Поделиться через


Определение необходимости блокировки клиентов в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Если клиентский компьютер или клиентское мобильное устройство утратило доверие, можно заблокировать клиент в консоли System Center 2012 Configuration Manager. Заблокированные клиенты отклоняются инфраструктурой Configuration Manager и не могут обмениваться данными с системами сайта для загрузки политики, передачи данных инвентаризации или отправки сообщений об изменении состояния или статуса.

В Configuration Manager SP1 клиенты Mac, Linux и UNIX, а также на мобильных устройствах, зарегистрированные в Microsoft Intune, поддерживают блокировку и разблокировку.

Следует блокировать и разблокировать клиент с сайта, которому он назначен, а не со вторичного сайта или сайта центра администрирования.

System_CAPS_importantВажно

Несмотря на то, что блокировка в Configuration Manager позволяет повысить безопасность сайта Configuration Manager, не следует полагаться на эту функцию, когда требуется защитить сайт от ненадежных компьютеров или мобильных устройств, если вы позволяете клиентам обмениваться данными с системами сайта по протоколу HTTP, так как заблокированный клиент может повторно присоединиться к сайту с использованием нового самозаверяющего сертификата и идентификатора оборудования. Функцию блокировки следует использовать для блокировки утерянных или скомпрометированных загрузочных носителей, используемых вами для развертывания операционных систем, и когда системы сайта принимают подключения клиентов по протоколу HTTPS.

Клиенты, осуществляющие доступ к сайту с использованием сертификата ISV Proxy, не могут быть заблокированы. Дополнительные сведения о сертификате прокси-сервера ISV см. в Пакете средств разработки программного обеспечения (SDK) Microsoft System Center 2012 Configuration Manager.

Если системы сайта принимают подключения клиентов по протоколу HTTPS, а инфраструктура открытых ключей поддерживает список отзыва сертификатов (CRL), всегда рассматривайте отзыв сертификата как первую линию защиты от сертификатов, которые могли быть скомпрометированы. Блокировка клиентов в Configuration Manager обеспечивает вторую линию обороны для защиты иерархии.

Ознакомьтесь со следующими разделами, чтобы узнать, в чем разница между блокировкой клиентов и использованием списка отзыва сертификатов, а также изучить аспекты блокировки компьютеров с поддержкой AMT.

  • Сравнение блокировки клиентов и отзыва сертификатов клиентов

  • Блокировка компьютеров с поддержкой AMT

Сравнение блокировки клиентов и отзыва сертификатов клиентов

В следующей таблице приведены различия между блокировкой клиента и отзывом сертификата в среде с инфраструктурой открытого ключа.

Блокировка клиентов

Отзыв сертификатов

Этот вариант доступен для подключений клиентов по протоколам HTTP и HTTPS, но обеспечивает ограниченный уровень безопасности, если клиент подключается к сист��мам сайта по протоколу HTTP.

Данный вариант доступен для подключений клиентов Windows по протоколу HTTPS, если инфраструктура открытых ключей поддерживает список отзыва сертификатов (CRL).

В Configuration Manager SP1 клиенты Mac всегда проводят проверки CRL, и эта функция не может быть отключена.

Хотя мобильные клиенты не используют списки отзыва сертификатов с целью проверки сертификатов для систем сайтов, их сертификаты могут быть отозваны и проверены с помощью Configuration Manager.

Пользователи Configuration Manager с полномочиями администраторов имеют право блокировать клиент, и это действие выполняется из консоли Configuration Manager.

Администраторы инфраструктуры открытых ключей имеют право отозвать сертификат, и это действие выполняется вне консоли Configuration Manager.

Соединение, инициируемое клиентом, отклоняется только из иерархии Configuration Manager.

System_CAPS_noteПримечание

Тот же самый клиент может зарегистрироваться в другой иерархии Configuration Manager.

Соединение, инициированное клиентом, может быть отклонено любым компьютером или мобильным устройством, требующим данный сертификат клиента.

Клиент немедленно блокируется с сайта Configuration Manager.

Как правило, между отзывом сертификата и загрузкой системами сайта измененного списка отзыва сертификатов (CRL) есть определенная задержка.

Во многих развертываниях инфраструктуры открытых ключей такая задержка может составлять один день и даже больше. Например, в службах сертификатов Active Directory срок действия по умолчанию для полного списка отзыва сертификатов составляет одну неделю, а для разностного списка отзыва сертификатов — один день.

Помогает защитить системы сайта от потенциально скомпрометированных компьютеров и мобильных устройств.

Помогает защитить системы сайта и клиенты от потенциально скомпрометированных компьютеров и мобильных устройств.

System_CAPS_noteПримечание

Вы можете обеспечить еще более надежную защиту систем сайта, на которых работает IIS, от неизвестных клиентов, создав в IIS список доверенных сертификатов (CTL).

Блокировка компьютеров с поддержкой AMT

После блокировки компьютера с поддержкой Intel AMT, инициализированного с помощью System Center 2012 Configuration Manager, использовать для него аппаратный контроллер управления будет невозможно. Если компьютер с поддержкой AMT заблокирован, автоматически выполняются следующие действия с целью защиты сети от угроз безопасности, связанных с повышением привилегий и раскрытием сведений.

  • Сервер сайта отзывает все сертификаты, выпущенные для компьютера с поддержкой AMT, указывая в качестве причины отзыва Cease of Operation. У компьютера с поддержкой AMT может быть несколько сертификатов, если он настроен для работы в проводных или беспроводных сетях стандарта 802.1X с проверкой подлинности, поддерживающих клиентские сертификаты.

  • Сервер сайта удаляет учетную запись AMT в доменных службах Active Directory.

Сведения об инициализации AMT не удаляются с компьютера, однако таким компьютером становится невозможно управлять с помощью аппаратного контроллера, так как его сертификат отзывается, а учетная запись удаляется. Если впоследствии потребуется отменить блокировку клиента, необходимо будет выполнить следующие действия, чтобы получить возможность управлять им с помощью аппаратного контроллера управления.

  1. Вручную удалите сведения о подготовке из расширений BIOS компьютера. Вы не сможете удаленно выполнить эту операцию.

  2. Повторно инициализируйте компьютер с помощью Configuration Manager.

Если вы считаете, что впоследствии клиент может быть разблокирован, и есть возможность проверить подключение к компьютеру с поддержкой AMT перед блокировкой клиента, можете удалить сведения об инициализации AMT из Configuration Manager и затем заблокировать клиент. Такая последовательность действий позволит избежать ручной настройки расширений BIOS после разблокировки клиента. Однако для использования этого варианта необходимо подключиться к ненадежному компьютеру, чтобы удалить данные инициализации. Это в особенности опасно, если компьютером с поддержкой AMT является ноутбук, который может быть отключен от сети или иметь подключение к беспроводной сети.

System_CAPS_noteПримечание

Чтобы проверить удаление сведений об инициализации на компьютере с поддержкой AMT, убедитесь, что состояние AMT изменилось с Инициализировано на Не инициализировано. Если не удалить сведения об инициализации перед блокировкой клиента, состояние AMT Инициализировано сохранится, но вы не сможете управлять компьютером с помощью аппаратного контроллера управления до тех пор, пока не будут заново настроены расширения BIOS, а компьютер не будет повторно инициализирован для AMT. Дополнительные сведения о состоянии AMT см. в разделе Состояние AMT и использование аппаратного контроллера управления в Configuration Manager.