Configuration Manager에서 클라이언트 차단 여부 결정
적용 대상: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
클라이언트 컴퓨터 또는 클라이언트 모바일 장치를 더 이상 신뢰할 수 없는 경우 System Center 2012 Configuration Manager 콘솔에서 클라이언트를 차단할 수 있습니다. 차단된 클라이언트는 Configuration Manager 인프라에서 거부되므로 사이트 시스템과 통신하여 정책을 다운로드하거나, 인벤토리 데이터를 업로드하거나, 상태 또는 상태 메시지를 보낼 수 없습니다.
Configuration Manager SP1에서는 Microsoft Intune에서 등록된 Mac 클라이언트, Linux 및 UNIX 클라이언트, 모바일 장치에 대해 차단과 차단 해제가 지원됩니다.
보조 사이트 또는 중앙 관리 사이트가 아닌 할당된 사이트에서 클라이언트를 차단 및 차단 해제해야 합니다.
중요 |
---|
Configuration Manager에서 클라이언트를 차단하면 Configuration Manager 사이트를 보호하는 데 도움이 되지만, 클라이언트가 HTTP를 사용하여 사이트 시스템과 통신하도록 허용하는 경우 차단된 클라이언트가 새 자체 서명된 인증서와 하드웨어 ID를 사용하여 사이트에 다시 연결할 수 있기 때문에 신뢰할 수 없는 컴퓨터 또는 모바일 장치로부터 사이트를 보호하는 데 이 기능에 의존해서는 안 됩니다. 차단 기능은 사이트 시스템이 HTTPS 클라이언트 연결을 수락하며 운영 체제 배포에 사용하는 부팅 미디어가 손실되거나 손상된 경우 해당 부팅 미디어를 차단하는 데 사용하세요. |
ISV 프록시 인증서를 사용하여 사이트에 액세스하는 클라이언트는 차단할 수 없습니다. ISV 프록시 인증서에 대한 자세한 내용은 Microsoft System Center 2012 Configuration Manager SDK(소프트웨어 개발 키트)를 참조하세요.
사이트 시스템이 HTTPS 클라이언트 연결을 수락하고 PKI(공개 키 인프라)가 CRL(인증서 해지 목록)을 지원하는 경우 항상 잠재적으로 손상된 인증서에 대한 일차적인 방어 수단으로 인증서 해지를 고려해야 합니다.Configuration Manager에서 클라이언트를 차단하는 것은 계층을 보호하기 위한 이차적인 방어 수단이 됩니다.
다음 섹션에서는 클라이언트 차단과 인증서 해지 목록 사용 간의 차이점과 AMT 기반 컴퓨터 차단으로 인한 결과에 대해 설명합니다.
클라이언트 차단과 클라이언트 인증서 해지 비교
AMT 기반 컴퓨터 차단
클라이언트 차단과 클라이언트 인증서 해지 비교
다음 표에서는 PKI 지원 환경에서 클라이언트 차단과 인증서 해지 사용 간의 차이점을 보여 줍니다.
클라이언트 차단 |
인증서 해지 사용 |
---|---|
이 옵션은 HTTP 및 HTTPS 클라이언트 연결에 사용할 수 있지만 클라이언트가 HTTP를 사용하여 사이트 시스템에 연결하는 경우 보안이 제한적입니다. |
이 옵션은 공개 키 인프라가 CRL(인증서 해지 목록)을 지원하는 경우 HTTPS Windows 클라이언트 연결에 사용할 수 있습니다. Configuration Manager SP1에서는 Mac 클라이언트가 항상 CRL 확인을 수행하기 때문에 이 기능을 사용하지 않도록 설정할 수 없습니다. 모바일 장치 클라이언트는 인증서 해지 목록을 사용하여 사이트 시스템의 인증서를 확인하지 않지만, Configuration Manager에서 해당 인증서를 해지하고 확인할 수 있습니다. |
Configuration Manager 관리자는 클라이언트를 차단할 수 있는 권한이 있으며, 이 작업은 Configuration Manager 콘솔에서 수행됩니다. |
공개 키 인프라 관리자는 인증서를 해지할 수 있는 권한이 있으며, 이 작업은 Configuration Manager 콘솔 외부에서 수행됩니다. |
클라이언트 통신은 Configuration Manager 계층에서만 거부됩니다. 참고 동일한 클라이언트가 다른 Configuration Manager 계층��서 등록될 수 있습니다. |
클라이언트 인증서가 필요한 컴퓨터 또는 모바일 장치에서 클라이언트 통신이 거부될 수 있습니다. |
클라이언트가 Configuration Manager 사이트에서 즉시 차단됩니다. |
인증서 해지와 사이트 시스템이 수정된 CRL(인증서 해지 목록)을 다운로드하는 것 사이에 지연이 발생할 수 있습니다. 대다수 PKI 배포에서는 이 지연 시간이 하루 이상일 수 있습니다. 예를 들어 Active Directory 인증서 서비스에서 기본 만료 기간은 전체 CRL의 경우 1주일, 델타 CRL의 경우 1일입니다. |
사이트 시스템을 잠재적으로 손상된 컴퓨터와 모바일 장치로부터 보호하는 데 도움이 됩니다. |
사이트 시스템과 클라이언트를 잠재적으로 손상된 컴퓨터와 모바일 장치로부터 보호하는 데 도움이 됩니다. 참고 또한 IIS에서 CTL(인증서 신뢰 목록)을 구성하여 IIS를 실행하는 사이트 시스템을 알 수 없는 클라이언트로부터 보호할 수 있습니다. |
AMT 기반 컴퓨터 차단
System Center 2012 Configuration Manager에서 프로비전된 AMT 기반 컴퓨터를 차단한 후에는 더 이상 해당 컴퓨터를 대역 외에서 관리할 수 없습니다. AMT 기반 컴퓨터가 차단되면 권한 상승 및 정보 공개의 보안 위험으로부터 네트워크를 보호하도록 다음 작업이 자동으로 이루어집니다.
사이트 서버가 Cease of Operation 사유로 AMT 기반 컴퓨터에 발급된 모든 인증서를 해지합니다. AMT 기반 컴퓨터는 클라이언트 인증서를 지원하는 802.1x 인증 유/무선 네트워크로 구성된 경우 여러 인증서를 가질 수 있습니다.
이 사이트 서버가 Active Directory 도메인 서비스에서 AMT 계정을 삭제합니다.
AMT 프로비전 정보는 컴퓨터에서 제거되지 않지만 컴퓨터의 인증서가 해지되고 계정이 삭제되므로 더 이상 대역 외에서 컴퓨터를 관리할 수 없습니다. 나중에 클라이언트의 차단을 해제하는 경우 다음 작업을 수행해야 대역 외에서 컴퓨터를 관리할 수 있습니다.
컴퓨터의 BIOS 확장에서 프로비전 정보를 제거할 수 없습니다. 이 구성은 원격으로 수행할 수 없습니다.
Configuration Manager로 컴퓨터를 다시 프로비전합니다.
나중에 클라이언트의 차단을 해제할 수 있다고 생각하는 경우, 클라이언트를 차단하기 전에 AMT 기반 컴퓨터에 대한 연결을 확인할 수 있으면 Configuration Manager에서 AMT 프로비전 정보를 제거한 후에 클라이언트를 차단할 수 있습니다. 이 순서로 작업을 수행하면 클라이언트의 차단을 해제한 후에 BIOS 확장을 수동으로 구성하는 수고를 덜 수 있습니다. 그러나 이 옵션은 프로비전 정보의 제거를 완료하기 위해 신뢰할 수 없는 컴퓨터에 연결해야 합니다. 이는 AMT 기반 컴퓨터가 랩톱이고 네트워크에서 연결이 해제되거나 무선 연결 상태에 있는 경우 특히 위험합니다.
참고
AMT 기반 컴퓨터에서 프로비전 정보가 성공적으로 제거되었는지 확인하려면 AMT 상태가 프로비전됨에서 프로비전 안 됨으로 변경되었는지 확인합니다. 그러나 클라이언트 차단 전에 프로비전 정보가 제거되지 않은 경우에는 BIOS 확장을 다시 구성하고 AMT용으로 컴퓨터를 다시 프로비전할 때까지 AMT 상태가 프로비전됨으로 유지되지만 대역 외에서 컴퓨터를 관리할 수 없습니다. AMT 상태에 대한 자세한 내용은 AMT 상태 및 Out of Configuration Manager에서 대역외 관리에 대 한 섹션을 참조하세요.