Udostępnij za pośrednictwem


Określanie, czy zablokować klientów w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Jeśli komputer kliencki lub klienckie urządzenie przenośne nie jest już zaufane, możesz zablokować klienta w konsoli programu System Center 2012 Configuration Manager. Zablokowani klienci są odrzucane przez infrastrukturę Configuration Manager, dzięki czemu nie mogą komunikować się z systemami lokacji w celu pobierania zasad, przekazywania danych spisu lub wysyłania komunikatów o stanie lub stanie.

Należy zablokować i odblokować klienta z przypisanej lokacji, a nie z lokacji dodatkowej lub centralnej lokacji administracyjnej.

Ważna

Mimo że blokowanie w Configuration Manager może pomóc w zabezpieczeniu Configuration Manager lokacji, nie należy polegać na tej funkcji, aby chronić lokację przed niezaufanymi komputerami lub urządzeniami przenośnymi, jeśli zezwolisz klientom na komunikowanie się z systemami lokacji przy użyciu protokołu HTTP, ponieważ zablokowany klient może ponownie dołączyć do lokacji z nowym certyfikatem z podpisem własnym i identyfikatorem sprzętu. Zamiast tego użyj funkcji blokowania, aby zablokować utracone lub naruszone nośniki rozruchowe używane do wdrażania systemów operacyjnych oraz gdy systemy lokacji akceptują połączenia klienta HTTPS.

Nie można zablokować klientów uzyskujących dostęp do lokacji przy użyciu certyfikatu serwera proxy niezależnego dostawcy oprogramowania. Aby uzyskać więcej informacji na temat certyfikatu serwera proxy niezależnego dostawcy oprogramowania, zobacz zestaw Configuration Manager Software Development Kit (SDK).

Jeśli systemy lokacji akceptują połączenia klienta HTTPS, a infrastruktura kluczy publicznych (PKI) obsługuje listę odwołania certyfikatów (CRL), zawsze należy rozważyć odwołanie certyfikatu jako podstawową linię obrony przed potencjalnie naruszonymi certyfikatami. Blokowanie klientów w Configuration Manager oferuje drugi wiersz obrony w celu ochrony hierarchii.

Zagadnienia dotyczące blokowania klientów

  • Ta opcja jest dostępna dla połączeń klienckich HTTP i HTTPS, ale ma ograniczone zabezpieczenia, gdy klienci łączą się z systemami lokacji przy użyciu protokołu HTTP.

  • Configuration Manager użytkownicy administracyjni mają uprawnienia do blokowania klienta, a akcja jest wykonywana w konsoli Configuration Manager.

  • Komunikacja z klientem jest odrzucana tylko z hierarchii Configuration Manager.

    Uwaga

    Ten sam klient może zarejestrować się w innej hierarchii Configuration Manager.

  • Klient jest natychmiast blokowany w lokacji Configuration Manager.

  • Pomaga chronić systemy lokacji przed potencjalnie zagrożonymi komputerami i urządzeniami przenośnymi.

Zagadnienia dotyczące używania odwołania certyfikatów

  • Ta opcja jest dostępna dla połączeń klienckich https systemu Windows, jeśli infrastruktura kluczy publicznych obsługuje listę odwołania certyfikatów (CRL).

    Klienci komputerów Mac zawsze wykonują sprawdzanie listy CRL i nie można wyłączyć tej funkcji.

    Mimo że klienci urządzeń przenośnych nie używają list odwołania certyfikatów do sprawdzania certyfikatów dla systemów lokacji, ich certyfikaty mogą zostać odwołane i sprawdzone przez Configuration Manager.

  • Administratorzy infrastruktury kluczy publicznych mają uprawnienia do odwoływania certyfikatu, a akcja jest wykonywana poza konsolą Configuration Manager.

  • Komunikację z klientem można odrzucić z dowolnego komputera lub urządzenia przenośnego, które wymaga tego certyfikatu klienta.

  • Prawdopodobnie wystąpi opóźnienie między odwołaniem certyfikatu a pobraniem przez systemy lokacji zmodyfikowanej listy odwołania certyfikatów (CRL).

  • W przypadku wielu wdrożeń infrastruktury kluczy publicznych to opóźnienie może być o jeden dzień lub dłużej. Na przykład w usługach certyfikatów Active Directory domyślny okres wygaśnięcia to jeden tydzień dla pełnej listy CRL i jeden dzień dla listy CRL różnicowej.

  • Pomaga chronić systemy lokacji i klientów przed potencjalnie zagrożonymi komputerami i urządzeniami przenośnymi.

    Uwaga

    Można dodatkowo chronić systemy lokacji z uruchomionymi usługami IIS przed nieznanymi klientami, konfigurując listę zaufania certyfikatów (CTL) w usługach IIS.