Последнее обновление раздела: май 2008

В производственной среде реализация защиты доступа к сети (NAP) требует взаимодействия и сотрудничества с рядом различных групп по всему предприятию. Например, эти группы могут включать:

Поскольку защита доступа к сети включает множество ролей, успех реализации зависит от определения того, кто будет нести ответственность за различные роли, и обеспечения, при необходимости, совместной работы групп. Успешность текущей реализации будет зависеть от распознавания и согласованности с процессами, которые координируют различные функции всех ролей.

Ниже перечислены некоторые последствия отсутствия либо несоблюдения заданных процессов в условиях защиты доступа к сети, реализованной в производственной среде.

Используйте определенную методологию, например, ITIL или Microsoft Operations Framework (http://go.microsoft.com/fwlink/?LinkId=88047), которая поможет реализовать защиту доступа к сети в рамках архитектуры заданных процессов. Обязательно документируйте проектирование, процедуры тестирования, сферы ответственности и процессы настройки политик, мониторинга и устранения неполадок, а затем распространяйте эти сведения, обеспечивая их регулярное обновление и доступность для всех пользователей.

Примечание
Анализируйте существующие корпоративные политики безопасности и, при необходимости, изменяйте их, включая защиту доступа к сети. Корпоративные политики безопасности зачастую принудительно обеспечивают совместимость политик за счет нисходящих процессов.

Разделение ролей в Configuration Manager

При определении ролей, необходимых для защиты доступа в Configuration Manager, существует возможность перекрывания обновлений программного обеспечения и защиты доступа к сети. Эти две роли можно сочетать либо разделять, в зависимости от производственной необходимости. Как правило, небольшие организации сочетают обе роли, однако есть и такие, которые предпочитают разделение. Роль защиты доступа к сети в Configuration Manager можно даже сочетать с ролями, внешними по отношению к продукту – например, ролями администраторов безопасности или сервера политик сети.

Разделение ролей в обновлении программного обеспечения или защите доступа к сети в Configuration Manager 2007 поддерживается наличием отдельного узла защиты доступа к сети в консоли Configuration Manager. Для определения разрешений определенным пользователям или группам на выполнение в Configuration Manager задач, связанных с защитой доступа к сети, воспользуйтесь вкладкой Безопасность в свойствах узла Защита доступа к сети. Затем воспользуйтесь вкладкой Безопасность в свойствах узла Обновления программного обеспечения для ограничения администраторам защиты доступа к сети доступа к обновлениям программного обеспечения. Такая конфигурация обеспечит следующие условия.

  • Администраторы защиты доступа к сети могут просматривать статистику этого доступа в узле Защита доступа к сети.

  • Администраторы защиты доступа к сети могут создавать, просматривать, изменять и удалять политики NAP.

  • Администраторы защиты доступа к сети могут создавать, просматривать, изменять и удалять развертывания обновлений программного обеспечения, пакеты и шаблоны.

Поскольку узел Политики обладает собственной вкладкой Безопасность, можно детализировать разрешения, выделив группу администраторов защиты доступа к сети, которые могут создавать, просматривать, изменять и удалять политики NAP.

Однако, ввиду возможности конфигурирования обновления программного обеспечения таким образом, чтобы была возможна оценка NAP в Мастере развертывания обновлений программного обеспечения, а также в форме упакованного обновления, администраторам обновления программного обеспечения невозможно закрыть доступ к конфигурированию политик NAP из узла Обновления программного обеспечения.

В случае разделения ролей в Configuration Manager, может понадобиться также конфигурирование безопасности, при котором администраторы защиты доступа к сети будут иметь доступ к узлу Отчеты, что позволит им открывать отчеты с категорией защиты доступа к сети .

Администратору, который занимается только защитой доступа к сети в Configuration Manager 2007, нет надобности в доступе к коллекциям, поскольку политики NAP Configuration Manager автоматически ориентируются на всех клиентов, зарегистрированных на сайте.

Подробнее о правах безопасности для защиты доступа к сети в Configuration Manager см. в разделе Права безопасности для защиты доступа к сети.

См. также