Określanie, czy zablokować klientów w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Jeśli komputer kliencki lub klienckie urządzenie przenośne nie jest już zaufane, możesz zablokować klienta w konsoli programu System Center 2012 Configuration Manager. Zablokowani klienci są odrzucane przez infrastrukturę Configuration Manager, dzięki czemu nie mogą komunikować się z systemami lokacji w celu pobierania zasad, przekazywania danych spisu lub wysyłania komunikatów o stanie lub stanie.
Należy zablokować i odblokować klienta z przypisanej lokacji, a nie z lokacji dodatkowej lub centralnej lokacji administracyjnej.
Ważna
Mimo że blokowanie w Configuration Manager może pomóc w zabezpieczeniu Configuration Manager lokacji, nie należy polegać na tej funkcji, aby chronić lokację przed niezaufanymi komputerami lub urządzeniami przenośnymi, jeśli zezwolisz klientom na komunikowanie się z systemami lokacji przy użyciu protokołu HTTP, ponieważ zablokowany klient może ponownie dołączyć do lokacji z nowym certyfikatem z podpisem własnym i identyfikatorem sprzętu. Zamiast tego użyj funkcji blokowania, aby zablokować utracone lub naruszone nośniki rozruchowe używane do wdrażania systemów operacyjnych oraz gdy systemy lokacji akceptują połączenia klienta HTTPS.
Nie można zablokować klientów uzyskujących dostęp do lokacji przy użyciu certyfikatu serwera proxy niezależnego dostawcy oprogramowania. Aby uzyskać więcej informacji na temat certyfikatu serwera proxy niezależnego dostawcy oprogramowania, zobacz zestaw Configuration Manager Software Development Kit (SDK).
Jeśli systemy lokacji akceptują połączenia klienta HTTPS, a infrastruktura kluczy publicznych (PKI) obsługuje listę odwołania certyfikatów (CRL), zawsze należy rozważyć odwołanie certyfikatu jako podstawową linię obrony przed potencjalnie naruszonymi certyfikatami. Blokowanie klientów w Configuration Manager oferuje drugi wiersz obrony w celu ochrony hierarchii.
Zagadnienia dotyczące blokowania klientów
Ta opcja jest dostępna dla połączeń klienckich HTTP i HTTPS, ale ma ograniczone zabezpieczenia, gdy klienci łączą się z systemami lokacji przy użyciu protokołu HTTP.
Configuration Manager użytkownicy administracyjni mają uprawnienia do blokowania klienta, a akcja jest wykonywana w konsoli Configuration Manager.
Komunikacja z klientem jest odrzucana tylko z hierarchii Configuration Manager.
Uwaga
Ten sam klient może zarejestrować się w innej hierarchii Configuration Manager.
Klient jest natychmiast blokowany w lokacji Configuration Manager.
Pomaga chronić systemy lokacji przed potencjalnie zagrożonymi komputerami i urządzeniami przenośnymi.
Zagadnienia dotyczące używania odwołania certyfikatów
Ta opcja jest dostępna dla połączeń klienckich https systemu Windows, jeśli infrastruktura kluczy publicznych obsługuje listę odwołania certyfikatów (CRL).
Klienci komputerów Mac zawsze wykonują sprawdzanie listy CRL i nie można wyłączyć tej funkcji.
Mimo że klienci urządzeń przenośnych nie używają list odwołania certyfikatów do sprawdzania certyfikatów dla systemów lokacji, ich certyfikaty mogą zostać odwołane i sprawdzone przez Configuration Manager.
Administratorzy infrastruktury kluczy publicznych mają uprawnienia do odwoływania certyfikatu, a akcja jest wykonywana poza konsolą Configuration Manager.
Komunikację z klientem można odrzucić z dowolnego komputera lub urządzenia przenośnego, które wymaga tego certyfikatu klienta.
Prawdopodobnie wystąpi opóźnienie między odwołaniem certyfikatu a pobraniem przez systemy lokacji zmodyfikowanej listy odwołania certyfikatów (CRL).
W przypadku wielu wdrożeń infrastruktury kluczy publicznych to opóźnienie może być o jeden dzień lub dłużej. Na przykład w usługach certyfikatów Active Directory domyślny okres wygaśnięcia to jeden tydzień dla pełnej listy CRL i jeden dzień dla listy CRL różnicowej.
Pomaga chronić systemy lokacji i klientów przed potencjalnie zagrożonymi komputerami i urządzeniami przenośnymi.
Uwaga
Można dodatkowo chronić systemy lokacji z uruchomionymi usługami IIS przed nieznanymi klientami, konfigurując listę zaufania certyfikatów (CTL) w usługach IIS.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla