À propos du blocage de clients et de la gestion hors bande
Mis à jour: octobre 2009
S'applique à: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Si un ordinateur client n'est plus approuvé, l'administrateur Configuration Manager peut bloquer le client dans la console Configuration Manager 2007 afin qu'ils ne peuvent plus communiquer avec les systèmes de site pour télécharger la stratégie, charger des données d'inventaire ou envoyer des messages d'état ou des messages d'état. Un client peut également être débloqué s'il est par la suite considéré comme approuvé. Le blocage et le déblocage des clients entraîne des conséquences spécifiques lorsque l'ordinateur est configuré pour la gestion hors bande, comme le décrit les sections suivantes. Pour plus d'informations sur le blocage des clients, consultez Déterminer si vous devez bloquer les clients Configuration Manager et Comment bloquer des clients Configuration Manager.
Notes
Les informations figurant dans cette rubrique s'appliquent uniquement à Configuration Manager 2007 SP1 et versions ultérieures.
Blocage des ordinateurs AMT dans Configuration Manager 2007 SP1
Les ordinateurs bloqués par Configuration Manager 2007 SP1 continuent d'autoriser les communications de gestion hors bande. Si un ordinateur AMT est bloqué parce qu'il n'est plus approuvé, vous disposez des options suivantes :
Révocation manuelle du certificat AMT de l'ordinateur et désactivation ou suppression manuelle du compte AMT dans les services de domaine Active Directory. Cette option est la plus sécurisée car elle ne requiert aucune connexion à un ordinateur non approuvé. Vous pouvez immédiatement vérifier la réussite de ces actions, et également contrôler le motif de révocation et si le compte est désactivé ou supprimé. L'inconvénient principal de cette option est que si, par la suite, vous débloquer ce client, vous ne serez pas en mesure de gérer l'ordinateur hors bande tant que vous ne supprimez pas manuellement les informations de configuration des extensions BIOS et que vous ne reconfigurez pas l'ordinateur. Les autres inconvénients sont une charge administrative et des retards potentiels dans l'application de ces actions manuelles.
Suppression des informations de configuration de l'ordinateur AMT au moyen de Configuration Manager si le point de service hors bande peut se connecter à l'ordinateur AMT. Cette action révoque automatiquement le certificat AMT de l'ordinateur (avec le motif Remplacé) et supprime automatiquement le compte AMT dans les services de domaine Active Directory. Elle supprime également le SPN associé. Pour plus d'informations sur la suppression des informations de configuration, consultez Comment supprimer les informations de configuration des ordinateurs AMT. Cette option est la plus pratique et offre une sécurité supplémentaire car la révocation et la suppression du compte se déroule automatiquement. De plus, si par la suite vous débloquez ce client, vous serez en mesure de le reconfigurer sans avoir à modifier localement la configuration des extensions BIOS. Voici les inconvénients de cette option : Vous devez communiquer avec un ordinateur non approuvé ; vous ne pouvez pas contrôler le motif de la révocation ; et vous ne pouvez pas désactiver le compte même si votre stratégie d'entreprise vous y oblige ou conseille cette option (au lieu de cela, le compte est automatiquement supprimé). Si vous utilisez cette option, vérifiez que le certificat a bien été révoqué et que le compte a été supprimé, et corrigez si nécessaire.
Ne rien faire pour empêcher les communications de gestion hors bande. Cette option est la moins sécurisée car un ordinateur non approuvé possède alors un certificat valide et un compte pouvant se connecter aux services de domaine Active Directory, ce qui entraîne des risques de sécurité d'élévation de privilèges et de divulgation d'informations. Toutefois, le fait de pouvoir gérer l'ordinateur hors bande signifie que vous pouvez prendre des mesures supplémentaires pour le protéger, par exemple acquérir une nouvelle image ou reformater l'ordinateur puis le mettre hors tension. Ces étapes supplémentaires ne seront pas suffisantes pour empêcher une personne malveillante de remettre l'ordinateur sous tension ou de protéger les données dans AMT.
Notes
Pour identifier le certificat AMT, placez-vous sur l'autorité de certification émettrice, localisez sur la ligne Objet le certificat émis vers le serveur de site avec le FQDN de l'ordinateur basé sur AMT. Pour identifier le compte AMT, dans le domaine de l'ordinateur, localisez l'unité d'organisation ou le conteneur spécifié dans l'onglet Général des propriétés du composant Gestion hors bande. Le compte s'affiche en tant qu'Ordinateur avec <nomordinateur> dans le volet des résultats de la console Utilisateurs et ordinateurs Active Directory, bien que les propriétés complètes du compte affichent le nom au format suivant : <nomordinateur>$iME.
Blocage des ordinateurs AMT dans Configuration Manager 2007 SP2
Les ordinateurs bloqués par Configuration Manager 2007 SP2 ne peuvent plus être gérés hors bande. Lorsqu'un ordinateur AMT est bloqué, les actions suivantes sont effectuées automatiquement dans le but de protéger le réseau contre les risques de sécurité d'élévation de privilèges et de divulgation d'informations :
Le serveur de site révoque tous les certificats délivrés à l'ordinateur AMT avec le motif de révocation Remplacé. L'ordinateur AMT peut éventuellement disposer de plusieurs certificats car Configuration Manager 2007 SP2 prend en charge les réseaux câblés authentifiés 802.1X et sans fil prenant en charge les certificats clients.
Le serveur de site supprime le compte AMT dans les services de domaine Active Directory.
Les informations de configuration ne sont pas effacées d'AMT, mais elles ne peuvent plus être gérées hors bande car leur certificat est révoqué et leur compte supprimé. Si vous débloquer ultérieurement le client, vous devez effectuer les actions suivantes avant de pouvoir gérer l'ordinateur hors bande :
Effacez manuellement les informations de configuration des extensions BIOS de l'ordinateur. Il ne vous sera pas possible d'effectuer cette configuration à distance.
Reconfigurez l'ordinateur à l'aide de Configuration Manager.
Si vous envisagez de débloquer le client ultérieurement et que vous pouvez vérifiez une connexion à l'ordinateur AMT avant de bloquer le client, vous pouvez effacer les informations de configuration à l'aide de Configuration Manager puis bloquer le client. Cette séquence d'actions vous évite d'avoir à configurer manuellement les extensions BIOS après le déblocage du client. Cependant, cette option repose sur une connexion réussie à l'ordinateur non approuvé pour achever l'effacement des informations de configuration. Il s'agit d'une opération particulièrement risquée lorsque l'ordinateur AMT est un ordinateur portable car il peut être déconnecté du réseau ou utiliser une connexion sans fil.
Notes
Pour vérifier que l'ordinateur AMT a bien effacé les informations de configuration, confirmez que l'état AMT est passé de Configuré à Non configuré. Si toutefois les informations de configuration n'ont pas été effacées avant que le client ne soit bloqué, l'état AMT sera toujours Configuré mais vous ne serez pas en mesure de gérer l'ordinateur hors bande tant que vous n'aurez pas reconfiguré les extensions BIOS et l'ordinateur pour AMT. Pour plus d'informations sur l'état AMT, consultez À propos de l'état AMT et de la gestion hors bande.
Voir aussi
Tâches
Comment bloquer des clients Configuration Manager
Comment supprimer les informations de configuration des ordinateurs AMT
Concepts
À propos de certificats pour la gestion hors bande
Déterminer si vous devez bloquer les clients Configuration Manager
Présentation de la gestion hors bande
Meilleures pratiques pour la sécurité de la gestion hors bande et informations de confidentialité
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.