Určení, jestli se mají blokovat klienti v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Pokud klientský počítač nebo mobilní zařízení klienta už nejsou důvěryhodné, můžete klienta zablokovat v konzole Configuration Manager system Center 2012. Blokovaní klienti jsou odmítnuti infrastrukturou Configuration Manager, aby nemohli komunikovat se systémy lokality za účelem stahování zásad, nahrávání dat inventáře nebo odesílání stavových či stavových zpráv.
Klienta je nutné blokovat a odblokovat z přiřazené lokality, nikoli ze sekundární lokality nebo lokality centrální správy.
Důležité
I když blokování v Configuration Manager může pomoct zabezpečit Configuration Manager lokalitu, nespoléhejte na tuto funkci při ochraně lokality před nedůvěryhodnými počítači nebo mobilními zařízeními, pokud klientům povolíte komunikaci se systémy lokality pomocí protokolu HTTP, protože blokovaný klient by se mohl znovu připojit k lokalitě s novým certifikátem podepsaným svým držitelem a ID hardwaru. Místo toho pomocí funkce blokování zablokujte ztracené nebo ohrožené spouštěcí médium, které používáte k nasazení operačních systémů, a když systémy lokality přijímají připojení klientů HTTPS.
Klienty, kteří přistupují k lokalitě pomocí certifikátu isv Proxy, nelze blokovat. Další informace o certifikátu isv proxy najdete v sadě Configuration Manager Software Development Kit (SDK).
Pokud systémy lokality přijímají klientská připojení HTTPS a infrastruktura veřejných klíčů (PKI) podporuje seznam odvolaných certifikátů (CRL), vždy zvažte odvolání certifikátu jako primární linii ochrany před potenciálně ohroženými certifikáty. Blokování klientů v Configuration Manager nabízí druhou linii obrany, která chrání vaši hierarchii.
Důležité informace o blokování klientů
Tato možnost je dostupná pro klientská připojení HTTP a HTTPS, ale má omezené zabezpečení, když se klienti připojují k systémům lokality pomocí protokolu HTTP.
Configuration Manager správci mají oprávnění blokovat klienta a akce se provede v konzole Configuration Manager.
Komunikace klienta je odmítnuta pouze z hierarchie Configuration Manager.
Poznámka
Stejný klient by se mohl zaregistrovat v jiné hierarchii Configuration Manager.
Klient se okamžitě zablokuje z Configuration Manager lokality.
Pomáhá chránit systémy lokality před potenciálně ohroženými počítači a mobilními zařízeními.
Důležité informace o používání odvolání certifikátu
Tato možnost je dostupná pro připojení klientů s Windows https, pokud infrastruktura veřejných klíčů podporuje seznam odvolaných certifikátů (CRL).
Klienti mac vždy provádějí kontrolu seznamu CRL a tuto funkci nelze zakázat.
Přestože klienti mobilních zařízení nepoužívají seznamy odvolaných certifikátů ke kontrole certifikátů pro systémy lokality, jejich certifikáty mohou být odvolány a kontrolovány Configuration Manager.
Správci infrastruktury veřejných klíčů mají oprávnění odvolat certifikát a akce se provádí mimo konzolu Configuration Manager.
Komunikaci klienta lze odmítnout z libovolného počítače nebo mobilního zařízení, které vyžaduje tento klientský certifikát.
Mezi odvoláním certifikátu a stažením upraveného seznamu odvolaných certifikátů (CRL) systémům lokality pravděpodobně dojde ke zpoždění.
U mnoha nasazení infrastruktury veřejných klíčů může být toto zpoždění o den nebo delší. Například ve službě Active Directory Certificate Services je výchozí doba vypršení platnosti jeden týden pro úplný seznam CRL a jeden den pro rozdílový seznam CRL.
Pomáhá chránit systémy lokality a klienty před potenciálně ohroženými počítači a mobilními zařízeními.
Poznámka
Systémy lokality, které spouštějí službu IIS, můžete dále chránit z neznámých klientů konfigurací seznamu důvěryhodných certifikátů (CTL) ve službě IIS.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro