Annak meghatározása, hogy blokkolja-e az ügyfeleket a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
Ha egy ügyfélszámítógép vagy ügyfél mobileszköze már nem megbízható, letilthatja az ügyfelet a System Center 2012 Configuration Manager konzolon. A blokkolt ügyfeleket a Configuration Manager infrastruktúra elutasítja, így nem tudnak kommunikálni a helyrendszerekkel a házirend letöltéséhez, a leltáradatok feltöltéséhez, illetve állapot- vagy állapotüzenetek küldéséhez.
Az ügyfelet nem másodlagos helyről vagy központi adminisztrációs helyről, hanem a hozzárendelt helyről kell letiltania és feloldania.
Fontos
Bár a Configuration Manager blokkolása segíthet a Configuration Manager hely védelmében, ne támaszkodjon erre a szolgáltatásra, hogy megvédje a helyet a nem megbízható számítógépektől vagy mobileszközöktől, ha engedélyezi az ügyfelek számára a HTTP-vel való kommunikációt a helyrendszerekkel, mert a blokkolt ügyfél újra csatlakozhat a helyhez egy új önaláírt tanúsítvánnyal és hardverazonosítóval. Ehelyett használja a blokkolási funkciót az operációs rendszerek központi telepítéséhez használt elveszett vagy feltört rendszerindító adathordozók blokkolására, valamint arra az esetre, ha a helyrendszerek HTTPS-ügyfélkapcsolatokat fogadnak el.
Az ISV-proxytanúsítvánnyal a helyet elérő ügyfelek nem tilthatók le. Az ISV-proxytanúsítvánnyal kapcsolatos további információkért lásd: Configuration Manager Software Development Kit (SDK).
Ha a helyrendszerek HTTPS-ügyfélkapcsolatokat fogadnak, és a nyilvános kulcsú infrastruktúra (PKI) támogatja a visszavont tanúsítványok listáját (CRL), mindig a tanúsítvány-visszavonást érdemes elsődleges védelmi vonalnak tekinteni a potenciálisan sérült tanúsítványok ellen. A Configuration Manager-ügyfelek blokkolása egy második védelmi vonalat kínál a hierarchia védelméhez.
Megfontolandó szempontok az ügyfelek blokkolásához
Ez a lehetőség HTTP- és HTTPS-ügyfélkapcsolatokhoz érhető el, de korlátozott biztonságú, ha az ügyfelek HTTP használatával csatlakoznak a helyrendszerekhez.
Configuration Manager rendszergazdai felhasználók blokkolhatják az ügyfelet, és a művelet a Configuration Manager konzolon történik.
Az ügyfélkommunikáció csak a Configuration Manager hierarchiából lesz elutasítva.
Megjegyzés:
Ugyanez az ügyfél regisztrálhat egy másik Configuration Manager-hierarchiával.
Az ügyfél azonnal le van tiltva a Configuration Manager helyről.
Segít megvédeni a helyrendszereket a potenciálisan feltört számítógépektől és mobileszközöktől.
A tanúsítvány-visszavonás használatának szempontjai
Ez a beállítás HTTPS Windows-ügyfélkapcsolatokhoz érhető el, ha a nyilvános kulcsú infrastruktúra támogatja a visszavont tanúsítványok listáját (CRL).
A Mac-ügyfelek mindig crl-ellenőrzést végeznek, és ez a funkció nem tiltható le.
Bár a mobileszköz-ügyfelek nem használnak visszavont tanúsítványok listáját a helyrendszerek tanúsítványainak ellenőrzéséhez, a tanúsítványaikat visszavonhatja és ellenőrizheti a Configuration Manager.
A nyilvános kulcsú infrastruktúra rendszergazdái visszavonhatják a tanúsítványokat, és a műveletet a Configuration Manager konzolon kívül hajtják végre.
Az ügyfél-kommunikáció bármely olyan számítógépről vagy mobileszközről elutasítható, amely ehhez az ügyféltanúsítványhoz szükséges.
Valószínűleg késni fog a tanúsítvány visszavonása és a módosított visszavont tanúsítványok listáját (CRL) letöltő helyrendszerek között.
Sok PKI üzemelő példány esetében ez a késés egy nap vagy több is lehet. Az Active Directory tanúsítványszolgáltatásokban például az alapértelmezett lejárati idő egy hét a teljes CRL-hez, és egy nap a különbözeti CRL-hez.
Segít megvédeni a helyrendszereket és az ügyfeleket a potenciálisan feltört számítógépektől és mobileszközöktől.
Megjegyzés:
Az IIS-t futtató helyrendszereket tovább védheti az ismeretlen ügyfelektől egy tanúsítványmegbízhatósági lista (CTL) konfigurálásával az IIS-ben.