Используйте следующие сведения для определения двух различных оперативных сценариев защиты сетевого доступа (NAP) в Configuration Manager 2007 и их настройки.
Поэтапный и ускоренный сценарии
Ниже приведены два сценария защиты сетевого доступа:
- Поэтапное развертывание: В качестве второго
фильтра при развертывании обновлений программного обеспечения.
- Ускоренное развертывание: В качестве срочной
меры (например, чтобы воспрепятствовать подключению компьютеров к
сети, если они уязвимы для Zero-Day атак).
Ниже описаны эти два оперативных сценария, а также их влияние на настройку политики NAP Configuration Manager. Примеры сценариев см. в разделе Примеры сценариев для реализации защиты доступа к сети в Configuration Manager.
Поэтапные развертывания защиты доступа к сети
Поэтапное развертывание защиты доступа к сети является вторым (или последующим) фильтром при несрочном развертывании обновлений программного обеспечения.
По этому сценарию, развертывание обновлений программного обеспечения создается как обычная административная задача с более поздним крайним сроком (например, на две недели вперед). Дополнительно, развертывания обновлений программного обеспечения настраиваются для включения оценки NAP на дату, более позднюю, чем крайний срок развертывания (например, на четыре недели вперед). Координация с администратором сервера политики сети гарантирует, что для несоответствующих требованиям компьютеров обновляется доступ — либо на ограниченный доступ к сети, либо на полный доступ к сети, ограниченный по времени. Эта стратегия действует на клиентах, устанавливающих обновление программного обеспечения либо посредством обновлений программного обеспечения Configuration Manager, либо посредством исправления защиты сетевого доступа, как второй фильтр.
Это поэтапное, несрочное развертывание, при котором некоторые пользователи будут устанавливать обновление программного обеспечения до наступления крайнего срока, большинство компьютеров будет устанавливать обновление программного обеспечения автоматически с помощью компонента обновлений программного обеспечения, и защита доступа к сети используется как надежная мера. Поэтапное развертывание предоставляет массу времени для копирования обновления программного обеспечения на точки распространения, и сеть и серверы не будут испытывать снижения производительности при обслуживании запросов.
Если выполняются эти условия, создавайте политики защиты сетевого доступа Configuration Manager как часть развертывания обновлений программного обеспечения (в Мастере распространения обновлений программного обеспечения) и настраивайте дату начала действия защиты доступа к сети после крайнего срока для развертывания. Также, настраивайте крайний срок в соответствии с нежестким расписанием, чтобы оставалось достаточно времени для получения клиентом развертывания обновления программного обеспечения и была возможность для репликации пакета на точки распространения.
Однако, если ваши администраторы отвечают за управление защитой доступа к сети в Configuration Manager, но не отвечают за управление обновлениями программного обеспечения, формируйте политики защиты доступа к сети в Configuration Manager с помощью Мастера создания политик, находящегося на узле Политики под узлом Защита доступа к сети, и обеспечьте координацию между двумя административными ролями Configuration Manager так, чтобы подходящая дата начала действия политики защиты доступа к сети была настроена после наступления крайнего срока, заданного в настройках для развертывания обновления программного обеспечения.
Ускоренные развертывания защиты доступа к сети
Ускоренное развертывание защиты доступа к сети формируется в качестве срочной меры (например, чтобы воспрепятствовать подключению компьютеров к сети, если они уязвимы для Zero-Day атак).
Ускоренное развертывание может быть описано, как срочная задача внешнего управления, обычно возникающая в ответ на нарушение условий безопасности, когда необходимо воспрепятствовать подключению клиентов, оснащенных NAP, к сети до тех пор, пока они не выберут обновления программного обеспечения. Если выполняются эти условия, сформируйте политику защиты доступа к сети, которая указывает критические обновления программного обеспечения, настройте дату начала действия Как можно скорее и настройте точку проверки работоспособности системы, чтобы обеспечить клиентам получение последних политик защиты доступа к сети Configuration Manager. Необходима также координация с администратором сервера сетевой политики, чтобы обеспечить установление ограниченного доступа к сети на компьютерах, не соответствующих требованиям. Если очень важно, чтобы только признанные соответствующими компьютеры имели полный доступ к сети, можно так настроить политики на сервере сетевой политики, что клиенты, непригодные для NAP, не будут получать полного доступа к сети.
Ускоренное развертывание может быть описано, как срочный сценарий, в котором риск отсутствия обновления на компьютерах считается большим, чем риск отключения многих компьютеров от соединения с сетью, с возможной задержкой или даже невозможностью исправления. Отрицательным эффектом этого сценария является отсутствие в результате у компонента обновлений программного обеспечения положенного времени для установки обновления программного обеспечения перед принудительным установлением соответствия. Вследствие этого, большое число компьютеров, возможно окажутся несоответствующими, а сеть и точки распространения (и точки управления) подвергнутся более тяжелой, чем обычно нагрузке, что может привести к сбоям исправлений и отрицательно повлиять на производительность других сетевых служб. Кроме того, жесткий график может означать, что пакет обновления программного обеспечения еще не скопирован на все точки распространения, так что клиентам, возможно, не удалось локально установить обновления программного обеспечения, необходимые для установления соответствия, и они будут пытаться выполнить загрузки с медленных или ненадежных сетевых подключений.
Если ускоренный сценарий применим и обновление программного обеспечения еще не развернуто, можно развернуть обновление программного обеспечения с помощью Мастера распространения обновлений программного обеспечения, задав дату начала действия оценки NAP Как можно скорее и настроив крайний срок автоматической установки на текущую дату и время. Данная конфигурация развертывания предназначена для обновления программного обеспечения клиентов в выбранной коллекции, она будет принудительно внедрена на всех компьютерах всех оснащенных NAP клиентов, назначенных сайту, и на всех компьютерах, назначенных сайтам нижнего уровня в иерархии Configuration Manage. Если используется коллекция по умолчанию Все системы, будут отображены все компьютеры, на которые распространяются политики NAP Configuration Manager.
Однако, при перемещении из поэтапного развертывания защиты сетевого доступа к ускоренному развертыванию защиты сетевого доступа намного легче формировать политики защиты сетевого доступа при помощи Мастера создания политик на узле Политики, подчиненного узлу Защита доступа к сети, чем использовать компонент обновлений программного обеспечения для настройки политики защиты сетевого доступа как свойства обновления программного обеспечения.
Примечание |
---|
При перемещении из поэтапного сценария защиты сетевого доступа к ускоренному сценарию защиты сетевого доступа и при наличии клиентов Configuration Manager, непригодных для NAP, внесите изменения в развертывание обновления программного обеспечения, так чтобы оно автоматически устанавливалось с ранним крайним сроком, и убедитесь, что оно предназначено для коллекции, которая включает все клиенты, непригодные для NAP. |
См. также
Задачи
Настройка политики NAP Configuration Manager для эксплойта "нулевого дня" в защите доступа к сетиСоздание политики NAP в Configuration Manager для защиты доступа к сети
Настройка даты и времени начала оценки NAP для защиты доступа к сети
Основные понятия
О различиях между обновлениями программного обеспечения и защитой доступа к сетиО принудительной совместимости с защитой доступа к сети
Примеры сценариев для реализации защиты доступа к сети в Configuration Manager
Определение своей стратегии политики для защиты доступа к сети
Об исправлении защиты доступа к сети
О мастере развертывания обновлений программного обеспечения