Bestimmen von Administratorrollen und Prozessen für den Netzwerkzugriffsschutz

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung – Mai 2008

Zum Implementieren des Netzwerkzugriffsschutzes (Network Access Protection, NAP) in eine Produktionsumgebung ist die Interaktion und Zusammenarbeit mit verschiedenen Gruppen des Unternehmens erforderlich. Dazu zählen unter anderem folgende Gruppen:

  • Architekten für Active Directory-Domänendienste, die festlegen, welche Gesamtstruktur für die Veröffentlichung von NAP-Integritätszustandsreferenzen verwendet werden, und das Schema mit den Configuration Manager 2007-Schemaerweiterungen erweitern.

  • Dienstadministratoren für Active Directory-Domänendienste, die das Schema erweitern und den Systemverwaltungscontainer mit den erforderlichen Sicherheitsberechtigungen konfigurieren. Die gleichen Administratoren sind ggf. auch an der Erstellung oder Identifizierung von Windows-Sicherheitskonten oder -gruppen beteiligt, die beim Konfigurieren des Systemintegritätsprüfungspunkts und der NAP-Richtlinien verwendet werden sollen.

  • Infrastrukturarchitekten, die die für die NAP-Unterstützung erforderliche Netzwerk- und Serverarchitektur entwickeln und dabei auch entscheiden, welche Erzwingungstechnologien verwendet werden.

  • PKI-Spezialisten (Public Key-Infrastruktur), die Zertifikatdienste bieten, wenn Sie eine IPsec-Erzwingungslösung für den Netzwerkzugriffsschutz verwenden.

  • Windows Server-Administratoren, die die Netzwerkrichtlinienserver und die unterstützenden Windows-Dienste erstellen und konfigurieren.

  • Firewall-Administratoren für die Durchführung von Konfigurationsänderungen an der Firewall und den Netzwerkgeräten, die zur Unterstützung des Netzwerkzugriffsschutzes benötigt werden.

  • Sicherheitsberater, die an der Bestimmung der Kriterien mitarbeiten, nach denen Softwareupdates für die NAP-Erzwingung ausgewählt werden, das Erzwingungsdatum angeben und festlegen, ob der Zugriff nicht kompatibler Computer bis zur Erreichung der Kompatibilität beschränkt wird.

  • Interne Web-Designer, die eine umfangreiche Website zur Problembehandlung für Computer erstellen, die im eingeschränkten Netzwerk nicht wiederhergestellt werden konnten.

  • Helpdeskmitarbeiter, die mitunter Anrufe von Benutzern erhalten, die keinen Zugriff auf das Netzwerk haben, da ihre Computer über eingeschränkten Zugriff verfügen oder die Wiederherstellung nicht ordnungsgemäß ausgeführt wurde.

  • Configuration Manager-Administratoren für Softwareverteilungen, die Clients mit einer unterstützten Version von Windows XP bis Windows XP Service Pack 3 aktualisieren, damit diese Clients den Netzwerkzugriffsschutz unterstützen können.

  • Configuration Manager-Administratoren für Softwareupdates, die Softwareupdatepunkte konfigurieren und Softwareupdatepakete auf Verteilungspunkten erstellen.

  • Configuration Manager-Administratoren, die Systemintegritätsprüfungspunkte, den NAP-Client-Agent und dann die NAP-Richtlinien konfigurieren und die Configuration Manager-NAP-Richtlinien anschließend überwachen.

  • Endbenutzer, die für die NAP-Prozesse geschult werden und Informationen dazu erhalten müssen, was im Falle eines Problems zu tun ist.

Da die NAP-Lösung eine große Anzahl an Rollen umfasst, muss für eine erfolgreiche Implementierung die Verantwortlichkeit für die verschiedenen Rollen festgelegt und die bedarfsgerechte Zusammenarbeit der Gruppen sichergestellt werden. Eine erfolgreiche Implementierung hängt von der Identifizierung und Einhaltung der Prozesse ab, die die verschiedenen Funktionen zwischen den Rollen koordinieren.

Im Folgenden werden einige der Konsequenzen aufgezählt, die eintreten können, wenn bei der NAP-Implementierung in einer Produktionsumgebung keine Prozesse definiert und befolgt werden:

  • Am Helpdesk gehen eine Flut von Anrufen von Benutzern ein, die NAP-Meldungen und Fehler erhalten.

  • Die Produktivität sinkt rapide, und Fristen können nicht eingehalten werden, da Benutzer keinen Zugriff auf die benötigten Netzwerkressourcen haben.

  • Der Zufriedenheitsgrad bei IT-Diensten nimmt ab, und Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs) werden nicht eingehalten.

  • Nicht kompatible Computer erhalten fälschlicherweise vollen Netzwerkzugriff und gefährden Unternehmensressourcen.

Verwenden Sie für die NAP-Implementierung in einem Framework definierter Prozesse Methoden wie ITIL oder Microsoft Operations Framework (siehe http://go.microsoft.com/fwlink/?LinkId=88047, möglicherweise in englischer Sprache). Stellen Sie sicher, dass Sie Folgendes dokumentieren: Entwicklungs- und Testprozeduren, Verantwortlichkeiten und die zum Konfigurieren von Richtlinien, Wiederherstellung und Problembehandlung zu befolgenden Prozesse. Verteilen Sie diese Informationen, und stellen Sie sicher, dass sie zentral verfügbar sind und auf dem neuesten Stand gehalten werden.

noteHinweis
Überprüfen Sie die Sicherheitsrichtlinien des Unternehmens, und nehmen Sie bei Bedarf die NAP-Implementierung in die Richtlinien auf. Die Sicherheitsrichtlinien eines Unternehmens fördern häufig nachgelagerte Prozesse zur Erzwingung der Richtlinien.

Rollentrennung in Configuration Manager

Wenn Sie die für den Netzwerkzugriffsschutz erforderlichen Rollen in Configuration Manager bestimmen, kann es zu Überschneidungen zwischen Softwareupdates und Netzwerkzugriffsschutz kommen. Diese beiden Rollen können, abhängig von den Geschäftsanforderungen, kombiniert oder getrennt vergeben werden. In kleineren Unternehmen werden die beiden Rollen häufig kombiniert, einige Unternehmen ziehen jedoch eine Trennung vor. Die NAP-Rolle in Configuration Manager kann sogar mit produktexternen Rollen kombiniert werden, z. B. mit Netzwerkrichtlinienserver- oder Sicherheitsadministratoren.

Die Rollentrennung für Softwareupdates und Netzwerkzugriffsschutz in Configuration Manager 2007 wird durch einen separaten NAP-Knoten in der Configuration Manager-Konsole unterstützt. Sie können in den Eigenschaften des Knotens Netzwerkzugriffsschutz auf der Registerkarte Sicherheit die Berechtigungen für bestimmte Benutzer oder Gruppen für Aufgaben in Configuration Manager angeben, die mit dem Netzwerkzugriffsschutz zusammenhängen. Legen Sie dann in den Eigenschaften des Knotens Softwareupdates auf der Registerkarte Sicherheit fest, dass NAP-Administratoren keinen Zugriff auf Softwareupdates haben. Diese Konfiguration hat folgende Auswirkungen:

  • NAP-Administratoren können die resultierenden NAP-Statistiken im Knoten Netzwerkzugriffsschutz anzeigen.

  • NAP-Administratoren können NAP-Richtlinien erstellen, anzeigen, ändern und löschen.

  • NAP-Administratoren können keine Softwareupdatebereitstellungen, Pakete oder Vorlagen erstellen, anzeigen, ändern oder löschen.

Der Knoten Richtlinien weist eine eigene Registerkarte Sicherheit auf. Dort können Sie die Berechtigungen weiter optimieren und auf diese Weise steuern, welche NAP-Administratoren NAP-Richtlinien anzeigen, erstellen, ändern und löschen können.

Da es möglich ist, ein Softwareupdate im Assistenten zum Bereitstellen von Softwareupdates für die NAP-Evaluierung und als Eigenschaft eines Updatepakets zu aktivieren, können Sie nicht verhindern, dass auch Softwareupdateadministratoren Configuration Manager-NAP-Richtlinien im Knoten Softwareupdates konfigurieren können.

Wenn Sie in Configuration Manager die Rollentrennung verwenden, sollten Sie u. U. auch die Sicherheit konfigurieren, sodass NAP-Administratoren Zugriff auf den Knoten Berichterstattung haben und somit NAP-Berichte ausführen können.

Ein Administrator, der nur den Netzwerkzugriffsschutz in Configuration Manager 2007 verwaltet, benötigt keinen Zugriff auf die Sammlungen, da Configuration Manager-NAP-Richtlinien automatisch für alle Clients gelten, die dem Standort zugewiesenen wurden.

Weitere Informationen zu den Sicherheitsrechten für den Netzwerkzugriffsschutz in Configuration Manager finden Sie unter Netzwerkzugriffsschutz-Sicherheitsrechte.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: