健康策略用于定义要评估的系统健康验证程序 (SHV),以及如何使用这些验证程序评估网络访问保护 (NAP) 客户端计算机的健康状态。根据 SHV 检查的结果,健康策略对客户端健康状态进行分类。创建健康策略时,可以启用一个或多个已安装的 SHV 并选择下列任一 SHV 检查。
必须选择至少一个 SHV 用于健康策略。健康策略不会评估未在该策略中选定的 SHV。健康策略中提供了以下类型的 SHV 检查:
-
客户端通过所有 SHV 检查。可以使用此设置创建一个健康策略,要求客户端计算机满足所有已启用的 SHV 的要求。这是可用于评估兼容客户端计算机的最严格的设置。
-
客户端未能通过所有 SHV 检查。可以使用此设置创建一个健康策略,要求客户端计算机不满足所有已启用的 SHV 的要求。这是可用于评估不兼容客户端计算机的最不严格的设置。
-
客户端通过一个或多个 SHV 检查。可以使用此设置创建一个健康策略,要求客户端计算机至少满足一个已启用的 SHV 的要求。这是可用于评估兼容的客户端计算机的最不严格的设置。
-
客户端未能通过一个或多个 SHV 检查。可以使用此设置创建一个健康策略,要求客户端计算机不满足至少一个已启用的 SHV 的要求。这是可用于评估不兼容客户端计算机的最严格的设置。
-
一个或多个 SHV 将客户端报告为过渡。可以使用此设置为在扩展状态信息中报告过渡状态的客户端创建一个健康策略。若要使用此设置,SHV 必须支持将扩展状态报告作为健康评估过程的一部分。过渡状态表示客户端上所需的服务还没有准备好,无法报告健康状态。过渡状态可能是临时性的。例如,在刚启动服务时,客户端可能会报告过渡状态。
-
一个或多个 SHV 将客户端报告为受病毒感染。可以使用此设置为在扩展状态信息中报告已感染状态的客户端创建一个健康策略。若要使用此设置,SHV 必须支持将扩展状态报告作为健康评估过程的一部分。此扩展状态信息主要由防病毒系统健康代理 (SHA) 使用,它能够报告客户端已受到恶意软件的感染并且无法删除该软件。
-
一个或多个 SHV 将客户端报告为未知。可以使用此设置为在扩展状态信息中报告未知状态的客户端创建一个健康策略。若要使用此设置,SHV 必须支持将扩展状态报告作为健康评估过程的一部分。未知状态表示无法确定最终主机的凭据。未知状态可能是临时性的。
尽管一些 SHV 能够检查客户端计算机上的多个设置,但 SHV 检查是根据 SHV 的所有要求对客户端计算机执行的评估。例如,Windows 安全健康验证程序 (WSHV) 能够检查客户端计算机,以了解多个软件要求和设置。客户端计算机可能会通过部分检查,但是必须满足 SHV 的所有要求才能通过 SHV 检查。
“此健康策略中使用的 SHV”下的“设置”选项是 Windows Server 2008 R2 中的新增功能。如果 SHV 支持存储多个配置,则可以使用此设置选择其中任一配置用于您的健康策略。如果 SHV 不支持存储多个配置,则必须配置“默认配置”中的设置。