Determinar si se deben bloquear clientes en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Si un equipo cliente o un dispositivo móvil cliente deja de ser de confianza, puede bloquear el cliente en la consola de System Center 2012 Configuration Manager. Los clientes bloqueados son rechazados por la infraestructura de Configuration Manager para que no se puedan comunicar con los sistemas de sitio para descargar directivas, cargar datos de inventario o enviar mensajes de estado.
En Configuration Manager SP1, los clientes Mac, los clientes de Linux y UNIX y los dispositivos móviles inscritos por Microsoft Intune admiten las acciones de bloqueo y desbloqueo.
Debe bloquear y desbloquear a un cliente desde su sitio asignado en lugar de hacerlo desde un sitio secundario o un sitio de administración central.
.jpeg "System_CAPS_important") Importante |
|---|
Si bien el bloqueo en Configuration Manager puede ayudar a asegurar el sitio de Configuration Manager, no se debe confiar en que esta característica protegerá el sitio contra equipos o dispositivos móviles que no son de confianza si permite que los clientes se comuniquen con sistemas de sitio mediante HTTP, porque un cliente bloqueado puede volver a unirse al sitio con un nuevo certificado autofirmado y un nuevo identificador de hardware. En cambio, use la característica de bloqueo para bloquear medios de arranque perdidos o comprometidos que se usan para implementar sistemas operativos y cuando los sistemas de sitio acepten conexiones de cliente HTTPS. |
No es posible bloquear los clientes que tienen acceso al sitio mediante el certificado de proxy de ISV. Para obtener más información acerca del certificado de proxy de ISV, consulte el Kit de desarrollo de software (SDK) de Microsoft System Center 2012 Configuration Manager.
Si los sistemas de sitio aceptan conexiones de cliente HTTPS y la infraestructura de clave pública (PKI) admite una lista de revocación de certificados (CRL), considere siempre la revocación de certificados como la primera línea de defensa contra certificados que puedan estar comprometidos. El bloqueo de clientes en Configuration Manager ofrece una segunda línea de defensa para proteger la jerarquía.
Emplee las siguientes secciones a modo de guía para diferenciar entre el bloqueo de clientes y el uso de una lista de revocación de certificados, y las implicancias de bloquear equipos basados en AMT:
Comparación entre bloqueo de clientes y revocación de certificados de clientes
Bloqueo de equipos basados en AMT
Comparación entre bloqueo de clientes y revocación de certificados de clientes
Utilice la siguiente tabla para ayudar a diferenciar entre el bloqueo de un cliente y el uso de la revocación de certificados en un entorno que admite PKI.
Bloqueo de cliente |
Uso de la revocación de certificados |
|---|---|
La opción está disponible para conexiones de cliente HTTP y HTTPS, pero brinda seguridad limitada cuando los clientes se conectan a los sistemas de sitio mediante HTTP. |
La opción está disponible para las conexiones de cliente de Windows HTTPS si la infraestructura de clave pública es compatible con una lista de revocación de certificados (CRL). En Configuration Manager SP1, los clientes Mac siempre realizan una comprobación de CRL y esta funcionalidad no puede deshabilitarse. Si bien los clientes de dispositivos móviles no utilizan listas de revocación de certificados para comprobar los certificados de los sistemas de sitio, Configuration Manager puede comprobar y revocar sus certificados. |
Los usuarios administrativos de Configuration Manager tienen autoridad para bloquear un cliente, y esta acción se realiza en la consola de Configuration Manager. |
Los administradores de infraestructura de clave pública poseen la autoridad para revocar un certificado, y esta acción se realiza fuera de la consola de Configuration Manager. |
La comunicación de cliente solo puede rechazarse desde la jerarquía de Configuration Manager. Nota El mismo cliente podría registrarse en una jerarquía de Configuration Manager diferente. |
La comunicación de cliente puede rechazarse desde cualquier equipo o dispositivo móvil que requiere este certificado de cliente. |
El cliente queda inmediatamente bloqueado del sitio de Configuration Manager. |
Es probable que exista un retraso entre el momento en que se revoca un certificado y el momento en que los sistemas de sitio descargan la lista de revocación de certificados (CRL) modificada. Para muchas de las implementaciones de PKI, este retraso puede ser de un día o más. Por ejemplo, en Servicios de certificados de Active Directory, el período de expiración predeterminado es de una semana para una CRL completa y de un día para una CRL de diferencias. |
Ayuda a proteger los sistemas de sitio contra equipos y dispositivos móviles potencialmente comprometidos. |
Ayuda a proteger los sistemas de sitio y los clientes contra equipos y dispositivos móviles potencialmente comprometidos. Nota Puede proteger aún más los sistemas de sitio que ejecutan IIS contra clientes desconocidos mediante la configuración de una lista de certificados de confianza (CTL) en IIS. |
Bloqueo de equipos basados en AMT
Después de bloquear un equipo basado en Intel AMT aprovisionado por System Center 2012 Configuration Manager, ya no podrá administrarlo fuera de banda. Cuando se bloquea un equipo basado en AMT, se producen automáticamente las siguientes acciones para ayudar a proteger la red contra los riesgos de seguridad de elevación de privilegios y divulgación de información:
El servidor de sitio revoca todos los certificados emitidos para el equipo basado en AMT con el siguiente motivo de revocación: Cease of Operation. El equipo basado en AMT podría tener varios certificados si está configurado para redes cableadas o inalámbricas con autenticación 802.1X que admiten certificados de cliente.
El servidor de sitio elimina la cuenta AMT en Servicios de dominio de Active Directory.
La información de aprovisionamiento de AMT no se quita del equipo, pero el equipo ya no puede administrarse fuera de banda porque su certificado está revocado y su cuenta fue eliminada. Si más adelante desbloquea el cliente, debe realizar las siguientes acciones antes de poder administrar el equipo fuera de banda:
Quite manualmente la información de aprovisionamiento de las extensiones de BIOS del equipo. No podrá realizar esta configuración de forma remota.
Vuelva a aprovisionar el equipo en Configuration Manager.
Si cree que podría llegar a desbloquear el cliente más adelante y puede comprobar una conexión con el equipo basado en AMT antes de bloquear el cliente, puede quitar la información de aprovisionamiento de AMT con Configuration Manager y, a continuación, bloquear el cliente. Esta secuencia de acciones evita tener que configurar manualmente las extensiones de BIOS después de desbloquear el cliente. Sin embargo, esta opción se basa en una correcta conexión con el equipo que no es de confianza para completar la eliminación de la información de aprovisionamiento. Esto es especialmente arriesgado cuando el equipo basado en AMT es un equipo portátil que podría desconectarse de la red o se encuentra en una conexión inalámbrica.
Nota
Para comprobar que el equipo basado en AMT eliminó correctamente la información de aprovisionamiento, confirme que el estado de AMT ha cambiado de Aprovisionado a No aprovisionado. No obstante, si la información de aprovisionamiento no se quitó antes de que se bloqueara el cliente, el estado de AMT seguirá siendo Aprovisionado, pero no podrá administrar el equipo fuera de banda hasta que vuelva a configurar las extensiones de BIOS y vuelva a aprovisionar el equipo para AMT. Para obtener más información acerca de las configuraciones del estado de AMT, consulte Acerca del estado AMT y la administración fuera de banda en Configuration Manager.