Partager via


Déterminer s’il faut bloquer les clients dans Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Si un ordinateur client ou un appareil mobile client n’est plus approuvé, vous pouvez bloquer le client dans la console Configuration Manager System Center 2012. Les clients bloqués sont rejetés par l’infrastructure Configuration Manager afin qu’ils ne puissent pas communiquer avec les systèmes de site pour télécharger la stratégie, charger des données d’inventaire ou envoyer des messages d’état ou d’état.

Vous devez bloquer et débloquer un client à partir de son site attribué plutôt qu’à partir d’un site secondaire ou d’un site d’administration centrale.

Importante

Bien que le blocage dans Configuration Manager puisse aider à sécuriser le site Configuration Manager, ne comptez pas sur cette fonctionnalité pour protéger le site contre les ordinateurs ou appareils mobiles non approuvés si vous autorisez les clients à communiquer avec les systèmes de site à l’aide de HTTP, car un client bloqué pourrait rejoindre le site avec un nouveau certificat auto-signé et un nouvel ID matériel. Au lieu de cela, utilisez la fonctionnalité de blocage pour bloquer les médias de démarrage perdus ou compromis que vous utilisez pour déployer des systèmes d’exploitation, et lorsque les systèmes de site acceptent les connexions client HTTPS.

Les clients qui accèdent au site à l’aide du certificat de proxy ISV ne peuvent pas être bloqués. Pour plus d’informations sur le certificat de proxy ISV, consultez le Kit de développement logiciel (SDK) Configuration Manager.

Si vos systèmes de site acceptent les connexions client HTTPS et que votre infrastructure à clé publique (PKI) prend en charge une liste de révocation de certificats (CRL), considérez toujours la révocation de certificats comme étant la principale ligne de défense contre les certificats potentiellement compromis. Le blocage de clients dans Configuration Manager offre une deuxième ligne de défense pour protéger votre hiérarchie.

Considérations relatives au blocage des clients

  • Cette option est disponible pour les connexions client HTTP et HTTPS, mais a une sécurité limitée lorsque les clients se connectent aux systèmes de site à l’aide de HTTP.

  • Configuration Manager utilisateurs administratifs ont le pouvoir de bloquer un client, et l’action est effectuée dans la console Configuration Manager.

  • La communication cliente est rejetée à partir de la hiérarchie Configuration Manager uniquement.

    Remarque

    Le même client peut s’inscrire auprès d’une hiérarchie Configuration Manager différente.

  • Le client est immédiatement bloqué du site Configuration Manager.

  • Permet de protéger les systèmes de site contre les ordinateurs et les appareils mobiles potentiellement compromis.

Considérations relatives à l’utilisation de la révocation de certificats

  • Cette option est disponible pour les connexions clientes Windows HTTPS si l’infrastructure à clé publique prend en charge une liste de révocation de certificats (CRL).

    Les clients Mac effectuent toujours une vérification de liste de révocation de certificats et cette fonctionnalité ne peut pas être désactivée.

    Bien que les clients d’appareils mobiles n’utilisent pas de listes de révocation de certificats pour vérifier les certificats des systèmes de site, leurs certificats peuvent être révoqués et vérifiés par Configuration Manager.

  • Les administrateurs de l’infrastructure à clé publique ont le pouvoir de révoquer un certificat, et l’action est effectuée en dehors de la console Configuration Manager.

  • La communication cliente peut être rejetée à partir de n’importe quel ordinateur ou appareil mobile qui nécessite ce certificat client.

  • Il est probable qu’il y ait un délai entre la révocation d’un certificat et le téléchargement de la liste de révocation de certificats (CRL) modifiée par les systèmes de site.

  • Pour de nombreux déploiements PKI, ce délai peut être d’un jour ou plus long. Par exemple, dans les services de certificats Active Directory, la période d’expiration par défaut est d’une semaine pour une liste de révocation de certificats complète et d’un jour pour une liste de révocation de certificats delta.

  • Permet de protéger les systèmes de site et les clients contre les ordinateurs et les appareils mobiles potentiellement compromis.

    Remarque

    Vous pouvez protéger davantage les systèmes de site qui exécutent IIS à partir de clients inconnus en configurant une liste de certificats d’approbation (CTL) dans IIS.