Windows 安全性健康情況驗證程式 (WSHV) 提供一些設定,您可以根據部署需求進行設定。
WSHV 設定
您可以為原則設定下列 WSHV 設定。
防火牆
若要使用 [所有網路連線都啟用防火牆] 設定,用戶端電腦上執行的防火牆軟體必須是 Windows 防火牆軟體或是與 Windows 資訊安全中心相容的其他防火牆軟體。
用戶端電腦上的 Windows 安全性健康狀態代理程式 (WSHA) 無法管理或偵測與 Windows 資訊安全中心不相容的防火牆軟體。
如果您選取 [所有網路連線都啟用防火牆],用戶端電腦上的 WSHA 就會檢查防火牆軟體是否在用戶端電腦上執行,然後採取下列動作:
-
如果用戶端電腦未執行防火牆軟體,在安裝和執行防火牆軟體之前,用戶端電腦會受限於補救網路。
-
如果用戶端電腦上所執行的唯一防火牆軟體是與 Windows 資訊安全中心不相容的防火牆,WSHA 會向網路存取保護 (NAP) 服務報告沒有啟用防火牆,而且用戶端電腦會受限於補救網路。
重要 | |
如果您選取 [所有網路連線都啟用防火牆],而且用戶端電腦未執行 Windows 防火牆或其他與 Windows 資訊安全中心相容的防火牆軟體,用戶端電腦便無法連線到網路。 |
如果您沒有選取 [所有網路連線都啟用防火牆],用戶端電腦上的 WSHA 就不會執行檢查,也無法阻止沒有執行防火牆軟體的用戶端電腦連線到您的網路。
自動修復
如果您選取 [所有網路連線都啟用防火牆],則會啟用 NAP 自動修復,用戶端電腦上的 WSHA 會報告未啟用防火牆,而 WSHV 會指示用戶端電腦上的 WSHA 開啟 Windows 防火牆。
重要 | |
如果啟用自動修復,而用戶端電腦所執行的防火牆軟體與 Windows 資訊安全中心不相容,WSHA 也沒有偵測到此狀況,則用戶端電腦上的 WSHA 會開啟用戶端電腦上的 Windows 防火牆,這將造成用戶端電腦同時執行兩個不同的防火牆。在不是以 Windows 防火牆設定的不相容防火牆上設定的任何例外狀況,都會造成用戶端電腦遺失功能。所以,建議用戶端電腦同時執行兩個不同的防火牆。 |
防毒保護
如果您選取 [防毒應用程式開啟],用戶端電腦上的 WSHA 會確認用戶端電腦上是否已執行防毒軟體。如果用戶端電腦未執行防毒軟體,在安裝和執行防毒軟體之前,會將用戶端電腦限制為補救網路。
用戶端電腦上執行的防毒軟體必須與 Windows 資訊安全中心相容。用戶端電腦上的 WSHA 無法管理或偵測與 Windows 資訊安全中心不相容的防毒軟體。如果用戶端電腦上所執行的唯一防毒軟體是與 Windows 資訊安全中心不相容的防毒應用程式,WSHA 會向 WSHV 報告沒有啟用防毒軟體,而且會將用戶端電腦限制為補救網路。
如果您選取 [防毒軟體保持在最新狀態],用戶端電腦上的 WSHA 會確認防毒應用程式的防毒軟體定義是最新的版本,而且保持在最新的狀態。
若要確認防毒軟體正在執行,而且防毒軟體定義是最新可用的更新,必須選取 [防毒應用程式開啟] 與 [防毒軟體保持在最新狀態]。
如果您沒有選取 [防毒應用程式開啟],用戶端電腦上的 WSHA 就不會執行檢查,也無法阻止沒有執行防毒軟體的用戶端電腦連線到您的網路。
如果您沒有同時選取 [防毒應用程式開啟] 與 [防毒軟體保持在最新狀態],則用戶端電腦上的 WSHA 就不會執行檢查,也無法阻止沒有執行防毒軟體或有執行防毒軟體但病毒定義已過時的用戶端軟體連線到您的網路。
間諜軟體防護
如果您選取 [反間諜功能應用程式開啟],用戶端電腦上的 WSHA 會確認用戶端電腦上是否已執行反間諜功能軟體。如果用戶端電腦未執行反間諜功能軟體,在安裝和執行反間諜功能軟體之前,會將用戶端電腦限制為補救網路。
用戶端電腦上執行的反間諜功能軟體必須是 Windows Defender 或是與 Windows 資訊安全中心相容的其他反間諜功能軟體。
用戶端電腦上的 WSHA 無法管理或偵測與 Windows 資訊安全中心不相容的反間諜功能軟體。如果用戶端電腦上所執行的唯一反間諜功能軟體是與 Windows 資訊安全中心不相容的反間諜軟體應用程式,WSHA 會向 WSHV 報告沒有啟用反間諜功能軟體,而且會將用戶端電腦限制為補救網路。
如果您選取 [反間諜功能保持在最新狀態],用戶端電腦上的 WSHA 會確認反間諜軟體應用程式的反間諜軟體定義是最新的版本,而且保持在最新的狀態。
若要確認反間諜軟體正在執行,而且反間諜軟體定義是最新可用的更新,必須選取 [反間諜功能應用程式開啟] 與 [反間諜功能保持在最新狀態]。
如果您沒有選取 [反間諜功能應用程式開啟],用戶端電腦上的 WSHA 就不會執行檢查,也無法阻止沒有執行反間諜功能軟體的用戶端電腦連線到您的網路。
如果您沒有同時選取 [反間諜功能應用程式開啟] 與 [反間諜功能保持在最新狀態],則用戶端電腦上的 WSHA 就不會執行檢查,也無法阻止沒有執行反間諜功能軟體或有執行反間諜功能軟體但反間諜功能定義已過時的用戶端軟體連線到您的網路。
自動修復
如果您選取 [反間諜功能應用程式開啟],則會啟用 NAP 自動修復,用戶端電腦上的 WSHA 會報告未啟用反間諜功能,而 WSHV 會指示用戶端電腦上的 WSHA 開啟 Windows Defender。
重要 | |
如果啟用自動修復,而用戶端電腦所執行的反間諜功能軟體與 Windows 資訊安全中心不相容,WSHA 也沒有偵測到反間諜功能,則用戶端電腦上的 WSHA 會開啟用戶端電腦上的 Windows Defender,這將造成用戶端電腦同時執行兩個不同的反間諜功能應用程式。 |
附註 | |
您可以使用 NAP 用戶端管理 Microsoft Management Console (MMC) 嵌入式管理單元設定自動修復。 |
自動更新
如果您選取 [自動更新開啟],而且用戶端電腦上沒有啟用 Microsoft Update Services,在啟用 Microsoft Update Services 之前,WSHA 會將用戶端電腦限制為補救網路。
在用戶端電腦上選取下列其中一項設定時,會啟用 Microsoft Update Services:
-
自動安裝更新 (建議選項)
-
下載更新,但是讓我選擇是否要安裝它們
-
檢查更新,但是讓我選擇是否要下載及安裝它們
自動修復
如果您選取 [啟用自動更新],並啟用 NAP 自動修復,而用戶端電腦上的 WSHA 報告沒有啟用 Microsoft Update Services,WSHV 會指示用戶端電腦上的 WSHA 啟用 Microsoft Update Services,並設定 Microsoft Update Services 自動下載和安裝更新。
附註 | |
您可以使用 NAP 用戶端管理 MMC 嵌入式管理單元設定自動修復。 |
安全性更新保護
除非網路上的用戶端電腦執行的是 Windows Update 代理程式,否則不要在 WSHV 原則中設定安全性更新保護。此外,執行 Windows Update 代理程式的用戶端電腦必須登錄執行 Windows Server Update Service (WSUS) 的伺服器。
重要 | |
如果無法滿足這些條件,且您在 WSHV 原則中設定安全性更新保護,用戶端電腦上的 WSHA 就無法強制原則,WSHA 會將用戶端電腦限制為補救網路,用戶端也無法連接到您的網路。 |
如果用戶端電腦正在執行 Windows Update 代理程式,並登錄 WSUS 伺服器,您可以設定 WSHV 原則的安全性更新保護。
在此情況下,如果您選取 [強制隔離遺失的安全性更新],而且未安裝最新的安全性更新,除非安裝最新的軟體安全性更新,否則 WSHA 會將用戶端電腦限制為補救網路。
您可以使用一些符合 Microsoft Security Response Center (MSRC) 安全性嚴重性分級的值,設定安全性更新保護。這些值如下:
-
僅嚴重層級。如果選取此選項,用戶端電腦需要有 MSRC 嚴重性分級為「嚴重」的所有安全性更新。如果用戶端電腦沒有這些更新,則除非下載並安裝更新,否則會將用戶端電腦限制為補救網路。
-
重大及更高層級。此為預設設定。如果選取此選項,用戶端電腦需要有 MSRC 嚴重性分級為「重大」或「嚴重」的所有安全性更新。如果用戶端電腦沒有這些更新,則除非下載並安裝更新,否則會將用戶端電腦限制為補救網路。
-
中度及更高層級。如果選取此選項,用戶端電腦就必須有 MSRC 嚴重性分級為「中度」、「重大」或「嚴重」的所有安全性更新。如果用戶端電腦沒有這些更新,則除非下載並安裝更新,否則會將用戶端電腦限制為補救網路。
-
低度及更高層級。如果選取此選項,用戶端電腦就必須有 MSRC 嚴重性分級為「低度」、「中度」、「重大」或「嚴重」的所有安全性更新。如果用戶端電腦沒有這些更新,則除非下載並安裝更新,否則會將用戶端電腦限制為補救網路。
-
全部。如果選取此選項,不論 MSRC 的嚴重性分級為何,用戶端電腦需要所有的安全性更新。如果用戶端電腦沒有最新的更新,則除非下載並安裝更新,否則會將用戶端電腦限制為補救網路。
設定安全性更新嚴重性分級層級後,您可以指定用戶端檢查 WSUS 伺服器是否有新安全性更新的最短間隔時數。預設的最少同步處理時間為 22 小時。
用戶端電腦第一次嘗試連線到啟用 NAP 的網路,且已在 WSHV 原則中設定安全性更新保護設定時,WSHA 會根據用戶端電腦最近檢查 WSUS 伺服器是否有安全性更新的時間,決定是否將用戶端電腦限制為補救網路。WSHA 會以下列方式決定是否將用戶端限制為補救網路:
-
如果用戶端檢查更新的間隔時數大於 WSHV 所設定的最少檢查間隔時數,會將用戶端電腦限制為補救網路。用戶端檢查更新和下載並安裝任何最新的更新後,用戶端便有完整的網路存取權。
-
如果用戶端檢查更新的間隔時數等於或小於 WSHV 所設定的最少檢查間隔時數,就不會將用戶端電腦限制為補救網路。
附註 | |
用戶端電腦上的 WSHA 只會在用戶端電腦嘗試連線到網路時執行這個檢查。如果用戶端電腦保持連線到網路的時間大於設定的最少同步處理時間,WSHA 不會觸發安全性更新檢查、不會觸發更新下載,也不會將用戶端電腦限制為補救網路。 |
自動修復
若要將自動修復與在 WSHV 原則中啟用和設定的安全性更新保護設定搭配使用,下列條件必須成立:
-
網路上的用戶端電腦執行的是 Windows Update 代理程式。
-
執行 Windows Update 代理程式的用戶端電腦已登錄 WSUS 伺服器。
-
已設定和啟用自動修復。
如果符合這些條件,用戶端電腦上的 WSHA 會檢查 WSUS 伺服器,以探索最新的安全性更新。如果 WSHA 發現用戶端電腦上未安裝已設定的 MSRC 嚴重性分級的最新安全性更新,WSHA 會下載和安裝最新的安全性更新。