Säkerhetshälsoverifieraren i Windows innehåller inställningar som kan konfigureras baserat på kraven för din distribution.
Inställningar för Säkerhetshälsoverifieraren i Windows
Följande inställningar för Säkerhetshälsoverifieraren i Windows kan konfigureras för en princip.
Brandvägg
Om du vill använda inställningen En brandvägg har aktiverats för alla nätverksanslutningar måste brandväggen som körs på klientdatorn vara en Windows-brandvägg eller någon annan brandvägg som är kompatibel med Windows Säkerhetscenter.
Brandväggar som inte är kompatibla med Windows Säkerhetscenter kan inte hanteras eller identifieras av Säkerhetshälsoagenten i Windows på klientdatorn.
Om du väljer En brandvägg har aktiverats för alla nätverksanslutningar kontrollerar Säkerhetshälsoagenten i Windows på klientdatorn om en brandvägg körs på klientdatorn, och utför sedan följande åtgärder.
-
Om det inte körs någon brandvägg på klientdatorn begränsas den till ett reparationsnätverk tills en brandvägg har installerats och körs.
-
Om brandväggen som körs på klientdatorn inte är kompatibel med Windows Säkerhetscenter rapporterar Säkerhetshälsoagenten i Windows till NAP-tjänsten (Network Access Protection) att det inte finns någon brandvägg aktiverad. Klientdatorn begränsas då till ett reparationsnätverk.
Viktigt! | |
Om du väljer En brandvägg har aktiverats för alla nätverksanslutningar och klientdatorerna inte kör Windows-brandväggen eller någon annan brandvägg som är kompatibel med Windows Säkerhetscenter, kan inte klientdatorerna ansluta till ditt nätverk. |
Om du inte markerar En brandvägg har aktiverats för alla nätverksanslutningar utför inte Säkerhetshälsoagenten i Windows på klientdatorn några kontroller och klientdatorer som inte kör någon brandvägg hindras inte från att ansluta till nätverket.
Autoreparation
Om du markerar En brandvägg har aktiverats för alla nätverksanslutningar aktiverar du autoreparation i NAP och Säkerhetshälsoagenten i Windows rapporterar att ingen brandvägg är aktiverad. Därefter skickar Säkerhetshälsoverifieringsprincip i Windows en uppmaning till Windows Säkerhetshälsoagenten i Windows på klientdatorn att aktivera Windows-brandväggen.
Viktigt! | |
Om autoreparation är aktiverat och klientdatorer använder brandväggar som inte är kompatibla med Windows Säkerhetscenter och som därför inte identifieras av Säkerhetshälsoagenten i Windows, aktiverar Säkerhetshälsoagenten i Windows Windows-brandväggen på klientdatorn. Det innebär att klientdatorn kör två olika brandväggar samtidigt. Undantag som har konfigurerats i den icke-kompatibla brandväggen och som inte konfigureras i Windows-brandväggen, kan påverka funktionerna på klientdatorn. Av det skälet rekommenderas inte att klientdatorer kör två olika brandväggar samtidigt. |
Virusskydd
Om du väljer Ett antivirusprogram körs verifierar Säkerhetshälsoagenten i Windows på klientdatorn att ett antivirusprogram körs på klientdatorn. Om det inte körs något antivirusprogram på klientdatorn begränsas den till ett reparationsnätverk tills ett antivirusprogram har installerats och körs.
Antivirusprogrammet som körs på klientdatorn måste var kompatibelt med Windows Säkerhetscenter. Antivirusprogram som inte är kompatibla med Windows Säkerhetscenter kan inte hanteras eller identifieras av Säkerhetshälsoagenten i Windows på klientdatorn. Om antivirusprogrammet som körs på klientdatorn inte är kompatibelt med Windows Säkerhetscenter rapporterar Säkerhetshälsoagenten i Windows till Säkerhetshälsoverifieringsprincip i Windows att det inte finns något antivirusprogram aktiverat. Klientdatorn begränsas då till ett reparationsnätverk.
Om du väljer Antivirusskyddet har uppdaterats verifierar Säkerhetshälsoagenten i Windows att antivirusdefinitionerna för dina antivirusprogram är de senaste versionerna och att de är uppdaterade.
Om du vill verifiera att ett antivirusprogram körs och att antivirusdefinitionerna är de senaste uppdateringarna måste du välja både Ett antivirusprogram körs och Antivirusskyddet har uppdaterats.
Om du inte markerar Ett antivirusprogram körs utför inte Säkerhetshälsoagenten i Windows på klientdatorn några kontroller och klientdatorer som inte kör något antivirusprogram hindras inte från att ansluta till nätverket.
Om du inte markerar både Ett antivirusprogram körs och Antivirusprogrammet är uppdaterat utför inte Säkerhetshälsoagenten i Windows på klientdatorn några kontroller och klientdatorer som inte kör något antivirusprogram eller som kör ett antivirusprogram med inaktuella antivirusdefinitioner hindras inte från att ansluta till nätverket.
Antispionprogram
Om du väljer Ett antispionprogram körs verifierar Säkerhetshälsoagenten i Windows på klientdatorn att ett antispionprogram körs på klientdatorn. Om det inte körs något antispionprogram på klientdatorn begränsas den till ett reparationsnätverk tills ett antispionprogram har installerats och körs.
Antispionprogrammet som körs på klientdatorn måste vara Windows Defender eller något annat antispionprogram som är kompatibelt med Windows Säkerhetscenter.
Antispionprogram som inte är kompatibla med Windows Säkerhetscenter kan inte hanteras eller identifieras av Säkerhetshälsoagenten i Windows på klientdatorn. Om antispionprogrammet som körs på klientdatorn inte är kompatibelt med Windows Säkerhetscenter rapporterar Säkerhetshälsoagenten i Windows till Säkerhetshälsoverifieraren i Windows att det inte finns något antispionprogram aktiverat. Klientdatorn begränsas då till ett reparationsnätverk.
Om du väljer Antispionprogram har uppdaterats verifierar Säkerhetshälsoagenten i Windows att antispiondefinitionerna för dina antispionprogram är de senaste versionerna och att de är uppdaterade.
Om du vill verifiera att ett antispionprogram körs och att antispiondefinitionerna är de senaste uppdateringarna måste du välja både Ett antispionprogram körs och Antispionprogram har uppdaterats.
Om du inte markerar Ett antispionprogram körs utför inte Säkerhetshälsoagenten i Windows på klientdatorn några kontroller och klientdatorer som inte kör något antispionprogram hindras inte från att ansluta till nätverket.
Om du inte markerar både Ett antispionprogram körs och Antispionprogrammet har uppdaterats utför inte Säkerhetshälsoagenten i Windows på klientdatorn några kontroller och klientdatorer som inte kör något antispionprogram eller som kör ett antispionprogram med inaktuella antispionprogramsdefinitioner hindras inte från att ansluta till nätverket.
Autoreparation
Om du markerar Ett antispionprogram körs aktiverar du autoreparation i NAP och Säkerhetshälsoagenten i Windows rapporterar att inget antispionprogram är aktiverat. Därefter skickar Säkerhetshälsoverifieringsprincip i Windows en uppmaning till Windows Säkerhetshälsoagenten i Windows på klientdatorn att aktivera Windows Defender.
Viktigt! | |
Om autoreparation är aktiverat och klientdatorer använder antispionprogram som inte är kompatibla med Windows Säkerhetscenter och som därför inte identifieras av Säkerhetshälsoagenten i Windows, aktiverar Säkerhetshälsoagenten i Windows Windows Defender på klientdatorn. Det innebär att klientdatorn kör två olika antispionprogram samtidigt. |
OBS | |
Du kan konfigurera autoreparation med hjälp av MMC-snapin-modulen (Management Microsoft Management Console) för NAP-klienthantering. |
Automatiska uppdateringar
Om du väljer Automatisk uppdatering är aktiverad och Microsoft Update Services inte är aktiverat på klientdatorn, begränsar Säkerhetshälsoagenten i Windows klientdatorn till ett reparationsnätverk tills Microsoft Update Services är aktiverat.
Microsoft Update Services är aktiverat när en av följande inställningar är valda på klientdatorn:
-
Installera uppdateringar automatiskt (rekommenderas).
-
Hämta uppdateringar men låt mig välja om de ska installeras.
-
Sök efter uppdateringar men låt mig välja om de ska hämtas och installeras.
Autoreparation
Om du väljer Automatiska uppdateringar är aktiverade aktiverar du autoreparation i NAP och Säkerhetshälsoagenten i Windows på klientdatorn rapporterar att Microsoft Update Services inte är aktiverat. Därefter uppmanar Säkerhetshälsoagenten i Windows Säkerhetshälsoverifieraren i Windows på klientdatorn att aktivera Microsoft Update Services och konfigurera Microsoft Update Services att automatiskt hämta och installera uppdateringar.
OBS | |
Du kan konfigurera autoreparation med hjälp av MMC-snapin-modulen för NAP-klienthantering. |
Säkerhetsuppdateringsskydd
Konfigurera inte säkerhetsuppdateringsskyddet i din säkerhetshälsoverifieringsprincip i Windows om inte klientdatorer i ditt nätverk kör Windows Update Agent. Dessutom måste klientdatorer som kör Windows Update Agent vara registrerade med en server som kör WSUS (Windows Server Update Service).
Viktigt! | |
Om de här villkoren inte är uppfyllda och du konfigurerar Säkerhetsuppdateringsskydd i din Säkerhetshälsoverifieringsprincip i Windows, kan inte principen användas av Säkerhetshälsoagenten i Windows på klientdatorn. |
Om klientdatorerna kör Windows Update Agent och är registrerade med en WSUS-server kan du konfigurera säkerhetsuppdateringsskyddet för din säkerhetshälsoverifieringsprincip i Windows.
Om du då väljer Framtvinga karantän för saknade säkerhetsuppdateringar och de senaste säkerhetsuppdateringarna inte är installerade begränsar Säkerhetshälsoagenten i Windows klientdatorn till ett reparationsnätverk tills de senaste programsäkerhetsuppdateringarna har installerats.
Det går att konfigurera säkerhetsuppdateringsskyddet med flera olika värden som matchar säkerhetsallvarlighetsklassificeringarna från MSRC (Microsoft Security Response Center). Följande värden är tillgängliga:
-
Endast kritiskt. Om du väljer det här värdet måste alla klientdatorer ha alla säkerhetsuppdateringar med MSRC-allvarlighetsklassificeringen Kritisk. Om en klientdator inte har dessa uppdateringar begränsas de till ett reparationsnätverk tills uppdateringarna har hämtats och installerats.
-
Viktigt och uppåt. Detta är standardinställningen. Om du väljer det här värdet måste alla klientdatorer ha alla säkerhetsuppdateringar med någon av MSRC-allvarlighetsklassificeringarna Viktigt eller Kritisk. Om en klientdator inte har dessa uppdateringar begränsas de till ett reparationsnätverk tills uppdateringarna har hämtats och installerats.
-
Måttligt och uppåt. Om du väljer det här värdet måste alla klientdatorer ha alla säkerhetsuppdateringar med någon av MSRC-allvarlighetsklassificeringarna Måttligt, Viktigt eller Kritisk. Om en klientdator inte har dessa uppdateringar begränsas de till ett reparationsnätverk tills uppdateringarna har hämtats och installerats.
-
Lågt och uppåt. Om du väljer det här värdet måste alla klientdatorer ha alla säkerhetsuppdateringar med någon av MSRC-allvarlighetsklassificeringarna Lågt, Måttligt, Viktigt eller Kritisk. Om en klientdator inte har dessa uppdateringar begränsas de till ett reparationsnätverk tills uppdateringarna har hämtats och installerats.
-
Alla. Om du väljer det här värdet måste alla klientdatorer ha alla säkerhetsuppdateringar, oavsett deras MSRC-allvarlighetsklassificering. Om en klientdator inte har de senaste uppdateringarna begränsas de till ett reparationsnätverk tills uppdateringarna har hämtats och installerats.
När du har konfigurerat allvarlighetsklassificeringsnivån för säkerhetsuppdateringar kan du ange det minsta antalet tillåtna timmar mellan klienternas kontroller efter säkerhetsuppdateringarna på WSUS-servern. Standardvärdet för minsta synkroniseringstid är 22 timmar.
När en klientdator först försöker ansluta till ett NAP-aktiverat nätverk och inställningen i säkerhetsuppdateringsskyddet är konfigurerad i säkerhetshälsoverifieringsprincipen i Windows avgör Säkerhetshälsoagenten i Windows om klientdatorn ska begränsas till ett reparationsnätverk, baserat på när klientdatorn senast kontrollerade om det fanns några säkerhetsuppdateringar på WSUS-servern. Säkerhetshälsoagenten i Windows avgör om klienten ska begränsas till ett reparationsnätverk på följande sätt:
-
Om klienten sökte efter uppdateringar för längre tid sedan än det minsta antalet timmar som tillåtits i konfigurationen av Säkerhetshälsoagenten i Windows begränsas klientdatorn till ett reparationsnätverk. När klienten sedan har sökt efter uppdateringar, hämtat och installerat eventuella nya uppdateringar beviljas klienten fullständig nätverksåtkomst igen.
-
Om klienten sökte efter uppdateringar för lika länge sedan eller för kortare tid sedan än det minsta antalet timmar som tillåtits i konfigurationen av Säkerhetshälsoagenten i Windows begränsas klientdatorn inte till ett reparationsnätverk.
OBS | |
Den här kontrollen av när klientdatorn senast sökte efter uppdateringar utförs bara av Säkerhetshälsoagenten i Windows första gången som klientdatorn försöker ansluta till nätverket. Om klienten förblir ansluten till nätverket längre tid än den konfigurerade kortaste tillåtna tiden mellan synkroniseringar utlöser inte Säkerhetshälsoagenten i Windows sökningar efter uppdateringar eller hämtningar av uppdateringar och begränsar heller inte klientdatorn till ett reparationsnätverk. |
Autoreparation
För att autoreparation ska fungera med inställningen för säkerhetsuppdateringsskyddet som är aktiverad och konfigurerad i din säkerhetshälsoverifieringsprincip i Windows måste följande vara uppfyllt:
-
Klientdatorerna i ditt nätverk kör Windows Update Agent.
-
Klientdatorerna som kör Windows Update Agent är registrerade med en WSUS-server.
-
Autoreparation är konfigurerat och aktiverat.
Om de här villkoren är uppfyllda kontrollerar Säkerhetshälsoagenten i Windows på klientdatorn om det finns några nya säkerhetsuppdateringar på WSUS-servern. Om Säkerhetshälsoagenten i Windows upptäcker att de senaste säkerhetsuppdateringarna för den konfigurerade MSRC-allvarlighetsklassificeringen inte är installerade på klientdatorn hämtar Säkerhetshälsoagenten i Windows de senaste säkerhetsuppdateringarna och installerar dem.