Déterminer si vous devez bloquer des clients dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Si un ordinateur client ou un appareil mobile client n'est plus approuvé, vous pouvez bloquer le client depuis la console System Center 2012 Configuration Manager. Les clients bloqués sont rejetés par l'infrastructure Configuration Manager, de sorte qu'ils ne peuvent pas communiquer avec les systèmes de site pour télécharger la stratégie, charger des données d'inventaire ou envoyer des messages d'état.
Dans Configuration Manager SP1, les clients Mac, Linux et UNIX, ainsi que les appareils mobiles inscrits par le biais de Microsoft Intune prennent en charge le blocage et le déblocage.
Vous devez bloquer et débloquer les clients depuis leur site attribué plutôt que depuis un site secondaire ou un site d'administration centrale.
Important
Bien que le blocage de Configuration Manager permette de sécuriser le site Configuration Manager, ne vous fiez pas à cette fonctionnalité pour protéger le site contre les ordinateurs ou les appareils mobiles non approuvés si vous autorisez les clients à communiquer avec les systèmes du site à l'aide de HTTP, car un client bloqué peut de nouveau joindre le site avec un nouveau certificat auto-signé et un nouvel ID matériel. À la place, utilisez la fonctionnalité de blocage pour bloquer les supports de démarrage perdus ou non fiables, que vous utilisez pour déployer les systèmes d'exploitation, et lorsque les systèmes de site acceptent les connexions client HTTPS.
Les clients accédant au site à l'aide du certificat proxy ISV ne peuvent pas être bloqués. Pour plus d'informations sur le certificat proxy ISV, consultez le kit de développement logiciel (SDK) de Microsoft System Center 2012 Configuration Manager.
Si vos systèmes de site acceptent les connexions client HTTPS et que votre infrastructure de clé publique (PKI) prend en charge une liste de révocation de certificats, envisagez toujours de définir la révocation de certificat comme première ligne de défense contre les certificats potentiellement compromis. Le blocage des clients dans Configuration Manager offre une seconde ligne de défense pour protéger votre hiérarchie.
Utilisez les sections suivantes pour comprendre la différence entre le blocage de clients et l'utilisation d'une liste de révocation de certificats et ce qu'implique le blocage d'ordinateurs basés sur AMT :
Comparaison entre le blocage de clients et la révocation de certificat client
Blocage des ordinateurs basés sur AMT
Comparaison entre le blocage de clients et la révocation de certificat client
Utilisez le tableau suivant pour comprendre la différence entre le blocage d'un client et l'utilisation de la révocation de certificat dans un environnement PKI.
Blocage de clients |
Utilisation de la révocation de certificat |
---|---|
L'option est disponible pour les connexions client HTTP et HTTPS mais sa sécurité est limitée lorsque les clients se connectent à des systèmes de site via HTTP. |
Cette option est disponible pour les connexions HTTPS des clients Windows si l'infrastructure de clé publique prend en charge une liste de révocation de certificats (CRL). Dans Configuration Manager SP1, les clients Mac contrôlent systématiquement la liste de révocation de certificats et cette fonctionnalité ne peut pas être désactivée. Même si les clients d'appareils mobiles n'utilisent pas de listes de révocation de certificats pour vérifier les certificats des systèmes de site, leurs certificats peuvent être révoqués et vérifiés par Configuration Manager. |
Les utilisateurs administratifs Configuration Manager disposent de l'autorité nécessaire pour bloquer un client et cette action est effectuée depuis la console Configuration Manager. |
Les administrateurs de l'infrastructure de clé publique disposent l'autorité nécessaire pour révoquer un certificat et cette action est effectuée en dehors de la console Configuration Manager. |
Les communications client sont rejetées uniquement à partir de la hiérarchie Configuration Manager. Notes Ce même client peut s'inscrire auprès d'une autre hiérarchie Configuration Manager. |
Les communications client peuvent être rejetées à partir de tout ordinateur ou appareil mobile nécessitant ce certificat de client. |
Le client est immédiatement bloqué du site Configuration Manager. |
Il y aura probablement un délai entre la révocation d'un certificat et le téléchargement par les systèmes de site de la liste de révocation de certificats (CRL) modifiée. Pour de nombreux déploiements PKI, ce délai peut être d'un ou de plusieurs jours. Par exemple, dans les services de certificats Active Directory, la période d'expiration par défaut est d'une semaine pour une liste de révocation de certificats complète et d'un jour pour une liste de révocation de certificats delta. |
Permet de protéger les systèmes de site des ordinateurs et des appareils mobiles potentiellement compromis. |
Permet de protéger les systèmes de site et les clients contre des ordinateurs et des appareils mobiles potentiellement compromis. Notes Il est possible d'améliorer la protection des systèmes de site qui exécutent IIS contre des clients inconnus en configurant une liste de certificats de confiance (CTL) dans IIS. |
Blocage des ordinateurs basés sur AMT
Après avoir bloqué un ordinateur basé sur AMT Intel préparé par System Center 2012 Configuration Manager, vous ne pourrez plus le gérer hors bande. Lorsqu'un ordinateur AMT est bloqué, les actions suivantes sont effectuées automatiquement dans le but de protéger le réseau contre les risques de sécurité d'élévation de privilèges et de divulgation d'informations :
Le serveur de site révoque tous les certificats délivrés à l'ordinateur basé sur AMT avec le motif de révocation suivant : Cease of Operation. Un ordinateur basé sur AMT peut éventuellement disposer de plusieurs certificats s'il est configuré pour les réseaux sans fil ou filaires authentifiés 802.1X qui prennent en charge les certificats clients.
Le serveur de site supprime le compte AMT dans les services de domaine Active Directory.
Les informations de préparation AMT ne sont pas supprimées de l'ordinateur, mais l'ordinateur ne peut plus être géré hors bande car son certificat est révoqué et son compte est supprimé. Si vous débloquer ultérieurement le client, vous devez effectuer les actions suivantes avant de pouvoir gérer l'ordinateur hors bande :
Effacez manuellement les informations de configuration des extensions BIOS de l'ordinateur. Il ne vous sera pas possible d'effectuer cette configuration à distance.
Reconfigurez l'ordinateur à l'aide de Configuration Manager.
Si vous envisagez de débloquer le client ultérieurement et que vous pouvez vérifier une connexion à l'ordinateur basé sur AMT avant de bloquer le client, vous pouvez effacer les informations de préparation AMT à l'aide de Configuration Manager et bloquer ensuite le client. Cette séquence d'actions vous évite d'avoir à configurer manuellement les extensions BIOS après le déblocage du client. Cependant, cette option repose sur une connexion réussie à l'ordinateur non approuvé pour achever l'effacement des informations de configuration. Il s'agit d'une opération particulièrement risquée lorsque l'ordinateur AMT est un ordinateur portable car il peut être déconnecté du réseau ou utiliser une connexion sans fil.
Notes
Pour vérifier que l'ordinateur AMT a bien effacé les informations de configuration, confirmez que l'état AMT est passé de Configuré à Non configuré. Si toutefois les informations de configuration n'ont pas été effacées avant que le client ne soit bloqué, l'état AMT sera toujours Configuré mais vous ne serez pas en mesure de gérer l'ordinateur hors bande tant que vous n'aurez pas reconfiguré les extensions BIOS et l'ordinateur pour AMT. Pour plus d'informations sur l'état AMT, voir À propos de l'état AMT et de la gestion hors bande dans Configuration Manager.