Средство проверки работоспособности системы безопасности Windows содержит параметры, которые можно настраивать в зависимости от потребностей среды.
Параметры средства проверки работоспособности системы безопасности Windows
Для политики можно настроить указанные ниже параметры средства проверки работоспособности системы безопасности Windows.
Брандмауэр
Чтобы использовать параметр Брандмауэр включен для всех сетевых подключений, в качестве программного брандмауэра на клиентском компьютере должен использоваться брандмауэр Windows или другой программный брандмауэр, совместимый с центром безопасности Windows.
Программный брандмауэр, несовместимый с центром безопасности Windows, не управляется и не обнаруживается агентом работоспособности системы безопасности Windows на клиентском компьютере.
Если выбран параметр Брандмауэр включен для всех сетевых подключений, агент работоспособности системы безопасности Windows на клиентском компьютере проверяет работу программного брандмауэра на клиентском компьютере и выполняет следующие действия.
-
Если на клиентском компьютере не выполняется программный брандмауэр, этому компьютеру предоставляется только доступ к сети обновлений до тех пор, пока программный брандмауэр не будет установлен и запущен.
-
Если на клиентском компьютере выполняется только программный брандмауэр, несовместимый с центром безопасности Windows, агент работоспособности системы безопасности Windows уведомляет службу Network Access Protection, что брандмауэр не включен, после чего доступ клиентского компьютера ограничивается сетью обновлений.
Важно! | |
Если выбран параметр Брандмауэр включен для всех сетевых подключений, а на клиентских компьютерах не выполняется брандмауэр Windows или другой программный брандмауэр, совместимый с центром безопасности Windows, эти клиентские компьютеры не могут подключиться к сети. |
Если параметр Брандмауэр включен для всех сетевых подключений не выбран, агент работоспособности системы безопасности Windows на клиентском компьютере не выполняет проверки, а доступ к сети клиентских компьютеров, на которых не выполняется программный брандмауэр, не ограничивается.
Автоматическое обновление
Если выбран параметр Брандмауэр включен для всех сетевых подключений, включена функция автоматического обновления защиты доступа к сети, и агент работоспособности системы безопасности Windows на клиентском компьютере сообщает, что брандмауэр не включен, средство проверки работоспособности системы безопасности Windows направляет агент на клиентский компьютер, чтобы включить брандмауэр Windows.
Важно! | |
Если включено автоматическое обновление, и на клиентских компьютерах выполняется программный брандмауэр, который несовместим с центром безопасности Windows и не обнаруживается агентом работоспособности системы безопасности Windows, агент на клиентском компьютере включает брандмауэр Windows, в результате чего на нем будут одновременно выполняться два брандмауэра. Любые исключения, настроенные на несовместимом брандмауэре, не действуют в брандмауэре Windows, что может привести к утрате функциональности клиентского компьютера. По этой причине не рекомендуется выполнять на клиентских компьютерах два брандмауэра одновременно. |
Защита от вирусов
Если выбран параметр Антивирусная программа включена, агент работоспособности системы безопасности Windows на клиентском компьютере проверяет работу антивирусного программного обеспечения на этом компьютере. Если на клиентском компьютере не выполняется антивирусное программное обеспечение, этому компьютеру предоставляется только доступ к сети обновлений до тех пор, пока это программное обеспечение не будет установлено и запущено.
Антивирусное программное обеспечение, выполняемое на клиентском компьютере, должно быть совместимо с центром безопасности Windows. Антивирусное программное обеспечение, несовместимое с центром безопасности Windows, не управляется и не обнаруживается агентом работоспособности системы безопасности Windows на клиентском компьютере. Если на клиентском компьютере выполняется только антивирусное приложение, несовместимое с центром безопасности Windows, агент работоспособности системы безопасности Windows уведомляет средство проверки работоспособности системы безопасности Windows о том, что антивирусное программное обеспечение не включено, после чего доступ клиентского компьютера ограничивается сетью обновлений.
Если выбран параметр Антивирусная программа является новейшей, агент работоспособности системы безопасности Windows на клиентском компьютере проверяет наличие самых последних, актуальных версий антивирусных определений для антивирусных приложений.
Чтобы проверялось как выполнение антивирусного программного обеспечения, так и наличие самых новых доступных версий антивирусных определений, необходимо выбрать два параметра: Антивирусная программа включена и Антивирусная программа является новейшей.
Если параметр Антивирусная программа включена не выбран, агент работоспособности системы безопасности Windows на клиентском компьютере не выполняет проверки, а доступ к сети клиентских компьютеров, на которых не выполняется антивирусное программное обеспечение, не ограничивается.
Если одновременно не выбраны параметры Антивирусная программа включена и Антивирусная программа является новейшей, агент работоспособности системы безопасности Windows на клиентском компьютере не выполняет проверки, а доступ к сети клиентских компьютеров, на которых не выполняется антивирусное программное обеспечение или используются устаревшие антивирусные определения, не ограничивается.
Защита от шпионских программ
Если выбран параметр Антишпионская программа включена, агент работоспособности системы безопасности Windows на клиентском компьютере проверяет работу антишпионского программного обеспечения на этом компьютере. Если на клиентском компьютере не выполняется антишпионское программное обеспечение, этому компьютеру предоставляется только доступ к сети обновлений до тех пор, пока это программное обеспечение не будет установлено и запущено.
В качестве антишпионского программного обеспечения на клиентском компьютере должен использоваться защитник Windows либо другое антишпионское программное обеспечение, совместимое с центром безопасности Windows.
Антишпионское программное обеспечение, несовместимое с центром безопасности Windows, не управляется и не обнаруживается агентом работоспособности системы безопасности Windows на клиентском компьютере. Если на клиентском компьютере выполняется только антишпионское приложение, несовместимое с центром безопасности Windows, агент работоспособности системы безопасности Windows уведомляет службу Network Access Protection о том, что антишпионское программное обеспечение не включено, после чего доступ клиентского компьютера ограничивается сетью обновлений.
Если выбран параметр Антишпионская программа является новейшей, агент работоспособности системы безопасности Windows на клиентском компьютере проверяет наличие самых новых, актуальных версий антишпионских определений для антишпионских приложений.
Чтобы проверялось как выполнение антишпионского программного обеспечения, так и наличие самых новых доступных версий антишпионских определений, необходимо выбрать два параметра: Антишпионская программа включена и Антишпионская программа является новейшей.
Если параметр Антишпионская программа включена не выбран, агент работоспособности системы безопасности Windows на клиентском компьютере не выполняет проверки, а доступ к сети клиентских компьютеров, на которых не выполняется антишпионское программное обеспечение, не ограничивается.
Если одновременно не выбраны параметры Антишпионская программа включена и Антишпионская программа является новейшей, агент работоспособности системы безопасности Windows на клиентском компьютере не выполняет проверки, а доступ к сети клиентских компьютеров, на которых не выполняется антишпионское программное обеспечение или используются устаревшие антишпионские определения, не ограничивается.
Автоматическое обновление
Если выбран параметр Антишпионская программа включена, включена функция автоматического обновления защиты доступа к сети, и агент работоспособности системы безопасности Windows на клиентском компьютере сообщает, что антишпионское программное обеспечение не включено, средство проверки работоспособности системы безопасности Windows направляет агент на клиентский компьютер, чтобы включить защитник Windows.
Важно! | |
Если включено автоматическое обновление, и на клиентских компьютерах выполняется антишпионское программное обеспечение, которое несовместимо с центром безопасности Windows и не обнаруживается агентом работоспособности системы безопасности Windows, агент на клиентском компьютере включает защитник Windows, в результате чего на этом компьютере будут одновременно выполняться два антишпионских приложения. |
Примечание | |
Для настройки автоматического обновления можно использовать оснастку управления клиентами защиты доступа к сети консоли управления (MMC). |
Автоматическое обновление
Если выбран параметр Автоматическое обновление включено и на клиентском компьютере не включены службы обновления Microsoft, агент работоспособности системы безопасности Windows ограничивает доступ этого клиентского компьютера сетью обновлений до тех пор, пока не будут включены службы обновления Microsoft.
Службы обновления Microsoft включены, если на клиентском компьютере выбран один из следующих параметров:
-
Устанавливать обновления автоматически (рекомендуется)
-
Загружать обновления, но предоставить мне выбор, надо ли устанавливать их
-
Проверять наличие обновлений, но предоставить мне выбор, надо ли загружать и устанавливать их
Автоматическое обновление
Выбор параметра Автоматическое обновление включено приведет к включению автоматического обновления защиты доступа к сети. Если при этом агент работоспособности системы безопасности Windows на клиентском компьютере сообщит, что службы обновления Microsoft не включены, средство проверки работоспособности системы безопасности Windows даст указания агенту работоспособности системы безопасности Windows на клиентском компьютере включить службы обновления Microsoft и настроить эти службы на автоматическую загрузку и установку обновлений.
Примечание | |
Для настройки автоматического обновления можно использовать оснастку управления клиентами защиты доступа к сети консоли управления (MMC). |
Защита с помощью обновлений системы безопасности
Не следует настраивать защиту с помощью обновлений системы безопасности в политике средства проверки работоспособности системы безопасности Windows, если на клиентских компьютерах в сети не выполняется агент центра обновления Windows. В дополнение к этому клиентские компьютеры, на которых выполняется агент центра обновления Windows, должны быть зарегистрированы на сервере, где выполняется служба Windows Server Update Service.
Важно! | |
Если указанные условия не выполнены, и в политике средства проверки работоспособности системы безопасности Windows настроена защита для обновлений безопасности, эта политика не может быть применена агентом работоспособности системы безопасности Windows на клиентском компьютере. В результате агент работоспособности системы безопасности Windows ограничивает доступ клиентских компьютеров сетью обновлений, и они не могут подключаться к нужной сети. |
Если на клиентских компьютерах выполняется агент центра безопасности Windows, и они зарегистрированы на сервере, где выполняется служба Windows Server Update Service, можно настроить защиту с помощью обновлений системы безопасности в политике средства проверки работоспособности системы безопасности Windows.
В данном случае, если выбран параметр Включить карантин для отсутствующих обновлений безопасности, а самые новые обновления безопасности не установлены, агент работоспособности системы безопасности Windows ограничивает доступ клиентского компьютера сетью обновлений до тех пор, пока не будут установлены самые новые обновления безопасности.
Для защиты с помощью обновлений системы безопасности можно задать несколько значений, соответствующих уровням важности в системе безопасности, получаемым с веб-сайта Microsoft Security Response Center. Это следующие значения:
-
Только критическая. При выборе этого параметра клиентские компьютеры должны иметь все обновления системы безопасности, которым на веб-сайте Microsoft Security Response Center присвоен уровень важности «Критический». Если клиентские компьютеры не имеют таких обновлений, их доступ ограничивается сетью обновлений до загрузки и установки нужных обновлений.
-
Важная и выше. Этот параметр задан по умолчанию. При выборе этого значения клиентские компьютеры должны иметь все обновления системы безопасности, которым на веб-сайте Microsoft Security Response Center присвоен уровень важности "Важный" или "Критический". Если клиентские компьютеры не имеют таких обновлений, их доступ ограничивается сетью обновлений до загрузки и установки нужных обновлений.
-
Средняя и выше. При выборе этого параметра клиентские компьютеры должны иметь все обновления системы безопасности, которым на веб-сайте Microsoft Security Response Center присвоен уровень важности «Средний», «Важный» или «Критический». Если клиентские компьютеры не имеют таких обновлений, их доступ ограничивается сетью обновлений до загрузки и установки нужных обновлений.
-
Низкая и выше. При выборе этого параметра клиентские компьютеры должны иметь все обновления системы безопасности, которым на веб-сайте Microsoft Security Response Center присвоен уровень важности «Низкий», «Средний», «Важный» или «Критический». Если клиентские компьютеры не имеют таких обновлений, их доступ ограничивается сетью обновлений до загрузки и установки нужных обновлений.
-
Все. При выборе этого параметра клиентские компьютеры должны иметь все обновления системы безопасности, независимо от их уровня. Если клиентские компьютеры не имеют последних обновлений, их доступ ограничивается сетью обновлений до загрузки и установки нужных обновлений.
После настройки уровня важности обновлений системы безопасности можно задать минимальное количество часов, по истечении которого клиент должен проверить наличие новых обновлений безопасности на сервере, где выполняется служба Windows Server Update Service. Значение по умолчанию для минимального времени синхронизации составляет 22 часа.
Если клиентский компьютер пытается подключиться к сети с защитой доступа к сети в первый раз, и в политике средства проверки работоспособности системы безопасности Windows установлен параметр защиты с использованием обновлений системы безопасности, агент работоспособности системы безопасности Windows определяет, следует ли ограничить сетью обновлений доступ для этого клиентского компьютера сетью обновлений, на основе промежутка времени с момента последней проверки этим клиентским компьютером обновлений на сервере, где выполняется служба Windows Server Update Service. Необходимость ограничить доступ клиента сетью обновлений определяется агентом работоспособности системы безопасности Windows следующим образом.
-
Если интервал времени с момента проверки обновлений клиентом превышает указанное в политике средства проверки работоспособности системы безопасности Windows значение минимально возможного количества часов между проверками, доступ этого клиентского компьютера ограничивается сетью обновлений. После того как клиент выполнит проверку обновлений, загрузит и установит все новые обновления, этому клиенту предоставляется полный доступ к сети.
-
Если интервал времени с момента проверки обновлений клиентом не превышает указанное в политике средства проверки работоспособности системы безопасности Windows значение минимально возможного количества часов между проверками, доступ этого клиентского компьютера не ограничивается сетью обновлений.
Примечание | |
Агент работоспособности системы безопасности Windows на клиентском компьютере выполняет эту проверку только при первой попытке клиентского компьютера подключиться к сети. Если клиентский компьютер остается подключенным к сети в течение более длительного времени, чем настроенное минимальное время синхронизации, агент работоспособности системы безопасности Windows не инициирует проверку обновлений системы безопасности и загрузку обновлений, а также не ограничивает доступ клиента сетью обновлений. |
Автоматическое обновление
Чтобы автоматическое обновление действовало при включенном и указанном в политике средства проверки работоспособности системы безопасности Windows параметре защиты обновлений безопасности, должны соблюдаться следующие требования:
-
На клиентских компьютерах в сети должен выполняться агент центра обновления Windows.
-
Клиентские компьютеры, на которых выполняется агент центра обновлений Windows, должны быть зарегистрированы на сервере, где выполняется служба Windows Server Update Service.
-
Должно быть включено и настроено автоматическое обновление.
При соблюдении этих требований агент работоспособности системы безопасности Windows на клиентском компьютере проверяет сервер, где выполняется служба Windows Server Update Service, чтобы найти самые новые обновления системы безопасности. Если агент работоспособности системы безопасности Windows выявляет, что на клиентском компьютере отсутствуют самые новые доступные обновления системы безопасности с указанным уровнем важности, агент загружает и устанавливает самые новые доступные обновления системы безопасности.