Validátor stavu zabezpečení systému Windows (WSHV) obsahuje nastavení, které lze nakonfigurovat podle požadavků nasazení.

Nastavení validátoru WSHV

V rámci zásady lze nakonfigurovat následující nastavení validátoru WSHV.

Brána firewall

Pokud chcete použít nastavení Brána firewall je povolena pro všechna síťová připojení, musí být v klientském počítači spuštěna brána Windows Firewall nebo jiný software brány firewall, který je kompatibilní s Centrem zabezpečení systému Windows.

Bránu firewall, která není kompatibilní s Centrem zabezpečení systému Windows, nelze v klientském počítači spravovat nebo rozpoznat agentem stavu zabezpečení systému Windows (WSHA).

Pokud zaškrtnete políčko Brána firewall je povolena pro všechna síťová připojení, zkontroluje agent WSHA v klientském počítači, zda v tomto počítači běží brána firewall, a provede následující akce.

  • Pokud v klientském počítači není brána firewall spuštěna, je přístup tohoto počítače omezen pouze na nápravnou síť až do nainstalování a spuštění brány firewall.

  • Není-li jediný software brány firewall spuštěný v klientském počítači kompatibilní s Centrem zabezpečení systému Windows, nahlásí agent WSHA službě NAP (Network Access Protection), že v klientském počítači není povolena žádná brána firewall a tento počítač má přístup pouze do nápravné sítě.

Důležité informace

Pokud zaškrtnete políčko Brána firewall je povolena pro všechna síťová připojení a v klientských počítačích neběží brána firewall systému Windows nebo jiný software brány firewall kompatibilní s Centrem zabezpečení systému Windows, nemohou se tyto počítače připojit k síti.

Jestliže políčko Brána firewall je povolena pro všechna síťová připojení nezaškrtnete, neprovede agent WSHA v klientském počítači žádné kontroly a klientské počítače, ve kterých není spuštěn software brány firewall, se mohou připojit k vaší síti.

Automatická náprava

Pokud zaškrtnete políčko Brána firewall je povolena pro všechna síťová připojení, povolíte automatickou nápravu architektury NAP a agent WSHA v klientském počítači ohlásí, že zde není povolena žádná brána firewall, validátor WSHV udělí agentovi WSHA v klientském počítači pokyn, aby povolil bránu firewall systému Windows.

Důležité informace

Pokud je povolena automatická náprava a v klientských počítačích je spuštěn software brány firewall, který není kompatibilní s Centrem zabezpečení systému Windows a není proto rozpoznán agentem WSHA, povolí agent WSHA v klientském počítači bránu firewall systému Windows, takže v klientském počítači poběží dvě brány firewall současně. Výjimky nakonfigurované v nekompatibilní bráně firewall, které nejsou nakonfigurovány v bráně firewall systému Windows, mohou způsobit nefunkčnost v klientském počítači. Proto se nedoporučuje používat v klientských počítačích souběžně dvě různé brány firewall.

Ochrana proti virům

Zaškrtnete-li políčko Je spuštěn antivirový program, agent WSHA v klientském počítači ověří, že v tomto počítači je spuštěn antivirový software. Pokud v klientském počítači není antivirový software spuštěn, je přístup tohoto počítače omezen pouze na nápravnou síť až do nainstalování a spuštění antivirového softwaru.

Antivirový software spuštěný v klientském počítači musí být kompatibilní s Centrem zabezpečení systému Windows. Antivirový software, který není kompatibilní s Centrem zabezpečení systému Windows, nelze v klientském počítači spravovat nebo rozpoznat agentem WSHA. Pokud antivirový software spuštěný v klientském počítači není kompatibilní s Centrem zabezpečení systému Windows, nahlásí agent WSHA validátoru WSHV, že v klientském počítači není povolen žádný antivirus a tento počítač má přístup pouze do nápravné sítě.

Pokud zaškrtnete políčko Antivirový program je aktuální, agent WSHA v klientském počítači ověří, zda jsou použity nejnovější verze antivirových definic pro daný antivirový program a zda jsou tyto definice aktuální.

Chcete-li ověřit, zda je antivirový software spuštěný a jsou použity nejnovější dostupné antivirové definice, je nutné zaškrtnout políčko Je spuštěn antivirový program i Antivirový program je aktuální.

Pokud políčko Je spuštěn antivirový program nezaškrtnete, neprovede agent WSHA v klientském počítači žádné kontroly a klientské počítače, ve kterých není spuštěn antivirový software, se mohou připojit k vaší síti.

V případě, že nezaškrtnete políčko Je spuštěn antivirový programAntivirový program je aktuální, neprovede agent WSHA v klientském počítači žádné kontroly a klientským počítačům, na kterých neběží antivirový software nebo které používají antivirový software se zastaralými antivirovými definicemi není bráněno v připojení k síti.

Ochrana proti spywaru

Jestliže zaškrtnete políčko Je spuštěn antispywarový program, agent WSHA v klientském počítači ověří, že v tomto počítači je spuštěn antispywarový software. Pokud v klientském počítači není antispywarový software spuštěn, je přístup tohoto počítače omezen pouze na nápravnou síť až do nainstalování a spuštění antispywarového softwaru.

Antispywarový software spuštěný v klientském počítači musí být program Windows Defender nebo jiný antispywarový software kompatibilní s Centrem zabezpečení systému Windows.

Antispywarový software, který není kompatibilní s Centrem zabezpečení systému Windows, nelze v klientském počítači spravovat nebo rozpoznat agentem WSHA. Pokud antispywarový software spuštěný v klientském počítači není kompatibilní s Centrem zabezpečení systému Windows, nahlásí agent WSHA validátoru WSHV, že v klientském počítači není povolen žádný antispyware a tento počítač má přístup pouze do nápravné sítě.

Pokud zaškrtnete políčko Antispywarový program je aktuální, agent WSHA v klientském počítači ověří, zda jsou použity nejnovější verze antispywarových definic pro dané antispywarové programy a zda jsou tyto definice aktuální.

Chcete-li ověřit, že je antispywarový software spuštěný a jsou použity nejnovější dostupné antispywarové definice, je nutné zaškrtnout políčko Je spuštěn antispywarový program i Antispywarový program je aktuální.

Pokud políčko Je spuštěn antispywarový program nezaškrtnete, neprovede agent WSHA v klientském počítači žádné kontroly a klientské počítače, ve kterých není spuštěn antispywarový software, se mohou připojit k vaší síti.

V případě, že nezaškrtnete políčko Je spuštěn antispywarový programAntispywarový program je aktuální, neprovede agent WSHA v klientském počítači žádné kontroly a klientským počítačům, na kterých neběží antispywarový software nebo které používají antispywarový software se zastaralými antispywarovými definicemi není bráněno v připojení k síti.

Automatická náprava

Pokud zaškrtnete políčko Je spuštěn antispywarový program, povolíte automatickou nápravu architektury NAP a agent WSHA v klientském počítači ohlásí, že zde není povolen žádný antispyware, validátor WSHV udělí agentovi WSHA v klientském počítači pokyn, aby spustil program Windows Defender.

Důležité informace

Pokud je povolena automatická náprava a v klientských počítačích je spuštěn antispywarový software, který není kompatibilní s Centrem zabezpečení systému Windows a není proto rozpoznán agentem WSHA, spustí agent WSHA v klientském počítači program Windows Defender, takže na klientském počítači poběží dva různé antispywarové programy současně.

Poznámka

Automatickou nápravu lze nakonfigurovat pomocí modulu snap-in konzoly MMC Správa klienta architektury NAP.

Automatické aktualizace

Pokud vyberete možnost Jsou povoleny automatické aktualizace a v klientském počítači není povolena služba Microsoft Update, omezí agent WSHA přístup klientského počítače pouze na nápravnou síť do té doby, dokud nebude služba Microsoft Update povolena.

Služba Microsoft Update je povolena výběrem některého z následujících nastavení v klientském počítači:

  • Instalovat aktualizace automaticky (doporučeno)

  • Stahovat aktualizace, ale dotázat se, zda mají být nainstalovány

  • Vyhledávat aktualizace, ale dotázat se, zda mají být staženy a nainstalovány.

Automatická náprava

Pokud zaškrtnete políčko Jsou povoleny automatické aktualizace, povolíte automatickou nápravu architektury NAP a agent WSHA v klientském počítači ohlásí, že služba Microsoft Update není povolena, udělí validátor WSHV agentovi WSHA v klientském počítači pokyn, aby povolil službu Microsoft Update a nakonfiguroval tuto službu tak, aby automaticky stahovala a instalovala aktualizace.

Poznámka

Automatickou nápravu lze nakonfigurovat pomocí modulu snap-in konzoly MMC Správa klienta architektury NAP.

Ochrana aktualizacemi zabezpečení

Pokud v klientských počítačích ve vaší síti neběží agent služby Windows Update, nekonfigurujte v zásadě validátoru WSHV ochranu aktualizacemi zabezpečení. Klientské počítače se spuštěným agentem služby Windows Update navíc musí být registrovány na serveru, na kterém běží služba WSUS (Windows Server Update Service).

Důležité informace

Pokud nejsou tyto podmínky splněny a přesto v zásadě WSHV nakonfigurujete ochranu aktualizacemi zabezpečení, nelze zásadu na klientském počítači vynucovat agentem WSHA. Agent WSHA omezí přístup klientských počítačů pouze na nápravnou síť a připojení k vaší síti není možné.

Pokud v klientských počítačích běží agent služby Windows Update a zároveň jsou tyto počítače registrované na serveru služby WSUS, můžete nakonfigurovat ochranu aktualizacemi zabezpečení pro zásadu validátoru WSHV.

Pokud v tomto případě vyberete možnost Vynutit karanténu pro chybějící aktualizace zabezpečení a nejsou nainstalovány nejnovější aktualizace zabezpečení, omezí agent WSHA přístup klientského počítače na nápravnou síť, dokud nebudou nainstalovány nejnovější aktualizace zabezpečení.

Ochranu aktualizacemi zabezpečení lze nakonfigurovat několika možnými hodnotami, které odpovídají hodnocení závažnosti zabezpečení z centra MSRC (Microsoft Security Response Center). Jsou to hodnoty:

  • Pouze kritické. Pokud je vybrána tato možnost, klientské počítače musí mít nainstalovány všechny aktualizace zabezpečení s hodnocením závažnosti centra MSRC "Kritické". Pokud klientský počítač tyto aktualizace nemá, bude jeho přístup omezen na nápravnou síť, dokud nebudou aktualizace staženy a nainstalovány.

  • Důležité a vyšší. Toto je výchozí nastavení. Pokud je vybrána tato možnost, klientské počítače musí mít nainstalovány všechny aktualizace zabezpečení ohodnocené centrem MSRC jako "Důležité" nebo "Kritické". Pokud klientský počítač tyto aktualizace nemá, bude jeho přístup omezen na nápravnou síť, dokud nebudou aktualizace staženy a nainstalovány.

  • Střední a vyšší. Pokud je vybrána tato možnost, klientské počítače musí mít nainstalovány všechny aktualizace zabezpečení ohodnocené centrem MSRC jako "Střední", "Důležité" nebo "Kritické". Pokud klientský počítač tyto aktualizace nemá, bude jeho přístup omezen na nápravnou síť, dokud nebudou aktualizace staženy a nainstalovány.

  • Nízké a vyšší. Pokud je vybrána tato možnost, klientské počítače musí mít nainstalovány všechny aktualizace zabezpečení ohodnocené centrem MSRC jako "Nízké", "Střední", "Důležité" nebo "Kritické". Pokud klientský počítač tyto aktualizace nemá, bude jeho přístup omezen na nápravnou síť, dokud nebudou aktualizace staženy a nainstalovány.

  • Vše. Pokud je vybrána tato možnost, klientské počítače musí mít nainstalovány všechny aktualizace bez ohledu na hodnocení centra MSRC. Pokud klientský počítač nemá nejnovější aktualizace, bude jeho přístup omezen na nápravnou síť, dokud nebudou aktualizace staženy a nainstalovány.

Po nakonfigurování úrovně hodnocení závažnosti aktualizací zabezpečení můžete určit minimální povolený počet hodin od okamžiku, kdy klient ověřoval dostupnost nových aktualizací zabezpečení na serveru služby WSUS. Výchozí hodnota pro minimální dobu synchronizace je 22 hodin.

Pokud je v zásadě validátoru WSHV nakonfigurováno nastavení ochrany aktualizacemi zabezpečení a klientský počítač se poprvé pokusí připojit k síti podporující architekturu NAP, agent WSHA vyhodnotí, zda je nutné omezit přístup klientského počítače na nápravnou síť podle termínu, kdy klientský počítač naposledy ověřoval dostupnost aktualizací zabezpečení na serveru služby WSUS. Agent WSHA určí, zda je nutné omezit přístup klienta na nápravnou síť následujícím způsobem:

  • Pokud klientovo ověření dostupnosti aktualizací proběhlo ve větším intervalu než je minimální povolený počet hodin mezi kontrolami nakonfigurovaný ve validátoru WSHV, bude klientskému počítači povolen přístup pouze do nápravné sítě. Plný přístup k síti bude klientovi udělen poté, co zkontroluje dostupnost aktualizací a stáhne a nainstaluje případné nové aktualizace.

  • Pokud klientovo ověření dostupnosti aktualizací proběhlo v intervalu stejném nebo menším než je minimální povolený počet hodin mezi kontrolami nakonfigurovaný ve validátoru WSHV, bude klientskému počítači povolen plný přístup k síti.

Poznámka

Agent WSHA v klientském počítači provádí tuto kontrolu pouze při pokusu klientského počítače o připojení k síti. Pokud klientský počítač zůstane připojený k síti po dobu delší než je nakonfigurovaná minimální doba synchronizace, agent WSHA nespustí kontrolu dostupnosti aktualizací zabezpečení, stahování aktualizací ani neomezí přístup klientského počítače na nápravnou síť.

Automatická náprava

Aby mohla automatická náprava fungovat při povoleném a nakonfigurovaném nastavení ochrany aktualizacemi zabezpečení v zásadě validátoru WSHV, musí být splněny následující podmínky:

  • V klientských počítačích v síti je spuštěn agent služby Windows Update.

  • Klientské počítače, ve kterých běží agent služby Windows Update, jsou registrovány na serveru služby WSUS.

  • Automatická náprava je nakonfigurována a povolena.

Jsou-li tyto podmínky splněny, agent WSHA v klientském počítači zkontroluje dostupnost nejnovějších aktualizací zabezpečení na serveru služby WSUS. Pokud agent WSHA zjistí, že nejnovější aktualizace zabezpečení s nakonfigurovaným hodnocením závažnosti centra MSRC nejsou v klientském počítači nainstalované, stáhne agent WSHA tyto aktualizace a nainstaluje je.


Obsah