Ügyfélszoftverek letiltásának meghatározása a Configuration Managerben
Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Ha egy ügyfélszámítógép vagy mobileszköz típusú ügyfél már nem megbízható, blokkolhatja az ügyfelet a System Center 2012 Configuration Manager konzolon. A blokkolt ügyfeleket a Configuration Manager-infrastruktúra visszautasítja, így azok nem kommunikálhatnak a helyrendszerekkel, így nem tölthetnek le házirendeket, nem tölthetnek fel leltáradatokat, és nem küldhetnek állapotinformációkat vagy -üzeneteket.
A Configuration Manager SP1 verziója, a Mac ügyfelek, a Linux és UNIX ügyfelek és a Microsoft Intune által beléptetett mobileszközök támogatják a blokkolást és annak feloldását.
Az ügyfelet a hozzárendelt helyéről kell blokkolnia és feloldania, nem egy másodlagos helyről vagy a központi felügyeleti helyről.
.jpeg "System_CAPS_important") Fontos! |
|---|
Bár a Configuration Manager alkalmazásban elvégzett blokkolás biztonságosabbá teszi a Configuration Manager-helyet, ne bízza erre a szolgáltatásra a hely védelmét a nem megbízható számítógépekkel vagy mobileszközökkel szemben, ha megengedi az ügyfeleknek, hogy HTTP használatával kommunikáljanak a helyrendszerekkel, mert a blokkolt ügyfelek egy új önaláírt tanúsítvánnyal és új hardverazonosítóval újracsatlakozhatnak a helyhez. Inkább használja a blokkolás funkciót az operációs rendszerek telepítésére használt elveszett vagy sérült biztonságú rendszerindító adathordozók letiltására, ha az összes helyrendszer fogadja a HTTPS-ügyfélkapcsolatokat. |
A helyet ISV-proxy tanúsítvány használatával elérő ügyfeleket nem lehet blokkolni. Az ISV-proxytanúsítványokkal kapcsolatban lásd a Microsoft System Center 2012 Configuration Manager szoftverfejlesztői készletét (SDK).
Ha a helyrendszerek elfogadják a HTTPS-ügyfélkapcsolatokat, és a használt nyilvános kulcsú infrastruktúra (PKI) támogatja a visszavont tanúsítványok listáját (CRL), érdemes a tanúsítványok visszavonását használnia elsődleges védelmi vonalként a potenciálisan veszélyeztetett tanúsítványokkal szemben. Az ügyfelek blokkolása másodlagos védelmi vonalként szolgálhat a Configuration Manager-hierarchia védelmére.
A következő részekben leírtak segítségével különböztetheti meg az ügyfelek blokkolását és a visszavont tanúsítványok listájának használatát, valamint az AMT alapú számítógépek blokkolásának vonzatait:
Az ügyfelek blokkolásának és az ügyféltanúsítványok visszavonásának összehasonlítása
AMT alapú számítógépek blokkolása
Az ügyfelek blokkolásának és az ügyféltanúsítványok visszavonásának összehasonlítása
Az alábbi táblázat segítségével különböztetheti meg az ügyfelek blokkolását és a tanúsítványok visszavonását egy PKI-val támogatott környezetben.
Ügyfél blokkolása |
Tanúsítvány visszavonása |
||
|---|---|---|---|
A beállítás HTTP és HTTPS ügyfélkapcsolatok esetén is használható, de korlátozott biztonságot nyújt, ha az ügyfelek HTTP használatával csatlakoznak a helyrendszerekhez. |
A beállításHTTPS Windows ügyfélkapcsolatok esetén használható, ha a nyilvános kulcsú infrastruktúra támogatja a visszavont tanúsítványok listáját (CRL). A Configuration Manager SP1 rendszerben a Mac ügyfelek mindig elvégzik a CRL ellenőrzését, és ezt a funkciót nem lehet letiltani. Bár a mobileszközök nem használják a visszavont tanúsítványok listáját a helyrendszerek tanúsítványainak ellenőrzésére, a Configuration Manager alkalmazással vissza lehet vonni és ellenőrizni lehet a tanúsítványaikat. |
||
A Configuration Manager rendszergazda felhasználói jogosultak egy ügyfél blokkolására, a műveletet a Configuration Manager konzolán kell elvégezni. |
A nyilvános kulcsú infrastruktúra rendszergazdái jogosultak egy tanúsítvány visszavonására, a műveletet pedig nem a Configuration Manager konzolon kell elvégezni. |
||
Az ügyfél kommunikációját csak a Configuration Manager hierarchia fogja elutasítani.
|
Az ügyfél kommunikációját el lehet utasítani minden olyan számítógépről vagy mobileszközről, mely igényli ezt az ügyféltanúsítványt. |
||
Az ügyfél azonnal blokkolva lett a Configuration Manager helyről. |
Valószínűleg késleltetés lesz a tanúsítvány visszavonása és a helyrendszerek által a visszavont tanúsítványok módosított listájának (CRL) letöltése között. Sok PKI-telepítésnél ez a késleltetés akár egy napnál is hosszabb idő lehet. Az Active Directory tanúsítványszolgáltatásánál például az alapértelmezett lejárati időtartam egy hét a teljes CRL-re, és egy nap a változás CRL-re. |
||
Segít megvédeni a helyrendszereket a potenciálisan veszélyeztető számítógépektől és mobileszközöktől. |
Segít megvédeni a helyrendszereket és ügyfeleket a potenciálisan veszélyeztető számítógépektől és mobileszközöktől.
|
AMT alapú számítógépek blokkolása
Miután blokkolt egy System Center 2012 Configuration Manager által ellátott Intel AMT alapú számítógépet, nem fogja tudni tovább felügyelni a sávon kívül. Amikor blokkolnak egy AMT alapú számítógépet, a következő műveletek történnek meg automatikusan, hogy megvédjék a hálózatot a jogosultsági szint megemelkedésétől és az információk felfedésétől:
A helykiszolgáló visszavonja az AMT alapú számítógépnek kiadott összes tanúsítványt Cease of Operation visszavonási indokkal. Az AMT alapú számítógépnek több tanúsítványa is lehet, ha ügyféltanúsítványokat támogató 802.1X-hitelesítésű vezetékes vagy vezeték nélküli hálózatokhoz van konfigurálva.
A helykiszolgáló törli az AMT-fiókot az Active Directory tartományi szolgáltatásokban.
Az AMT jogosultságkiosztási információt nem távolítja el a számítógépről, de a számítógépet nem lehet felügyelni a sávon kívül, mert a kiszolgáló visszavonta a tanúsítványát és törölte a fiókját. Ha később feloldja az ügyfél blokkolását, a következő műveleteket kell végrehajtania, hogy felügyelhesse a számítógépet a sávon kívül:
Manuálisan távolítsa el a jogosultságkiosztási információkat a számítógép BIOS-bővítményeiből. Ezt a konfigurálást nem tudja távolról elgévezni.
Ossza ki újra a jogosultságot a Configuration Manager alkalmazással.
Ha úgy gondolja, hogy később feloldhatja az ügyfél blokkolását, és az ügyfél blokkolása előtt ellenőrizni tudja a kapcsolatot az AMT alapú számítógéphez, akkor eltávolíthatja az AMT jogosultságkiosztási információt a Configuration Manager alkalmazással, majd blokkolhatja az ügyfelet. Ezzel a műveletsorozattal elkerülheti, hogy az ügyfél blokkolásának feloldása után manuálisan kelljen konfigurálnia a BIOS-bővítményeket. Ez a lehetőség azonban a nem megbízható számítógéppel létesített sikeres csatlakozáson alapul, hogy be tudja fejezni a jogoslutságkiosztási információk eltávolítását. Ez különösen akkor kockázatos, ha az AMT alapú számítógép egy laptop, mely bármikor lecsatlakozhat a hálózatról vagy vezeték nélküli csatlakozást használ.
.jpeg "System_CAPS_note") Megjegyzés |
|---|
Annak ellenőrzésére, hogy sikeresen eltávolította-e az AMT alapú számítógépről a jogosultságkiosztási információkat, győződjön meg az AMT-állapot megváltozásáról Kiépítve állapotról Nincs kiépítve állapotra. Ha azonban nem távolította el a jogosultságkiosztási információkat az ügyfél blokkolása előtt, akkor az AMT-állapot Kiépítve értéken marad, de nem fogja tudni felügyelni a számítógépet a sávon kívül, míg újra nem konfigurálja a BIOS-bővítményeket, és újra ki nem osztja a jogosultságot a számítógépnek az AMT-hez. További információ az AMT-állapotról: Az AMT állapotáról, és a sávon kívüli felügyelet a Configuration Manager ki. |