Bepalen of clients in Configuration Manager moeten worden geblokkeerd
Van toepassing op: Configuration Manager (current branch)
Als een clientcomputer of mobiel clientapparaat niet meer wordt vertrouwd, kunt u de client blokkeren in de System Center 2012 Configuration Manager console. Geblokkeerde clients worden geweigerd door de Configuration Manager-infrastructuur, zodat ze niet kunnen communiceren met sitesystemen om beleid te downloaden, inventarisgegevens te uploaden of status- of statusberichten te verzenden.
U moet een client blokkeren en deblokkeren vanaf de toegewezen site in plaats van van een secundaire site of een centrale beheersite.
Belangrijk
Hoewel blokkeren in Configuration Manager kan helpen om de Configuration Manager site te beveiligen, vertrouwt u niet op deze functie om de site te beveiligen tegen niet-vertrouwde computers of mobiele apparaten als u clients toestaat om te communiceren met sitesystemen via HTTP, omdat een geblokkeerde client opnieuw kan deelnemen aan de site met een nieuw zelfondertekend certificaat en hardware-id. Gebruik in plaats daarvan de blokkeringsfunctie om verloren of gecompromitteerde opstartmedia te blokkeren die u gebruikt om besturingssystemen te implementeren en wanneer sitesystemen HTTPS-clientverbindingen accepteren.
Clients die toegang hebben tot de site met behulp van het ISV-proxycertificaat, kunnen niet worden geblokkeerd. Zie de Configuration Manager Software Development Kit (SDK) voor meer informatie over het ISV-proxycertificaat.
Als uw sitesystemen HTTPS-clientverbindingen accepteren en uw openbare-sleutelinfrastructuur (PKI) een certificaatintrekkingslijst (CRL) ondersteunt, beschouwt u certificaatintrekking altijd als de primaire verdedigingslinie tegen mogelijk gecompromitteerde certificaten. Het blokkeren van clients in Configuration Manager biedt een tweede verdedigingslinie om uw hiërarchie te beschermen.
Overwegingen voor het blokkeren van clients
Deze optie is beschikbaar voor HTTP- en HTTPS-clientverbindingen, maar heeft beperkte beveiliging wanneer clients verbinding maken met sitesystemen met behulp van HTTP.
Configuration Manager gebruikers met beheerdersrechten de bevoegdheid hebben om een client te blokkeren en de actie wordt uitgevoerd in de Configuration Manager-console.
Clientcommunicatie wordt alleen geweigerd vanuit de Configuration Manager-hiërarchie.
Opmerking
Dezelfde client kan zich registreren met een andere Configuration Manager hiërarchie.
De client wordt onmiddellijk geblokkeerd voor de Configuration Manager-site.
Helpt sitesystemen te beschermen tegen mogelijk gecompromitteerde computers en mobiele apparaten.
Overwegingen voor het gebruik van certificaatintrekking
Deze optie is beschikbaar voor HTTPS Windows-clientverbindingen als de openbare-sleutelinfrastructuur een certificaatintrekkingslijst (CRL) ondersteunt.
Mac-clients voeren altijd CRL-controle uit en deze functionaliteit kan niet worden uitgeschakeld.
Hoewel clients voor mobiele apparaten geen certificaatintrekkingslijsten gebruiken om de certificaten voor sitesystemen te controleren, kunnen hun certificaten worden ingetrokken en gecontroleerd door Configuration Manager.
Beheerders van openbare sleutelinfrastructuur hebben de bevoegdheid om een certificaat in te trekken en de actie wordt uitgevoerd buiten de Configuration Manager-console.
Clientcommunicatie kan worden geweigerd vanaf elke computer of mobiel apparaat waarvoor dit clientcertificaat is vereist.
Er is waarschijnlijk een vertraging tussen het intrekken van een certificaat en sitesystemen die de gewijzigde certificaatintrekkingslijst (CRL) downloaden.
Voor veel PKI-implementaties kan deze vertraging een dag of langer zijn. In Active Directory Certificate Services is de standaardverloopperiode bijvoorbeeld één week voor een volledige CRL en één dag voor een delta-CRL.
Helpt sitesystemen en clients te beschermen tegen mogelijk gecompromitteerde computers en mobiele apparaten.
Opmerking
U kunt sitesystemen die IIS uitvoeren vanaf onbekende clients verder beveiligen door een certificaatvertrouwenslijst (CTL) in IIS te configureren.