Рекомендации по безопасности для защиты доступа к сети
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
не следует рассчитывать на NAP как на средство обеспечения безопасности сети от злоумышленников Защита сетевого доступа разработана для помощи администраторам в обслуживании работоспособности компьютеров в сети, что, в свою очередь, помогает поддерживать общую целостность сети. Например, если на компьютере установлены все обновления ПО, необходимые политике NAP Microsoft System Center Configuration Manager 2007, компьютер будет признан соответствующим и ему будет дан соответствующий доступ в сеть. Защита доступа к сети не может помешать авторизованному пользователю с соответствующим политике компьютером загрузить вредоносную программу в сеть или отключить агента NAP.
Используйте соответствующие структуре сайта политики NAP для минимизации беспорядка Неверная настройка политики NAP может привести к разрешению доступа в сеть клиентам, которве не должны иметь доступа, или ограничению доступа действительным клиентам. Чем выше сложность политики NAP, тем выше риск неверной настройки. Настройте агента клиента NAP Configuration Manager 2007 и точки средства проверки работоспособности системы Configuration Manager 2007 на использование одинаковых параметров в иерархиях или в дополнительных иерархиях в организации, если клиенты могут перемещаться между ними.
Важно!
Если клиент Configuration Manager с включенным агентом защиты доступа к сети может перемещаться в другую иерархию Configuration Manager, где состояние работоспособности клиента будет проверяться точкой средства проверки работоспособности системы вне его иерархии, произойдет сбой процесса проверки во время проверки сайта. Это приведет к изменению состояния клиента на "Неизвестно", что по умолчанию настроено на сервере сетевой политики как несоответствующее. Если на сервере политики сети задействованы политики ограниченного доступа к сети, исправление клиентов не выполняется и они могут не получить полный доступ к сети. Предоставить клиентам Configuration Manager, перемещающимся вне своей иерархии Configuration Manager, неограниченный доступ к сети можно путем задания политики исключения на сервере политики сети.
Не следует немедленно включать агента клиента защиты доступа к сети на новых сайтах Configuration Manager Хотя серверы сайта публикуют ссылки на состояние работоспособности Configuration Manager в контроллере домена при редактировании политик защиты доступа к сети Configuration Manager, новые данные доступны для извлечения точкой средств проверки состояния работоспособности системы только после завершения репликации Active Directory. Если включить агента клиента защиты доступа к сети до завершения репликации, и если сервер сетевой политики Windows даст несоответствующим клиентам ограниченный доступ к сети, это потенциально может стать причиной запрета атаки службы по отношению к себе.
Не следует рассчитывать на NAP как на механизм немедленного усиления или усиления в реальном времени В механизме NAP есть обязательные задержки. Поскольку NAP помогает сохранять соответствие компьтеров в течение длительного запуска, обычные задержки усиления могут длиться порядка нескольких часов или более из-за различных факторов, включая настройки различных параметров конфигурации.
См. также
Другие ресурсы
Защита доступа к сети в Configuration Manager
Рекомендации по безопасности и сведения о конфиденциальности для функций Configuration Manager
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.