Planear implementações do sistema operativo num ambiente preparado para NAP

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Quando implementa um sistema operativo e o cliente do System Center 2012 Configuration Manager num ambiente que utiliza NAP (Proteção de Acesso à Rede), deve executar passos de configuração adicionais. Uma falha ao configurar corretamente uma implementação do sistema operativo para Proteção de Acesso à Rede pode implicar que computadores implementados recentemente tenham acesso restrito à rede com falha na remediação.

Os clientes com o Windows Vista e o Windows Server 2008 oferecem suporte nativo para Proteção de Acesso à Rede, enquanto os computadores com o Windows XP não oferecem esse suporte nativo e necessitam da instalação de um cliente adicional de Proteção de Acesso à Rede. Para mais informações sobre o Cliente de Proteção de Acesso à Rede para Windows XP, consulte o Web site Network Access Protection (Proteção de Acesso à Rede).

A Proteção de Acesso à Rede suporta vários mecanismos de imposição, tais como IPsec, 802.1 X, VPN e DHCP. Cada mecanismo de imposição requer que o respetivo cliente de imposição de Proteção de Acesso à Rede esteja ativado e que o Serviço de Proteção de Acesso à Rede do Windows esteja iniciado e configurado para iniciar automaticamente. Para mais informações sobre os pré-requisitos para utilizar a Proteção de Acesso à Rede com atualizações de software no Gestor de configuração, consulte Pré-requisitos para Atualizações de Software no Configuration Manager.

Utilize os passos nas secções seguintes para assegurar que o mecanismo de imposição e o Serviço de Proteção de Acesso à Rede do Windows estão ativados e irão interagir corretamente com o cliente do Gestor de configuração quando implementar um sistema operativo num ambiente compatível com NAP.

O cenário seguinte é apropriado se todas as implementações do sistema operativo estiverem num ambiente compatível com NAP, utilizando o mesmo mecanismo de imposição de NAP:

  1. Configure o computador de referência com a personalização do ambiente de trabalho, sistema operativo, service packs, atualizações de segurança, aplicações, definições e ferramentas.

  2. Se o sistema operativo for o Windows XP, instale o cliente de Proteção de Acesso à Rede para Windows XP.

  3. Ative os clientes de imposição de Proteção de Acesso à Rede apropriados.

  4. Configure o serviço de Proteção de Acesso à Rede do Windows para iniciar automaticamente e inicie o serviço.

  5. Capture a imagem do sistema operativo utilizando o suporte de dados de captura.

  6. Crie uma sequência de tarefas que faça referência à imagem capturada.

  7. Implemente a sequência de tarefas nos computadores de destino.

Com esta configuração, o cliente de imposição de Proteção de Acesso à Rede e o Serviço de Proteção de Acesso à Rede do Windows iniciam automaticamente no novo computador implementado porque fazem parte da imagem. Além disso, já estarão em execução quando o cliente do Gestor de configuração for instalado, assegurando que o cliente do Gestor de configuração pode criar um enlace ao Serviço de Proteção de Acesso à Rede do Windows.

O cenário seguinte será apropriado apenas se alguns dos computadores estiverem instalados num ambiente compatível com NAP ou se for necessário adicionar a configuração da Proteção de Acesso à Rede a uma imagem capturada existente:

  1. Configure o computador de referência com a personalização do ambiente de trabalho, sistema operativo, service packs, atualizações de segurança, aplicações, definições e ferramentas.

  2. Capture a imagem do sistema operativo utilizando o suporte de dados de captura.

  3. Crie uma sequência de tarefas de implementação que faça referência à imagem capturada.

  4. Se o sistema operativo for o Windows XP, adicione um passo à sequência de tarefas que será executada no novo sistema operativo implementado para instalar o Cliente de Proteção de Acesso à Rede para Windows XP.

  5. Adicione um passo personalizado à sequência de tarefas que será executada no novo sistema operativo implementado para ativar os clientes de imposição de Proteção de Acesso à Rede apropriados.

    System_CAPS_noteNota

    Utilize o utilitário da linha de comandos netsh nap client set enforcement <enforcement ID> enable . Para mais informações, consulte a documentação da Proteção de Acesso à Rede do Windows. Para a configuração em curso, certifique-se de que a Política de Grupo configura os clientes de imposição.

  6. Adicione um passo à sequência de tarefas que será executada no novo sistema operativo implementado para configurar o Serviço de Proteção de Acesso à Rede para iniciar automaticamente e inicie o serviço.

    System_CAPS_noteNota

    Para a configuração em curso, certifique-se de que a política de grupo configura este serviço.

  7. Adicione um passo à sequência de tarefas para reiniciar o computador.

    System_CAPS_noteNota

    Este reinício é necessário para assegurar que os clientes de imposição e o Serviço de Proteção de Acesso à Rede do Windows já estão em execução quando o cliente do Gestor de configuração é iniciado e assegura que o cliente do Gestor de configuração cria corretamente um enlace ao Serviço de Proteção de Acesso à Rede do Windows.

  8. Implemente a sequência de tarefas nos computadores de destino.

Mostrar: