не следует рассчитывать на NAP как на средство обеспечения безопасности сети от злоумышленников Защита сетевого доступа разработана для помощи администраторам в обслуживании работоспособности компьютеров в сети, что, в свою очередь, помогает поддерживать общую целостность сети. Например, если на компьютере установлены все обновления ПО, необходимые политике NAP Microsoft System Center Configuration Manager 2007, компьютер будет признан соответствующим и ему будет дан соответствующий доступ в сеть. Защита доступа к сети не может помешать авторизованному пользователю с соответствующим политике компьютером загрузить вредоносную программу в сеть или отключить агента NAP.
Используйте соответствующие структуре сайта политики NAP для минимизации беспорядка Неверная настройка политики NAP может привести к разрешению доступа в сеть клиентам, которве не должны иметь доступа, или ограничению доступа действительным клиентам. Чем выше сложность политики NAP, тем выше риск неверной настройки. Настройте агента клиента NAP Configuration Manager 2007 и точки средства проверки работоспособности системы Configuration Manager 2007 на использование одинаковых параметров в иерархиях или в дополнительных иерархиях в организации, если клиенты могут перемещаться между ними.
 Важно! |
|---|
| Если клиент Configuration Manager с включенным агентом защиты доступа к сети может перемещаться в другую иерархию Configuration Manager, где состояние работоспособности клиента будет проверяться точкой средства проверки работоспособности системы вне его иерархии, произойдет сбой процесса проверки во время проверки сайта. Это приведет к изменению состояния клиента на "Неизвестно", что по умолчанию настроено на сервере сетевой политики как несоответствующее. Если на сервере политики сети задействованы политики ограниченного доступа к сети, исправление клиентов не выполняется и они могут не получить полный доступ к сети. Предоставить клиентам Configuration Manager, перемещающимся вне своей иерархии Configuration Manager, неограниченный доступ к сети можно путем задания политики исключения на сервере политики сети. |
Не следует немедленно включать агента клиента защиты доступа к сети на новых сайтах Configuration Manager Хотя серверы сайта публикуют ссылки на состояние работоспособности Configuration Manager в контроллере домена при редактировании политик защиты доступа к сети Configuration Manager, новые данные доступны для извлечения точкой средств проверки состояния работоспособности системы только после завершения репликации Active Directory. Если включить агента клиента защиты доступа к сети до завершения репликации, и если сервер сетевой политики Windows даст несоответствующим клиентам ограниченный доступ к сети, это потенциально может стать причиной запрета атаки службы по отношению к себе.
Не следует рассчитывать на NAP как на механизм немедленного усиления или усиления в реальном времени В механизме NAP есть обязательные задержки. Поскольку NAP помогает сохранять соответствие компьтеров в течение длительного запуска, обычные задержки усиления могут длиться порядка нескольких часов или более из-за различных факторов, включая настройки различных параметров конфигурации.