在 Configuration Manager 中实施网络访问保护的示例方案

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

以下部分提供可以如何在 Configuration Manager 2007 中实施网络访问保护 (NAP) 以解决下列业务要求的方案例如:

  • 强制软件更新的符合性作为分阶段部署的一部分

  • 强制软件更新的符合性作为加急部署的一部分

强制软件更新的符合性作为分阶段部署的一部分

此方案说明了在 Configuration Manager 中可以如何使用网络访问保护作为软件更新分阶段部署的一部分,限制对截至指定日期无法安装所需软件更新的少数计算机的网络访问。

Woodgrove Bank 从 Microsoft 收到了软件更新的月度通知,并希望帮助保护网络免受那些易受软件更新中解决的利用情形攻击的计算机的影响。它决定采用下表中的操作过程。

过程 参考

由 Kevin Verboort 领导的公司安全小组对解决安全漏洞的软件更新进行评估。此小组验证该漏洞是否适用于其环境,如果是,则验证对企业资产和业务持续性产生的业务影响以及漏洞可能被利用的情形。

与安全无关的软件更新由负责其他领域的其他小组来评估。

公司特定的内部过程

Kevin 与软件更新的 Configuration Manager 管理员 Mary North 合作。她采用安全小组的关键安全更新列表,运行报表以查看网络上有多少计算机可能容易受到安全更新中解决的利用情形的攻击。

她发现网络上大约有四分之一的计算机可能容易受到列出的软件安全更新的攻击,而且所有这些计算机都支持 NAP。

网络访问保护报表:基于所选软件更新不符合的计算机列表

有关详细信息,请参阅下列主题:

Kevin 决定,根据安全隐患和业务影响分析,所有计算机都应该在两周内通过软件更新来安装安全软件更新。

对于在此时间段内无法安装软件更新的少数计算机,将在受限网络上通过网络访问保护强制安装。

确定网络访问保护策略

Mary 还收到了应该在四周内安装的非安全更新列表。

公司特定的内部过程

Mary 用一周时间在有代表性的一组计算机上测试了所选软件更新的安装,以确保安装成功并且应用程序继续按期望正常工作。

配置软件更新

Mary 提交了两个更改请求 (RFC):

  • 将在四周内安装的非安全软件更新,无需网络访问保护强制。

  • 最初将通过软件更新安装的安全软件更新,需要网络访问保护作为防止失败的强制措施。

两个 RFC 都得到批准。

公司特定的内部过程

于是 Mary 联系网络策略服务器管理员,沟通何时创建 Configuration Manager NAP 策略,以及安全软件更新将在其中生效的日期。

两位管理员合作确保不符合的计算机将在受限网络中自动进行修正,如果修正失败,疑难解答网站上将提供软件更新。

Mary 还提前通知咨询台软件更新安装事宜,以及哪些软件更新将通过网络访问保护强制安装。

为网络访问保护确定管理员角色和流程

配置 Configuration Manager 网络访问保护的修正用户体验

Mary 确认她为软件更新创建的软件更新包现在已复制到层次结构中的所有分发点。

然后,Mary 使用部署软件更新向导创建两个部署,并确定目标均为中央站点中的“所有系统”集合:

  • 截止时间为四周的非安全软件更新。

  • 截止时间为两周,NAP 有效日期为四周的安全软件更新。

软件分发 - 包报表:特定包的分发状态

如何部署软件更新

如何为软件更新配置 NAP 评估

Mary 向安全小组、网络策略服务器小组和咨询台发送了部署确认通知。

咨询台分发用户通知,警告如果截至截止日期计算机仍未安装所需的安全软件更新,则可能丢失网络连接,并鼓励用户尽快自行安装更新。

公司特定的内部过程

Mary 监视软件更新的符合性。

到第三周结束时,有很多计算机仍然不符合安全软件更新。每个计算机所有者将收到邮件通知,告知他们的计算机不符合安全策略,如果截至周末仍然不符合,则可能会自动修正丢失网络连接这一风险。

网络访问保护报表:基于所选软件更新不符合的计算机列表

有关详细信息,请参阅下列主题:

在 NAP 策略中配置的生效日期之前的两天,Mary 注意到只有少数计算机现在仍不符合安全软件更新。

Mary 将此报表转发给安全小组,并通知咨询台哪些计算机仍不符合并支持网络访问保护。

公司特定的内部过程

Mary 继续监视所选软件更新的符合性,并按商定间隔将进度报表转发给安全小组。

公司特定的内部过程

六周后,Mary 注意到有 85% 的计算机报告符合非安全软件更新,100% 的计算机报告符合安全软件更新。

Mary 检查此过程,查看是否需要修改,并调查没有安装非安全更新的计算机。

网络访问保护报表:

  • 通过修正安装的软件更新列表

  • 通过软件更新部署和 NAP 修正安装的软件更新之比较

  • 指定时间段内通过修正安装了特定软件更新的计算机列表

  • 指定时间段内的修正失败列表

Mary 向安全小组提供报表,并请咨询台提供反馈以识别任何技术或通信改进。

公司特定的内部过程

在分阶段部署期间,Configuration Manager NAP 策略可能按照下列方式影响用户:

  • 便携式计算机在外出一段时间后返回公司网络:

    一位销售人员经常出差到客户现场,但会返回公司总部参加重要会议。他简要浏览了关于要求安装安全更新但并未安装的电子邮件通知,到截止时间时他没有做任何反应就外出了。

    当到达总部参加会议时,他将他的计算机连接到网络上,登录之后不久就看到一则通知,告知由于不符合安全策略,他的计算机网络访问受到限制。他想起了那则电子邮件通知并开始搜索,查找如何操作的说明。等他找到这封电子邮件并阅读之后,他的计算机已经安装了所需的软件更新,网络访问不再受到限制。他的计算机继续在后台安装非安全更新。

  • 休假的用户回来工作:

    某个用户在休假几周后回来上班。尽管她的计算机在她离开之前已完全符合,但是在她离开期间她的计算机关闭了,因此在这段时间里不能接收软件更新。当她回来上班时,她打开计算机,登录,然后加载 Microsoft Outlook。但是,她的邮箱无法连接到服务器,她看到一个通知,告知由于她的计算机不符合,她的网络访问受到限制。

    她并不知道该电子邮件通知已过去几个星期,因而致电咨询台,确认她的计算机名列到 Configuration Manager NAP 策略中截至生效日期仍不符合的计算机之一。咨询台解释说她的计算机将自动进行修正,她需要做的就是等待,他们将在半个小时后回电确认已还原连接。

    该用户冲泡了一杯咖啡,了解在她休假的这段时间里办公室发生的新闻。等她回来时,她看到她的计算机现在具有完全访问网络权限,向咨询台确认后,她的用户协助票证被关闭。

  • 安装新计算机:

    某个新用户收到她的台式计算机,此计算机运行 Windows Vista 并使用 Configuration Manager 客户端被镜像。她拆开计算机包装,连接好后开机。完成初始安装后,弹出一个气球,通知她的计算机网络访问受到限制。

    她单击此通知,看到她的计算机正在安装公司的安全策略要求的软件更新。她整理好包装箱,返回计算机前,看到另一则通知说现在她的计算机网络访问不受限制了。她开始配置她的桌面,此时非安全更新正在后台运行,她需要的应用程序已自动安装。

  • 来宾没有完全网络访问权限:

    来自另一家公司的顾问将他的便携式计算机接入公司网络。来宾看到他的计算机网络访问受到限制,对受限网络的修正失败。他联系咨询台。

    此行为是设计使然。由于此计算机没有安装 Configuration Manager 客户端,系统健康验证程序点无法验证此计算机是符合还是不符合。在这种情况下,网络策略服务器上的 Configuration Manager 系统健康验证程序配置为给予计算机不符合健康状况,而且不能自动修正。

    咨询台确认他们在这种情况下的措施是向来宾解释不能授予来宾完全网络访问权限,但是来宾可以使用受限网络上的 Web 代理服务器。来宾使用代理 Web 服务器进行 Internet 访问,并通过 VPN 连接到自己公司的网络。

  • 少数用户的网络连接暂时丢失:

    即使在生效日期之前,一些用户注意到有网络访问保护通知告知他们的计算机不符合,并且网络访问受到限制。之后他们很快又看到另一则消息,通知他们计算机现在已符合,他们具有完全网络访问权限。一些用户对这些消息感到担心,致电咨询台。他们得知,这是网络访问保护的预期行为,旨在确保计算机满足最新的要求,并不表示存在问题。。

    随着时间流逝,用户日益习惯新的过程,只会在看到失败消息时才会致电咨询台。

    备注

    有一些情况可能导致客户端被系统健康验证程序视为不符合,这与客户端是否安装了软件更新无关。这些情况包括客户端缓存的健康声明早于配置的健康声明有效期,而且客户端没有最新的Configuration Manager NAP 策略。请注意,Configuration Manager 2007 客户端可以出于许多原因采取修正措施,并在部署之前就此可能性对用户和咨询台进行培训。

    有关这种情况的详细信息,请参阅关于网络访问保护修正关于 Configuration Manager 中网络访问保护的符合性

强制软件更新的符合性作为加急部署的一部分

此方案说明了在 Configuration Manager 中可以如何使用网络访问保护作为软件更新(必须紧急安装到受保护的网络资源)加急部署的一部分。

Woodgrove Bank 从 Microsoft 收到了有关关键软件安全更新的紧急通知,希望立即最大限度地减少网络上易被利用的计算机数量。它决定采用下表中描述的操作过程。

过程 参考

Kevin Verboort 收到安全通知,作为首席安全官,他致电安全小组召开紧急会议,审核关键软件安全更新并了解对其环境造成的安全隐患。

评估了安全威胁对公司资产和业务持续性产生的业务影响以及漏洞可能被利用的情形。

公司特定的内部过程

会议期间,要求软件更新的 Configuration Manager 管理员 Mary North 运行报表,以找出网络上有多少计算机可能容易受到安全软件更新中解决的利用情形的攻击。

她发现网络上大约有一半的计算机可能容易受到列出的软件安全更新的攻击,而且这些计算机大多数都支持网络访问保护。

网络访问保护报表:基于所选软件更新不符合的计算机列表

网络访问保护报表:支持 NAP 并且 NAP 可升级的计算机列表

有关详细信息,请参阅下列主题:

安全小组决定,容易遭受安全软件更新解决的安全利用情形攻击的计算机所面临的风险非常重要,以致于即使短期内生产效率可能下降,计算机也应立即安装该安全软件更新。

确定网络访问保护策略

Mary 创建了软件更新包,下载软件更新并将其添加到层次结构中的所有分发点。

如何创建部署包

Mary 在具有代表性的一组计算机上启动了此软件更新的最小化测试,以确保安装成功并且基本应用程序仍然按期望正常工作。

公司特定的内部过程

Kevin 启动了带外更改请求的紧急程序,立即得到审核和批准。

通知被发送给 Mary、网络策略服务器管理员、咨询台和监视服务资源的小组,警告他们当大量计算机尝试在短时间内进行修正时流量会突然增加。

公司特定的内部过程

确认受测试的软件更新没有问题之后,Mary 使用新建策略向导来识别软件更新并将生效日期配置为“尽快”。

然后,她配置了系统健康验证程序点组件属性,并使用当前日期和时间配置了选项“创建日期必须晚于 (UTC)”。

如何为网络访问保护创建 Configuration Manager NAP 策略

如何为健康声明指定选项“创建日期必须晚于”

Mary 知道某些计算机不支持网络访问保护,这些计算机运行的是 Windows XP SP 1 和 Windows Server 2003。安全更新适用于运行不带 Service Pack 1 的 Windows XP 的计算机,但不适用于运行 Windows Server 2003 的服务器。

Mary 为软件更新创建了软件更新部署,截止时间为“尽快”。她将此软件更新部署的目标设定为仅包含 Windows XP SP 1 的集合。

如何部署软件更新

Mary 发送更改请求工作已完成的确认通知,转发给有关方面。

公司特定的内部过程

Mary 监视关键安全软件更新的符合性,并向安全小组报告进度。

尤其需要注意不支持网络访问保护的计算机,因为这些计算机上的安装失败将使它们的网络访问不受保护。这些计算机上的任何安装失败都会被立即报告给咨询台以便主动调查并解决问题,从而确保符合性。

网络访问保护报表:基于所选软件更新不符合的计算机列表

有关详细信息,请参阅下列主题:

24 小时后,适用计算机中有 90% 都已符合软件更新。Mary 调查不符合的计算机,发现它们由于合法的原因目前不在公司网络中。

于是向他们发送邮件通知,请求他们手动安装软件更新。Mary 知道如果此机制失败(例如,用户正在休假,已关闭了她 的计算机),则当此计算机连接到公司网络时将强制符合。

公司特定的内部过程

Mary 继续监视所选软件更新的符合性,并按商定间隔将进度报表转发给安全小组。

公司特定的内部过程

到与安全小组商定的期限结束时,Mary 确认现在所有计算机均报告符合所选软件更新,并审查此过程了解是否需要修改,以便更有效地安装紧急软件更新。

网络访问保护报表:

  • 通过修正安装的软件更新列表

  • 通过软件更新部署和 NAP 修正安装的软件更新之比较

  • 指定时间段内通过修正安装了特定软件更新的计算机列表

  • 指定时间段内的修正失败列表

Mary 向安全小组提供她的发现,并请咨询台提供反馈以识别任何技术或通信改进。

公司特定的内部过程

当使用网络访问保护作为紧急安全日期的加急部署时,Configuration Manager NAP 策略可能采用下列方式影响用户:

  • 大多数用户的网络连接不合理丢失:

    大多数用户的网络连接同时丢失,完成修正之前,需要网络连接的应用程序会报告错误。对很多用户来说,这只是很短的一段时间,一些用户可能完全注意不到。

  • 经理的重要网络连接丢失:

    一位经理正在公司总部进行演示,使用宿主在远程计算机上的幻灯片。演示期间,她的计算机网络连接丢失,一则通知告诉她计算机不符合网络策略,网络访问受到限制,直到符合后才能还原。

    这位经理对中断她的演示并没有太大的不快,她决定下次将幻灯片本地复制到她的计算机上。她不确定连接会丢失多长时间,但是她决定在演示期间稍作休息,并欢迎就目前为止演示的幻灯片进行提问和展开讨论。10 分钟之后,她看到通知说她的网络连接已还原,于是她继续进行演示。

  • 网络连接丢失影响工作成果:

    一位开发人员正忙于修改一项内部应用程序,需要在下班时签入。到四点时他完成了修改,但是由于网络失败错误,修改未能签入。然后,他注意到他的计算机网络访问受到限制,于是致电咨询台。

    咨询台解释说必须立即安装紧急软件更新,并请他耐心等待更新自动安装。他点击网络访问保护通知,可以看到他的计算机正在通过 Configuration Manager 系统健康代理安装软件更新,但是安装要花很长时间。

    咨询台经过调查确认,他的网段严重饱和,并且由于需求高于平时,分发点的运行速度也比平时慢。开发人员意识到,下班前他不可能签入新代码,于是通知他的经理。他下班回家,让他的计算机处于打开状态。第二天他回到办公室,发现计算机已重新连接到网络,他现在可以签入代码了。

  • 远程办公室的网络丢失现象持续:

    远程办事处的一位用户在尝试发送电子邮件时丢失连接。他与咨询台联系,得知关键软件更新。但是,他的计算机未能安装软件更新,咨询台经过调查发现,由于网络超时修正失败。软件更新包尚未复制到分支分发点,计算机尝试通过慢速且不可靠的网络连接下载软件更新。

    咨询台工程师解释说明了用户可以如何从疑难诊断网站安装软件更新,然后指导他重新启动其计算机。用户采纳了其建议,重新启动之后,他的计算机可以连接,访问不再受到限制。

另请参阅

概念

关于软件更新和网络访问保护之间的差异
关于网络访问保护过程
关于分阶段和加急的网络访问保护部署
为网络访问保护确定管理员角色和流程
关于 Configuration Manager 中网络访问保护的符合性
关于网络访问保护修正

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。