Określanie blokowania klientów w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Jeżeli komputer kliencki lub klienckie urządzenie przenośne nie jest już zaufane, można zablokować klienta w konsoli programu System Center 2012 Configuration Manager. Zablokowani klienci są odrzucani przez infrastrukturę programu Menedżer konfiguracji, aby nie mogli komunikować się z systemami lokacji w celu pobierania zasad oraz wysyłania danych zapasów lub komunikatów o stanie.
W programie Menedżer konfiguracji z dodatkiem SP1 klienci na komputery Mac, Linux i UNIX i urządzenia przenośne zarejestrowane przez usługę Microsoft Intune obsługują blokowanie i odblokowywanie.
Klienta należy blokować i odblokowywać z przypisanej do niego lokacji, a nie z lokacji dodatkowej lub centralnej lokacji administracyjnej.
.jpeg "System_CAPS_important"){kind=icon} Ważne |
|---|
Mimo że blokowanie w programie Menedżer konfiguracji może ułatwić zabezpieczenie lokacji programu Menedżer konfiguracji, nie należy polegać na tej funkcji jako na sposobie ochrony lokacji przed niezaufanymi komputerami lub urządzeniami przenośnymi w przypadku zezwalania klientom na komunikację z systemami lokacji za pomocą protokołu HTTP, ponieważ zablokowany klient może ponownie połączyć się z lokacją, korzystając z nowego certyfikatu z podpisem własnym i identyfikatora sprzętu. Zamiast tego należy użyć funkcji blokowania w celu zablokowania utraconych nośników rozruchowych lub takich, w przypadku których doszło do naruszenia bezpieczeństwa, używanych do wdrożenia systemów operacyjnych, jeżeli systemy lokacji akceptują połączenia klienckie HTTPS. |
Klientów, którzy uzyskują dostęp do lokacji, używając certyfikatu proxy niezależnego dostawcy oprogramowania nie można zablokować. Więcej informacji o certyfikacie proxy niezależnego dostawcy oprogramowania znajduje się w zestawie SDK (Software Development Kit) programu Microsoft System Center 2012 Configuration Manager.
Jeżeli używane systemy lokacji akceptują połączenia klienckie HTTPS, a infrastruktura kluczy publicznych (PKI) obsługuje listę odwołania certyfikatów (CRL), odwołanie certyfikatów powinno być zawsze główną linią obrony przed certyfikatami, które mogą mieć złamane zabezpieczenia. Blokowanie klientów w programie Menedżer konfiguracji stanowi drugą linię obrony w celu ochrony hierarchii.
Informacje w poniższych sekcjach ułatwiają odróżnienie blokowania klientów i korzystania z listy odwołania certyfikatów od konsekwencji zablokowania komputerów opartych na technologii AMT:
Porównanie blokowania klientów i odwołania certyfikatów klientów
Blokowanie komputerów opartych na technologii AMT
Porównanie blokowania klientów i odwołania certyfikatów klientów
Informacje w poniższej tabeli ułatwiają odróżnienie blokowania klienta od użycia odwołania certyfikatów w środowisku z obsługą infrastruktury PKI.
Blokowanie klienta |
Użycie odwołania certyfikatów |
|---|---|
Ta opcja jest dostępna tylko dla połączeń klienckich HTTP i HTTPS, ale zapewnia ograniczone bezpieczeństwo, gdy klienci łączą się z systemem lokacji za pomocą protokołu HTTP. |
Ta opcja jest dostępna dla połączeń klienckich HTTPS w systemie Windows, jeżeli infrastruktura klucza publicznego obsługuje listę odwołania certyfikatów (CRL). W programie Menedżer konfiguracji z dodatkiem SP1 klienci na komputery Mac zawsze wykonują sprawdzanie listy CRL i nie można wyłączyć tej funkcji. Mimo że klienci urządzeń przenośnych nie używają list odwołania certyfikatów do sprawdzania certyfikatów systemów lokacji, ich certyfikaty mogą zostać odwołane i sprawdzone przez program Menedżer konfiguracji. |
Użytkownicy administracyjni programu Menedżer konfiguracji mają uprawnienia do blokowania klienta, a czynność tę wykonują z konsoli programu Menedżer konfiguracji. |
Administratorzy infrastruktury klucza publicznego mają uprawnienia do odwołania certyfikatu, a czynność tę wykonują spoza konsoli programu Menedżer konfiguracji. |
Komunikacja z klientem jest odrzucana tylko z tylko z hierarchii programu Menedżer konfiguracji. Uwaga Ten sam klient może się zarejestrować w innej hierarchii programu Menedżer konfiguracji. |
Komunikację z klientem można odrzucić z dowolnego komputera lub urządzenia przenośnego, które wymaga tego certyfikatu klienta. |
Dostęp klienta do lokacji programu Menedżer konfiguracji jest natychmiast blokowany. |
Istnieje prawdopodobieństwo wystąpienia opóźnienia między odwołaniem certyfikatu a pobraniem przez systemy lokacji zmodyfikowanej listy odwołania certyfikatów (CRL). W przypadku wielu wdrożeń infrastruktury PKI to opóźnienie może wynosić jeden dzień lub dłużej. Przykładowo w Usługach certyfikatów w usłudze Active Directory domyślny okres wygaśnięcia wynosi tydzień w przypadku pełnej listy CRL i jeden dzień w przypadku różnicowej listy CRL. |
Ułatwia zabezpieczenie systemów lokacji przed komputerami i urządzeniami przenośnymi, które mogą mieć złamane zabezpieczenia. |
Ułatwia zabezpieczenie systemów lokacji i klientów przed komputerami i urządzeniami przenośnymi, które mogą mieć złamane zabezpieczenia. Uwaga Systemy lokacji z uruchomionymi usługami IIS można dodatkowo zabezpieczyć przed nieznanymi klientami, konfigurując listę zaufania certyfikatów (CTL) w usługach IIS. |
Blokowanie komputerów opartych na technologii AMT
Po zablokowaniu komputera opartego na technologii AMT firmy Intel udostępnianego przez program System Center 2012 Configuration Manager nie będzie można zarządzać nim poza pasmem. Gdy komputer oparty na technologii AMT zostanie zablokowany, automatycznie wykonywane są następujące akcje ułatwiające zabezpieczenie sieci przed ryzykiem podniesienia uprawnień i ujawnienia informacji:
Serwer lokacji odwołuje wszystkie certyfikaty wydane dla komputera opartego na technologii AMT, wyświetlając komunikat Cease of Operation jako przyczynę odwołania. Komputer oparty na technologii AMT może mieć kilka certyfikatów, jeżeli jest skonfigurowany do pracy w uwierzytelnianych sieciach przewodowych i bezprzewodowych 802.1X, które obsługują certyfikaty klientów.
Serwer lokacji usuwa konto AMT w usług domenowych w usłudze Active Directory.
Informacje o udostępnianiu AMT nie są usuwane z komputera, ale nie można już nim zarządzać poza pasmem, ponieważ jego certyfikat jest odwołany, a jego konto usunięte. Jeżeli klient zostanie później odblokowany, należy wykonać następujące działania, aby umożliwić zarządzanie komputerem poza pasmem:
Usuń ręcznie informacje o udostępnianiu z rozszerzeń systemu BIOS komputera. Nie będzie można wykonać tej konfiguracji zdalnie.
Udostępnij ponownie komputer za pomocą programu Menedżer konfiguracji.
Jeżeli klient ma zostać odblokowany później i można sprawdzić połączenie z komputerem opartym na technologii AMT przed zablokowaniem klienta, można usunąć informacje o udostępnianiu AMT za pomocą programu Menedżer konfiguracji, a następnie zablokować klienta. Ta procedura eliminuje konieczność ręcznej konfiguracji rozszerzeń systemu BIOS po odblokowaniu klienta. Jednakże ta opcja wymaga pomyślnego nawiązania połączenia z niezaufanym komputerem w celu dokończenia usuwania udostępniania informacji. Jest to szczególnie ryzykowne, gdy komputer oparty na technologii AMT to komputer przenośny i może być odłączony od sieci przewodowej lub bezprzewodowej.
Uwaga
Aby potwierdzić, że komputer oparty na technologii AMT pomyślnie usunął informacje o udostępnianiu, należy sprawdzić, czy stan technologii AMT zmienił się z Obsługiwane administracyjnie na Nieudostępniane. Jeżeli jednak informacje o udostępnianiu nie zostały usunięte przed zablokowaniem klienta, stan AMT to nadal Obsługiwane administracyjnie, ale nie ma możliwości zarządzania komputerem poza pasmem do momentu ponownego skonfigurowania rozszerzeń systemu BIOS i udostępnienia komputera do użytku przez funkcję AMT. Więcej informacji o stanie AMT znajduje się w temacie O stanie AMT i poza pasmem zarządzania w programie Configuration Manager.