Moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV, Windows Security Health Validator) zawiera ustawienia, które można skonfigurować zależnie od wymagań dotyczących wdrażania.
Ustawienia modułu sprawdzania kondycji zabezpieczeń systemu Windows
Poniższe ustawienia modułu sprawdzania kondycji zabezpieczeń systemu Windows można skonfigurować na potrzeby zasad użytkownika.
Zapora
Aby można było użyć ustawienia Zapora jest włączona dla wszystkich połączeń sieciowych, oprogramowaniem zapory uruchomionym na komputerze klienckim musi być Zapora systemu Windows lub inne oprogramowanie zapory zgodne z Centrum zabezpieczeń systemu Windows.
Agent kondycji zabezpieczeń systemu Windows (WSHA, Windows Security Health Agent) na komputerze klienckim nie umożliwia zarządzania oprogramowaniem zapory, które nie jest zgodne z Centrum zabezpieczeń systemu Windows, ani jego wykrywania.
W przypadku wybrania opcji Zapora jest włączona dla wszystkich połączeń sieciowych agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy na tym komputerze jest uruchomione oprogramowanie zapory i podejmuje następujące akcje
-
Jeśli oprogramowanie zapory nie jest uruchomione na komputerze klienckim, dostęp komputera klienckiego jest ograniczony do sieci korygującej do momentu zainstalowania i uruchomienia oprogramowania zapory.
-
Jeśli jedynym oprogramowaniem zapory uruchomionym na komputerze klienckim jest zapora, która nie jest zgodna z Centrum zabezpieczeń systemu Windows, agent kondycji zabezpieczeń systemu Windows informuje funkcję ochrony dostępu do sieci (NAP, Network Access Protection), że nie jest włączona żadna zapora, a dostęp komputera klienckiego jest ograniczony do sieci korygującej.
Ważne | |
Jeśli zostanie wybrane ustawienie Zapora jest włączona dla wszystkich połączeń sieciowych, a na komputerach klienckich nie będzie uruchomiona Zapora systemu Windows ani inne oprogramowanie zapory zgodne z Centrum zabezpieczeń systemu Windows, komputery klienckie nie będą mogły łączyć się z siecią użytkownika. |
Jeśli nie zostanie wybrane ustawienie Zapora jest włączona dla wszystkich połączeń sieciowych, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania zapory, mogą połączyć się z siecią użytkownika.
Automatyczne korygowanie
Jeśli zostanie wybrane ustawienie Zapora jest włączona dla wszystkich połączeń sieciowych, zostanie włączone automatyczne korygowanie ochrony dostępu do sieci, a agent kondycji zabezpieczeń systemu Windows na komputerze klienckim poinformuje, że nie jest włączona żadna zapora, w wyniku czego moduł sprawdzania kondycji zabezpieczeń systemu Windows nakaże agentowi kondycji zabezpieczeń systemu Windows włączyć Zaporę systemu Windows.
Ważne | |
Jeśli automatyczne korygowanie jest włączone i na komputerach klienckich jest uruchomione oprogramowanie zapory, które nie jest zgodne z Centrum zabezpieczeń systemu Windows i nie jest wykrywane przez agenta kondycji zabezpieczeń systemu Windows, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim włączy Zaporę systemu Windows na tym komputerze. W wyniku tego na komputerze klienckim będą równocześnie uruchomione dwie różne zapory. Wszelkie wyjątki, które zostały skonfigurowane w niezgodnej zaporze, ale nie zostały skonfigurowane w Zaporze systemu Windows, mogą powodować utratę funkcjonalności na komputerze klienckim. Z tego powodu nie jest zalecane jednoczesne uruchamianie dwóch różnych zapór na komputerach klienckich. |
Ochrona przed wirusami
W przypadku wybrania opcji Aplikacja antywirusowa jest włączona agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy na tym komputerze jest uruchomione oprogramowanie antywirusowe. Jeśli oprogramowanie antywirusowe nie jest uruchomione na komputerze klienckim, dostęp komputera klienckiego jest ograniczony do sieci korygującej do momentu zainstalowania i uruchomienia oprogramowania antywirusowego.
Oprogramowanie antywirusowe uruchomione na komputerze klienckim musi być zgodne z Centrum zabezpieczeń systemu Windows. Agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie umożliwia zarządzania oprogramowaniem antywirusowym, które nie jest zgodne z Centrum zabezpieczeń systemu Windows, ani jego wykrywania. Jeśli jedynym oprogramowaniem antywirusowym uruchomionym na komputerze klienckim jest aplikacja antywirusowa, która nie jest zgodna z Centrum zabezpieczeń systemu Windows, agent kondycji zabezpieczeń systemu Windows informuje moduł sprawdzania kondycji zabezpieczeń systemu Windows, że nie jest włączone żadne oprogramowanie antywirusowe, a dostęp komputera klienckiego jest ograniczony do sieci korygującej.
W przypadku wybrania opcji Oprogramowanie antywirusowe jest aktualne agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy są zainstalowane najnowsze i aktualne wersje definicji antywirusowych przeznaczonych dla aplikacji antywirusowych.
Aby sprawdzić, czy oprogramowanie antywirusowe jest uruchomione i czy definicje antywirusowe są zaktualizowane, należy wybrać zarówno opcję Aplikacja antywirusowa jest włączona, jak i Oprogramowanie antywirusowe jest aktualne.
Jeśli ustawienie Aplikacja antywirusowa jest włączona nie jest wybrane, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania antywirusowego, mogą połączyć się z siecią użytkownika.
Jeśli nie są wybrane oba ustawienia: Aplikacja antywirusowa jest włączona oraz Oprogramowanie antywirusowe jest aktualne, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania antywirusowego lub na których jest uruchomione oprogramowanie antywirusowe z nieaktualnymi definicjami antywirusowymi, mogą połączyć się z siecią użytkownika.
Ochrona antyszpiegowska
W przypadku wybrania opcji Aplikacja antyszpiegowska jest włączona agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy na tym komputerze jest uruchomione oprogramowanie antyszpiegowskie. Jeśli oprogramowanie antyszpiegowskie nie jest uruchomione na komputerze klienckim, dostęp komputera klienckiego jest ograniczony do sieci korygującej do momentu zainstalowania i uruchomienia oprogramowania antyszpiegowskiego.
Oprogramowaniem antyszpiegowskim uruchomionym na komputerze klienckim musi być program Windows Defender lub inne oprogramowanie antyszpiegowskie zgodne z Centrum zabezpieczeń systemu Windows.
Agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie umożliwia zarządzania oprogramowaniem antyszpiegowskim, które nie jest zgodne z Centrum zabezpieczeń systemu Windows ani jego wykrywania. Jeśli jedynym oprogramowaniem antyszpiegowskim uruchomionym na komputerze klienckim jest aplikacja antyszpiegowska, która nie jest zgodna z Centrum zabezpieczeń systemu Windows, agent kondycji zabezpieczeń systemu Windows informuje moduł sprawdzania kondycji zabezpieczeń systemu Windows, że nie jest włączone żadne oprogramowanie antyszpiegowskie, a dostęp komputera klienckiego jest ograniczony do sieci korygującej.
W przypadku wybrania opcji Oprogramowanie antyszpiegowskie jest aktualne agent kondycji zabezpieczeń systemu Windows na komputerze klienckim sprawdza, czy są zainstalowane najnowsze i aktualne wersje definicji antywirusowych przeznaczonych dla aplikacji antyszpiegowskich.
Aby sprawdzić, czy oprogramowanie antyszpiegowskie jest uruchomione i czy definicje antyszpiegowskie są zaktualizowane, należy wybrać zarówno opcję Aplikacja antyszpiegowska jest włączona, jak i Oprogramowanie antyszpiegowskie jest aktualne.
Jeśli ustawienie Aplikacja antyszpiegowska jest włączona nie jest wybrane, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania antyszpiegowskiego, mogą połączyć się z siecią użytkownika.
Jeśli nie są wybrane oba ustawienia: Aplikacja antyszpiegowska jest włączona oraz Oprogramowanie antyszpiegowskie jest aktualne, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie przeprowadza żadnych sprawdzeń, a komputery klienckie, na których nie ma uruchomionego oprogramowania antyszpiegowskiego lub na których jest uruchomione oprogramowanie antyszpiegowskie z nieaktualnymi definicjami antyszpiegowskimi, mogą połączyć się z siecią użytkownika.
Automatyczne korygowanie
Jeśli zostanie wybrane ustawienie Aplikacja antyszpiegowska jest włączona, zostanie włączone automatyczne korygowanie ochrony dostępu do sieci, a agent kondycji zabezpieczeń systemu Windows na komputerze klienckim poinformuje, że nie jest włączone żadne oprogramowanie antyszpiegowskie, w wyniku czego moduł sprawdzania kondycji zabezpieczeń systemu Windows nakaże agentowi kondycji zabezpieczeń systemu Windows włączyć program Windows Defender.
Ważne | |
Jeśli automatyczne korygowanie jest włączone i na komputerach klienckich jest uruchomione oprogramowanie antyszpiegowskie, które nie jest zgodne z Centrum zabezpieczeń systemu Windows oraz nie jest wykrywane przez agenta kondycji zabezpieczeń systemu Windows, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim włączy program Windows Defender na tym komputerze. W wyniku tego na komputerze klienckim będą równocześnie uruchomione dwie różne aplikacje antyszpiegowskie. |
Uwaga | |
Automatyczne korygowanie można skonfigurować za pomocą przystawki Zarządzanie klientem ochrony dostępu do sieci programu Microsoft Management Console (MMC). |
Automatyczne aktualizowanie
Jeśli opcja Automatyczne aktualizowanie jest włączona, a usługi Microsoft Update nie są włączone na komputerze klienckim, agent kondycji zabezpieczeń systemu Windows ogranicza dostęp komputera klienckiego do sieci korygującej do momentu włączenia usług Microsoft Update.
Usługi Microsoft Update zostaną włączone, gdy na komputerze klienckim zostanie wybrana jedna z poniższych opcji:
-
Zainstaluj aktualizacje automatycznie (zalecane)
-
Pobierz aktualizacje, ale pozwól mi wybrać, czy mają być instalowane
-
Wyszukaj aktualizacje, ale pozwól mi wybrać, czy mają być pobierane i instalowane
Automatyczne korygowanie
Jeśli po wybraniu opcji Aktualizacje automatyczne są włączone zostanie włączone automatyczne korygowanie ochrony dostępu do sieci, a agent kondycji zabezpieczeń systemu Windows na komputerze klienckim poinformuje, że nie są włączone usługi Microsoft Update, moduł sprawdzania kondycji zabezpieczeń systemu Windows nakaże agentowi kondycji zabezpieczeń systemu Windows na komputerze klienckim włączyć oraz skonfigurować usługi Microsoft Update w celu automatycznego pobierania i instalowania aktualizacji.
Uwaga | |
Automatyczne korygowanie można skonfigurować za pomocą przystawki programu Microsoft Management Console (MMC) Zarządzanie klientem ochrony dostępu do sieci. |
Ochrona aktualizacji zabezpieczeń
Nie należy konfigurować opcji Ochrona aktualizacji zabezpieczeń w zasadzie modułu sprawdzania kondycji zabezpieczeń systemu Windows, chyba że na komputerach klienckich w sieci użytkownika jest uruchomiona usługa Windows Update Agent. Ponadto komputery klienckie, na których jest uruchomiona usługa Windows Update Agent, muszą być zarejestrowane na serwerze z uruchomionym programem WSUS (Windows Server Update Service).
Ważne | |
Jeśli te warunki nie zostaną spełnione i w zasadzie modułu sprawdzania kondycji zabezpieczeń systemu Windows zostanie skonfigurowana opcja Ochrona aktualizacji zabezpieczeń, agent kondycji zabezpieczeń systemu Windows na komputerze klienckim nie będzie mógł wymusić tej zasady, dlatego agent kondycji zabezpieczeń systemu Windows ograniczy dostęp komputerów klienckich do sieci korygującej, zapobiegając ich łączeniu się z siecią użytkownika. |
Jeśli na komputerach klienckich jest uruchomiona usługa Windows Update Agent i komputery klienckie są zarejestrowane na serwerze WSUS, można skonfigurować opcję Ochrona aktualizacji zabezpieczeń dla zasady modułu sprawdzania kondycji zabezpieczeń systemu Windows.
Jeśli w takim przypadku zostanie wybrana opcja Wymuś kwarantannę dla brakujących aktualizacji zabezpieczeń, a najnowsze aktualizacje zabezpieczeń nie będą zainstalowane, agent kondycji zabezpieczeń systemu Windows ograniczy dostęp komputera klienckiego do sieci korygującej do momentu zainstalowania najnowszych aktualizacji zabezpieczeń.
Ochronę aktualizacji zabezpieczeń można skonfigurować, stosując kilka z możliwych wartości, które są zgodne z klasyfikacją ważności zabezpieczeń centrum MSRC (Microsoft Security Response Center). Są to następujące wartości:
-
Tylko krytyczne. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane aktualizacje zabezpieczeń oznaczone jako krytyczne według klasyfikacji ważności centrum MSRC. Jeśli te aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
-
Ważne i o wyższym priorytecie. Jest to ustawienie domyślne. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane aktualizacje zabezpieczeń oznaczone jako ważne lub krytyczne według klasyfikacji ważności centrum MSRC. Jeśli te aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
-
O priorytecie średnim lub wyższym. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane aktualizacje zabezpieczeń oznaczone jako średnie, ważne lub krytyczne według klasyfikacji ważności centrum MSRC. Jeśli te aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
-
O priorytecie niskim lub wyższym. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane aktualizacje zabezpieczeń o ważności niskiej i średniej oraz oznaczone jako ważne lub krytyczne według klasyfikacji ważności centrum MSRC. Jeśli te aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
-
Wszystkie. W przypadku wybrania tej wartości na wszystkich komputerach klienckich muszą być zainstalowane wszystkie aktualizacje zabezpieczeń bez względu na ich klasyfikację ważności centrum MSRC. Jeśli najnowsze aktualizacje nie są zainstalowane na komputerze klienckim, jego dostęp jest ograniczony do sieci korygującej do momentu pobrania i zainstalowania tych aktualizacji.
Po skonfigurowaniu poziomu klasyfikacji ważności aktualizacji zabezpieczeń można określić dozwoloną minimalną liczbę godzin, po upływie których klient może sprawdzić dostępność nowych aktualizacji zabezpieczeń na serwerze WSUS. Domyślna wartość minimalnego czasu synchronizacji to 22 godziny.
Gdy komputer kliencki po raz pierwszy próbuje się połączyć z siecią obsługującą ochronę dostępu do sieci i ustawienie Ochrona aktualizacji zabezpieczeń jest skonfigurowane w zasadzie modułu sprawdzania kondycji zabezpieczeń systemu Windows. agent kondycji zabezpieczeń systemu Windows ustala, czy dostęp komputera klienckiego ma zostać ograniczony do sieci korygującej na podstawie ostatniego czasu sprawdzania przez komputer kliencki dostępności aktualizacji zabezpieczeń na serwerze WSUS. Agent kondycji zabezpieczeń systemu Windows ustala, czy dostęp komputera klienckiego ma zostać ograniczony do sieci korygującej w następujący sposób:
-
Jeśli dokonanie sprawdzenia dostępności aktualizacji przez klienta odbywało się w interwałach większych niż minimalna liczba godzin dozwolona między dokonywanymi sprawdzeniami, dostęp komputera klienckiego jest ograniczony do sieci korygującej. Gdy klient sprawdzi dostępność aktualizacji oraz pobierze i zainstaluje dowolne najnowsze aktualizacje, uzyska pełen dostęp do sieci.
-
Jeśli sprawdzenie dostępności aktualizacji przez klienta odbywało się w interwałach mniejszych niż minimalna liczba godzin dozwolona między każdym sprawdzeniem, dostęp komputera klienckiego nie zostanie ograniczony do sieci korygującej.
Uwaga | |
Agent kondycji zabezpieczeń systemu Windows na komputerze klienckim dokonuje tego sprawdzenia w momencie, gdy komputer kliencki próbuje połączyć się z siecią. Jeśli komputer kliencki pozostanie połączony z siecią dłużej niż wynosi skonfigurowany minimalny czas synchronizacji, agent kondycji zabezpieczeń systemu Windows nie wyzwoli sprawdzania dostępności aktualizacji zabezpieczeń ani pobrania zabezpieczeń i nie ograniczy dostępu komputera klienckiego do sieci korygującej. |
Automatyczne korygowanie
Aby automatyczne korygowanie działało z opcją Ochrona aktualizacji zabezpieczeń włączoną w zasadzie modułu sprawdzania kondycji zabezpieczeń systemu Windows, muszą zostać spełnione poniższe warunki:
-
Na komputerach klienckich w sieci użytkownika jest uruchomiona usługa Windows Update Agent.
-
Komputery klienckie z uruchomioną usługą Windows Update Agent są zarejestrowane na serwerze WSUS.
-
Automatyczne korygowanie jest skonfigurowane i włączone.
Jeśli powyższe warunki zostaną spełnione, agent kondycji zabezpieczeń systemu Windows skontaktuje się z serwerem WSUS w celu odnalezienia najnowszych aktualizacji zabezpieczeń. Jeśli agent kondycji zabezpieczeń systemu Windows wykryje, że najnowsze aktualizacje zabezpieczeń klasyfikacji ważności skonfigurowanego centrum MSRC nie zostały zainstalowane na komputerze klienckim, agent kondycji zabezpieczeń systemu Windows pobierze i zainstaluje najnowsze aktualizacje zabezpieczeń.