locked
WINDOWS 2008 NAP能否限定特定防毒軟體才能通過健康驗證? RRS feed

  • 問題

  • 請問各位先進
    小弟目前有遇到一個使用上的問題
    NAP的功能可以判斷CLIENT端是否有安裝防毒軟體及是否更新病毒碼
    但是現在如果USER端有些是使用非公司的特定防毒軟體~無法統一控管!
    NAP是否有此功能可以限制如果非特定之防毒軟體及無法讓它通過健康管理原則呢?
    還是需要透過其他軟體來判斷?因為我在NAP的選項裡面並沒有看到可以變更的相關設定
    而且我發現NAP是透過CLIENT的資訊安全中心的判斷來收集資料的
    反而言之~如果資訊安全中心判斷是通過的~NAP就是讓它通過!
    所以想問問看是否其他的先進有使用NAP的情況下有沒有相同的問題?
    2010年5月18日 上午 07:57

解答

  • 看了一下 , NAP裡面沒有辦法去限定特定防毒軟體才能通過驗證

    就如你所說的 , 他是檢查Security Center的狀態去比對健康條件來決定NAP Client是否健康

    只要有安裝防毒軟體並被Security Center偵測之後 , 系統就會通過NAP的檢查

    可能的方法應該是撰寫一個Script去檢查是否有特定的安裝程式(特定的安裝目錄)

    如果有的話 , 就將Security Center的服務停用 , 停用後就會導至NAP健康狀態驗證失敗

    而該Script可以透過GPO派送並在Client端上變成排程執行(過一段時間就執行以防User手動啟動Security Center的服務)

    不過Script如何撰寫我就不知道了.. 上述想法供你參考

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已提議為解答 Vincent Lin 2010年5月24日 上午 06:56
    • 已標示為解答 Vincent Lin 2010年5月24日 上午 09:09
    2010年5月20日 上午 09:02

所有回覆

  • 前輩們好.

    小弟也有用NAP 的小小經驗.我也是有一些CLIENT機因為不同的設定而不能通過.

    我問了其他的前輩.如果CLIENT 的設定不是一樣..這是不可能通過HEALTH POLICY..

    他們還在找其他的解決方法...

     

    2010年5月20日 上午 02:13
  • 前輩們好.

    小弟也有用NAP 的小小經驗.我也是有一些CLIENT機因為不同的設定而不能通過.

    我問了其他的前輩.如果CLIENT 的設定不是一樣..這是不可能通過HEALTH POLICY..

    他們還在找其他的解決方法...

     

    To rickyyuen:

    因為這次是想綁定特定的防毒軟體才能通過健康驗證原則

    有些RD部門需要使用最高權限所以它們有權限將防毒軟體移除另外安裝他們自己所謂比較好的防毒軟體使用

    但是這樣卻就不能統一控管!當USER端中毒時~MIS這邊就無法第一時間去發現中毒的訊息來去提早作防範措施~

    就可能會造成後面感染到整廠的問題發生!

    所以才會想問問看其他前輩們有沒有相同的問題!

    或是有沒有軟體可以配合NAP的原則可以判斷特定的服務是否有啟用呢?(因為防毒軟體裝起來有特定的服務)

    這也是我目前遇到的問題!

    2010年5月20日 上午 08:05
  • 看了一下 , NAP裡面沒有辦法去限定特定防毒軟體才能通過驗證

    就如你所說的 , 他是檢查Security Center的狀態去比對健康條件來決定NAP Client是否健康

    只要有安裝防毒軟體並被Security Center偵測之後 , 系統就會通過NAP的檢查

    可能的方法應該是撰寫一個Script去檢查是否有特定的安裝程式(特定的安裝目錄)

    如果有的話 , 就將Security Center的服務停用 , 停用後就會導至NAP健康狀態驗證失敗

    而該Script可以透過GPO派送並在Client端上變成排程執行(過一段時間就執行以防User手動啟動Security Center的服務)

    不過Script如何撰寫我就不知道了.. 上述想法供你參考

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已提議為解答 Vincent Lin 2010年5月24日 上午 06:56
    • 已標示為解答 Vincent Lin 2010年5月24日 上午 09:09
    2010年5月20日 上午 09:02
  • 看了一下 , NAP裡面沒有辦法去限定特定防毒軟體才能通過驗證

    就如你所說的 , 他是檢查Security Center的狀態去比對健康條件來決定NAP Client是否健康

    只要有安裝防毒軟體並被Security Center偵測之後 , 系統就會通過NAP的檢查

    可能的方法應該是撰寫一個Script去檢查是否有特定的安裝程式(特定的安裝目錄)

    如果有的話 , 就將Security Center的服務停用 , 停用後就會導至NAP健康狀態驗證失敗

    而該Script可以透過GPO派送並在Client端上變成排程執行(過一段時間就執行以防User手動啟動Security Center的服務)

    不過Script如何撰寫我就不知道了.. 上述想法供你參考

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站

    感謝您的提供資訊!這部分也是我想到的辦法之一

    因為的確只能用其他的方式去判斷是否有此目錄或是此防毒服務是否存在或是啟用!才能知道Client端是否符合MIS這邊的要求的防毒軟體!

    Script的方式可能要想想看跟測試一下了!停用資訊安全中心的服務也是一個方式~但是NAP的部分就不能勾選自動修復了!否則SERVER端會自動將Client的System Center Service給啟動@@

    不過還是感謝分享!因為有詢問過微軟的工程師!不過他給我的方向卻是要找防毒軟體廠商協助= =?

    但是我怎麼看運作模式都是跟windows有關係@@所以我也還沒找防毒軟體廠商詢問!

    不過現在倒是可以詢問看看防毒軟體廠商是否能提供確認Client端的Script的寫法@@搞不好有幫助也說不一定!!

     

    Thanks

     

    暫時還沒問到解答!不好意思~

    2010年5月20日 上午 09:15