Avgöra om klienter ska blockeras i Configuration Manager

Gäller för: Konfigurationshanteraren (current branch)

Om en klientdator eller klientmobil enhet inte längre är betrodd kan du blockera klienten i System Center 2012 Configuration Manager-konsolen. Blockerade klienter avvisas av Configuration Manager infrastruktur så att de inte kan kommunicera med platssystem för att ladda ned principer, ladda upp inventeringsdata eller skicka tillstånds- eller statusmeddelanden.

Du måste blockera och avblockera en klient från dess tilldelade plats i stället för från en sekundär plats eller en central administrationsplats.

Viktigt

Även om blockering i Configuration Manager kan bidra till att skydda den Configuration Manager platsen, bör du inte förlita dig på den här funktionen för att skydda platsen från ej betrodda datorer eller mobila enheter om du tillåter att klienter kommunicerar med platssystem med hjälp av HTTP, eftersom en blockerad klient kan ansluta till platsen igen med ett nytt självsignerat certifikat och maskinvaru-ID. Använd i stället blockeringsfunktionen för att blockera förlorade eller komprometterade startmedier som du använder för att distribuera operativsystem och när platssystem accepterar HTTPS-klientanslutningar.

Klienter som har åtkomst till platsen med hjälp av ISV-proxycertifikatet kan inte blockeras. Mer information om ISV-proxycertifikatet finns i Configuration Manager Software Development Kit (SDK).

Om dina platssystem accepterar HTTPS-klientanslutningar och din offentliga nyckelinfrastruktur (PKI) stöder en lista över återkallade certifikat (CRL) bör du alltid betrakta certifikatåterkallning som den primära försvarslinjen mot potentiellt komprometterade certifikat. Att blockera klienter i Configuration Manager erbjuder en andra försvarslinje för att skydda hierarkin.

Överväganden för att blockera klienter

• Det här alternativet är tillgängligt för HTTP- och HTTPS-klientanslutningar, men har begränsad säkerhet när klienter ansluter till platssystem med hjälp av HTTP.

• Configuration Manager administrativa användare har behörighet att blockera en klient och åtgärden vidtas i Configuration Manager-konsolen.

• Klientkommunikation avvisas endast från Configuration Manager-hierarkin.

  Obs!

  Samma klient kan registreras med en annan Configuration Manager hierarki.

• Klienten blockeras omedelbart från den Configuration Manager platsen.

• Hjälper till att skydda platssystem från potentiellt komprometterade datorer och mobila enheter.

Att tänka på när du använder återkallande av certifikat

• Det här alternativet är tillgängligt för HTTPS Windows-klientanslutningar om den offentliga nyckelinfrastrukturen stöder en lista över återkallade certifikat (CRL).

  Mac-klienter utför alltid CRL-kontroll och den här funktionen kan inte inaktiveras.

  Även om mobila enhetsklienter inte använder listor över återkallade certifikat för att kontrollera certifikaten för platssystem, kan deras certifikat återkallas och kontrolleras av Configuration Manager.

• Infrastrukturadministratörer för offentliga nycklar har behörighet att återkalla ett certifikat och åtgärden vidtas utanför Configuration Manager-konsolen.

• Klientkommunikation kan avvisas från alla datorer eller mobila enheter som kräver det här klientcertifikatet.

• Det kommer sannolikt att uppstå en fördröjning mellan att återkalla ett certifikat och platssystem som laddar ned listan över återkallade certifikat (CRL).

• För många PKI-distributioner kan den här fördröjningen vara en dag eller längre. I Active Directory Certificate Services är till exempel standardperioden för förfallotid en vecka för en fullständig CRL och en dag för en delta-CRL.

• Hjälper till att skydda platssystem och klienter från potentiellt komprometterade datorer och mobila enheter.

  Obs!

  Du kan ytterligare skydda platssystem som kör IIS från okända klienter genom att konfigurera en lista över betrodda certifikat (CTL) i IIS.