Compartilhar via


Determinar se os clientes devem bloquear em Configuration Manager

Aplica-se a: Gerenciador de Configurações (branch atual)

Se um computador cliente ou um dispositivo móvel cliente não for mais confiável, você poderá bloquear o cliente no console do System Center 2012 Configuration Manager. Os clientes bloqueados são rejeitados pela infraestrutura Configuration Manager para que não possam se comunicar com sistemas de site para baixar a política, carregar dados de inventário ou enviar mensagens de estado ou status.

Você deve bloquear e desbloquear um cliente de seu site atribuído, em vez de de um site secundário ou de um site de administração central.

Importante

Embora o bloqueio em Configuration Manager possa ajudar a proteger o site Configuration Manager, não dependa desse recurso para proteger o site de computadores não confiáveis ou dispositivos móveis se você permitir que os clientes se comuniquem com sistemas de site usando HTTP, pois um cliente bloqueado pode voltar ao site com um novo certificado autoassinado e uma ID de hardware. Em vez disso, use o recurso de bloqueio para bloquear a mídia de inicialização perdida ou comprometida que você usa para implantar sistemas operacionais e quando os sistemas de site aceitarem conexões de cliente HTTPS.

Os clientes que acessam o site usando o certificado proxy ISV não podem ser bloqueados. Para obter mais informações sobre o certificado proxy ISV, consulte o SDK (Kit de Desenvolvimento de Software) Configuration Manager.

Se seus sistemas de site aceitarem conexões de cliente HTTPS e sua PKI (infraestrutura de chave pública) der suporte a uma CRL (lista de revogação de certificado), sempre considere a revogação de certificado como a principal linha de defesa contra certificados potencialmente comprometidos. Bloquear clientes no Configuration Manager oferece uma segunda linha de defesa para proteger sua hierarquia.

Considerações sobre o bloqueio de clientes

  • Essa opção está disponível para conexões de cliente HTTP e HTTPS, mas tem segurança limitada quando os clientes se conectam aos sistemas do site usando HTTP.

  • Configuration Manager usuários administrativos têm autoridade para bloquear um cliente e a ação é tomada no console Configuration Manager.

  • A comunicação do cliente é rejeitada apenas da hierarquia Configuration Manager.

    Observação

    O mesmo cliente pode se registrar com uma hierarquia de Configuration Manager diferente.

  • O cliente é imediatamente bloqueado do site Configuration Manager.

  • Ajuda a proteger os sistemas de sites contra computadores e dispositivos móveis potencialmente comprometidos.

Considerações sobre como usar a revogação de certificado

  • Essa opção estará disponível para conexões de cliente HTTPS Windows se a infraestrutura de chave pública der suporte a uma CRL (lista de revogação de certificado).

    Os clientes Mac sempre executam a verificação de CRL e essa funcionalidade não pode ser desabilitada.

    Embora os clientes de dispositivo móvel não usem listas de revogação de certificado para verificar os certificados para sistemas de site, seus certificados podem ser revogados e verificados por Configuration Manager.

  • Os administradores de infraestrutura de chave pública têm autoridade para revogar um certificado e a ação é tomada fora do console Configuration Manager.

  • A comunicação do cliente pode ser rejeitada de qualquer computador ou dispositivo móvel que exija esse certificado de cliente.

  • É provável que haja um atraso entre a revogação de um certificado e os sistemas de site que baixam a CRL (lista de revogação de certificados modificada).

  • Para muitas implantações PKI, esse atraso pode ser de um dia ou mais. Por exemplo, no Active Directory Certificate Services, o período de expiração padrão é de uma semana para um CRL completo e um dia para um CRL delta.

  • Ajuda a proteger sistemas de sites e clientes de computadores e dispositivos móveis potencialmente comprometidos.

    Observação

    Você pode proteger ainda mais os sistemas de sites que executam o IIS de clientes desconhecidos configurando uma CTL (lista de confiança de certificado) no IIS.