A Windows biztonságiállapot-érvényesítő (WSHV) beállításait a telepítés követelményei alapján adhatja meg.
A Windows biztonságiállapot-érvényesítő beállításai
A következő Windows biztonságiállapot-érvényesítő beállításokat adhatja meg a házirendben.
Tűzfal
A Tűzfal van beállítva minden hálózati kapcsolathoz lehetőség használatához az ügyfélszámítógépen a Windows tűzfalnak vagy más, a Windows Biztonsági központtal kompatibilis tűzfal szoftvernek kell futnia.
A Windows Biztonsági központtal nem kompatibilis tűzfal szoftverek nem kezelhetők vagy érzékelhetők a Windows biztonságiállapot-ügynökkel az ügyfélszámítógépen.
Ha bejelöli a Tűzfal van beállítva minden hálózati kapcsolathoz jelölőnégyzetet, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök ellenőrzi, hogy az ügyfélszámítógépen fut-e tűzfalszoftver, és elvégzi a következőkben leírt műveleteket.
-
Ha az ügyfélszámítógépen nem fut tűzfal szoftver, az ügyfélszámítógép egy szervizhálózatra lesz korlátozva a tűzfal szoftver telepítéséig és elindításáig.
-
Ha az ügyfélszámítógépen futó egyetlen tűzfal szoftver egy olyan tűzfal, amely nem kompatibilis a Windows Biztonsági központtal, a Windows biztonságiállapot-ügynök jelenti a hálózatvédelmi szolgáltatásnak, hogy nincs engedélyezett tűzfal, és az ügyfélszámítógépet egy szervizhálózatra korlátozza.
Fontos! | |
Ha bejelöli a Tűzfal van beállítva minden hálózati kapcsolathoz jelölőnégyzetet, és az ügyfélszámítógépeken nem a Windows tűzfal vagy más, a Windows biztonsági központtal kompatibilis tűzfal szoftver fut, akkor az ügyfélszámítógépek nem csatlakozhatnak a hálózathoz. |
Ha nem jelöli be a Tűzfal van beállítva minden hálózati kapcsolathoz jelölőnégyzetet, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök nem végez ellenőrzést, és a tűzfalszoftvert nem használó ügyfélszámítógépek számára nincs tiltva a hálózathoz való csatlakozás.
Automatikus szervizelés
Ha bejelöli a Tűzfal van beállítva minden hálózati kapcsolathoz jelölőnégyzetet, engedélyezi a hálózatvédelem automatikus szervizelését, és az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök jelenti, hogy nincs engedélyezett tűzfal, majd a Windows biztonságiállapot-érvényesítő utasítja az ügyfélszámítógépen található biztonságiállapot-ügynököt a Windows tűzfal bekapcsolására.
Fontos! | |
Ha az automatikus szervizelés be van kapcsolva, továbbá az ügyfélszámítógépeken a Windows Biztonsági központtal nem kompatibilis tűzfalszoftver fut, és ezt a Windows biztonságiállapot-ügynök nem észleli, akkor az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök bekapcsolja a Windows tűzfalat az ügyfélszámítógépen, így az ügyfélszámítógépen két különböző tűzfal fog futni egy időben. A nem kompatibilis tűzfalszoftverben beállított, de a Windows tűzfalban nem konfigurált kivételek azt eredményezhetik, hogy bizonyos szolgáltatások nem lesznek elérhetők az ügyfélszámítógépen. Emiatt nem ajánlott az ügyfélszámítógépeken egyszerre két tűzfalat futtatni. |
Vírusvédelem
Ha bejelöli a Víruskereső alkalmazás fut jelölőnégyzetet, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök ellenőrzi, hogy a fut-e víruskereső alkalmazás az ügyfélszámítógépen. Ha az ügyfélszámítógépen nem fut víruskereső alkalmazás, az ügyfélszámítógép egy szervizhálózatra lesz korlátozva, amíg nem telepít és indít el egy víruskereső alkalmazást.
Az ügyfélszámítógépen futó víruskereső alkalmazás kompatibilis kell legyen a Windows Biztonsági központtal. A Windows Biztonsági központtal nem kompatibilis víruskereső alkalmazások nem kezelhetők vagy érzékelhetők a Windows biztonságiállapot-ügynökkel az ügyfélszámítógépen. Ha az ügyfélszámítógépen futó egyetlen víruskereső alkalmazás nem kompatibilis a Windows Biztonsági központtal, akkor a Windows biztonságiállapot-ügynök jelenti a Windows biztonságiállapot-érvényesítőnek, hogy nincs engedélyezett víruskereső alkalmazás, és az ügyfélszámítógépet egy szervizhálózatra korlátozza.
Ha bejelöli A víruskereső adatbázisa friss jelölőnégyzetet, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök ellenőrzi, hogy a víruskereső alkalmazások vírusadatbázisai a legfrissebbek és naprakészek legyenek.
Ha szeretné a víruskereső alkalmazás futását és a vírusadatbázis friss állapotát is ellenőrizni, jelölje be a Víruskereső alkalmazás fut jelölőnégyzetet és A víruskereső adatbázisa friss jelölőnégyzetet is.
Ha nem jelöli be a Víruskereső alkalmazás fut jelölőnégyzetet, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök nem végez ellenőrzést, és azok az ügyfélszámítógépek is csatlakozhatnak a hálózathoz, amelyeken nem fut víruskereső alkalmazás.
Ha nem jelöli be a Víruskereső alkalmazás fut és A víruskereső adatbázisa friss jelölőnégyzetet is, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök nem végez ellenőrzést, és azok az ügyfélszámítógépek is csatlakozhatnak a hálózathoz, amelyeken nem fut víruskereső alkalmazás, illetve amelyeken elavult vírusadatbázissal rendelkező víruskereső alkalmazás fut.
Kémprogramokkal szembeni védelem
Ha bejelöli A kémprogram-elhárító alkalmazás be van kapcsolva jelölőnégyzetet, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök ellenőrzi, hogy fut-e kémprogram-elhárító alkalmazás az ügyfélszámítógépen. Ha az ügyfélszámítógépen nem fut kémprogram-elhárító alkalmazás, az ügyfélszámítógép korlátozva lesz egy szervizhálózatra, amíg nem telepít és indít el egy kémprogram-elhárító alkalmazást.
Az ügyfélszámítógépen futó kémprogram-elhárító alkalmazásnak a Windows Defender szoftvernek vagy más, a Windows Biztonsági központtal kompatibilis kémprogram-elhárító alkalmazásnak kell lennie.
A Windows Biztonsági központtal nem kompatibilis kémprogram-elhárító alkalmazások nem kezelhetők vagy érzékelhetők a Windows biztonságiállapot-ügynökkel az ügyfélszámítógépen. Ha az ügyfélszámítógépen futó egyetlen kémprogram-elhárító alkalmazás nem kompatibilis a Windows Biztonsági központtal, akkor a Windows biztonságiállapot-ügynök jelenti a Windows biztonságiállapot-érvényesítőnek, hogy nincs engedélyezett kémprogram-elhárító alkalmazás, és az ügyfélszámítógépet egy szervizhálózatra korlátozza.
Ha bejelöli A kémprogram-elhárító naprakész jelölőnégyzetet, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök ellenőrzi, hogy a kémprogram-elhárító alkalmazások adatbázisai a legfrissebbek és naprakészek legyenek.
Ha szeretné a kémprogram-elhárító alkalmazás futását és a kémprogram-definíciók adatbázisának friss állapotát is ellenőrizni, jelölje be A kémprogram-elhárító alkalmazás be van kapcsolva és A kémprogram-elhárító naprakész jelölőnégyzetet is.
Ha nem jelöli be A kémprogram-elhárító alkalmazás be van kapcsolva jelölőnégyzetet, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök nem végez ellenőrzést, és azok az ügyfélszámítógépek is csatlakozhatnak a hálózathoz, amelyeken nem fut kémprogram-elhárító alkalmazás.
Ha nem jelöli be A kémprogram-elhárító alkalmazás be van kapcsolva és A kémprogram-elhárító naprakész jelölőnégyzetet is, az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök nem végez ellenőrzést, és azok az ügyfélszámítógépek is csatlakozhatnak a hálózathoz, amelyeken nem fut kémprogram-elhárító alkalmazás, illetve amelyeken elavult adatbázissal rendelkező kémprogram-elhárító alkalmazás fut.
Automatikus szervizelés
Ha bejelöli A kémprogram-elhárító alkalmazás be van kapcsolva jelölőnégyzetet, engedélyezi a hálózatvédelem automatikus szervizelését, és az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök jelenti, hogy nincs bekapcsolva kémprogram-elhárító alkalmazás, majd a Windows biztonságiállapot-érvényesítő utasítja az ügyfélszámítógépen található biztonságiállapot-ügynököt a Windows Defender bekapcsolására.
Fontos! | |
Ha az automatikus szervizelés be van kapcsolva, továbbá az ügyfélszámítógépeken a Windows Biztonsági központtal nem kompatibilis kémprogram-elhárító alkalmazás fut, és ezt a Windows biztonságiállapot-ügynök nem észleli, akkor az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök bekapcsolja a Windows Defender programot az ügyfélszámítógépen, így két különböző kémprogram-elhárító alkalmazás fog futni egy időben. |
Megjegyzés | |
Az automatikus szervizelés NAP-ügyfélkezelő MMC beépülő modullal konfigurálható. |
Automatikus frissítés
Ha bejelöli az Automatikus frissítés engedélyezve jelölőnégyzetet, és a Microsoft frissítési szolgáltatása nincs engedélyezve az ügyfélszámítógépen, a biztonságiállapot-ügynök egy szervizhálózatra korlátozza az ügyfélszámítógépet, amíg a Microsoft frissítési szolgáltatása nem engedélyezett.
A Microsoft frissítési szolgáltatása akkor engedélyezett, ha a következő két jelölőnégyzet egyike be van jelölve az ügyfélszámítógépen:
-
A frissítések automatikus telepítése (ajánlott)
-
A frissítések legyenek letöltve, de én döntöm el, mikor telepítem azokat
-
Frissítések keresése, de én döntöm el, hogy letöltöm és telepítem-e azokat
Automatikus szervizelés
Ha bejelöli az Automatikus frissítés engedélyezve jelölőnégyzetet, engedélyezi a hálózatvédelem automatikus szervizelését. Ezután az ügyfélszámítógépen lévő Windows biztonságiállapot-ügynök jelenti, hogy a Windows frissítési szolgáltatása nincs engedélyezve, majd a Windows biztonságiállapot-érvényesítő utasítja a Windows biztonságiállapot-ügynököt az ügyfélszámítógépen, hogy az kapcsolja be a Windows frissítési szolgáltatásait, és konfigurálja azt a frissítések automatikusan letöltésére és telepítésére.
Megjegyzés | |
Az automatikus szervizelés a NAP-ügyfélkezelő MMC beépülő modullal konfigurálható. |
Biztonsági frissítés védelme
Csak akkor konfigurálja a Biztonsági frissítés védelmét a Windows biztonságiállapot-érvényesítő házirendjében, ha a hálózat ügyfélszámítógépein fut a Windows frissítési ügynöke. Továbbá azon ügyfélszámítógépek, amelyeken fut a Windows frissítési ügynöke, be kell legyenek jegyezve egy, a Windows Server frissítési szolgáltatását (WSUS) futtató kiszolgálón.
Fontos! | |
Ha az ügyfélszámítógépek nem felelnek meg ezeknek a feltételeknek, és bekapcsolja a Biztonsági frissítés védelmét a Windows biztonságiállapot-érvényesítő házirendjében, akkor a Windows biztonságiállapot-ügynök nem kényszerítheti a házirendet az ügyfélszámítógépen, a Windows biztonságiállapot-ügynök egy szervizhálózatra fogja korlátozni az ügyfélszámítógépeket, és azok nem kapcsolódhatnak a hálózathoz. |
Ha az ügyfélszámítógépeken a Windows frissítési ügynöke fut, és azok be vannak jegyezve egy WSUS kiszolgálón, konfigurálhatja a Biztonsági frissítés védelmét a Windows biztonságiállapot-érvényesítő házirendjében.
Így ha bejelöli a Karantén kényszerítése hiányzó biztonsági frissítések esetén jelölőnégyzetet, és a legfrissebb biztonsági frissítések nincsenek telepítve, akkor a Windows biztonságiállapot-ügynök egy szervizhálózatra kényszeríti az ügyfélszámítógépet mindaddig, amíg azokon nem települnek a legfrissebb biztonsági frissítések.
A Biztonsági frissítés védelmét számos, a Microsoft Security Response Center (MSRC) biztonsági webhelyen leírt súlyossági besorolásoknak megfelelő értékekkel konfigurálhatja. Ezek az értékek a következők:
-
Csak kritikusak Ha bejelöli, az ügyfélszámítógépeknek minden, az MSRC szerinti súlyossági besorolás alapján kritikus biztonsági frissítéssel rendelkezniük kell. Ha egy ügyfélszámítógép nem tartalmazza ezeket a frissítéseket, automatikusan egy szervizhálózatra korlátozza a rendszer, amíg a frissítéseket le nem tölti és nem telepíti.
-
Fontos és afeletti Ez az alapértelmezett beállítás. Ha bejelöli, az ügyfélszámítógépeknek minden, az MSRC szerinti súlyossági besorolás alapján fontos vagy kritikus biztonsági frissítéssel rendelkezniük kell. Ha egy ügyfélszámítógép nem tartalmazza ezeket a frissítéseket, automatikusan egy szervizhálózatra korlátozza a rendszer, amíg a frissítéseket le nem tölti és nem telepíti.
-
Közepes és afeletti Ha bejelöli, az ügyfélszámítógépeknek minden, az MSRC szerinti súlyossági besorolás alapján közepes, fontos és kritikus biztonsági frissítést tartalmazniuk kell. Ha egy ügyfélszámítógép nem tartalmazza ezeket a frissítéseket, automatikusan egy szervizhálózatra korlátozza a rendszer, amíg a frissítéseket le nem tölti és nem telepíti.
-
Alacsony és afeletti Ha bejelöli, az ügyfélszámítógépeknek minden, az MSRC szerinti súlyossági besorolás alapján alacsony, közepes, fontos és kritikus biztonsági frissítést tartalmazniuk kell. Ha egy ügyfélszámítógép nem tartalmazza ezeket a frissítéseket, automatikusan egy szervizhálózatra korlátozza a rendszer, amíg a frissítéseket le nem tölti és nem telepíti.
-
Mind Ha bejelöli, az ügyfélszámítógépeknek minden biztonsági frissítéssel rendelkezniük kell, függetlenül az MSRC szerinti súlyossági besorolástól. Ha egy ügyfélszámítógép nem tartalmazza a legújabb frissítéseket, automatikusan egy szervizhálózatra korlátozza a rendszer, amíg a frissítéseket le nem tölti és nem telepíti.
Miután megadta a biztonsági frissítés súlyossági besorolási szintjét, órákban kifejezve megadhatja azt a minimális időtartamot, amely eltelhet, miután az ügyfél ellenőrizte, hogy elérhetők-e új biztonsági frissítések a WSUS-kiszolgálón. A szinkronizációs idő alapértelmezés szerinti minimális értéke 22 óra.
Ha egy ügyfélszámítógép először próbál egy hálózatvédelemre képes hálózatra kapcsolódni, és a Biztonsági frissítés védelme beállítás konfigurálva van a Windows biztonságiállapot-érvényesítő házirendjében, a biztonságiállapot-ügynök az ügyfélszámítógép szervizhálózatra korlátozásáról az alapján dönt, hogy az ügyfélszámítógép mikor keresett utoljára biztonsági frissítéseket a WSUS-kiszolgálón. A Windows biztonságiállapot-ügynök a következőkben leírt módon dönti el, hogy szervizhálózatra korlátozza-e az ügyfelet:
-
Ha az ügyfél utolsó frissítéskeresése óta több idő telt el, mint a Windows biztonságiállapot-érvényesítőben konfigurált minimális érték, akkor az ügyfélszámítógépet a rendszer egy szervizhálózatra kényszeríti. Miután az ügyfél ellenőrzi, hogy vannak-e frissítések, letölti és telepíti azokat, a rendszer teljes hálózati hozzáférést biztosít az ügyfélnek.
-
Ha kevesebb vagy ugyanannyi idő telt el az ügyfél utolsó frissítéskeresése óta, mint a Windows biztonságiállapot-érvényesítőben konfigurált minimális érték, akkor az ügyfélszámítógépet a rendszer nem kényszeríti szervizhálózatra.
Megjegyzés | |
Az ügyfélszámítógépen található Windows biztonságiállapot-ügynök akkor végzi el a frissítések keresését, amikor az ügyfélszámítógép kapcsolódni próbál a hálózathoz. Ha az ügyfélszámítógép több ideig kapcsolódik a hálózathoz, mint a megadott minimális szinkronizációs idő, a Windows biztonságiállapot-ügynök nem indít biztonságifrissítés-keresést, nem indítja el a frissítések letöltését, és nem korlátozza az ügyfélszámítógépet szervizhálózatra. |
Automatikus szervizelés
Az automatikus szervizelés csak akkor működik együtt az engedélyezett és a Windows biztonságiállapot-érvényesítő házirendjében konfigurált Biztonsági frissítés védelme beállítással, ha a következők teljesülnek:
-
A hálózat ügyfélszámítógépein a Windows frissítési ügynöke fut.
-
A Windows frissítési ügynököt futtató ügyfélszámítógépek regisztrálva vannak egy WSUS-kiszolgálón.
-
Az automatikus szervizelés konfigurálva és engedélyezve van.
Ha ezek a feltételek teljesülnek, az ügyfélszámítógépen található Windows biztonságiállapot-ügynök kapcsolatba lép a WSUS-kiszolgálóval a legújabb biztonsági frissítések elérése érdekében. Ha a Windows biztonságiállapot-ügynök olyan biztonsági frissítéseket talál, amelyek megfelelnek a konfigurált MSRC szerinti súlyossági besorolásnak, és még nincsenek telepítve az ügyfélszámítógépre, akkor letölti és telepíti a legújabb biztonsági frissítéseket.