Windows 安全健康验证程序

若要使用设置“已为所有网络连接启用防火墙”，则在客户端计算机上运行的防火墙软件必须是 Windows 防火墙软件，或与 Windows 安全中心兼容的其他防火墙软件。

与 Windows 安全中心不兼容的防火墙软件无法由客户端计算机上的 Windows 安全健康代理 (WSHA) 管理或检测。

如果选择“已为所有网络连接启用防火墙”，则客户端计算机上的 WSHA 会检查防火墙软件是否在客户端计算机上运行，然后执行下列操作：

• 如果客户端计算机未运行防火墙软件，则客户端计算机被限制到更新网络，直到安装并运行防火墙软件。
  
  
• 如果在客户端计算机上运行的仅有防火墙软件与 Windows 安全中心不兼容，则 WSHA 会向网络访问保护 (NAP) 服务报告未启用防火墙，且客户端计算机被限制到更新网络。
  
  

	重要
	如果选择“已为所有网络连接启用防火墙”，且客户端计算机未运行 Windows 防火墙或其他 Windows 安全中心兼容的防火墙软件，则客户端计算机无法连接到您的网络。

如果没有选择“已为所有网络连接启用防火墙”，则客户端计算机上的 WSHA 将不执行检查，而且不会阻止没有运行防火墙软件的客户端计算机连接到您的网络。

如果选择“防病毒应用程序已启用”，则客户端计算机上的 WSHA 会验证防病毒软件是否正在客户端计算机上运行。如果客户端计算机未运行防病毒软件，则客户端计算机被限制到更新网络，直到安装并运行防病毒软件。

在客户端计算机上运行的防病毒软件必须与 Windows 安全中心兼容。与 Windows 安全中心不兼容的防病毒软件无法由客户端计算机上的 WSHA 管理或检测。如果在客户端计算机上运行的仅有防病毒软件是与 Windows 安全中心不兼容的防病毒应用程序，则 WSHA 会向 WSHV 报告未启用防病毒功能，且客户端计算机会被限制到更新网络。

如果选择“防病毒程序为最新的”，则客户端计算机上的 WSHA 会验证用于防病毒应用程序的防病毒定义是否为最新版本且为最新的。

若要验证防病毒软件是否正在运行，且防病毒定义是否为可用的最新更新，必须同时选择“防病毒应用程序已启用”和“防病毒程序为最新的”。

如果没有选择“防病毒应用程序已启用”，则客户端计算机上的 WSHA 将不执行检查，而且不会阻止没有运行防病毒软件的客户端计算机连接到您的网络。

如果没有选择“防病毒应用程序已启用”和“防病毒程序为最新的”，则客户端计算机上的 WSHA 将不执行检查，而且不会阻止没有运行防病毒软件或者运行的防病毒软件的防病毒定义已过期的客户端计算机连接到您的网络。

如果选择“反间谍软件应用程序已启用”，则客户端计算机上的 WSHA 会验证反间谍软件是否在客户端计算机上运行。如果客户端计算机未运行反间谍软件，则客户端计算机被限制到更新网络，直到安装并运行反间谍软件。

在客户端计算机上运行的反间谍软件必须是 Windows Defender 或与 Windows 安全中心兼容的其他反间谍软件。

与 Windows 安全中心不兼容的反间谍软件无法由客户端计算机上的 WSHA 管理或检测。如果在客户端计算机上运行的仅有反间谍软件是与 Windows 安全中心不兼容的反间谍软件应用程序，则 WSHA 会向 WSHV 报告未启用反间谍软件，且客户端计算机被限制到更新网络。

如果选择“反间谍软件是最新的”，则客户端计算机上的 WSHA 会验证用于反间谍软件应用程序的反间谍软件定义是否为最新版本且为最新的。

若要验证反间谍软件是否正在运行，以及反间谍软件定义是否为可用的最新更新，必须同时选择“反间谍软件应用程序已启用”和“反间谍软件是最新的”。

如果没有选择“反间谍软件应用程序已启用”，则客户端计算机上的 WSHA 将不执行检查，而且不会阻止没有运行反间谍软件的客户端计算机连接到您的网络。

如果没有选择“反间谍软件应用程序已启用”和“反间谍软件为最新的”，则客户端计算机上的 WSHA 将不执行检查，而且不会阻止没有运行反间谍软件或者运行的反间谍软件的反间谍软件定义已过期的客户端计算机连接到您的网络。

如果选择“自动更新处于开启状态”，且 Microsoft 更新服务未在客户端计算机上启用，则 WSHA 会将客户端计算机限制到更新网络，直到启用 Microsoft 更新服务。

在客户端计算机上选择下列设置之一时，会启用 Microsoft 更新服务：

• 自动安装更新（推荐）
  
  
• 下载更新，但是让我选择是否安装更新
  
  
• 检查更新，但是让我选择是否下载和安装更新
  
  

请勿在 WSHV 策略中配置安全更新保护，除非网络上的客户端计算机正在运行 Windows 更新代理。此外，运行 Windows 更新代理的客户端计算机必须使用运行 Windows Server Update Service (WSUS) 的服务器注册。

	重要
	如果未满足这些条件，并且在 WSHV 策略中配置了安全更新保护，则客户端计算机上的 WSHA 将无法强制执行该策略，WSHA 会将客户端计算机限制到更新网络，并且这些客户端无法连接到您的网络。

如果客户端计算机正在运行 Windows 更新代理，且这些客户端计算机使用 WSUS 服务器注册，则可以为 WSHV 策略配置安全更新保护。

在这种情况下，如果选择“因缺少安全更新而强制隔离”，且未安装最新的安全更新，则 WSHA 会将客户端计算机限制到更新网络，直到安装最新软件安全更新。

可以使用来自 Microsoft 安全响应中心 (MSRC) 的与安全严重性分级匹配的多个可能值配置安全更新保护。这些值为：

• “仅关键”。如果已选中，则要求客户端计算机拥有 MSRC 严重性分级为“关键”的所有安全更新。如果客户端计算机未进行这些更新，则会将其限制到更新网络，直到下载并安装了这些更新。
  
  
• “重要及以上”。这是默认设置。如果已选中，则要求客户端计算机拥有 MSRC 严重性分级为“重要”或“关键”的所有安全更新。如果客户端计算机未进行这些更新，则会将其限制到更新网络，直到下载并安装了这些更新。
  
  
• “中等及以上”。如果已选中，则要求客户端计算机拥有 MSRC 严重性分级为“中等”、“重要”或“关键”的所有安全更新。如果客户端计算机未进行这些更新，则会将其限制到更新网络，直到下载并安装了这些更新。
  
  
• “较低及以上”。如果已选中，则要求客户端计算机拥有 MSRC 严重性分级为“低”、“中等”、“重要”或“关键”的所有安全更新。如果客户端计算机未进行这些更新，则会将其限制到更新网络，直到下载并安装了这些更新。
  
  
• “全部”。如果已选中，则要求客户端计算机拥有所有安全更新，而与其按 MSRC 划分的严重性分级无关。如果客户端计算机没有最新更新，则会将其限制到更新网络，直到下载并安装了这些更新。
  
  

配置安全更新严重性分级级别后，可以指定自客户端检查 WSUS 服务器的新安全更新后所允许的最少小时数。最小同步时间的默认值是 22 小时。

当客户端计算机首先尝试连接到启用 NAP 的网络，且在 WSHV 策略中配置了安全更新保护设置时，WSHA 会根据客户端计算机检查 WSUS 服务器的安全更新的最新时间确定是否将客户端计算机限制到更新网络。WSHA 通过下列方式确定是否将客户端限制到更新网络：

• 如果客户端以大于 WSHV 配置的两次检查之间允许的最少小时数的时间间隔检查更新，则客户端计算机被限制到更新网络。客户端检查更新并下载和安装任何较新更新之后，将允许客户端进行完全网络访问。
  
  
• 如果客户端以等于或小于 WSHV 配置的两次检查之间允许的最少小时数的时间间隔检查更新，则不会将客户端计算机限制到更新网络。
  
  

	注意
	客户端计算机上的 WSHA 仅在客户端计算机尝试连接到网络时执行此检查。如果客户端计算机保持连接到网络的时间超过已配置的最小同步时间，则 WSHA 不会触发安全更新检查，不会触发更新下载，也不会将客户端计算机限制到更新网络。