Freigeben über


Bestimmen, ob Clients in Configuration Manager blockiert werden sollen

Gilt für: Configuration Manager (Current Branch)

Wenn ein Clientcomputer oder ein mobiles Clientgerät nicht mehr vertrauenswürdig ist, können Sie den Client in der System Center 2012 Configuration Manager-Konsole blockieren. Blockierte Clients werden von der Configuration Manager-Infrastruktur abgelehnt, sodass sie nicht mit Standortsystemen kommunizieren können, um Richtlinien herunterzuladen, Bestandsdaten hochzuladen oder Status- oder Statusmeldungen zu senden.

Sie müssen einen Client an seinem zugewiesenen Standort und nicht an einem sekundären Standort oder einem Standort der zentralen Verwaltung blockieren und die Blockierung aufheben.

Wichtig

Obwohl das Blockieren in Configuration Manager helfen kann, den Configuration Manager Standort zu schützen, verlassen Sie sich nicht auf dieses Feature, um den Standort vor nicht vertrauenswürdigen Computern oder mobilen Geräten zu schützen, wenn Sie Clients die Kommunikation mit Standortsystemen über HTTP erlauben, da ein blockierter Client dem Standort mit einem neuen selbstsignierten Zertifikat und einer neuen Hardware-ID erneut beitreten kann. Verwenden Sie stattdessen die Blockierungsfunktion, um verlorene oder kompromittierte Startmedien zu blockieren, die Sie zum Bereitstellen von Betriebssystemen verwenden, und wenn Standortsysteme HTTPS-Clientverbindungen akzeptieren.

Clients, die mithilfe des ISV-Proxyzertifikats auf den Standort zugreifen, können nicht blockiert werden. Weitere Informationen zum ISV-Proxyzertifikat finden Sie im Configuration Manager Software Development Kit (SDK).

Wenn Ihre Standortsysteme HTTPS-Clientverbindungen akzeptieren und Ihre Public Key-Infrastruktur (PKI) eine Zertifikatsperrliste (Certificate Revocation List, CRL) unterstützt, sollten Sie die Zertifikatsperrung immer als primäre Verteidigungslinie gegen potenziell kompromittierte Zertifikate betrachten. Das Blockieren von Clients in Configuration Manager bietet eine zweite Verteidigungslinie zum Schutz Ihrer Hierarchie.

Überlegungen zum Blockieren von Clients

  • Diese Option ist für HTTP- und HTTPS-Clientverbindungen verfügbar, hat jedoch eine eingeschränkte Sicherheit, wenn Clients über HTTP eine Verbindung mit Standortsystemen herstellen.

  • Configuration Manager Administratoren über die Berechtigung verfügen, einen Client zu blockieren, und die Aktion wird in der Configuration Manager-Konsole ausgeführt.

  • Die Clientkommunikation wird nur aus der Configuration Manager Hierarchie abgelehnt.

    Hinweis

    Derselbe Client kann sich bei einer anderen Configuration Manager Hierarchie registrieren.

  • Der Client wird sofort für den Configuration Manager Standort blockiert.

  • Trägt zum Schutz von Standortsystemen vor potenziell kompromittierten Computern und mobilen Geräten bei.

Überlegungen zur Verwendung der Zertifikatsperrung

  • Diese Option ist für HTTPS-Windows-Clientverbindungen verfügbar, wenn die Public Key-Infrastruktur eine Zertifikatsperrliste (Certificate Revocation List, CRL) unterstützt.

    Mac-Clients führen immer eine Zertifikatsperrlistenüberprüfung durch, und diese Funktion kann nicht deaktiviert werden.

    Obwohl Clients für mobile Geräte keine Zertifikatsperrlisten verwenden, um die Zertifikate für Standortsysteme zu überprüfen, können ihre Zertifikate von Configuration Manager widerrufen und überprüft werden.

  • Public Key-Infrastrukturadministratoren verfügen über die Berechtigung, ein Zertifikat zu widerrufen, und die Aktion wird außerhalb der Configuration Manager-Konsole ausgeführt.

  • Die Clientkommunikation kann von jedem Computer oder mobilen Gerät abgelehnt werden, für den dieses Clientzertifikat erforderlich ist.

  • Es kommt wahrscheinlich zu einer Verzögerung zwischen dem Widerrufen eines Zertifikats und dem Herunterladen der geänderten Zertifikatsperrliste (Certificate Revocation List, CRL) durch Standortsysteme.

  • Bei vielen PKI-Bereitstellungen kann diese Verzögerung einen Tag oder länger sein. In Active Directory-Zertifikatdiensten beträgt der Standardablaufzeitraum beispielsweise eine Woche für eine vollständige Zertifikatsperrliste und einen Tag für eine Delta-Zertifikatsperrliste.

  • Trägt dazu bei, Standortsysteme und Clients vor potenziell kompromittierten Computern und mobilen Geräten zu schützen.

    Hinweis

    Sie können Standortsysteme, die IIS von unbekannten Clients ausführen, weiter schützen, indem Sie eine Zertifikatvertrauensliste (Certificate Trust List, CTL) in IIS konfigurieren.