网络访问保护安全最佳方案

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

不要依赖 NAP 保护网络免受恶意用户的攻击    网络访问保护旨在帮助管理员保持网络中的计算机的健康,反过来帮助维护网络的整体完整性。例如,如果计算机具有 Microsoft System Center Configuration Manager 2007 NAP 策略所需的所有软件更新,则此计算机被认为是符合的,将被授予适当的网络访问权限。网络访问保护不会防止授权用户使用符合的计算机将恶意程序上载到网络或禁用 NAP 代理。

在整个站点层次结构中使用一致的 NAP 策略尽量减少混淆    配置不正确的 NAP 策略可能导致在客户端应该受到限制时可以访问网络,或有效客户端错误地受到限制。NAP 策略设计得越复杂,错误配置的风险就越高。将 Configuration Manager 2007 NAP 客户端代理和 Configuration Manager 2007 系统健康验证程序点配置为在整个层次结构中使用相同设置,如果客户端在组织中的其他层次结构间漫游,也要在其中使用相同的设置。

重要

如果具有网络访问保护客户端代理的 Configuration Manager 客户端漫游到不同的 Configuration Manager 层次结构,其客户端健康声明要由其层次结构以外的系统健康验证程序点进行验证,则验证过程的站点检查将失败。这样将导致客户端的健康状况为未知,这种情况在网络策略服务器上默认配置为不符合。如果网络策略服务器的网络策略配置为限制网络访问,这些客户端将无法进行修正,可能无法访问整个网络。网络策略服务器上的免除策略将授予漫游到 Configuration Manager 层次结构以外的 Configuration Manager 客户端不受限制的网络访问权限。

不要在新的 Configuration Manager 站点上立即启用网络访问保护客户端代理    尽管在修改 Configuration Manager NAP 策略时站点服务器将 Configuration Manager 健康状况引用发布到域控制器,系统健康验证程序点可能不可以立即检索此新数据,直到 Active Directory 复制完成。如果在复制完成之前启用网络访问保护客户端代理,并且您的 Windows 网络策略服务器将授予不符合客户端受限制的网络访问,则可能导致对您自己的拒绝服务攻击。

不要依赖 NAP 作为即时或实时强制机制    在 NAP 强制机制中具有内在的延迟。 尽管 NAP 帮助长期保持计算机的符合性,但由于多种因素(包括各种配置参数的设置),通常强制延迟可能长达几个小时以上。

另请参阅

其他资源

Configuration Manager 中的网络访问保护
Configuration Manager 功能的安全最佳方案和隐私信息

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。