование защиты доступа к сети
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.