Windows-Sicherheitsintegritätsprüfung

Für die Verwendung der Option Für alle Netzwerkverbindungen ist eine Firewall aktiviert muss auf dem Clientcomputer die Firewallsoftware Windows-Firewall oder eine andere Firewallsoftware ausgeführt werden, die mit dem Windows-Sicherheitscenter kompatibel ist.

Firewallsoftware, die nicht mit dem Windows-Sicherheitscenter kompatibel ist, kann nicht vom Windows-Sicherheitsintegritäts-Agent (Windows Security Health Agent, WSHA) auf dem Clientcomputer verwaltet oder erkannt werden.

Wenn Sie Für alle Netzwerkverbindungen ist eine Firewall aktiviert auswählen, überprüft WSHA auf dem Clientcomputer, ob Firewallsoftware auf dem Clientcomputer ausgeführt wird, und führt dann die folgenden Aktionen aus.

• Falls auf dem Clientcomputer keine Firewallsoftware ausgeführt wird, ist der Clientcomputer so lange auf ein Wartungsnetzwerk beschränkt, bis Firewallsoftware installiert wurde und ausgeführt wird.
  
  
• Falls auf dem Clientcomputer nur Firewallsoftware installiert ist, die nicht mit dem Windows-Sicherheitscenter kompatibel ist, meldet WSHA dem Netzwerkzugriffsschutz (Network Access Protection, NAP), dass keine Firewall aktiviert ist, und der Clientcomputer ist auf ein Wartungsnetzwerk beschränkt.
  
  

	Wichtig
	Falls Sie die Option Für alle Netzwerkverbindungen ist eine Firewall aktiviert aktivieren und auf den Clientcomputern nicht Windows-Firewall oder eine andere mit dem Windows-Sicherheitscenter kompatible Firewallsoftware ausgeführt wird, können Clientcomputer keine Verbindung mit dem Netzwerk herstellen.

Wenn Sie Für alle Netzwerkverbindungen ist eine Firewall aktiviert nicht auswählen, führt WSHA auf dem Clientcomputer keine Überprüfungen aus, und Clientcomputer, auf denen keine Firewallsoftware ausgeführt wird, werden nicht daran gehindert, Verbindungen mit dem Netzwerk herzustellen.

Wenn Sie die Option Antivirusanwendung ist aktiviert aktivieren, überprüft WSHA auf dem Clientcomputer, ob Antivirensoftware auf dem Clientcomputer ausgeführt wird. Falls auf dem Clientcomputer keine Antivirensoftware ausgeführt wird, ist der Clientcomputer so lange auf ein Wartungsnetzwerk beschränkt, bis Antivirensoftware installiert wurde und ausgeführt wird.

Die auf dem Clientcomputer ausgeführte Antivirensoftware muss mit dem Windows-Sicherheitscenter kompatibel sein. Antivirensoftware, die nicht mit dem Windows-Sicherheitscenter kompatibel ist, kann nicht von WSHA auf dem Clientcomputer verwaltet oder erkannt werden. Falls auf dem Clientcomputer nur Antivirensoftware installiert ist, die nicht mit dem Windows-Sicherheitscenter kompatibel ist, wird WSHV von WSHA gemeldet, dass keine Antivirensoftware aktiviert ist, und der Clientcomputer wird auf ein Wartungsnetzwerk beschränkt.

Wenn Sie die Option Antivirusanwendung ist aktuell aktivieren, überprüft WSHA auf dem Clientcomputer, ob die Antivirendefinitionen für Ihre Antivirusanwendungen den aktuellsten Versionen entsprechen und auf dem aktuellen Stand sind.

Sie müssen sowohl die Option Antivirusanwendung ist aktiviert als auch die Option Antivirusanwendung ist aktuell aktivieren, um zu überprüfen, ob Antivirensoftware ausgeführt wird und ob die aktuellsten Antivirendefinitionen verwendet werden.

Wenn Sie Eine Antivirenanwendung ist aktiviert nicht auswählen, führt WSHA auf dem Clientcomputer keine Überprüfungen aus, und Clientcomputer, auf denen keine Antivirensoftware ausgeführt wird, werden nicht daran gehindert, Verbindungen mit dem Netzwerk herzustellen.

Wenn Sie weder Eine Antivirenanwendung ist aktiviert noch Die Antivirenanwendung ist aktuell auswählen, führt WSHA auf dem Clientcomputer keine Überprüfungen aus, und Clientcomputer, auf denen keine Antivirensoftware ausgeführt wird oder auf denen Antivirensoftware mit veralteten Antivirusdefinitionen ausgeführt wird, werden nicht daran gehindert, Verbindungen mit dem Netzwerk herzustellen.

Wenn Sie Antispywareanwendung ist aktiviert aktivieren, überprüft WSHA auf dem Clientcomputer, ob Antispywaresoftware auf dem Clientcomputer ausgeführt wird. Falls auf dem Clientcomputer keine Antispywaresoftware ausgeführt wird, ist der Clientcomputer so lange auf ein Wartungsnetzwerk beschränkt, bis Antispywaresoftware installiert wurde und ausgeführt wird.

Auf dem Clientcomputer muss die Antispywaresoftware Windows-Defender oder eine andere Antispywaresoftware, die mit dem Windows-Sicherheitscenter kompatibel ist, ausgeführt werden.

Antispywaresoftware, die nicht mit dem Windows-Sicherheitscenter kompatibel ist, kann nicht von WSHA auf dem Clientcomputer verwaltet oder erkannt werden. Falls auf dem Clientcomputer nur Antispywaresoftware installiert ist, die nicht mit dem Windows-Sicherheitscenter kompatibel ist, wird WSHV von WSHA gemeldet, dass keine Antispywaresoftware aktiviert ist, und der Clientcomputer ist auf ein Wartungsnetzwerk beschränkt.

Wenn Sie die Option Antispywareanwendung ist aktuell aktivieren, überprüft WSHA auf dem Clientcomputer, ob die Antispywaredefinitionen für Ihre Antispywareanwendungen den aktuellsten Versionen entsprechen und auf dem aktuellen Stand sind.

Sie müssen sowohl die Option Antispywareanwendung ist aktiviert als auch die Option Antispywareanwendung ist aktuell aktivieren, um zu überprüfen, ob Antispywaresoftware ausgeführt wird und ob die aktuellsten Antispywaredefinitionen verwendet werden.

Wenn Sie Eine Antispywareanwendung ist aktiviert nicht auswählen, führt WSHA auf dem Clientcomputer keine Überprüfungen aus, und Clientcomputer, auf denen keine Antispywaresoftware ausgeführt wird, werden nicht daran gehindert, Verbindungen mit dem Netzwerk herzustellen.

Wenn Sie weder Eine Antispywareanwendung ist aktiviert noch Die Antispyware ist aktuell auswählen, führt WSHA auf dem Clientcomputer keine Überprüfungen aus, und Clientcomputer, auf denen keine Antispywaresoftware oder Antispywaresoftware mit veralteten Antispywaredefinitionen ausgeführt wird, werden nicht daran gehindert, Verbindungen mit dem Netzwerk herzustellen.

Wenn Sie die Option für automatische Updates aktivieren und Microsoft Update Services nicht auf dem Clientcomputer aktiviert ist, schränkt WSHA den Clientcomputer so lange auf ein Wartungsnetzwerk ein, bis Microsoft Update Services aktiviert wurde.

Microsoft Update Services ist aktiviert, wenn eine der folgenden Einstellungen auf dem Clientcomputer auswählt ist:

• Updates automatisch installieren (empfohlen)
  
  
• Updates herunterladen, aber Installation manuell durchführen
  
  
• Nach Updates suchen, aber Zeitpunkt zum Herunterladen und Installieren manuell festlegen
  
  

Konfigurieren Sie den Sicherheitsupdateschutz in der WSHV-Richtlinie nur, wenn auf den Clientcomputern im Netzwerk der Windows Update-Agent ausgeführt wird. Darüber hinaus müssen Clientcomputer, auf denen der Windows Update-Agent ausgeführt wird, für einen WSUS-Server (Windows Server Update Service) registriert sein.

	Wichtig
	Wenn diese Bedingungen nicht erfüllt sind und Sie Sicherheitsupdateschutz in der WSHV-Richtlinie konfigurieren, kann die Richtlinie von WSHA auf dem Clientcomputer nicht erzwungen werden, WSHA beschränkt Clientcomputer auf ein Wartungsnetzwerk, und die Clients können keine Verbindung mit Ihrem Netzwerk herstellen.

Wenn auf den Clientcomputern der Windows Update-Agent ausgeführt wird und sie für einen WSUS-Server registriert sind, können Sie den Sicherheitsupdateschutz für die WSHV-Richtlinie konfigurieren.

Wenn Sie in diesem Fall die Option zum Erzwingen der Quarantäne für fehlende Sicherheitsupdates aktivieren und die aktuellsten Sicherheitsupdates nicht installiert sind, schränkt WSHA den Clientcomputer so lange auf ein Wartungsnetzwerk ein, bis die neuesten Softwaresicherheitsupdates installiert sind.

Für den Sicherheitsupdateschutz können verschiedene Werte konfiguriert werden, die der Schweregradbewertung der Sicherheit im Microsoft Security Response Center (MSRC) entsprechen. Es handelt sich dabei um folgende Werte:

• Nur kritisch. Wenn Sie diesen Wert auswählen, benötigen Clientcomputer alle Sicherheitsupdates mit der MSRC-Schweregradbewertung Kritisch. Falls diese Updates auf einem Clientcomputer nicht vorhanden sind, ist dieser so lange auf ein Wartungsnetzwerk beschränkt, bis die Updates heruntergeladen und installiert wurden.
  
  
• Wichtig und darüber. Dies ist die Standardeinstellung. Wenn Sie diesen Wert auswählen, benötigen Clientcomputer alle Sicherheitsupdates mit der MSRC-Schweregradbewertung Wichtig oder Kritisch. Falls diese Updates auf einem Clientcomputer nicht vorhanden sind, ist dieser so lange auf ein Wartungsnetzwerk beschränkt, bis die Updates heruntergeladen und installiert wurden.
  
  
• Mittel und darüber. Wenn Sie diese Einstellung auswählen, benötigen Clientcomputer alle Sicherheitsupdates mit der MSRC-Schweregradbewertung Mittel, Wichtig und Kritisch. Falls diese Updates auf einem Clientcomputer nicht vorhanden sind, ist dieser so lange auf ein Wartungsnetzwerk beschränkt, bis die Updates heruntergeladen und installiert wurden.
  
  
• Niedrig und darüber. Wenn Sie diese Einstellung auswählen, benötigen Clientcomputer alle Sicherheitsupdates mit der MSRC-Schweregradbewertung Niedrig, Mittel, Wichtig und Kritisch. Falls diese Updates auf einem Clientcomputer nicht vorhanden sind, ist dieser so lange auf ein Wartungsnetzwerk beschränkt, bis die Updates heruntergeladen und installiert wurden.
  
  
• Alle. Wenn Sie diesen Wert auswählen, benötigen Clientcomputer alle Sicherheitsupdates, unabhängig von der MSRC-Schweregradbewertung. Falls die neuesten Updates auf einem Clientcomputer nicht vorhanden sind, ist dieser so lange auf ein Wartungsnetzwerk beschränkt, bis die Updates heruntergeladen und installiert wurden.
  
  

Nachdem Sie die Schweregradbewertung für Sicherheitsupdates konfiguriert haben, können Sie die Mindestanzahl von Stunden seit der letzten Prüfung des WSUS-Servers auf neue Sicherheitsupdates durch den Client angeben. Der Standardwert für die Mindestsynchronisierungszeit beträgt 22 Stunden.

Wenn ein Clientcomputer zum ersten Mal versucht, eine Verbindung mit einem NAP-fähigen Netzwerk herzustellen und die Einstellung für Sicherheitsupdateschutz in der WSHV-Richtlinie konfiguriert ist, bestimmt WSHA basierend auf dem letzten Zeitpunkt, an dem der Clientcomputer den WSUS-Server auf Sicherheitsupdates überprüfte, ob der Clientcomputer auf ein Wartungsnetzwerk beschränkt werden soll. WSHA bestimmt wie im Folgenden beschrieben, ob der Client auf ein Wartungsnetzwerk beschränkt werden soll.

• Wenn das Intervall für die Überprüfung des Clients auf Updates die in WSHV konfigurierte zulässige Mindestanzahl von Stunden zwischen Überprüfungen überschreitet, wird der Clientcomputer auf ein Wartungsnetzwerk beschränkt. Nachdem der Client auf Updates überprüft hat und aktuelle Updates heruntergeladen und installiert hat, erhält der Client den Vollzugriff auf das Netzwerk.
  
  
• Wenn das Intervall für die Überprüfung des Clients auf Updates der in WSHV konfigurierten zulässigen Mindestanzahl von Stunden zwischen Überprüfungen entspricht oder diesen Wert unterschreitet, wird der Clientcomputer nicht auf ein Wartungsnetzwerk beschränkt.
  
  

	Hinweis
	WSHA auf dem Clientcomputer führt diese Überprüfung nur beim Verbindungsversuch des Clients mit dem Netzwerk aus. Falls der Clientcomputer länger als die konfigurierte Mindestsynchronisierungszeit mit dem Netzwerk verbunden ist, wird von WSHA keine Überprüfung auf Sicherheitsupdates ausgelöst, kein Download von Updates ausgelöst und der Clientcomputer nicht auf ein Wartungsnetzwerk beschränkt.