Bewährte Methoden für den Netzwerkzugriffsschutz

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas – November 2007

Verwenden Sie die folgenden bewährten Methoden für den Netzwerkzugriffsschutz (NAP) in Configuration Manager 2007, und schauen Sie auch nach unter Bewährte Sicherheitsmethoden für den Netzwerkzugriffsschutz.

  • Bestätigen Sie die erfolgreiche Installation der Softwareupdates im nicht eingeschränkten Netzwerk mit dem Softwareupdatefeature in Configuration Manager, bevor Sie Softwareupdates für Netzwerkzugriffsschutz konfigurieren.

    Eine erfolgreiche Wiederherstellung von Configuration Manager-Clients, die nicht mit Softwareupdates kompatibel sind, stützt sich auf den Verlauf bei der Ausführung von Standardsoftwareupdates. Wenn das Softwareupdatefeature vor der Einführung von Netzwerkzugriffsschutz nicht richtig funktioniert, besteht ein erhöhtes Risiko, dass Clients nicht auf das nicht eingeschränkte Netzwerk zugreifen können, und die Problembehandlung wird schwieriger.

    Weitere Informationen zur Konfiguration des Softwareupdatefeatures finden Sie unter Softwareupdates in Configuration Manager.

  • Überprüfen Sie, ob der Windows-Netzwerkzugriffsschutz mit erfolgreicher Wiederherstellung funktioniert, bevor Sie den Configuration Manager-Netzwerkzugriffsschutz einführen.

    Verschiedene schrittweise Anleitungen sind auf der Netzwerkzugriffsschutz-Website verfügbar (http://go.microsoft.com/fwlink/?LinkId=59125, möglicherweise in englischer Sprache). Anhand dieser Anleitungen können Sie überprüfen, ob Ihr Windows-Netzwerkzugriffsschutz zusammen mit dem Windows-Systemintegritäts-Agent und der Systemintegritätsprüfung funktioniert – indem Sie beispielsweise die Windows-Firewall auf einem Testclient deaktivieren und überprüfen, ob diese automatisch wieder aktiviert wird. Wenn die zugrunde liegende Windows-Infrastruktur nicht richtig funktioniert, kann der Netzwerkzugriffsschutz in Configuration Manager nicht erfolgreich sein.

  • Planen Sie, wie der Configuration Manager-Client auf dem eingeschränkten Netzwerk mit manuellen Wiederherstellungsschritten auf der Problembehandlungs-Website installiert werden soll.

    Zu einer automatischen Wiederherstellung in Configuration Manager kann nicht die Reparatur oder Installation des Configuration Manager-Clients gehören. Wenn die Integritätsrichtlinien die Configuration Manager-Systemintegritätsprüfung einschließen, sind NAP-fähige Clients, auf denen kein Configuration Manager-Client installiert ist, nicht kompatibel. Dies kann dazu führen, dass diese Computer eingeschränkten Zugriff auf das Netzwerk ohne automatische Wiederherstellung haben.

    Das bedeutet, dass der Configuration Manager-Client manuell installiert werden muss (oder dass die Richtlinien so konfiguriert werden, dass der entsprechende Computer ausgeschlossen wird). Halten Sie auf der hausinternen Netzwerkzugriffsschutz-Website ein Installationsskript verfügbar, damit Benutzer den Configuration Manager-Client selbst installieren können.

    Versuchen Sie, dieses Installationsskript so weit wie möglich zu vereinfachen, um eine effiziente Installation zu ermöglichen, insbesondere dann, wenn sich Benutzer über ein langsames Netzwerk, beispielsweise ein virtuelles privates Netzwerk (VPN), verbinden.

    Weitere Informationen zur Problembehandlungs-Website für Windows-Netzwerkzugriffsschutz finden Sie unter Konfigurieren der Benutzerführung bei der Wiederherstellung für den Netzwerkzugriffsschutz in Configuration Manager.

  • Testen Sie die durchschnittlichen Wiederherstellungszeiten, um Erwartungen festzulegen.

    Wenn in Ihren Netzwerkrichtlinien nicht kompatible Computer auf dem eingeschränkten Netzwerk wiederhergestellt werden, ist es wichtig zu wissen, wie lange Computer eingeschränkten Netzwerkzugriff haben können, und zu überprüfen, ob dies eine akzeptable Unterbrechung der Unternehmenskontinuität ist. Informieren Sie gegebenenfalls Helpdeskmitarbeiter und Endbenutzer, wie lange es dauern kann, bis nicht kompatible Computer wieder vollen Netzwerkzugriff erhalten, um die Länge der Unterbrechung des normalen Betriebs zu erklären, damit diese Benutzer nicht unnötigerweise das Helpdesk anrufen.

  • Fordern Sie Benutzer im Voraus auf, Softwareupdates vor dem NAP-Gültigkeitsdatum zu installieren.

    Benutzern eine Möglichkeit zu geben, die Softwareupdates selbst zu installieren oder mit dem Softwareupdatefeature kritische Softwareupdates auf dem nicht eingeschränkten Netzwerk automatisch zu installieren, ist immer einer Einschränkung des Netzwerkzugriffs vorzuziehen. Ziehen Sie auch eine Kommunikationsmethode in Betracht, mit der Benutzer benachrichtigt werden, welche Softwareupdates für den Netzwerkzugriffsschutz markiert sind, und mit der sie warnend auf das Datum hingewiesen werden, an dem ihr Netzwerkzugriff möglicherweise eingeschränkt wird, wenn sie nicht kompatibel sind, und die zusätzliche Anweisungen dafür bietet, wie sie sicherstellen können, dass ihre Computer kompatibel sind. Diese Benachrichtigung kann helfen, die Kompatibilitätsstufen zu erhöhen und die Unzufriedenheit der Benutzer zu verringern, wenn Computer nicht kompatibel bleiben und folglich bis zur Wiederherstellung nur eingeschränkten Netzwerkzugriff haben.

  • Identifizieren Sie Computer, auf denen kein Configuration Manager-Client installiert werden soll, und konfigurieren Sie Ausnahmerichtlinien auf dem Netzwerkrichtlinienserver.

    Wenn auf einigen Computern der Configuration Manager-Client nicht installiert werden soll, sind für diese Ausnahmerichtlinien erforderlich. Weitere Informationen finden Sie unter Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz und Konfigurieren der Ausnahmerichtlinien für den Netzwerkzugriffsschutz in Configuration Manager.

  • Installieren Sie den WSUS-Systemintegritäts-Agent nicht auf einem Computer, auf dem der Configuration Manager-Client mit einem aktivierten Netzwerkzugriffsschutz-Client-Agent installiert ist.

    Sowohl der WSUS-Systemintegritäts-Agent als auch der Netzwerkzugriffsschutz-Client-Agent verbinden sich mit einem WSUS-Server und führen dieselbe Aufgabe aus: einen Computer kompatibel mit Softwareupdates zu halten. Wenn beide Systemintegritäts-Agents zusammen verwendet werden, kann es zu einem Konfigurationskonflikt und unnötigen Verarbeitungsvorgängen kommen.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: