Determinar o bloqueio de clientes no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Se um computador cliente ou dispositivo móvel cliente não for mais confiável, você poderá bloquear o cliente no console do System Center 2012 Configuration Manager. Clientes bloqueados são rejeitados pela infraestrutura do Gerenciador de Configurações para que não possam se comunicar com os sistemas de site para baixar política, carregar dados de inventário ou enviar mensagens de estado ou status.
No Gerenciador de Configurações SP1, clientes Mac, clientes Linux e UNIX e dispositivos móveis registrados pelo Microsoft Intune têm suporte para bloquear e desbloquear.
Você deve bloquear e desbloquear um cliente de seu site registrado, em vez de um site secundário ou um site de administração central.
Importante |
---|
O bloqueio no Gerenciador de Configurações pode ajudar a proteger o site do Gerenciador de Configurações; contudo, não confie nesse recurso para proteger o site contra computadores ou dispositivos móveis não confiáveis, caso você permita que clientes se comuniquem com sistemas de sites usando HTTP, pois um cliente bloqueado poderia reingressar no site com um certificado autoassinado e uma ID de hardware novos. Em vez disso, use o recurso de bloqueio para bloquear a mídia de inicialização perdida ou comprometida usada para implantar sistemas operacionais e quando o sistemas de sites aceitar conexões de cliente HTTPS. |
Clientes que acessam o site usando o certificado de proxy de ISV não podem ser bloqueados. Para obter mais informações sobre os certificados de proxy de ISV, consulte o SDK (Software Development Kit) do Microsoft System Center 2012 Configuration Manager.
Se seus sistemas de site aceitam conexões de cliente HTTPS e sua PKI (infraestrutura de chave pública) oferece suporte para uma CRL (lista de certificados revogados), sempre considere a revogação de certificado como a principal linha de defesa contra certificados potencialmente comprometidos. O bloqueio de clientes no Gerenciador de Configurações oferece uma segunda linha de defesa para proteger a sua hierarquia.
Use as seguintes seções para ajudar a diferenciar o bloqueio de clientes do uso de uma lista de certificados revogados, e as implicações do bloqueio de computadores baseados em AMT:
Comparando o bloqueio de clientes e a revogação de certificados de cliente
Bloqueio de computadores baseados em AMT
Comparando o bloqueio de clientes e a revogação de certificados de cliente
Use a tabela a seguir como auxílio para diferenciar o bloqueio de um cliente do uso da revogação de certificado em um ambiente com suporte para PKI.
Bloqueio de cliente |
Uso da revogação de certificado |
||
---|---|---|---|
A opção está disponível para conexões de cliente HTTP e HTTPS, mas possui segurança limitada quando clientes se conectam a sistemas de site usando HTTP. |
A opção estará disponível para conexões de cliente HTTPS Windows se a infraestrutura de chave pública oferecer suporte para CRL (lista de certificados revogados). No Gerenciador de Configurações SP1, clientes Mac sempre executam a verificação de CRL e essa funcionalidade não pode ser desabilitada. Embora clientes de dispositivo móvel não utilizem listas de certificados revogados para verificar os certificados dos sistemas de site, seus certificados podem ser revogados e verificados pelo Gerenciador de Configurações. |
||
Os usuários administrativos do Gerenciador de Configurações possuem autoridade para bloquear um cliente, e a ação é realizada no console do Gerenciador de Configurações. |
Os administradores de infraestrutura de chave pública possuem autoridade para revogar um certificado, e a ação é realizada fora do console do Gerenciador de Configurações. |
||
A comunicação do cliente é rejeitada somente da hierarquia do Gerenciador de Configurações.
|
A comunicação do cliente poderá ser rejeitada de qualquer computador ou dispositivo móvel que requerer esse certificado de cliente. |
||
O cliente é bloqueado imediatamente do site do Gerenciador de Configurações. |
Provavelmente haverá um atraso entre a revogação de um certificado e o download, pelos sistemas de site, da CRL (lista de certificados revogados) modificada. Para muitas implantações de PKI, esse atraso pode ser de um dia ou mais. Por exemplo, nos Serviços de Certificados do Active Directory, o período de expiração padrão é de uma semana para uma CRL completa, e de um dia para uma CRL delta. |
||
Ajuda a proteger os sistemas de site contra computadores e dispositivos móveis potencialmente comprometidos. |
Ajuda a proteger os sistemas de site e clientes contra computadores e dispositivos móveis potencialmente comprometidos.
|
Bloqueio de computadores baseados em AMT
Depois de bloquear um computador baseado em Intel AMT provisionado pelo System Center 2012 Configuration Manager, você não poderá mais gerenciá-lo fora da banda. Quando um computador baseado em AMT é bloqueado, as seguintes ações ocorrem automaticamente para ajudar a proteger a rede dos riscos de segurança de elevação de privilégios e da divulgação de informações:
O servidor do site revoga todos os certificados emitidos para o computador baseado em AMT com a razão da revogação de Cease of Operation. O computador baseado em AMT poderá ter diversos certificados se estiver configurado para redes 802.1X com ou sem fio autenticadas que oferecem suporte a certificados de cliente.
O servidor do site exclui a conta do AMT nos Serviços de Domínio Active Directory.
As informações de provisionamento do AMT não são removidas do computador, mas ele não pode mais ser gerenciado fora da banda, porque seu certificado é revogado e sua conta, excluída. Se posteriormente você desbloquear o cliente, execute as seguintes ações para gerenciar o computador fora da banda:
Remova manualmente as informações de provisionamento das extensões do BIOS do computador. Não será possível executar essa configuração remotamente.
Reprovisione o computador com o Gerenciador de Configurações.
Se achar que posteriormente poderá desbloquear o cliente e se, antes de o cliente ser bloqueado, você puder verificar uma conexão ao computador baseado em AMT, será possível remover as informações de provisionamento do AMT com o Gerenciador de Configurações e então bloquear o cliente. Essa sequência de ações evita que você precise configurar manualmente as extensões do BIOS depois de desbloquear o cliente. Entretanto, essa opção depende de uma conexão bem-sucedida ao computador não confiável para concluir a remoção das informações de provisionamento. Isso é particularmente arriscado quando o computador baseado em AMT é um laptop e pode estar desconectado da rede ou em uma conexão sem fio.
Observação |
---|
Para verificar se o computador baseado em AMT removeu com êxito as informações de provisionamento, confirme se o status AMT mudou de Provisionado para Não Provisionado. No entanto, se as informações de provisionamento não forem removidas antes do bloqueio do cliente, o status AMT permanecerá Provisionado, mas você não poderá gerenciar o computador fora da banda até reconfigurar as extensões do BIOS e reprovisionar o computador para AMT. Para obter mais informações sobre o status AMT, consulte Sobre o Status AMT e gerenciamento fora da banda no Configuration Manager. |
Consulte também
Planejando a implantação de cliente no Configuration Manager