Обзор концепций защиты доступа к сети Microsoft Windows и Configuration Manager 2007.

Технический документ: "Введение в защиту доступа к сети" (http://go.microsoft.com/fwlink/?LinkId=60752) на сайте защиты доступа к сети (http://go.microsoft.com/fwlink/?LinkId=59125).

Общее представление о возможностях Configuration Manager.

Обзор защиты доступа к сети

Убедитесь, что реализуется применимая архитектура защиты доступа к сети.

Технический документ: "Архитектура платформы защиты доступа к сети" (http://go.microsoft.com/fwlink/?LinkId=60753) на сайте защиты доступа к сети (http://go.microsoft.com/fwlink/?LinkId=59125).

Если при защите доступа к сети используется протокол DHCP, убедитесь, что выполнены следующие шаги:

• на DHCP-серверах включена защита доступа к сети;
  
  
• на клиентах запущен клиент системы ограничений DHCP;
  
  
• сервер политики сети установлен и настроен для системы ограничений DHCP;
  
  
• на клиентах запущена служба агента защиты доступа к сети и установлена в автоматический режим.
  
  

"Пошаговое руководство: демонстрация принудительной защиты доступа к сети DHCP в лаборатории тестирования" на веб-сайте защиты доступа к сети (http://go.microsoft.com/fwlink/?LinkId=59125).

Если при защите доступа к сети используется IPsec, убедитесь, что выполнены следующие шаги:

• службы сертификации, центр регистрации работоспособности и IIS находятся в рабочем состоянии;
  
  
• на клиентах запущен клиент системы ограничений IPsec;
  
  
• сервер политики сети установлен и настроен для системы ограничений IPsec;
  
  
• на клиентах запущена служба агента защиты доступа к сети и установлена в автоматический режим;
  
  
• у клиентов имеются группы доверенных серверов, настроенные в параметрах регистрации работоспособности, используя оснастку конфигурации клиента NAP;
  
  
• следующие серверы исправлений Configuration Manager 2007 сконфигурированы как пограничные серверы:
  
  
  • Точки управления
    
    
  • точки обновления программного обеспечения;
    
    
  • точки распространения, на которых размещены пакеты обновления программного обеспечения.
    
    

Примечание
Серверы инфраструктуры, такие как контроллеры доменов, DNS-серверы и WINS-серверы также должны быть настроены как пограничные серверы.

"Пошаговое руководство: демонстрация принудительной защиты доступа к сети IPsec в лаборатории тестирования" на веб-сайте защиты доступа к сети (http://go.microsoft.com/fwlink/?LinkId=59125).

Если при защите доступа к сети используется виртуальная частная сеть (VPN), убедитесь, что выполнены следующие шаги:

• службы сертификации, маршрутизация и удаленный доступ находятся в рабочем состоянии;
  
  
• на клиентах запущен клиент с принудительным VPN;
  
  
• сервер политики сети установлен и настроен для принудительного использования VPN;
  
  
• на клиентах запущена служба агента защиты доступа к сети и установлена в автоматический режим;
  
  

"Пошаговое руководство: демонстрация принудительной защиты доступа к сети VPN в лаборатории тестирования" на веб-сайте защиты доступа к сети (http://go.microsoft.com/fwlink/?LinkId=59125).

Если при защите доступа к сети используется 802.1X, убедитесь, что выполнены следующие шаги:

• установлен совместимый с 802.1X коммутатор или точка доступа, поддерживающая использование атрибутов туннеля RADIUS и настроенная для проверки подлинности 802.1X;
  
  
• на клиентах запущен клиент с принудительным EAP;
  
  
• сервер политики сети установлен и настроен для принудительного использования 802.1X;
  
  
• на клиентах запущена служба агента защиты доступа к сети и установлена в автоматический режим;
  
  
• в конфигурации проводной сети на клиентах запущена служба автонастройки проводных сетей и установлена в автоматический режим;
  
  
• в конфигурации беспроводной сети на клиентах запущена служба автонастройки WLAN и установлена в автоматический режим;
  
  
• на клиентах включена и настроена проверка подлинности 802.1X при сетевых подключениях.
  
  

"Пошаговое руководство: демонстрация принудительного использования 802.1X для защиты доступа к сети в лаборатории тестирования" на сайте защиты доступа к сети (http://go.microsoft.com/fwlink/?LinkId=59125).

Убедитесь, что доменные службы Active Directory предоставлены для расширения схемы Configuration Manager 2007, и убедитесь, что сайты успешно публикуются на доменных службах Active Directory.

Проверка установки Active Directory для защиты доступа к сети

Расширение схемы Active Directory для Configuration Manager

Публикация сведений о сайте Configuration Manager в доменных службах Active Directory

Установите в Configuration Manager 2007 точки средства проверки работоспособности системы Configuration Manager в операционной системе Windows Server 2008 с ролью сервера серверов политики сети, настроенные как сервер политики работоспособности защиты доступа к сети.

Установка точки средства проверки работоспособности системы

Если ваши серверы сайта Configuration Manager 2007 и точки средства проверки работоспособности системы не находятся в одном и том же лесу доменных служб Active Directory, настройте в Configuration Manager 2007 ссылки на состояние работоспособности Configuration Manager.

Указание расположения ссылки на состояние работоспособности защиты доступа к сети

Настройка учетной записи публикации ссылок на сведения о состоянии работоспособности

Указание учетной записи запросов ссылок на состояние работоспособности

Проверьте в Configuration Manager 2007, что имеются клиенты с поддержкой NAP, и при необходимости обновите их.

Состояние клиента NAP в защите доступа к сети

Проверьте в Configuration Manager 2007, что инфраструктура обновлений программного обеспечения Configuration Manager настроена и находится в рабочем состоянии.

Контрольные списки администратора для обновлений программного обеспечения

На сервере политики сети убедитесь, что средство проверки работоспособности системы Configuration Manager настроено надлежащим образом для разрешения каждого кода ошибки.

Настройка категорий сбоев для защиты доступа к сети в Configuration Manager

На сервере политики сети убедитесь, что имеются политики работоспособности, ссылающиеся на средство проверки системы Configuration Manager как для совместимых, так и для несовместимых клиентов Configuration Manager 2007.

Политики работоспособности для защиты доступа к сети в Configuration Manager

На сервере политики сети, если принудительно используется DHCP или VPN, убедитесь, что имеется группа сервера исправлений для серверов инфраструктуры, необходимая для исправления Configuration Manager.

Настройка групп серверов обновлений для защиты доступа к сети в Configuration Manager

На сервере политики сети убедитесь, что имеются политики запросов на подключение и политики сети для совместимых и несовместимых клиентов, а также для клиентов, которые не могут поддерживать защиту доступа к сети (не пригодных для NAP).

Настройка политик запроса на подключение для защиты доступа к сети в Configuration Manager

Настройка сетевых политик для защиты доступа к сети в Configuration Manager

Включите защиту доступа к сети в Configuration Manager 2007.

Включение агента клиента защиты доступа к сети

Создайте политики защиты доступа к сети Configuration Manager в Configuration Manager 2007.

Создание политики NAP в Configuration Manager для защиты доступа к сети

Наблюдайте за защитой доступа к сети в Configuration Manager 2007.

Просмотрите домашнюю страницу защиты доступа к сети с узлом Защита доступа к сети.

Домашняя страница защиты доступа к сети

Запуск отчетов защиты доступа к сети

Отслеживание точки средства проверки работоспособности системы с помощью счетчиков производительности для защиты доступа к сети

При необходимости устраните неполадки защиты доступа к сети в Configuration Manager 2007.

Устранение неполадок защиты доступа к сети

Устранение неполадок защиты доступа к сети