Windows Security Health Validator

Als u de instelling Een firewall is ingeschakeld voor alle netwerkverbindingen wilt gebruiken, moet de firewallsoftware op de clientcomputer Windows Firewall-software zijn of andere firewallsoftware die compatibel is met Windows Beveiligingscentrum.

Firewallsoftware die niet compatibel is met Windows Beveiligingscentrum, kan niet worden beheerd of gedetecteerd door de WSHA (Windows Security Health Agent) op de clientcomputer.

Als u Een firewall is ingeschakeld voor alle netwerkverbindingen selecteert, controleert WSHA op de clientcomputer of er firewallsoftware actief is op de clientcomputer en worden de volgende acties ondernomen.

• Als op de clientcomputer geen firewallsoftware actief is, wordt de client beperkt tot een herstelnetwerk tot er firewallsoftware is geïnstalleerd en geactiveerd.
  
  
• Als de enige firewallsoftware op de clientcomputer een firewall is die niet compatibel is met Windows Beveiligingscentrum, rapporteert de WSHA aan de NAP-service (Network Access Protection) dat er geen firewall is ingeschakeld en wordt de clientcomputer beperkt tot een herstelnetwerk.
  
  

	Belangrijk
	Als u Een firewall is ingeschakeld voor alle netwerkverbindingen selecteert en op de clientcomputers niet Windows Firewall of andere firewallsoftware is geactiveerd die compatibel is met Windows Beveiligingscentrum, kunnen de clientcomputers geen verbinding maken met uw netwerk.

Als u Een firewall is ingeschakeld voor alle netwerkverbindingen niet selecteert, voert WSHA geen controle uit op de clientcomputer en kunnen clientcomputers waarop geen firewallsoftware actief is, toegang tot uw netwerk krijgen.

Als u Een antivirustoepassing is ingeschakeld selecteert, controleert de WSHA op de clientcomputer of er antivirussoftware is geactiveerd. Als op de clientcomputer geen antivirussoftware actief is, wordt de client beperkt tot een herstelnetwerk tot er antivirussoftware is geïnstalleerd en geactiveerd.

De antivirussoftware die op de clientcomputer is geïnstalleerd, moet compatibel zijn met Windows Beveiligingscentrum. Antivirussoftware die niet compatibel is met Windows Beveiligingscentrum, kan niet worden beheerd of gedetecteerd door de WSHA op de clientcomputer. Als de enige antivirussoftware op de clientcomputer een antivirustoepassing is die niet compatibel is met Windows Beveiligingscentrum, rapporteert WSHA aan WSHV dat er geen antivirus is ingeschakeld en wordt de clientcomputer beperkt tot een herstelnetwerk.

Als u Antivirus is bijgewerkt selecteert, controleert de WSHA op de clientcomputer of de antivirusdefinities voor uw antivirustoepassingen de meest recente versie hebben en actueel zijn.

Als u wilt controleren of er antivirussoftware actief is en de antivirusdefinities de meest recente versie hebben, moet u zowel Een antivirustoepassing is ingeschakeld als Antivirus is bijgewerkt selecteren.

Als u Een antivirustoepassing is ingeschakeld niet selecteert, voert WSHA geen controle uit op de clientcomputer en kunnen clientcomputers waarop geen antivirussoftware actief is, toegang tot uw netwerk krijgen.

Als u zowel Een antivirustoepassing is ingeschakeld als Antivirus is bijgewerkt niet selecteert, voert WSHA geen controle uit op de clientcomputer en kunnen clientcomputers waarop geen antivirussoftware actief is of die verouderde antivirusdefinities bevatten, toegang tot uw netwerk krijgen.

Als u Een antispywaretoepassing is ingeschakeld selecteert, controleert de WSHA op de clientcomputer of er antispywaresoftware is geactiveerd. Als op de clientcomputer geen antispywaresoftware actief is, wordt de client beperkt tot een herstelnetwerk tot er antispywaresoftware is geïnstalleerd en geactiveerd.

De antispywaresoftware die op de clientcomputer is geïnstalleerd, moet Windows Defender zijn of andere antispywaresoftware die compatibel is met Windows Beveiligingscentrum.

Antispywaresoftware die niet compatibel is met Windows Beveiligingscentrum, kan niet worden beheerd of gedetecteerd door de WSHA op de clientcomputer. Als de enige antispywaresoftware op de clientcomputer een antispywaretoepassing is die niet compatibel is met Windows Beveiligingscentrum, rapporteert de WSHA aan de WSHV dat er geen antispyware is ingeschakeld en wordt de clientcomputer beperkt tot een herstelnetwerk.

Als u Antispyware is bijgewerkt selecteert, controleert de WSHA op de clientcomputer of de antispywaredefinities voor uw antispywaretoepassingen de meest recente versie hebben en actueel zijn.

Als u wilt controleren of er antispywaresoftware actief is en de antispywaredefinities de meest recente versie hebben, moet u zowel Een antispywaretoepassing is ingeschakeld als Antispyware is bijgewerkt selecteren.

Als u Een antispywaretoepassing is ingeschakeld niet selecteert, voert WSHA geen controle uit op de clientcomputer en kunnen clientcomputers waarop geen antispywaresoftware actief is, toegang tot uw netwerk krijgen.

Als u zowel Een antispywaretoepassing is ingeschakeld als Antivirus is bijgewerkt niet selecteert, voert WSHA geen controle uit op de clientcomputer en kunnen clientcomputers waarop geen antispywaresoftware actief is of die verouderde antivirusdefinities bevatten, toegang tot uw netwerk krijgen.

Als u Automatische updates is ingeschakeld selecteert en Microsoft Update Services niet is ingeschakeld op de clientcomputer, wordt de client door de WSHA beperkt tot een herstelnetwerk tot Microsoft Update Services wordt ingeschakeld.

Microsoft Update Services is ingeschakeld als een van de volgende instellingen is geselecteerd op de clientcomputer:

• Updates automatisch installeren (aanbevolen)
  
  
• Updates downloaden maar laat mij bepalen of ik ze wil installeren
  
  
• Naar updates zoeken maar laat mij bepalen of ik deze wil downloaden en installeren
  
  

Configureer Bescherming beveiligingsupdate in uw WSHV-beleid alleen als op clientcomputers in uw netwerk Windows Update Agent is geïnstalleerd. Ook moeten clientcomputers waarop Windows Update Agent is geïnstalleerd, zijn geregistreerd bij een server met WSUS (Windows Server Update Service).

	Belangrijk
	Als dit niet het geval is en u Bescherming beveiligingsupdate configureert in uw WSHV-beleid, kan het beleid niet worden uitgevoerd door WSHA op de clientcomputer. Hierdoor worden clientcomputers door WSHA beperkt tot een herstelnetwerk en kunnen ze geen verbinding maken met uw netwerk.

Als op clientcomputers Windows Update Agent is geactiveerd en de clients zijn geregistreerd bij een WSUS-server, kunt u Bescherming beveiligingsupdate configureren voor uw WSHV-beleid.

Als dit het geval is en u Quarantaine afdwingen voor ontbrekende beveiligingsupdates selecteert en de meest recente beveiligingsupdates niet zijn geïnstalleerd, wordt de clientcomputer door de WSHA beperkt tot een herstelnetwerk tot de meest recente updates voor beveiligingssoftware zijn geïnstalleerd.

U kunt Bescherming beveiligingsupdate configureren met verschillende mogelijke waarden die overeenkomen met beveiligingsclassificaties van het MSRC (Microsoft Security Response Center). Deze waarden zijn:

• Alleen kritieke updates: als u deze waarde selecteert, moeten alle beveiligingsupdates op clientcomputers de MSRC-classificatie Kritiek hebben. Als een clientcomputer niet deze updates bevat, wordt de client beperkt tot een herstelnetwerk tot de updates zijn gedownload en geïnstalleerd.
  
  
• Belangrijke updates en hoger: dit is de standaardinstelling. Als u deze waarde selecteert, moeten alle beveiligingsupdates op clientcomputers de MSRC-classificatie Belangrijk of Kritiek hebben. Als een clientcomputer niet deze updates bevat, wordt de client beperkt tot een herstelnetwerk tot de updates zijn gedownload en geïnstalleerd.
  
  
• Updates met gemiddelde prioriteit en hoger: als u deze waarde selecteert, moeten alle beveiligingsupdates op clientcomputers de MSRC-classificatie Gemiddeld, Belangrijk of Kritiek hebben. Als een clientcomputer niet deze updates bevat, wordt de client beperkt tot een herstelnetwerk tot de updates zijn gedownload en geïnstalleerd.
  
  
• Updates met lage prioriteit en hoger: als u deze waarde selecteert, moeten alle beveiligingsupdates op clientcomputers de MSRC-classificatie Laag, Gemiddeld, Belangrijk of Kritiek hebben. Als een clientcomputer niet deze updates bevat, wordt de client beperkt tot een herstelnetwerk tot de updates zijn gedownload en geïnstalleerd.
  
  
• Alle: als u deze waarde selecteert, moeten clientcomputers alle beveiligingsupdates bevatten, ongeacht de MSRC-classificatie. Als een clientcomputer niet de meest recente updates bevat, wordt de client beperkt tot een herstelnetwerk tot de updates zijn gedownload en geïnstalleerd.
  
  

Nadat u het classificatieniveau voor beveiligingsupdates hebt geconfigureerd, kunt u aangeven na hoeveel uur de client de WSUS-server opnieuw moet controleren op nieuwe beveiligingsupdates. De standaardwaarde voor de minimale synchronisatietijd is 22 uur.

Wanneer een clientcomputer voor het eerst verbinding probeert te maken met een NAP-netwerk terwijl de instelling Bescherming beveiligingsupdate is geconfigureerd in het WSHV-beleid, wordt door de WSHA bepaald of de clientcomputer moet worden beperkt tot een herstelnetwerk op basis van het tijdstip waarop de clientcomputer de WSUS-server voor het laatst heeft gecontroleerd op beveiligingsupdates. WSHA bepaalt op de volgende manier of de client moet worden beperkt tot een herstelnetwerk.

• Als de client heeft gecontroleerd op updates met een interval dat groter is dan het minimum aantal uur dat in het WSHV-beleid is geconfigureerd, wordt de clientcomputer beperkt tot een herstelnetwerk. Pas als de client op updates heeft gecontroleerd en eventuele nieuwe updates heeft gedownload en geïnstalleerd, heeft de client volledige netwerktoegang.
  
  
• Als de client heeft gecontroleerd op updates met een interval dat gelijk is aan of kleiner is dan het minimum aantal uur dat in het WSHV-beleid is geconfigureerd, wordt de clientcomputer niet beperkt tot een herstelnetwerk.
  
  

Opmerking

WSHA op de clientcomputer voert deze controle alleen uit wanneer de clientcomputer verbinding probeert te maken met het netwerk. Als de clientcomputer gedurende een langere periode verbonden blijft met het netwerk dan de geconfigureerde minimale synchronisatietijd, wordt er geen controle op beveiligingsupdates uitgevoerd, worden er geen updates gedownload en wordt de clientcomputer niet beperkt tot een herstelnetwerk.