Рекомендации по защите доступа к сети

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Последнее обновление раздела: ноябрь 2007 г.

Используйте следующие рекомендации для защиты доступа к сети (NAP) в Configuration Manager 2007 и см. также Рекомендации по безопасности для защиты доступа к сети.

• Подтвердите успешную установку обновлений программного обеспечения на неограниченной сети с помощью функции обновления программного обеспечения Configuration Manager прежде, чем настраивать обновления программного обеспечения для защиты доступа к сети.

  Успешное исправление клиентов Configuration Manager, которые не совместимы с обновлениями программного обеспечения, опирается на стандартную операцию обновлений программного обеспечения. Если функция обновлений программного обеспечения не работает правильно до введения защиты доступа к сети, есть высокий риск того, что клиентам не удастся получить доступ к неограниченной сети и устранение неполадок будет более трудным.

  Дополнительные сведения о настройке функции обновлений программного обеспечения см. в разделе Обновление программного обеспечения в Configuration Manager.

• Подтвердите, что защита доступа к сети Windows работает с успешным исправлением прежде, чем ввести защиту доступа к сети Configuration Manager.

  Несколько пошаговых руководств доступны на сайте защиты доступа к сети Windows по адресу (https://go.microsoft.com/fwlink/?LinkId=59125). Используйте эти руководства для подтверждения работоспособности инфраструктуры защиты доступа к сети Windows с агентом работоспособности системы Windows и средством проверки работоспособности системы, — например, путем отключения брандмауэра Windows на тестовом клиенте и подтверждения, что он автоматически включается вновь. Если основная инфраструктура Windows не работает правильно, защита доступа к сети в Configuration Manager не может быть успешной.

• Запланируйте установку клиента Configuration Manager в сети с ограниченным доступом с шагами исправления вручную на сайте диагностики.

  Автоматическое исправление в Configuration Manager не может включать восстановление или установку клиента Configuration Manager. Если политика работоспособности включает средство проверки работоспособности системы Configuration Manager, клиенты, оснащенные защитой доступа к сети (NAP), на которых не установлен клиент Configuration Manager, выдадут ошибку совместимости. Это может привести к тому, что на этих компьютерах будет ограничен доступ к сети без автоматического исправления.

  Это означает, что клиент Configuration Manager должен быть установлен вручную (или политики настроены на исключение компьютера). Получите сценарий установки, доступный на собственном сайте защиты доступа к сети, чтобы пользователи могли установить клиент Configuration Manager самостоятельно.

  Стремитесь усовершенствовать этот сценарий установки, чтобы установка была наиболее эффективной, особенно если пользователи соединяются по медленной сети, такой как виртуальная частная сеть (VPN).

  Дополнительные сведения о сайте диагностики защиты доступа к сети Windows см. в разделе Настройка взаимодействия с пользователем при обновлении для защиты доступа к сети в Configuration Manager.

• Тестовые средние значения времени исправления для установки ожиданий.

  Если политика сети исправляет несовместимые компьютеры в сети с ограниченным доступом, важно знать, как долго компьютеры могли иметь ограниченный доступ к сети и подтвердить, что это является допустимым нарушением непрерывности бизнес-процесса. Сообщите инженерам службы технической поддержки и конечным пользователям (если применимо) о том, через какое время несовместимый компьютер может получить полный доступ к сети для того, чтобы они знали продолжительность задержки при нормальной работе и не обращались в службу технической поддержки без надобности.

• Заранее обучите пользователей тому, что приветствуется установка обновлений программного обеспечения до даты вступления в силу NAP.

  Предоставляя пользователям возможность устанавливать обновления программного обеспечения самим или с использованием функции обновлений программного обеспечения, обеспечивающей автоматическую установку критических обновлений программного обеспечения на неограниченной сети, всегда предпочтительно ограничивать доступ к сети. Используйте метод коммуникации, чтобы уведомлять пользователей о том, какие обновления программного обеспечения отмечены для защиты доступа к сети, и предупреждать пользователей относительно даты, начиная с которой их компьютеры могут быть ограничены в доступе к сети, если они не будут отнесены к совместимым, а затем обеспечить инструкциями, которые помогут пользователям убедиться, что их компьютеры являются совместимыми. Это уведомление может помочь увеличивать уровни совместимости и уменьшать неудовлетворенность пользователей, если компьютеры остаются несовместимыми и, следовательно, имеют ограниченный доступ к сети до исправления.

• Определите компьютеры, на которых не должен быть установлен клиент Configuration Manager и настройте политику исключения на сервере политики сети.

  Если на некоторых компьютерах не должен быть установлен клиент Configuration Manager, для них потребуется политика исключения. Дополнительные сведения см. в разделах Определение своей стратегии политики для защиты доступа к сети и Настройка политик исключения для защиты доступа к сети в Configuration Manager.

• Не устанавливайте агент работоспособности системы WSUS на компьютере, на котором установлен клиент Configuration Manager с включенным агентом клиента защиты доступа к сети.

  Агент работоспособности системы WSUS и агент клиента защиты доступа к сети соединяются с сервером WSUS и выполняют одно и то же задание сохранения совместимости компьютера с обновлениями программного обеспечения. Использование обоих агентов работоспособности системы вместе может привести к конфликту конфигурации и излишней обработке.

См. также

Основные понятия

Определение ролей и процессов администратора для защиты доступа к сети
Рекомендации по безопасности для защиты доступа к сети

Другие ресурсы

Планирование защиты доступа к сети

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.