Určení možnosti blokování klientů v Configuration Manageru
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Pokud už nejsou klientský počítač nebo klientské mobilní zařízení považované za důvěryhodné, můžete klienta blokovat v konzole nástroje System Center 2012 Configuration Manager. Blokované klienty odmítnula infrastruktura nástroje Configuration Manager, aby nemohli komunikovat se systémy lokality za účelem stahování zásad, nahrávání dat inventáře nebo odesílání stavových zpráv.
V nástroji Configuration Manager SP1 podporují klienti se systémem Mac, klienti se systémem Linux a UNIX a mobilní zařízení zaregistrovaná službou Microsoft Intune blokování a odblokování.
Spíše než ze sekundární lokality nebo lokality centrální správy je nutné klienta blokovat a odblokovat z jeho přiřazené lokality.
.jpeg "System_CAPS_important") Důležité |
|---|
I když blokování v nástroji Configuration Manager může pomoci zabezpečit lokalitu nástroje Configuration Manager, nespoléhejte na tuto funkci, pokud chcete ochránit lokalitu před nedůvěryhodnými počítači nebo mobilními zařízeními v případě, že klientům umožníte komunikovat se systémy lokality pomocí protokolu HTTP, protože blokovaný klient by se mohl znova připojit k lokalitě pomocí nového certifikátu podepsaného držitelem a ID hardwaru. Místo toho použijte funkci blokování k blokování ztracených nebo ohrožených spouštěcích médií, která používáte k nasazení operačních systémů, a pokud systémy lokality přijmou připojení klienta pomocí protokolu HTTPS. |
Klienty, kteří přistupují k lokalitě pomocí certifikátu ISV Proxy, nejde blokovat. Další informace o certifikátu ISV Proxy najdete v sadě SDK (Software Development Kit) nástroje Microsoft System Center 2012 Configuration Manager.
Pokud vaše systémy lokality přijímají připojení klienta pomocí protokolu HTTPS a vaše infrastruktura veřejných klíčů (PKI) podporuje seznam odvolaných certifikátů (CRL), vždycky je třeba zajistit, aby odvolané certifikáty byly první linií obrany před potenciálně ohroženými certifikáty. Blokování klientů v nástroji Configuration Manager poskytuje druhou linii obrany vaší hierarchie.
Následující části vám pomůžou rozlišit mezi blokováním klientů a použitím seznamu odvolaných certifikátů a důsledky blokování počítačů na bázi AMT.
Porovnání blokování klientů a odvolání certifikátů klientů
Blokování počítačů na bázi AMT
Porovnání blokování klientů a odvolání certifikátů klientů
Následující tabulka vám pomůže rozlišit mezi blokováním klienta a použitím odvolání certifikátu v prostředí s podporou PKI.
Blokování klienta |
Použití odvolání certifikátu |
|---|---|
Možnost je dostupná pro připojení klientů pomocí protokolu HTTP a HTTPS, ale při připojení klientů k systémům lokality pomocí protokolu HTTP má omezené zabezpečení. |
Možnost je dostupná pro připojení klientů s Windows pomocí protokolu HTTPS, pokud infrastruktura veřejných klíčů podporuje seznam odvolaných certifikátů (CRL). V nástroji Configuration Manager SP1 provedou klienti se systémem Mac vždycky kontrolu seznamu CRL a tuto funkčnost nejde zakázat. I když klienti mobilních zařízení nepoužívají seznam odvolaných certifikátů ke kontrole certifikátů systémů lokality, jde jejich certifikáty odvolat a zkontrolovat nástrojem Configuration Manager. |
Správci nástroje Configuration Manager jsou oprávněni blokovat klienta a akce se provede v konzole nástroje Configuration Manager. |
Správci infrastruktury veřejných klíčů jsou oprávněni odvolat certifikát a akce se provede mimo konzolu nástroje Configuration Manager. |
Komunikace klienta je odmítnutá jenom v hierarchii nástroje Configuration Manager. Poznámka Stejný klient by se mohl zaregistrovat v jiné hierarchii nástroje Configuration Manager. |
Komunikace klienta může být odmítnutá v jakémkoli počítači nebo mobilním zařízení vyžadujícím tento certifikát klienta. |
Klient je okamžitě blokovaný v lokalitě nástroje Configuration Manager. |
Mezi odvoláním certifikátu a stažením změněného seznamu odvolaných certifikátů (CRL) systémy lokality pravděpodobně nastane prodleva. V případě nasazení velkého počtu certifikátů PKI může tato prodleva trvat jeden i víc dnů. Třeba ve službě AD DS (Active Directory Certificate Services) je výchozí doba vypršení platnosti jeden týden v případě úplného seznamu CRL a jeden den v případě rozdílového seznamu CRL. |
Pomáhá chránit systémy lokality před potenciálně ohroženými počítači a mobilními zařízeními. |
Pomáhá chránit systémy a klienty lokality před potenciálně ohroženými počítači a mobilními zařízeními. Poznámka Systémy lokality používající službu IIS jde dál chránit před neznámými klienty konfigurací seznamu důvěryhodných certifikátů (CTL) ve službě IIS. |
Blokování počítačů na bázi AMT
Po blokování počítače na bázi Intel AMT, který je zajištěný nástrojem System Center 2012 Configuration Manager, nebude už možné počítač spravovat vzdáleně. Pokud je blokovaný počítač na bázi AMT, automaticky se provedou následující akce, které pomůžou ochránit síť před bezpečnostními riziky zvýšení oprávnění a zpřístupnění informací:
Server lokality odvolá všechny certifikáty vydané počítači na bázi AMT pomocí důvodu odvolání Cease of Operation. Počítač na bázi AMT může mít víc certifikátů, pokud je nakonfigurovaný pro pevné nebo bezdrátové sítě s ověřováním 802.1X, které podporují certifikáty klientů.
Server lokality odstraní účet AMT ve službě AD DS (Active Directory Domain Services).
Informace o zajištění AMT není odebraná z počítače, ale počítač už nejde spravovat vzdáleně, protože jeho certifikát je odvolaný a jeho účet odstraněný. Pokud později klienta odblokujete, nejprve je potřeba udělat následující akce a pak můžete počítač spravovat vzdáleně:
Odeberte ručně informace o zajištění z rozšíření systému BIOS počítače. Tuto konfiguraci nebude možné provést vzdáleně.
Znova zajistěte počítač pomocí nástroje Configuration Manager.
Pokud se domníváte, že klienta pravděpodobně odblokujete později, a před blokováním klienta můžete ověřit připojení k počítači na bázi AMT, můžete odebrat informace o zajištění AMT pomocí nástroje Configuration Manager a pak klienta blokovat. Díky tomuto pořadí úloh nebudete muset ručně konfigurovat rozšíření systému BIOS po odblokování klienta. Tato možnost ale spoléhá na úspěšné připojení k nedůvěryhodnému počítači, aby se dokončilo odebrání informací o zřízení. To je nebezpečné hlavně tehdy, když je počítačem na bázi AMT přenosný počítač a může být odpojený od sítě nebo od bezdrátového připojení.
Poznámka
Pokud chcete ověřit, jestli počítač na bázi AMT úspěšně odebral informace o zajištění, zkontrolujte změnu stavu AMT z hodnoty Zajištěno na Není zajišťováno. Pokud se ale před blokováním klienta informace o zajištění neodebraly, stav AMT zůstane na hodnotě Zajištěno, ale nebudete moct vzdáleně spravovat počítač, dokud znova nenakonfigurujete rozšíření systému BIOS a znova nezajistíte v počítači AMT. Další informace o stavu AMT najdete v tématu O stavu AMT a Out Vzdálená správa v produktu Configuration Manager.