Bewährte Sicherheitsmethoden für den Netzwerkzugriffsschutz

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Verlassen Sie sich beim Sichern eines Netzwerks vor böswilligen Benutzern nicht auf den Netzwerkzugriffsschutz    Der Netzwerkzugriffsschutz ist dafür ausgelegt, Administratoren die Wahrung der Integrität der Computer im Netzwerk und somit der Integrität des gesamten Netzwerks zu erleichtern. Wenn ein Computer beispielsweise über alle Softwareupdates verfügt, die aufgrund der Microsoft System Center Configuration Manager 2007-NAP-Richtlinie erforderlich sind, wird der Computer als kompatibel angesehen und erhält den entsprechenden Zugriff auf das Netzwerk. Der Netzwerkzugriffsschutz verhindert nicht, dass ein autorisierter Benutzer mit einem kompatiblen Computer ein schädliches Programm ins Netzwerk einschleust oder den NAP-Agent deaktiviert.

Verwenden Sie in der gesamten Standorthierarchie konsistente NAP-Richtlinien zur Vermeidung von Verwirrung    Die Fehlkonfiguration von NAP-Richtlinien kann dazu führen, dass eigentlich eingeschränkte Clients auf das Netzwerk zugreifen können oder gültige Clients irrtümlich begrenzt werden. Je komplizierter der Entwurf Ihrer NAP-Richtlinie, desto höher ist das Risiko einer Fehlkonfiguration. Konfigurieren Sie den Configuration Manager 2007-Client-Agent für den Netzwerkzugriffsschutz und die Configuration Manager 2007-Systemintegritätsprüfungspunkte so, dass sie in der gesamten Hierarchie dieselben Einstellungen verwenden, oder auch über die Hierarchiegrenzen hinweg, falls die Clients zwischen den Hierarchien wechseln.

Wichtig

Wenn ein Configuration Manager-Client mit aktiviertem Client-Agent für den Netzwerkzugriffsschutz in eine andere Configuration Manager-Hierarchie wechselt und sein Client-SoH von einem Systemintegritätsprüfungspunkt außerhalb seiner Hierarchie überprüft wird, tritt bei der Standortprüfung im Prüfungsvorgang ein Fehler auf. Dadurch wird der Clientintegritätszustand als „Unbekannt“ zurückgeben, was auf dem Netzwerkrichtlinienserver standardmäßig als „Nicht kompatibel“ konfiguriert ist. Wenn auf dem Netzwerkrichtlinienserver Netzwerkrichtlinien mit begrenztem Netzwerkzugriff konfiguriert sind, können diese Clients nicht wiederhergestellt werden und erhalten möglicherweise keinen vollständigen Zugriff auf das Netzwerk. Durch eine Ausnahmerichtlinie auf dem Netzwerkrichtlinienserver kann dieses Problem behoben werden, indem Configuration Manager-Clients, die sich zeitweise außerhalb der Configuration Manager-Hierarchie befinden, unbegrenzten Zugriff auf das Netzwerk erhalten.

Aktivieren Sie den Client-Agent für den Netzwerkzugriffsschutz nicht sofort an neuen Configuration Manager-Standorten    Standortserver veröffentlichen zwar die Configuration Manager-Integritätszustandsreferenz bei Änderung der Configuration Manager-NAP-Richtlinien auf einem Domänencontroller, diese neuen Daten sind aber u. U. nicht sofort für den Abruf durch den Systemintegritätsprüfungspunkt, sondern erst nach Abschluss der Active Directory-Replikation verfügbar. Wenn Sie den Client-Agent für den Netzwerkzugriffsschutz aktivieren, bevor die Replikation abgeschlossen ist, und wenn Ihr Windows-Netzwerkrichtlinienserver nicht kompatiblen Clients begrenzten Zugriff gewährt, können Sie einen DoS-Angriff gegen sich selbst auslösen.

Verlassen Sie sich nicht auf den Netzwerkzugriffsschutz als sofortigen oder Echtzeit-Erzwingungsmechanismus    Der NAP-Erzwingungsmechanismus weist Wartezeiten auf.  Während der Netzwerkzugriffsschutz Computer auf lange Sicht kompatibel hält, treten typischerweise bei der Erzwingung Wartezeiten von mehreren Stunden oder länger auf. Dies hängt von einer Vielzahl von Faktoren ab, z. B. den Einstellungen der verschiedenen Konfigurationsparameter.

Siehe auch

Andere Ressourcen

Netzwerkzugriffsschutz in Configuration Manager
Bewährte Sicherheitsmethoden und Datenschutzinformationen zu Configuration Manager-Features

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com