Примеры сценариев для реализации защиты доступа к сети в Configuration Manager

Последнее обновление раздела: май 2008 г.

В разделах ниже приведены примеры сценариев реализации защиты доступа к сети (NAP) в Configuration Manager 2007 для удовлетворения следующих бизнес-требований:

Обеспечение соответствия обновлений программного обеспечения как составной части поэтапного развертывания
Обеспечение соответствия обновлений программного обеспечения как составной части ускоренного развертывания

Обеспечение соответствия обновлений программного обеспечения как составной части поэтапного развертывания

Этот сценарий демонстрирует, как можно использовать защиту доступа к сети в Configuration Manager в качестве составной части поэтапного развертывания обновлений программного обеспечения, ограничивая сетевой доступ к нескольким компьютерам, на которые к указанному сроку не были установлены необходимые обновления программного обеспечения.

Банк "Богатства леса" ежемесячно получает от корпорации Майкрософт уведомления об обновлениях программного обеспечения и хочет защитить сеть от компьютеров, уязвимых для средств атаки, защита от которых реализована в этих обновлениях программного обеспечения. Он решает выполнить действия, описанные в следующей таблице.

Процесс	Ссылка
Обновления программного обеспечения, исправляющие уязвимости, оцениваются группой безопасности компании, возглавляемой Климом Вербовым. Эта группа проверяет, существует ли данная уязвимости в среде компании, и если да, то как она влияет на активы компании и на бизнес-сообщество, а также оценивает обстоятельства, при которых возможно использование данной уязвимости. Обновления программного обеспечения, не связанные с безопасностью, оцениваются другой группой, ответственной за соответствующие сферы деятельности.	Внутренний процесс, специфичный для компании
Далее Клим работает совместно с Марией Норадовой, которая является администратором Configuration Manager и отвечает за обновления программного обеспечения. Она получает подготовленный группой безопасности список критических обновлений для системы безопасности и запускает отчет, чтобы проверить, сколько компьютеров в сети потенциально подвержены уязвимости, устраняемой обновлением для системы безопасности. Обнаружено, что приблизительно на четверти компьютеров в сети существуют потенциальные уязвимости, устраняемые включенными в список обновлениями программного обеспечения, и все эти компьютеры поддерживают защиту доступа к сети.	Отчет защиты доступа к сети: Список компьютеров, которые будут отнесены к несоответствующим на основе выбранных обновлений программного обеспечения Дополнительные сведения см. в следующих разделах: Об отчетах для защиты доступа к сети Запуск отчетов защиты доступа к сети
Учитывая риски безопасности и результаты анализа влияния на бизнес, Ким принимает решение, что на все компьютеры необходимо в течение двух недель установить обновления для системы безопасности путем обновления программного обеспечения. Для тех компьютеров, на которые в течение этого срока не будут установлены обновления программного обеспечения, установка будет выполнена принудительно с использованием защиты доступа к сети в ограниченной сети.	Определение своей стратегии политики для защиты доступа к сети
Мария также получает список обновлений, не связанных с безопасностью, которые должны быть установлены в течение четырех недель.	Внутренний процесс, специфичный для компании
В течении недели Мария проверяет установку выбранных обновлений программного обеспечения на репрезентативной группе компьютеров, чтобы убедиться, что установка выполняется успешно, а приложения продолжают правильно работать.	Настройка обновлений программного обеспечения
Мария отправляет следующие запросы на изменения (RFC): Обновления программного обеспечения, не связанные с безопасностью, которые будут установлены в течение четырех недель без принудительного применения защиты доступа к сети. Обновления для системы безопасности, которые сначала устанавливаются через обновления программного обеспечения, а затем через защиту доступа к сети в качестве принудительной меры защиты от сбоев. Оба запроса RFC подтверждаются.	Внутренний процесс, специфичный для компании
После этого Мария обсуждает с администратором сервера политики сети, когда будут созданы политики NAP Configuration Manager, а также дату, когда в них начнут действовать обновления для системы безопасности. Два администратора совместно обеспечивают, чтобы несоответствующие компьютеры автоматически исправлялись в ограниченной сети, и чтобы обновления программного обеспечения были доступны на веб-сайте по устранению неполадок в случае сбоя исправления. Мария также заранее уведомляет службу технической поддержки об установке обновлений программного обеспечения, а также о том, какие обновления программного обеспечения будут принудительно устанавливаться через систему защиты доступа к сети.	Определение ролей и процессов администратора для защиты доступа к сети Настройка взаимодействия с пользователем при обновлении для защиты доступа к сети в Configuration Manager
Мария проверяет, что созданные ею пакеты для обновлений программного обеспечения были реплицированы во все точки распространения в иерархии. Затем Мария с помощью мастера развертывания обновлений программного обеспечения создает два развертывания, оба нацеленные на коллекцию "Все системы" на центральном сайте. Обновления программного обеспечения, не связанные с обеспечением безопасности и имеющие крайний срок четыре недели. Обновление программного обеспечения для системы безопасности с крайним сроком две недели и сроком применения NAP четыре недели.	Отчет "Распространение программного обеспечения – Пакеты": состояние распространения определенного пакета Развертывание обновлений программного обеспечения Настройка оценки NAP для обновлений программного обеспечения
Мария отправляет подтверждение развертывания группе безопасности, группе сервера политики сети и службе технической поддержки. Служба технической поддержки отправляет пользователям уведомление с предупреждением, что если на компьютеры к заданному сроку не будут установлены требуемые обновления программного обеспечения для системы безопасности, эти компьютеры могут быть отключены от сети; пользователям предлагается как можно скорее самостоятельно установить эти обновления.	Внутренний процесс, специфичный для компании
Мария контролирует соответствие обновлений программного обеспечения. По прошествии трех недель некоторое количество компьютеров все еще не соответствует обновлениям программного обеспечения для системы безопасности. Каждому владельцу компьютера по электронной почте отправляется уведомление о том, что компьютер не соответствует политикам безопасности и может быть отключен от сети для автоматического исправления, если несоответствие не будет устранено к концу недели.	Отчет защиты доступа к сети: Список компьютеров, которые будут отнесены к несоответствующим на основе выбранных обновлений программного обеспечения Дополнительные сведения см. в следующих разделах: Об отчетах для защиты доступа к сети Запуск отчетов защиты доступа к сети
За два дня до даты, заданной в политиках защиты доступа к сети, Мария замечает, что осталось только несколько компьютеров, несоответствующих обновлениям программного обеспечения для системы безопасности. Мария направляет этот отчет группе безопасности и уведомляет службу технической поддержки о компьютерах, которые остались несоответствующими и поддерживают защиту доступа к сети.	Внутренний процесс, специфичный для компании
Мария продолжает контролировать соответствие для выбранных обновлений программного обеспечения и направляет отчеты о ходе выполнения в группу безопасности с согласованной периодичностью.	Внутренний процесс, специфичный для компании
Через шесть недель Мария отмечает, что 85% компьютеров сообщают о соответствии обновлениям программного обеспечения, не связанным с безопасностью, и 100% компьютеров сообщают о соответствии обновлениям программного обеспечения для системы безопасности. Мария изучает процесс на предмет необходимости внесения изменений, а также изучает компьютеры, на которые не установлены обновления, не связанные с безопасностью.	Отчеты защиты доступа к сети: Список обновлений программного обеспечения, установленных путем внесения исправлений Сравнение обновлений программного обеспечения, установленных при помощи развертываний обновлений, и исправлений NAP Список компьютеров, на которых установлено определенное обновление программного обеспечения путем внесения исправлений за определенный период времени Список отказов исправлений за указанный период времени
Мария предоставляет свои отчеты группе безопасности и запрашивает отзывы и предложения от службы технической поддержки, чтобы выявить возможные технические улучшения или улучшения взаимодействия.	Внутренний процесс, специфичный для компании

Во время поэтапного развертывания политики NAP Configuration Manager могут оказывать следующее влияние на пользователей:

Переносной компьютер возвращается в корпоративную сеть после отсутствия:

Торговый представитель часто выезжает к заказчикам, но возвращается в корпоративную штаб-квартиру на важные совещания. Он быстро просмотрел присланные по электронной почте уведомления о необходимости установки обновлений для системы безопасности, но не установил их; крайний срок прошел без каких-либо действий.

Вернувшись в штаб-квартиру на совещание, он подключает свой компьютер к сети и вскоре после входа в систему видит уведомление, что компьютер имеет ограниченный доступ к сети, так как он не соответствует политикам безопасности. Он вспоминает об уведомлениях, полученных по электронной почте, и начинает искать их, чтобы узнать, что требуется сделать. К тому времени, как он найдет письмо и прочитает его, на компьютер уже будут установлены необходимые обновления программного обеспечения, и компьютер будет иметь неограниченный доступ к сети. Установка на компьютер обновлений, не связанных с безопасностью, будет продолжена в фоновом режиме.
Пользователь возвращается на работу из отпуска:

Пользователь через несколько недель возвращается на работу из отпуска. Хотя на момент отъезда ее компьютер полностью соответствовал политикам, во время ее отсутствия компьютер был выключен, поэтому не мог получить обновления программного обеспечения. Вернувшись на работу, она включает компьютер, входит в систему и загружает Microsoft Outlook. Однако ее почтовый ящик не подключается к серверу, и отображается уведомление об ограничении доступа к сети из-за несоответствия компьютера политике.

Ничего не зная об уведомлениях, разосланных по электронной почте за последние недели, она звонит в службу технической поддержки и узнает, что ее компьютер внесен в список несоответствующих на дату вступления в силу в политике NAP Configuration Manager. Сотрудник службы технической поддержки объясняет, что компьютер будет автоматически приведен в соответствие, и нужно просто подождать. Он обещает перезвонить через полчаса и проверить, восстановлено ли подключение к сети.

Пользователь берет чашечку кофе и знакомится с последними новостями в офисе за ее отсутствие. Вернувшись, она обнаруживает, что ее компьютер имеет полный доступ к сети, подтверждает это в службе технической поддержки, и ее случай закрывается.
Настройка нового компьютера:

Новый пользователь получает свой настольный компьютер с установленными ОС Windows Vista и образом клиента Configuration Manager. Она распаковывает компьютер, подключает и включает его. После завершения исходной настройки появляется всплывающее окно, уведомляющее об ограниченном доступе к сети.

Она щелкает на уведомлении и видит, что на ее компьютер устанавливаются обновления программного обеспечения, требуемые политикой безопасности компании. Она убирает коробки и, вернувшись к своему компьютеру, видит другое уведомление о том, что теперь компьютер имеет неограниченный доступ к сети. Она настраивает свой компьютер, а в это время в фоновом режиме на него устанавливаются обновления, не связанные с безопасностью, и нужные ей приложения.
Гостям не предоставляется полный доступ к сети:

Консультант из другой компании подключает свой переносной компьютер к корпоративной сети. Гость видит, что его компьютер имеет ограниченный доступ к сети и что при исправлении по ограниченной сети произошел сбой. Он обращается в службу технической поддержки.

Такое поведение предусмотрено изначально. Так как на этот компьютер не установлен клиент Configuration Manager, точка средства проверки работоспособности системы не может проверить соответствие этого компьютера. При таком сценарии средство проверки работоспособности системы Configuration Manager на сервере политики сети настроено таким образом, чтобы компьютер считался несоответствующим, и автоматическое исправление невозможно.

Служба технической поддержки подтверждает, что в таком случае гостю не может быть предоставлен полный доступ к сети, но по ограниченной сети можно пользоваться прокси-сервером в Интернете. Гость использует этот прокси-сервер для доступа к Интернету и подключения по сети VPN к своей корпоративной сети.

Кратковременная потеря подключения к сети у нескольких пользователей:

Даже до даты вступления в силу некоторые пользователи получают уведомления системы защиты доступа к сети о том, что компьютер не соответствует политике и его доступ к сети ограничен. Очень скоро после этого появляется другое сообщение, информирующее о том, что компьютер теперь соответствует политике и имеет полный доступ к сети. Некоторые пользователи встревожены этими сообщениями и звонят в службу технической поддержки. Их информируют, что это правильное поведение защиты доступа к сети, обеспечивающее соответствие компьютеров требованиям, и не указывает на неполадку.

Со временем пользователи привыкают к новому процессу и обращаются в службу технической поддержки только в случае появления сообщения о сбое.

Примечание
Существует ряд других сценариев, в результате которых клиент может быть признан средством проверки работоспособности системы несоответствующим политике, и которые не связаны с тем, установлены ли на клиенте обновления программного обеспечения. Сюда входит случаи, когда кэшированные данные о состоянии работоспособности клиента старее, чем заданный срок действия этих данных, и когда у клиента отсутствуют последние политики защиты доступа к сети Configuration Manager. Помните, что клиенты Configuration Manager 2007 могут потребовать исправления по целому ряду причин, и уведомите пользователей и службу технической поддержки о возможности таких ситуаций до развертывания.Дополнительные сведения об этом сценарии см. в разделах Об исправлении защиты доступа к сети и Соответствие для защиты доступа к сети в Configuration Manager .

Примечание

Существует ряд других сценариев, в результате которых клиент может быть признан средством проверки работоспособности системы несоответствующим политике, и которые не связаны с тем, установлены ли на клиенте обновления программного обеспечения. Сюда входит случаи, когда кэшированные данные о состоянии работоспособности клиента старее, чем заданный срок действия этих данных, и когда у клиента отсутствуют последние политики защиты доступа к сети Configuration Manager. Помните, что клиенты Configuration Manager 2007 могут потребовать исправления по целому ряду причин, и уведомите пользователей и службу технической поддержки о возможности таких ситуаций до развертывания.Дополнительные сведения об этом сценарии см. в разделах Об исправлении защиты доступа к сети и Соответствие для защиты доступа к сети в Configuration Manager .

Обеспечение соответствия обновлений программного обеспечения как составной части ускоренного развертывания

Этот сценарий демонстрирует, как можно использовать защиту доступа к сети в Configuration Manager в качестве составной части ускоренного развертывания обновления программного обеспечения, которое должно быть срочно установлено для защиты сетевых ресурсов.

Банк "Богатства леса" получает срочное уведомление от корпорации Майкрософт о критическом обновлении программного обеспечения для системы безопасности и хочет немедленно свести к минимуму количество компьютеров в сети, на которых имеется эта уязвимость. Он решает выполнить действия, описанные в следующей таблице.

Процесс	Ссылка
Клим Вербов получает уведомление о безопасности и, как руководитель отдела безопасности, созывает срочное совещание группы безопасности для ознакомления в обновлением программного обеспечения для системы безопасности и оценки рисков для безопасности своей среды. Угроза безопасности оценивается с точки зрения влияния на активы компании и на бизнес-сообщество, а также оцениваются обстоятельства, при которых возможно использование данной уязвимости.	Внутренний процесс, специфичный для компании
Во время этого совещания Мария Норадова, которая является администратором Configuration Manager и отвечает за обновления программного обеспечения, получает задание запустить отчет для выяснения количества компьютеров в сети, потенциально подверженных уязвимости, устраняемой данным обновлением для системы безопасности. Обнаружено, что приблизительно на половине компьютеров в сети имеется потенциальная уязвимость, устраняемая включенными в список обновлениями программного обеспечения, и большинство из этих компьютеров поддерживают защиту доступа к сети.	Отчет защиты доступа к сети: Список компьютеров, которые будут отнесены к несоответствующим на основе выбранных обновлений программного обеспечения. Отчет защиты доступа к сети: Список компьютеров, оснащенных защитой доступа к сети (NAP) и доступные для оснащения NAP. Дополнительные сведения см. в следующих разделах: Об отчетах для защиты доступа к сети Запуск отчетов защиты доступа к сети
Группа безопасности решает, что опасность, создаваемая наличием на компьютерах уязвимости, устраняемой данным обновлением для системы безопасности, достаточно серьезна для того, чтобы немедленно установить обновление на компьютеры, даже несмотря на риск кратковременного снижения производительности.	Определение своей стратегии политики для защиты доступа к сети
Мария создает пакет обновления программного обеспечения, загрузив обновление программного обеспечения и добавив его на все точки распространения в иерархии.	Создание пакета развертывания
Мария проводит минимальное тестирование этого обновления программного обеспечения на репрезентативной группе компьютеров, чтобы убедиться, что установка выполняется успешно, а основные приложения продолжают правильно работать.	Внутренний процесс, специфичный для компании
Клим запускает экстренную процедуру внешнего запроса на изменение, который немедленно рассматривается и подтверждается. Марии, администраторам сервера политики сети, службе технической поддержки и группам, контролирующим ресурсы служб, рассылается уведомление, предупреждающее о резком увеличении трафика, когда большое количество компьютеров будет в течение короткого периода времени пытаться выполнить исправление.	Внутренний процесс, специфичный для компании
Убедившись, что тестируемое обновление программного обеспечения не вызывает никаких проблем, Мария с помощью мастера создания политик идентифицирует обновление программного обеспечения и задает для даты вступления в силу значение Как можно скорее. Затем она задает свойства компонента точки средства проверки работоспособности системы и задает для параметра Дата создания должна быть позже (UTC) текущие дату и время.	Создание политики NAP в Configuration Manager для защиты доступа к сети Задание параметра "Дата создания должна быть позже" для сообщения о состоянии работоспособности
Мария знает, что часть имеющихся компьютеров не может поддерживать защиту доступа к сети – это компьютеры с операционными системами Windows XP с пакетом обновления 1 (SP1) и Windows Server 2003. Данное обновление для системы безопасности относится к компьютерам с операционной системой Windows XP с пакетом обновления 1 (SP1), но не относится к компьютерам с операционной системой Windows Server 2003. Мария создает для обновления программного обеспечения развертывание обновления программного обеспечения с крайним сроком Как можно скорее. Она нацеливает это развертывание программного обеспечения на коллекцию, содержащую только компьютеры с ОС Windows XP с пакетом обновления 1 (SP1).	Развертывание обновлений программного обеспечения
Мария отправляет уведомление, что работа по запросу на изменение завершена, которое направляется заинтересованным лицам.	Внутренний процесс, специфичный для компании
Мария контролирует совместимость критического обновления для системы безопасности и направляет отчеты о ходе выполнения в группу безопасности. В частности, особое внимание уделяется компьютерам, не поддерживающим защиту доступа к сети, так как сбой установки на эти компьютеры не предотвращает их доступ к сети. О любых сбоях установки на эти компьютеры немедленно сообщается в службу технической поддержки для упреждающего изучения и устранения неполадки с целью обеспечения соответствия.	Отчет защиты доступа к сети: Список компьютеров, которые будут отнесены к несоответствующим на основе выбранных обновлений программного обеспечения. Дополнительные сведения см. в следующих разделах: Об отчетах для защиты доступа к сети Запуск отчетов защиты доступа к сети
Через 24 часа 90% затрагиваемых компьютеров совместимы с обновлением программного обеспечения. Мария изучает несовместимые компьютеры и обнаруживает, что они в данный момент не подключены к корпоративной сети по уважительным причинам. Им по электронной почте передается уведомление с требованием вручную установить обновление программного обеспечения. Мария знает, что в случае сбоя этого механизма (например, если пользователь находится в отпуске и оставил свой компьютер выключенным), соответствие будет принудительно обеспечено при подключении компьютера к корпоративной сети.	Внутренний процесс, специфичный для компании
Мария продолжает контролировать соответствие для выбранных обновлений программного обеспечения и направляет отчеты о ходе выполнения в группу безопасности с согласованной периодичностью.	Внутренний процесс, специфичный для компании
В конце срока, согласованного с группой безопасности, Мария проверяет, что теперь все компьютеры сообщают о соответствии выбранному обновлению программного обеспечения, и изучает процесс для выяснения, не требуются ли изменения для более эффективной установки срочных обновлений программного обеспечения.	Отчеты защиты доступа к сети: Список обновлений программного обеспечения, установленных путем внесения исправлений Сравнение обновлений программного обеспечения, установленных при помощи развертываний обновлений, и исправлений NAP Список компьютеров, на которых установлено определенное обновление программного обеспечения путем внесения исправлений за определенный период времени Список отказов исправлений за указанный период времени
Мария предоставляет свои отчеты группе безопасности и запрашивает отзывы и предложения от службы технической поддержки, чтобы выявить возможные технические улучшения или улучшения взаимодействия.	Внутренний процесс, специфичный для компании

При использовании защиты доступа к сети для ускоренного развертывания срочных обновлений программного обеспечения политики NAP Configuration Manager могут оказывать следующее влияние на пользователей:

Несущественная потеря подключения к сети у большинства пользователей:

Большинство пользователей одновременно теряют подключение к сети, а приложения, которым требуется подключение к сети, сообщают об ошибках до завершения исправления. Для многих пользователей это только короткий период, а некоторые пользователи могут даже ничего не заметить.
Важная потеря подключения к сети у менеджеров:

Менеджер в презентации в штаб-квартире компании использует слайды, находящиеся на удаленном компьютере. В процессе презентации теряется подключение к сети, и отображается уведомление, что ее компьютер не соответствует политикам сети и его доступ к сети ограничен до восстановления соответствия.

Менеджер недовольна тем, что ее презентация прервана, и решает в следующий раз скопировать слайды на свой компьютер. Она не знает, сколь долго будет отсутствовать подключение к сети, но решает сделать перерыв в презентации и предлагает задавать вопросы и начать обсуждение уже просмотренных слайдов. Через 10 минут появляется уведомление о том, что подключение к сети восстановлено, и она продолжает свою презентацию.
Потеря подключения к сети влияет на поставку:

Разработчик вносит изменения во внутреннее приложение, которое должно быть готово к концу дня. В четыре часа изменения внесены, но при возврате возникает сбой с сообщением об ошибке сети. Он замечает, что компьютер имеет ограниченный доступ к сети, и звонит в службу технической поддержки.

Служба технической поддержки объясняет, что необходимо немедленно установить срочное обновление программного обеспечения, и просит проявить терпение и подождать завершения автоматической установки. Разработчик щелкает уведомление защиты доступа к сети и видит, что на компьютер устанавливаются обновления программного обеспечения с помощью агента работоспособности системы Configuration Manager, но установка занимает много времени.

Служба технической поддержки изучает этот вопрос и подтверждает, что его сегмент сети сильно перегружен, и точки распространения также работают медленнее обычного из-за повышенной нагрузки. Разработчик понимает, что он скорее всего не сможет вернуть текст программы к концу дня, и сообщает об этом своему менеджеру. Он уходит домой, оставив свой компьютер включенным. Вернувшись на следующий день, он обнаруживает, что подключение к сети восстановлено, и он может вернуть свой текст программы.
Потеря подключения к сети для удаленных офисов:

Пользователь в удаленном филиале теряет подключение во время передачи электронной почты. Он обращается в службу технической поддержки и узнает о критическом обновлении программного обеспечения. Однако на его компьютере обновление программного обеспечения не устанавливается; после изучения этого вопроса служба технической поддержки обнаруживает, что сбой исправления связан с задержками в сети. Пакет обновления программного обеспечения еще не был реплицирован на точку распространения филиала, и компьютер пытается загрузить обновление программного обеспечения по медленным или ненадежным сетевым подключениям.

Инженер службы технической поддержки объясняет пользователю, как установить обновление программного обеспечения с веб-сайта по устранению неполадок, а затем предлагает пользователю перегрузить свой компьютер. Пользователь следует его рекомендациям, и после перезагрузки компьютера он подключен к сети без ограничений.

См. также

Основные понятия

О различиях между обновлениями программного обеспечения и защитой доступа к сети
О процессе защиты доступа к сети
О поэтапных и ускоренных развертываниях защиты доступа к сети
Определение ролей и процессов администратора для защиты доступа к сети
Соответствие для защиты доступа к сети в Configuration Manager
Об исправлении защиты доступа к сети