Фильтрация групповых политик для создания политики внедрения NAP DHCP в Windows Server 2008

ОГЛАВЛЕНИЕ

 

Политики здоровья

Политики здоровья используются с NAP, чтобы позволить вам определить конфигурацию, необходимую клиентским компьютерам с поддержкой NAP для доступа к сети. По сути, политики здоровья используются для определения того, соответствует ли машина определению совместимого компьютера. Как видно на рисунке ниже, мастер создал две политики:

  • NAP DHCP совместимые
  • NAP DHCP несовместимые

Цель каждой политики очевидна. Политика соответствия определяет компьютеры, которые соответствуют сетевым политикам здоровья, а политика несоответствия определяет, какие машины не будут соответствовать сетевой политике здоровья.

На рисунке ниже видно, что я дважды нажал на записи NAP DHCP несовместимые, чтобы вызвать диалоговое окно Свойства NAP DHCP несовместимости. Здесь видно, что для несоответствия требованиям политики, клиент должен не пройти одну или несколько SHV проверок с помощью Windows Security Health Validator. Догадайтесь, каково будет определение DHCP соответствия политике? Догадались. Клиент проходит все SHV проверки на Windows Security Health Validator.

Когда вы разворачиваете вкладку Защита сетевого доступав левой панели консоли Сервер сетевых политик, вы видите там еще две вкладки: вкладка Контрольное устройство здоровья системы (System Health Validator) и вкладка Группа серверов исправления. Нажмите на вкладке System Health Validator.

Здесь в правой панели консоли вы увидите список контрольных устройств здоровья системы, которые используются для определения политики здоровья, рассмотренной ранее. По умолчанию есть только одно SHV, коим является Windows Security Health Validator. Когда вы нажимаете на этом SHV, в нижней панели под SHV вы видите список конфигураций кода ошибок. Вы видите, что мастер задал код каждой ошибки, в силу которых клиент будет считаться несовместимым.

Давайте более подробно рассмотрим путем двойного нажатия на объекте Windows Security Health Validator.

Это вызовет диалоговое окно свойств Windows Security Health Validator Properties. Здесь мы видим параметры Разрешение кода ошибок. Эти параметры разрешения кода ошибок используются для определения того, как действовать в ситуациях, где встречаются различные коды ошибок во время процесса внедрения NAP. Умолчания установлены мастером в самом безопасном режиме, и я советую вам оставить все как есть.

Нажмите кнопку Настроить для настройки параметров для этого SHV.

Это вызовет диалоговое окно Windows Security Health Validator, в котором есть две вкладки: вкладка Windows Vista и Windows XP. В этом примере мы концентрируемся на вкладке Windows Vista, поскольку это единственный клиент, которого мы будем тестировать после окончания настройки.

Windows Security Health Validator позволяет настраивать следующее:

  • Брандмауэр Вы можете принудить брандмауэр быть включенным на клиенте Vista, чтобы соответствовать политике здоровья
  • Защита от вирусов Вы можете принудить антивирусную защиту быть включенной, чтобы соответствовать политике здоровья. К тому же, вы можете потребовать, чтобы антивирусная защита была обновлена.
  • Защита от шпионского ПО Вы можете принудить любое антишпионское приложение быть включенным для соответствия политике. К тому вы можете потребовать, чтобы это приложение было обновлено.
  • Автоматическое обновление Когда автоматическое обновление включено, агент NAP на клиенте будет пытаться исправить проблему. К примеру, если пользователь отключает брандмауэр Windows, агент NAP на машине клиента попытается включить брандмауэр
  • Защита обновлений безопасности Когда эта опция включена, вы можете ограничить доступ клиентов к сети, основываясь на текущем состоянии их обновлений безопасности. Вы можете использовать список, показанный на рисунке ниже, чтобы определять необходимые типы обновлений безопасности. У вас также есть возможность задавать минимальное количество часов, разрешенных с момента проверки клиентом новых обновлений безопасности, а также определить, хотите ли вы разрешить клиентам доступ к Windows Server Update Servers или Windows Update (Microsoft Update разрешено по умолчанию).

На рисунке ниже показаны параметры SHV для Windows Security Health Validator для клиента Windows XP. Обратите внимание, что опции защиты от вредоносного ПО здесь не включены.