Condividi tramite

Determinare se bloccare i client in Configuration Manager

  • Articolo

Si applica a: Configuration Manager (Current Branch)

Se un computer client o un dispositivo mobile client non è più attendibile, è possibile bloccare il client nella console di System Center 2012 Configuration Manager. I client bloccati vengono rifiutati dall'infrastruttura Configuration Manager in modo che non possano comunicare con i sistemi del sito per scaricare i criteri, caricare i dati di inventario o inviare messaggi di stato o di stato.

È necessario bloccare e sbloccare un client dal sito assegnato anziché da un sito secondario o da un sito di amministrazione centrale.

Importante

Anche se il blocco in Configuration Manager può aiutare a proteggere il sito Configuration Manager, non fare affidamento su questa funzionalità per proteggere il sito da computer non attendibili o dispositivi mobili se si consente ai client di comunicare con i sistemi del sito tramite HTTP, perché un client bloccato potrebbe ricongiungersi al sito con un nuovo certificato autofirmato e un ID hardware. Usare invece la funzionalità di blocco per bloccare i supporti di avvio persi o compromessi usati per distribuire i sistemi operativi e quando i sistemi del sito accettano connessioni client HTTPS.

I client che accedono al sito usando il certificato proxy ISV non possono essere bloccati. Per altre informazioni sul certificato proxy ISV, vedere Configuration Manager Software Development Kit (SDK).

Se i sistemi del sito accettano connessioni client HTTPS e l'infrastruttura a chiave pubblica (PKI) supporta un elenco di revoche di certificati (CRL), considerare sempre la revoca del certificato come la linea di difesa primaria contro i certificati potenzialmente compromessi. Il blocco dei client in Configuration Manager offre una seconda linea di difesa per proteggere la gerarchia.

Considerazioni per il blocco dei client

  • Questa opzione è disponibile per le connessioni client HTTP e HTTPS, ma ha una sicurezza limitata quando i client si connettono ai sistemi del sito tramite HTTP.

  • Configuration Manager gli utenti amministratori hanno l'autorità di bloccare un client e l'azione viene eseguita nella console Configuration Manager.

  • La comunicazione client viene rifiutata solo dalla gerarchia Configuration Manager.

    Nota

    Lo stesso client può eseguire la registrazione con una gerarchia di Configuration Manager diversa.

  • Il client viene immediatamente bloccato dal sito Configuration Manager.

  • Consente di proteggere i sistemi del sito da computer e dispositivi mobili potenzialmente compromessi.

Considerazioni sull'uso della revoca del certificato

  • Questa opzione è disponibile per le connessioni client Windows HTTPS se l'infrastruttura a chiave pubblica supporta un elenco di revoche di certificati .This option is available for HTTPS Windows client connections if the public key infrastructure supports a certificate revocation list (CRL).

    I client Mac eseguono sempre il controllo CRL e questa funzionalità non può essere disabilitata.

    Anche se i client di dispositivi mobili non usano elenchi di revoche di certificati per controllare i certificati per i sistemi del sito, i relativi certificati possono essere revocati e controllati da Configuration Manager.

  • Gli amministratori dell'infrastruttura a chiave pubblica hanno l'autorità di revocare un certificato e l'azione viene eseguita all'esterno della console Configuration Manager.

  • La comunicazione client può essere rifiutata da qualsiasi computer o dispositivo mobile che richiede questo certificato client.

  • È probabile che si verifichi un ritardo tra la revoca di un certificato e i sistemi del sito che scaricano l'elenco di revoche di certificati (CRL) modificato.

  • Per molte distribuzioni PKI, questo ritardo può essere di un giorno o più. Ad esempio, in Servizi certificati Active Directory il periodo di scadenza predefinito è una settimana per un CRL completo e un giorno per un CRL delta.

  • Consente di proteggere i sistemi e i client del sito da computer e dispositivi mobili potenzialmente compromessi.

    Nota

    È possibile proteggere ulteriormente i sistemi del sito che eseguono IIS da client sconosciuti configurando un elenco di attendibilità dei certificati (CTL) in IIS.