通过

关于分阶段和加急的网络访问保护部署

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

使用下列信息识别 Configuration Manager 2007 中网络访问保护 (NAP) 的两个不同的可操作方案以及如何配置它们。

分阶段方案和加急方案

两个网络访问保护可操作方案如下所示:

  • 分阶段部署:用作软件更新部署的另一个筛选器。

  • 加急部署:用作紧急措施(例如,如果计算机容易遭受零天攻击,则阻止计算机连接到网络)。

下面描述了这两种可操作方案及其对 Configuration Manager NAP 策略配置的影响。有关示例方案,请参阅在 Configuration Manager 中实施网络访问保护的示例方案

分阶段网络访问保护部署

分阶段网络访问保护部署是非紧急软件更新部署的另一个(或后者)筛选器。

在此方案中,软件更新部署创建为具有将来截止时间(例如,两星期以后)的日常管理任务。此外,软件更新部署配置为在部署截止时间之后的日期(例如,四星期以后)启用 NAP 评估。与网络策略服务器管理员协作可确保使用受限网络访问权限或在有限时间内的完全网络访问权限修正不符合的计算机。此策略导致客户端通过 Configuration Manager 软件更新或通过作为另一个筛选器的网络访问保护修正安装软件更新。

这是分阶段非紧急部署,其中某些用户将在截止时间之前安装软件更新,大多数计算机将通过软件更新功能自动安装软件更新,并且网络访问保护将用作防止失败的措施。分阶段部署允许花费大量时间将软件更新复制到分发点,并且网络和服务器不会因处理服务请求而遭遇性能下降。

如果这些条件适用,则作为软件更新部署的一部分(在分发软件更新向导中)创建 Configuration Manager 网络访问保护策略,并将网络访问保护生效日期配置为部署截止时间之后的日期。此外,使用并不紧迫的计划配置您的截止时间,这样允许所有客户端有大量时间接收软件更新部署,并允许将包复制到分发点。

但是,如果您有管理员管理 Configuration Manager 中的网络访问保护但不管理软件更新,则使用新建策略向导的“网络访问保护”之下的“策略”节点创建 Configuration Manager 网络访问保护策略,并确保两个 Configuration Manager 管理角色之间相互协作,以便将网络访问保护策略的合适生效日期配置为在为软件更新部署配置的截止时间之后的日期。

加急网络访问保护部署

加急网络访问保护部署创建为紧急措施(例如,如果计算机容易遭受零天攻击,则阻止计算机连接到网络)。

加急部署描述通常响应安全事件的带外紧急任务,并且您需要阻止支持 NAP 的客户端在选择软件更新之前连接到网络。如果这些条件适用,则创建识别关键软件更新的网络访问保护策略,将生效日期配置为“尽快”,并配置系统健康验证程序点以确保客户端获取最新的 Configuration Manager 网络访问保护策略。您还需要与网络策略服务器管理员协作以确保使用受限网络访问权限修正不符合的计算机。如果仅已知符合的计算机必须对网络具有完全访问权限,则可以在网络策略服务器上配置策略,以便不符合 NAP 的客户端不具有完全网络访问权限。

加急部署描述这样的紧急方案:认为没有更新的计算机面临的风险高于无法连接到网络、可能出现延迟甚至修正失败的许多计算机所面临的风险。此方案的负面影响是 Configuration Manager 软件更新功能最终没有标准时间来在强制符合性之前安装软件更新。因此,可能有大量计算机不符合,并且网络和分发点(和管理点)承受的需求高于正常状况,这可能导致修正失败并对其他网络服务的性能产生负面影响。此外,紧迫的时间线可能表示软件更新包尚未复制到所有分发点,因此客户端可能无法本地安装其符合性所需的软件更新,从而尝试从慢速且不可靠的网络连接进行下载。

如果加急方案适用但尚未部署软件更新,您可以使用分发软件更新向导部署软件更新、将 NAP 评估生效日期设置为“尽快”,并使用设置为当前日期和时间的截止日期配置自动安装。此部署配置的目标将是所选集合中客户端的软件更新,并且将对分配到站点的所有计算机以及分配到 Configuration Manager 层次结构中较低层的站点的所有计算机中所有支持 NAP 的客户端强制实施。如果使用默认集合“所有系统”,则将显示目标为 Configuration Manager NAP 策略的所有计算机。

但是,如果要从分阶段网络访问保护部署转为加急网络访问保护部署,则与使用软件更新功能将网络访问保护策略配置为软件更新的属性相比,使用新建策略向导从“网络访问保护”节点下面的“策略”节点创建网络访问保护策略较容易。

备注

如果要从分阶段网络访问保护方案转为加急网络访问保护方案,并且您具有不符合 NAP 的 Configuration Manager 客户端,请修改软件更新部署,以便它在截止时间之前自动安装并确保其目标为包括所有不符合 NAP 的客户端的集合。

另请参阅

任务

如何在网络访问保护中针对零天攻击配置 Configuration Manager NAP 策略
如何为网络访问保护创建 Configuration Manager NAP 策略
如何设置开始网络访问保护的 NAP 评估的生效日期和时间

概念

关于软件更新和网络访问保护之间的差异
关于使用网络访问保护强制符合性
在 Configuration Manager 中实施网络访问保护的示例方案
确定网络访问保护策略
关于网络访问保护修正
关于部署软件更新向导

其他资源

为 Configuration Manager 配置网络策略服务器

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。