Приведенная ниже информация позволит понять, как дата вступления в силу в защите доступа к сети Configuration Manager 2007 влияет на клиентов, которые могут поддерживать защиту доступа к сети также изложены сведения, которые необходимо принимать во внимание при настройке ее в качестве свойства политики NAP Configuration Manager.
Поведение клиента при наступлении эффективной даты
Эффективной называется дата, когда активируется политика защиты доступа к сети Configuration Manager 2007 на клиентах, поддерживающих защиту доступа к сети, что отображается в столбце по умолчанию узла Политики.
В этот момент клиент получает доступ к своему состоянию соответствия путем проверки, не требуется ли проведение обновления программного обеспечения, указанного в списке политики. Если соответствие отсутствует, будет принудительно запущено необходимое обновление программного обеспечения путем исправления, а до его успешного завершения доступ клиента к сети может быть ограничен. Исправление и ограничение управляются политиками, настроенными на сервере политики сети Microsoft Windows.
Замечания по поводу настройки эффективной даты
Т.к. защита доступа к сети в Configuration Manager 2007 является дополнением к функции обновления программного обеспечения Configuration Manager 2007, как правило, на большинстве клиентов Configuration Manager необходимые обновления программного обеспечения будут установлены при помощи функции обновления программного обеспечения. Поэтому установка эффективной даты позже крайнего срока развертывания обновления программного обеспечения является профилактической мерой для новых компьютеров, на которых не было установлено обновление программного обеспечения при помощи стандартных операционных процедур.
Однако защита доступа к сети, в отличие от обновлений программного обеспечения, имеет возможность ограничивать доступ к сети (путем настройки политик на сервере политик сети Windows) до момента установки обновлений программного обеспечения в политике защиты доступа к сети Configuration Manager.
При настройке агрессивной эффективной даты имеются следующие два риска:
- До успешного выполнения исправлений у
большего числа клиентом может быть ограничен доступ к сети, что в
свою очередь, приведет к повышению нагрузки на такие серверы
исправлений, как точки распространения, на которых расположены
обновления программного обеспечения, а также на точки обновления
программного обеспечения.
- Пакеты обновлений программного обеспечения,
содержащие необходимые обновления, могут не быть реплицированными
на точки распространения исправлений.
Можно настроить эффективную дату политики защиты доступа к сети Configuration Manager так, чтобы она соответствовала определенному моменту в будущем, или наступила Как можно скорее. Пункт Как можно скорее следует выбирать лишь в том случае, когда выполняется одно из следующих условий:
- Сервер политик сети Windows не будет
ограничивать доступ к сети для несоответствующих компьютеров.
- Риск, вызванный полным доступом к сети
несоответствующих компьютеров, превышает риск, вызванный
ограничением для них доступа к сети и невозможностью получения
исправлений в случае, если обновление программного обеспечения еще
не было реплицировано на точки распространения исправлений.
Дополнительные сведения о настройке эффективной даты см. в разделе Настройка даты и времени начала оценки NAP для защиты доступа к сети.
См. также
Задачи
Настройка политики NAP Configuration Manager для эксплойта "нулевого дня" в защите доступа к сетиСоздание политики NAP в Configuration Manager для защиты доступа к сети
Настройка даты и времени начала оценки NAP для защиты доступа к сети
Просмотр политик NAP Configuration Manager для защиты доступа к сети
Основные понятия
Состояние клиента NAP в защите доступа к сетиОб исправлении защиты доступа к сети
О политиках защиты доступа к сети Configuration Manager в защите доступа к сети
О поэтапных и ускоренных развертываниях защиты доступа к сети