Avgöra om klienter ska blockeras i Configuration Manager
Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Om en klientdator eller mobil klientenhet inte längre är betrodd kan du blockera klienten i System Center 2012 Configuration Manager-konsolen. Blockerade klienter avvisas av Configuration Manager-infrastrukturen, så att de inte kan kommunicera med platssystem för att ladda ned principer, ladda upp lagerdata eller skicka tillstånds- eller statusmeddelanden.
I Configuration Manager SP1 har Mac-klienter, Linux- och UNIX-klienter samt mobila enheter som är registrerade av Microsoft Intune stöd för blockering och avblockering.
Du måste blockera och avblockera en klient från dess tilldelade plats i stället för från en sekundär plats eller en central administrationsplats.
.jpeg "System_CAPS_important"){kind=icon} Viktigt |
|---|
Även om blockering i Configuration Manager kan hjälpa till att säkra Configuration Manager-platsen ska du inte förlita dig på den här funktionen för att skydda platsen från icke betrodda datorer och mobilenheter om du tillåter klienter att kommunicera med platssystem via HTTP, eftersom en blockerad klient kan gå med i platsen igen med ett nytt, självsignerat certifikat och maskinvaru-ID. Använd istället blockeringsfunktionen för att blockera borttappade eller komprometterade startmedia som du använder för att distribuera operativsystem samt när platssystem accepterar HTTPS-klientanslutningar. |
Klienter som kommer åt platsen med ISV-proxycertifikat går inte att blockera. Mer information om ISV-proxycertifikat finns i Microsoft System Center 2012 Configuration Manager SDK (Software Development Kit).
Om dina platssystem accepterar HTTPS-klientanslutningar och din PKI (Public Key Infrastructure) stöder en lista över återkallade certifikat (CRL) bör du alltid se återkallande av certifikat som det första försvaret mot potentiellt komprometterade certifikat. Att blockera klienter i Configuration Manager är en andra försvarslinje för att skydda din hierarki.
Använd följande stycken som hjälp för att skilja på blockering av klienter och användning av en lista med återkallade certifikat, och konsekvenserna av att blockera AMT-baserade datorer:
Jämförelse mellan blockering av klienter och återkallande av klientcertifikat
Blockera AMT-baserade datorer
Jämförelse mellan blockering av klienter och återkallande av klientcertifikat
Använd följande tabell som hjälp för att skilja på blockering av en klient och återkallande av certifikat i en PKI-stödd miljö.
Blockering av klient |
Återkallande av certifikat |
||
|---|---|---|---|
Alternativet är tillgängligt för HTTP- och HTTPS-klientanslutningar, men har begränsad säkerhet när klienter ansluter till platssystem med HTTP. |
Alternativet är tillgängligt för HTTPS Windows-klientanslutningar om den infrastruktur som bygger på offentliga nycklar stöder en lista med återkallade certifikat (CRL). I Configuration Manager SP1 utför Mac-klienter alltid CRL-kontroll, och denna funktion går inte att inaktivera. Även om mobila klientenheter inte använder listor med återkallade certifikat för att kontrollera certifikat för platssystem, kan deras certifikat återkallas och kontrolleras av Configuration Manager. |
||
Administrativa Configuration Manager-användare har behörighet att blockera en klient, och åtgärden utförs i Configuration Manager-konsolen. |
Administratörer av en infrastruktur som bygger på offentliga nycklar har behörighet att återkalla ett certifikat, och åtgärden utförs utanför Configuration Manager-konsolen. |
||
Klientkommunikation avvisas endast från Configuration Manager-hierarkin.
|
Klientkommunikation kan avvisas från alla datorer och mobila enheter som kräver det här klientcertifikatet. |
||
Klienten blockeras omedelbart från Configuration Manager-platsen. |
Det uppstår antagligen en fördröjning mellan återkallandet av ett certifikat och att platssystemen laddar ned den ändrade listan med återkallade certifikat (CRL). För många PKI-distributionen kan fördröjningen vara en dag eller ännu längre. I Active Directory Certificate Services är t.ex. utgångsperioden som standard en vecka för en fullständig CRL och en dag för en lista över ändringar i återkallade certifikat. |
||
Hjälper till att skydda platssystem från potentiellt komprometterade datorer och mobila enheter. |
Hjälper till att skydda platssystem och klienter från potentiellt komprometterade datorer och mobila enheter.
|
Blockera AMT-baserade datorer
När du blockerat en dator baserad på Intel AMT som etableras av System Center 2012 Configuration Manager kommer du inte längre att kunna hantera den out-of-band. När en AMT-baserad dator blockeras utförs följande åtgärder automatiskt för att hjälpa till att skydda nätverket från säkerhetsriskerna med rättighetsökning och avslöjande av information:
Platsservern återkallar alla certifikat som utfärdats till den AMT-baserade datorn med återkallandeorsaken Cease of Operation. Den AMT-baserade datorn kan ha flera certifikat om den konfigurerats för 802.1X-autentiserade kabelanslutna eller trådlösa nätverk som stöder klientcertifikat.
Platsservern tar bort AMT-kontot från Active Directory Domain Services.
AMT-etableringsinformationen tas inte bort från datorn, men datorn kan inte längre hanteras out-of-band eftersom dess certifikat återkallats och kontot tagits bort. Om du senare avblockerar klienten måste du utföra följande åtgärder innan du kan hantera datorn out-of-band:
Ta manuellt bort etableringsinformationen från datorns BIOS-tillägg. Du kommer inte att kunna utföra den här konfigureringen som fjärrkonfigurering.
Ometablera datorn med Configuration Manager.
Om du tror att du kan komma att avblockera klienten senare och du kan verifiera en anslutning till den AMT-baserade datorn innan du blockerar klienten, kan du ta bort AMT-etableringsinformationen med Configuration Manager och sedan blockera klienten. Denna sekvens med åtgärder gör att du inte behöver konfigurera BIOS-tilläggen manuellt efter att du avblockerat klienten. Detta alternativ bygger dock på att det går att ansluta till den icke betrodda datorn för att slutföra borttagningen av etableringsinformation. Detta är speciellt riskfyllt om den AMT-baserade datorn är en bärbar dator som kan vara frånkopplad från nätverket eller ha en trådlös anslutning.
.jpeg "System_CAPS_note"){kind=icon} Obs! |
|---|
För att verifiera att den AMT-baserade datorn har tagit bort etableringsinformationen kontrollerar du att AMT-statusen har ändrats från Etablerad till Ej etablerad. Om etableringsinformationen inte tagits bort innan klienten blockerades är AMT-statusen fortfarande Etablerad, men du kommer inte att kunna hantera datorn out-of-band tills du konfigurerat om BIOS-tilläggen och ometablerat datorn för AMT. Mer information om AMT-status finns i Om AMT-Status och Out-of-Band-hantering i Configuration Manager. |