Informationen zu Netzwerkzugriffsschutz-Bereitstellungen in Phasen und beschleunigten Bereitstellungen

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Im Folgenden wird erklärt, wie Sie die beiden verschiedenen Betriebsszenarien für den Netzwerkzugriffsschutz (Network Access Protection, NAP) in Configuration Manager 2007 identifizieren und konfigurieren.

Bereitstellungen in Phasen und beschleunigten Bereitstellungen

Die beiden NAP-Betriebsszenarien (Network Access Protection, Netzwerkzugriffsschutz) sind die folgenden:

  • Bereitstellung in Phasen: Als zweiter Filter für die Bereitstellung von Softwareupdates.

  • Beschleunigte Bereitstellung: Als Dringlichkeitsmaßnahme (z. B. um zu verhindern, dass Computer eine Verbindung mit dem Netzwerk herstellen, wenn sie für ein Zero-Day-Exploit anfällig sind).

Diese beiden Betriebsszenarien und ihre Auswirkungen auf die Konfiguration von Configuration Manager-NAP-Richtlinien werden im Folgenden beschrieben. Beispielszenarien finden Sie unter Beispielszenarien für die Implementierung von Netzwerkzugriffschutz in Configuration Manager.

Netzwerkzugriffsschutz-Bereitstellungen in Phasen

Eine Netzwerkzugriffsschutz-Bereitstellung in Phasen ist ein zweiter (oder nachgeordneter) Filter für eine nicht dringende Bereitstellung von Softwareupdates.

In diesem Szenario werden Softwareupdatebereitstellungen als eine routinemäßige Verwaltungsaufgabe mit einer in der Zukunft liegenden Frist (z. B. 2 Wochen später) erstellt. Darüber hinaus werden Softwareupdatebereitstellungen für die NAP-Evaluation aktiviert, die an einem späteren Datum als dem Bereitstellungsstichtag (z. B. 4 Wochen später) stattfindet. Durch Absprache mit dem Administrator des Netzwerkrichtlinienservers wird sichergestellt, dass nicht kompatible Computer entweder mit eingeschränktem Netzwerkzugriff oder mit vollem Netzwerkzugriff für begrenzte Zeit wiederhergestellt werden. Dies führt dazu, dass Clients das Softwareupdate entweder über Configuration Manager-Softwareupdates oder über die Netzwerkzugriffsschutz-Wiederherstellung als zweiten Filter installieren.

Bei dieser nicht dringenden Bereitstellung in Phasen installieren einige Benutzer das Softwareupdate vor dem Stichtag. Die meisten Computer installieren das Softwareupdate automatisch über das Softwareupdatefeature, und der Netzwerkzugriffsschutz wird als ausfallsichere Maßnahme verwendet. Durch die Bereitstellung in Phasen ist ausreichend Zeit für die Replikation des Softwareupdates auf Verteilungspunkte vorhanden, und die Leistung von Netzwerk und Servern wird bei Dienstanforderungen nicht beeinträchtigt.

Wenn diese Bedingungen erfüllt sind, erstellen Sie Configuration Manager-NAP­Richtlinien als Teil der Softwareupdatebereitstellung (mithilfe des Softwareupdateverteilungs-Assistenten), und konfigurieren ein Gültigkeitsdatum für den Netzwerkzugriffsschutz, das nach den Stichtag für die Bereitstellung liegt. Darüber hinaus sollten Sie keine zu engen Fristen konfigurieren, um ausreichend Zeit für das Empfangen der Softwareupdatebereitstellung auf allen Clients und die Replikation der Pakete auf die Verteilungspunkte zu reservieren.

Wenn die Administratoren, die den Netzwerkzugriffsschutz im Configuration Manager verwalten, nicht für die Verwaltung von Softwareupdates zuständig sind, sollten Sie Configuration Manager-NAP­Richtlinien mithilfe des Richtlinienerstellungs-Assistenten im Knoten Richtlinien unter Netzwerkzugriffsschutz erstellen. Sie sollten auch die Koordination zwischen den beiden Administratorrollen im Configuration Manager sicherstellen, sodass ein geeignetes Gültigkeitsdatum für die NAP-Richtlinie konfiguriert wird, das nach dem Stichtag für die Softwareupdatebereitstellung liegt.

Beschleunigte Netzwerkzugriffsschutz-Bereitstellungen

Eine beschleunigte Netzwerkzugriffsschutz-Bereitstellung wird als Dringlichkeitsmaßnahme erstellt (z. B. um zu verhindern, dass Computer eine Verbindung mit dem Netzwerk herstellen, wenn sie für ein Zero-Day-Exploit anfällig sind).

Eine beschleunigte Bereitstellung stellt eine dringende Out-of-Band-Aufgabe dar und ist in der Regel eine Reaktion auf einen Sicherheitsvorfall. Möglicherweise möchten Sie verhindern, dass NAP-fähige Clients, auf denen die ausgewählten Softwareupdates noch nicht installiert sind, eine Verbindung mit dem Netzwerk herstellen. Wenn diese Bedingungen erfüllt sind, erstellen Sie eine NAP-Richtlinie, die die wichtigen Softwareupdates identifiziert. Legen Sie für das Gültigkeitsdatum den Wert So bald wie möglich fest, und konfigurieren Sie den Systemintegritätsprüfungspunkt, sodass sichergestellt ist, dass Clients die aktuellen Configuration Manager-NAP­Richtlinien erhalten. Darüber hinaus müssen Sie sich mit dem Administrator des Netzwerkrichtlinienservers abstimmen, um sicherzustellen, dass nicht kompatible Computer wiederhergestellt werden und dabei eingeschränkten Netzwerkzugriff erhalten. Wenn nur Computer, deren Kompatibilität erwiesen ist, über vollen Zugriff auf das Netzwerk verfügen dürfen, können die Richtlinien auf dem Netzwerkrichtlinienserver so konfiguriert werden, dass nicht NAP-fähige Clients keinen vollen Netzwerkzugriff erhalten.

Eine beschleunigte Bereitstellung stellt einen Fall von Dringlichkeit dar, bei dem das Risiko, dass Computer nicht über das Update verfügen, als größer angesehen wird, als das Risiko, dass viele Computer keine Verbindung mit dem Netzwerk herstellen können und möglicherweise nur mit Verzögerung oder gar nicht wiederhergestellt werden können. Die negativen Auswirkungen dieses Szenarios sind, dass dem Softwareupdatefeature von Configuration Manager nicht die Standardzeit für die Installation des Softwareupdates vor der erzwungenen Kompatibilität zur Verfügung steht. Infolgedessen ist es wahrscheinlich, dass eine große Anzahl von Computern nicht kompatibel ist und dass das Netzwerk sowie die Verteilungspunkte (und Verwaltungspunkte) stärker beansprucht werden als es normalerweise der Fall ist. Dies kann zu Wiederherstellungsfehlern führen und negative Auswirkungen auf die Leistung anderer Netzwerkdienste haben. Darüber hinaus führt dieser enge Zeitrahmen möglicherweise dazu, dass das Softwareupdatepaket noch nicht auf alle Verteilungspunkte repliziert wurde, sodass Clients ggf. nicht in der Lage sind, die für ihre Kompatibilität benötigten Softwareupdates zu installieren, und daraufhin versuchen, Downloads über langsame und unzuverlässige Netzwerkverbindungen durchzuführen.

Wenn ein beschleunigtes Szenario anwendbar ist und das Softwareupdate noch nicht bereitgestellt wurde, können Sie das Softwareupdate mithilfe des Softwareupdateverteilungs-Assistenten bereitstellen, das Gültigkeitsdatum der NAP-Evaluierung auf So bald wie möglich festlegen und eine automatische Installation konfigurieren, deren Stichtag auf die aktuelle Uhrzeit und das aktuelle Datum festgelegt ist. Durch diese Bereitstellungskonfiguration wird das Softwareupdate für Clients der ausgewählten Sammlung vorgesehen und auf allen NAP-fähigen Clients und allen Computern erzwungen, die dem Standort zugewiesen sind. Die Erzwingung erfolgt auch auf allen Computern, die Standorten zugewiesen sind, die niedriger in der Configuration Manager-Hierarchie angeordnet sind. Wenn Sie die Standardsammlung Alle Systeme verwenden, werden alle Computer angezeigt, für die Configuration Manager-NAP-Richtlinien vorgesehen sind.

Wenn Sie jedoch von einer Netzwerkzugriffsschutz-Bereitstellung in Phasen zu einer beschleunigten Netzwerkzugriffsschutz-Bereitstellung wechseln, ist es sehr viel einfacher, NAP-Richtlinien mithilfe des Richtlinienerstellungs-Assistent zu erstellen, der sich im Knoten Netzwerkzugriffsschutz unter Richtlinien befindet, anstatt das Softwareupdatefeature zu verwenden, um die NAP-Richtlinie als Eigenschaft des Softwareupdates zu konfigurieren.

noteHinweis
Wenn Sie von einer Netzwerkzugriffsschutz-Bereitstellung zu einer beschleunigten Netzwerkzugriffsschutz-Bereitstellung wechseln und einige der Configuration Manager-Clients nicht NAP-fähig sind, ändern Sie die Softwareupdatebereitstellung so, dass sie zu einem früheren Stichtag automatisch installiert wird. Stellen Sie auch sicher, dass die Bereitstellung einer Sammlung zugewiesen wird, die alle nicht NAP-fähigen beinhaltet.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: