Определение своей стратегии политики для защиты доступа к сети

Для определения стратегии политики для защиты доступа к сети с помощью Configuration Manager 2007 требуются совместные решения ряда людей о целях, требованиях и процессах. Вероятнее всего в их число будет входить администратор Configuration Manager, администратор сервера политики сети и представители группы безопасности, группы инфраструктуры и, возможно, службы поддержки.

Для настройки политик защиты доступа к сети для Configuration Manager требуется настроить два набора политик: политики защиты доступа к сети, определенные в Configuration Manager, и политики защиты доступа к сети, определенные на сервере политики сети.

Политики защиты доступа к сети в Configuration Manager определяют обновления программного обеспечения, которые должны быть установлены на компьютерах к определенной дате. В результате этого Configuration Manager передает на сервер политики сети данные о состоянии работоспособности компьютера и, при необходимости, список серверов, необходимых для исправления.
Политики защиты доступа к сети на сервере политики сети определяют, обладают ли клиенты полным или ограниченным доступом к сети, и требуется ли исправление несоответствующих компьютеров. Решение принимается по данным о состоянии работоспособности компьютера, полученным от Configuration Manager. Политики на сервере политики сети можно настроить следующим образом:
- Соответствующие клиенты с поддержкой защиты доступа к сети имеют полный доступ к сети.
- Несоответствующие клиенты с поддержкой защиты доступа к сети имеют ограниченный доступ к сети до исправления.
- Несоответствующие клиенты с поддержкой защиты доступа к сети имеют полный доступ к сети в течение ограниченного времени и исправляются незамедлительно.
- Клиенты, не подходящие для защиты доступа к сети, имеют полный доступ к сети.
- Клиенты, не подходящие для защиты доступа к сети, имеют ограниченный доступ к сети, но не будут исправляться.
- По умолчанию возникновение любых ошибок приводит к ограничению доступа компьютеров (с их исправлением, если это поддерживается клиентом), но их можно настроить на полный доступ к сети.

Примечание
Если политики работоспособности не действуют в сетевой политике на сервере политики сети, защита доступа к сети не может исправлять несоответствующие компьютеры. В этом случае их можно привести в соответствие через определенную функцию обновления программного обеспечения Configuration Manager. Если политики работоспособности действуют в сетевой политике на сервере политики сети, защита доступа к сети в Configuration Manager всегда пытается исправить несоответствующие компьютеры, даже в том случае, если флажок автоматического исправления несоответствующих компьютеров не установлен в политике сети.

Примечание

Если политики работоспособности не действуют в сетевой политике на сервере политики сети, защита доступа к сети не может исправлять несоответствующие компьютеры. В этом случае их можно привести в соответствие через определенную функцию обновления программного обеспечения Configuration Manager. Если политики работоспособности действуют в сетевой политике на сервере политики сети, защита доступа к сети в Configuration Manager всегда пытается исправить несоответствующие компьютеры, даже в том случае, если флажок автоматического исправления несоответствующих компьютеров не установлен в политике сети.

После принятия решений о стратегии политики для сети необходимо настроить политики запросов на подключение, политики работоспособности и политики сети. Политики сети должны включать в себя параметры для следующих компьютеров:

Соответствующие компьютеры с поддержкой защиты доступа к сети.
Несоответствующие компьютеры с поддержкой защиты доступа к сети.
Компьютеры без поддержки защиты доступа к сети, для которых поэтому невозможно определить их соответствие или несоответствие.

Обычно эти политики настраиваются следующим образом:

Соответствующие компьютеры имеют полный доступ к сети.
Несоответствующие компьютеры имеют либо ограниченный доступ к сети, исправляются и получают полный доступ к сети, либо имеют полный доступ к сети в течение ограниченного времени и немедленно исправляются в неограниченной сети.
Компьютеры, не подходящие для защиты доступа к сети, имеют полный доступ к сети. Однако в среде с высоким уровнем защиты, где невозможно оценить состояние работоспособности этих компьютеров, может быть полезно установить для них ограниченный доступ к сети, хотя они не могут быть исправлены и поэтому никогда не смогут получить полный доступ к сети.

После принятия решения о работе большинства компьютеров с защитой доступа к сети можно планировать более детальные политики для особых условий. Например, можно установить следующие исключения и запреты:

Никогда не ограничивать доступ к сети для указанных людей.
Стандартные сетевые компьютеры получат полный доступ к сети в течение ограниченного времени, если они являются несоответствующими, тогда как домашние компьютеры будут иметь ограниченный доступ, если они являются несоответствующими.
В нерабочие часы местной службы поддержки несоответствующие компьютеры вместо ограниченного доступа получат полный доступ к сети в течение ограниченного времени.
Указанные компьютеры будут исключены из политик работоспособности. Например, это исключение подходит в случае, если клиент Configuration Manager не должен устанавливаться на выбранных компьютерах.

Политики реализации для исключений и запретов достигаются через условия политики и их порядок. Используется первая политика, соответствующая подключенному компьютеру. Это означает, что обычно следует расположить более специфические политики (исключения) до общих политик. Если требуется использовать исключения для людей или компьютеров, создайте необходимые группы Microsoft Windows для выбора на сервере политики сети.

Важно!
Если на сайте Configuration Manager, который включен для защиты доступа к сети, имеются компьютеры с поддержкой защиты доступа к сети, но на них не установлен клиент Configuration Manager, необходимо либо установить политики исключения для этих компьютеров, чтобы они не ссылались на средство проверки работоспособности системы Configuration Manager, либо иметь средства, с помощью которых компьютеры в сети с ограниченным доступом могут установить клиент Configuration Manager (например, предоставив установочную ссылку на веб-сайте устранения неполадок).

Важно!

Если на сайте Configuration Manager, который включен для защиты доступа к сети, имеются компьютеры с поддержкой защиты доступа к сети, но на них не установлен клиент Configuration Manager, необходимо либо установить политики исключения для этих компьютеров, чтобы они не ссылались на средство проверки работоспособности системы Configuration Manager, либо иметь средства, с помощью которых компьютеры в сети с ограниченным доступом могут установить клиент Configuration Manager (например, предоставив установочную ссылку на веб-сайте устранения неполадок).

См. также

Основные понятия

Настройка политик запроса на подключение для защиты доступа к сети в Configuration Manager
Настройка сетевых политик для защиты доступа к сети в Configuration Manager
Настройка категорий сбоев для защиты доступа к сети в Configuration Manager
Политики работоспособности для защиты доступа к сети в Configuration Manager
Настройка групп серверов обновлений для защиты доступа к сети в Configuration Manager
Настройка взаимодействия с пользователем при обновлении для защиты доступа к сети в Configuration Manager