Moduł sprawdzania kondycji zabezpieczeń systemu Windows

Aby można było użyć ustawienia Zapora jest włączona dla wszystkich połączeń sieciowych, oprogramowaniem zapory uruchomionym na komputerze klienckim musi być Zapora systemu Windows lub inne oprogramowanie zapory zgodne z Centrum zabezpieczeń systemu Windows.

Agent kondycji zabezpieczeń systemu Windows (WSHA, Windows Security Health Agent) na komputerze klienckim nie umożliwia zarządzania oprogramowaniem zapory, które nie jest zgodne z Centrum zabezpieczeń systemu Windows, ani jego wykrywania.

W przypadku wybrania opcji Zapora jest włączona dla wszystkich połączeń sieciowych agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy na tym komputerze jest uruchomione oprogramowanie zapory i podejmuje następujące akcje

• Jeśli oprogramowanie zapory nie jest uruchomione na komputerze klienckim, dostęp komputera klienckiego jest ograniczony do sieci korygującej do momentu zainstalowania i uruchomienia oprogramowania zapory.
  
  
• Jeśli jedynym oprogramowaniem zapory uruchomionym na komputerze klienckim jest zapora, która nie jest zgodna z Centrum zabezpieczeń systemu Windows, agent kondycji zabezpieczeń systemu Windows informuje funkcję ochrony dostępu do sieci (NAP, Network Access Protection), że nie jest włączona żadna zapora, a dostęp komputera klienckiego jest ograniczony do sieci korygującej.
  
  

	Ważne
	Jeśli zostanie wybrane ustawienie Zapora jest włączona dla wszystkich połączeń sieciowych, a na komputerach klienckich nie będzie uruchomiona Zapora systemu Windows ani inne oprogramowanie zapory zgodne z Centrum zabezpieczeń systemu Windows, komputery klienckie nie będą mogły łączyć się z siecią użytkownika.

Jeśli nie zostanie wybrane ustawienie Zapora jest włączona dla wszystkich połączeń sieciowych, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania zapory, mogą połączyć się z siecią użytkownika.

W przypadku wybrania opcji Aplikacja antywirusowa jest włączona agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy na tym komputerze jest uruchomione oprogramowanie antywirusowe. Jeśli oprogramowanie antywirusowe nie jest uruchomione na komputerze klienckim, dostęp komputera klienckiego jest ograniczony do sieci korygującej do momentu zainstalowania i uruchomienia oprogramowania antywirusowego.

Oprogramowanie antywirusowe uruchomione na komputerze klienckim musi być zgodne z Centrum zabezpieczeń systemu Windows. Agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie umożliwia zarządzania oprogramowaniem antywirusowym, które nie jest zgodne z Centrum zabezpieczeń systemu Windows, ani jego wykrywania. Jeśli jedynym oprogramowaniem antywirusowym uruchomionym na komputerze klienckim jest aplikacja antywirusowa, która nie jest zgodna z Centrum zabezpieczeń systemu Windows, agent kondycji zabezpieczeń systemu Windows informuje moduł sprawdzania kondycji zabezpieczeń systemu Windows, że nie jest włączone żadne oprogramowanie antywirusowe, a dostęp komputera klienckiego jest ograniczony do sieci korygującej.

W przypadku wybrania opcji Oprogramowanie antywirusowe jest aktualne agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy są zainstalowane najnowsze i aktualne wersje definicji antywirusowych przeznaczonych dla aplikacji antywirusowych.

Aby sprawdzić, czy oprogramowanie antywirusowe jest uruchomione i czy definicje antywirusowe są zaktualizowane, należy wybrać zarówno opcję Aplikacja antywirusowa jest włączona, jak i Oprogramowanie antywirusowe jest aktualne.

Jeśli ustawienie Aplikacja antywirusowa jest włączona nie jest wybrane, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania antywirusowego, mogą połączyć się z siecią użytkownika.

Jeśli nie są wybrane oba ustawienia: Aplikacja antywirusowa jest włączona oraz Oprogramowanie antywirusowe jest aktualne, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania antywirusowego lub na których jest uruchomione oprogramowanie antywirusowe z nieaktualnymi definicjami antywirusowymi, mogą połączyć się z siecią użytkownika.

W przypadku wybrania opcji Aplikacja antyszpiegowska jest włączona agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy na tym komputerze jest uruchomione oprogramowanie antyszpiegowskie. Jeśli oprogramowanie antyszpiegowskie nie jest uruchomione na komputerze klienckim, dostęp komputera klienckiego jest ograniczony do sieci korygującej do momentu zainstalowania i uruchomienia oprogramowania antyszpiegowskiego.

Oprogramowaniem antyszpiegowskim uruchomionym na komputerze klienckim musi być program Windows Defender lub inne oprogramowanie antyszpiegowskie zgodne z Centrum zabezpieczeń systemu Windows.

Agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie umożliwia zarządzania oprogramowaniem antyszpiegowskim, które nie jest zgodne z Centrum zabezpieczeń systemu Windows ani jego wykrywania. Jeśli jedynym oprogramowaniem antyszpiegowskim uruchomionym na komputerze klienckim jest aplikacja antyszpiegowska, która nie jest zgodna z Centrum zabezpieczeń systemu Windows, agent kondycji zabezpieczeń systemu Windows informuje moduł sprawdzania kondycji zabezpieczeń systemu Windows, że nie jest włączone żadne oprogramowanie antyszpiegowskie, a dostęp komputera klienckiego jest ograniczony do sieci korygującej.

W przypadku wybrania opcji Oprogramowanie antyszpiegowskie jest aktualne agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy są zainstalowane najnowsze i aktualne wersje definicji antywirusowych przeznaczonych dla aplikacji antyszpiegowskich.

Aby sprawdzić, czy oprogramowanie antyszpiegowskie jest uruchomione i czy definicje antyszpiegowskie są zaktualizowane, należy wybrać zarówno opcję Aplikacja antyszpiegowska jest włączona, jak i Oprogramowanie antyszpiegowskie jest aktualne.

Jeśli ustawienie Aplikacja antyszpiegowska jest włączona nie jest wybrane, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania antyszpiegowskiego, mogą połączyć się z siecią użytkownika.

Jeśli nie są wybrane oba ustawienia: Aplikacja antyszpiegowska jest włączona oraz Oprogramowanie antyszpiegowskie jest aktualne, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania antyszpiegowskiego lub na których jest uruchomione oprogramowanie antyszpiegowskie z nieaktualnymi definicjami antyszpiegowskimi, mogą połączyć się z siecią użytkownika.

Jeśli opcja Automatyczne aktualizowanie jest włączona, a usługi Microsoft Update nie są włączone na komputerze klienckim, agent kondycji zabezpieczeń systemu Windows ogranicza dostęp komputera klienckiego do sieci korygującej do momentu włączenia usług Microsoft Update.

Usługi Microsoft Update zostaną włączone, gdy na komputerze klienckim zostanie wybrana jedna z poniższych opcji:

• Zainstaluj aktualizacje automatycznie (zalecane)
  
  
• Pobierz aktualizacje, ale pozwól mi wybrać, czy mają być instalowane
  
  
• Wyszukaj aktualizacje, ale pozwól mi wybrać, czy mają być pobierane i instalowane
  
  

Nie należy konfigurować opcji Ochrona aktualizacji zabezpieczeń w zasadzie modułu sprawdzania kondycji zabezpieczeń systemu Windows, chyba że na komputerach klienckich w sieci użytkownika jest uruchomiona usługa Windows Update Agent. Ponadto komputery klienckie, na których jest uruchomiona usługa Windows Update Agent, muszą być zarejestrowane na serwerze z uruchomionym programem WSUS (Windows Server Update Service).

Ważne

Jeśli te warunki nie zostaną spełnione i w zasadzie modułu sprawdzania kondycji zabezpieczeń systemu Windows zostanie skonfigurowana opcja Ochrona aktualizacji zabezpieczeń, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie będzie mógł wymusić tej zasady, dlatego agent kondycji zabezpieczeń systemu Windows ograniczy dostęp komputerów klienckich do sieci korygującej, zapobiegając ich łączeniu się z siecią użytkownika.

Jeśli na komputerach klienckich jest uruchomiona usługa Windows Update Agent i komputery klienckie są zarejestrowane na serwerze WSUS, można skonfigurować opcję Ochrona aktualizacji zabezpieczeń dla zasady modułu sprawdzania kondycji zabezpieczeń systemu Windows.

Jeśli w takim przypadku zostanie wybrana opcja Wymuś kwarantannę dla brakujących aktualizacji zabezpieczeń, a najnowsze aktualizacje zabezpieczeń nie będą zainstalowane, agent kondycji zabezpieczeń systemu Windows ograniczy dostęp komputera klienckiego do sieci korygującej do momentu zainstalowania najnowszych aktualizacji zabezpieczeń.

Ochronę aktualizacji zabezpieczeń można skonfigurować, stosując kilka z możliwych wartości, które są zgodne z klasyfikacją ważności zabezpieczeń centrum MSRC (Microsoft Security Response Center). Są to następujące wartości:

• Tylko krytyczne. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane aktualizacje zabezpieczeń oznaczone jako krytyczne według klasyfikacji ważności centrum MSRC. Jeśli te aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
  
  
• Ważne i o wyższym priorytecie. Jest to ustawienie domyślne. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane aktualizacje zabezpieczeń oznaczone jako ważne lub krytyczne według klasyfikacji ważności centrum MSRC. Jeśli te aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
  
  
• O priorytecie średnim lub wyższym. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane aktualizacje zabezpieczeń oznaczone jako średnie, ważne lub krytyczne według klasyfikacji ważności centrum MSRC. Jeśli te aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
  
  
• O priorytecie niskim lub wyższym. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane aktualizacje zabezpieczeń o ważności niskiej i średniej oraz oznaczone jako ważne lub krytyczne według klasyfikacji ważności centrum MSRC. Jeśli te aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
  
  
• Wszystkie. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane wszystkie aktualizacje zabezpieczeń bez względu na ich klasyfikację ważności centrum MSRC. Jeśli najnowsze aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
  
  

Po skonfigurowaniu poziomu klasyfikacji ważności aktualizacji zabezpieczeń można określić dozwoloną minimalną liczbę godzin, po upływie których klient może sprawdzić dostępność nowych aktualizacji zabezpieczeń na serwerze WSUS. Domyślna wartość minimalnego czasu synchronizacji to 22 godziny.

Gdy komputer kliencki po raz pierwszy próbuje się połączyć z siecią obsługującą ochronę dostępu do sieci i ustawienie Ochrona aktualizacji zabezpieczeń jest skonfigurowane w zasadzie modułu sprawdzania kondycji zabezpieczeń systemu Windows. agent kondycji zabezpieczeń systemu Windows ustala, czy dostęp komputera klienckiego ma zostać ograniczony do sieci korygującej na podstawie ostatniego czasu sprawdzania przez komputer kliencki dostępności aktualizacji zabezpieczeń na serwerze WSUS. Agent kondycji zabezpieczeń systemu Windows ustala, czy dostęp komputera klienckiego ma zostać ograniczony do sieci korygującej w następujący sposób:

• Jeśli dokonanie sprawdzenia dostępności aktualizacji przez klienta odbywało się w interwałach większych niż minimalna liczba godzin dozwolona między dokonywanymi sprawdzeniami, dostęp komputera klienckiego jest ograniczony do sieci korygującej. Gdy klient sprawdzi dostępność aktualizacji oraz pobierze i zainstaluje dowolne najnowsze aktualizacje, uzyska pełen dostęp do sieci.
  
  
• Jeśli sprawdzenie dostępności aktualizacji przez klienta odbywało się w interwałach mniejszych niż minimalna liczba godzin dozwolona między każdym sprawdzeniem, dostęp komputera klienckiego nie zostanie ograniczony do sieci korygującej.
  
  

Uwaga

Agent kondycji zabezpieczeń systemu Windows na komputerze klienckim dokonuje tego sprawdzenia w momencie, gdy komputer kliencki próbuje połączyć się z siecią. Jeśli komputer kliencki pozostanie połączony z siecią dłużej niż wynosi skonfigurowany minimalny czas synchronizacji, agent kondycji zabezpieczeń systemu Windows nie wyzwoli sprawdzania dostępności aktualizacji zabezpieczeń ani pobrania zabezpieczeń i nie ograniczy dostępu komputera klienckiego do sieci korygującej.