确定是否在 Configuration Manager 中阻止客户端

适用于: Configuration Manager(current branch)

如果客户端计算机或客户端移动设备不再受信任，则可以在 System Center 2012 Configuration Manager 控制台中阻止该客户端。 阻止的客户端会被Configuration Manager基础结构拒绝，因此它们无法与站点系统通信以下载策略、上传清单数据或发送状态或状态消息。

必须阻止和取消阻止客户端从其分配的站点，而不是从辅助站点或管理中心站点。

重要

尽管阻止Configuration Manager有助于保护Configuration Manager站点，但如果允许客户端使用 HTTP 与站点系统通信，请不要依赖此功能来保护站点免受不受信任的计算机或移动设备的攻击，因为被阻止的客户端可能会使用新的自签名证书和硬件 ID 重新加入站点。 相反，使用阻止功能来阻止用于部署操作系统的启动媒体，以及站点系统接受 HTTPS 客户端连接时，使用阻止功能来阻止丢失或泄露的启动媒体。

不能阻止使用 ISV 代理证书访问站点的客户端。 有关 ISV 代理证书的详细信息，请参阅Configuration Manager软件开发工具包 (SDK) 。

如果站点系统接受 HTTPS 客户端连接，并且公钥基础结构 (PKI) 支持证书吊销列表 (CRL) ，请始终将证书吊销视为防范可能泄露的证书的主要防线。 阻止Configuration Manager中的客户端提供了第二道防线来保护层次结构。

阻止客户端的注意事项

• 此选项可用于 HTTP 和 HTTPS 客户端连接，但当客户端使用 HTTP 连接到站点系统时，安全性有限。

• Configuration Manager管理用户有权阻止客户端，并在 Configuration Manager 控制台中执行该操作。

• 客户端通信仅从Configuration Manager层次结构中被拒绝。

  注意

  同一客户端可以注册到不同的Configuration Manager层次结构。

• 客户端立即被阻止Configuration Manager站点。

• 帮助保护站点系统免受潜在入侵的计算机和移动设备的影响。

使用证书吊销的注意事项

• 如果公钥基础结构支持证书吊销列表 (CRL) ，则此选项可用于 HTTPS Windows 客户端连接。

  Mac 客户端始终执行 CRL 检查，无法禁用此功能。

  尽管移动设备客户端不使用证书吊销列表来检查站点系统的证书，但可以通过Configuration Manager吊销和检查其证书。

• 公钥基础结构管理员有权吊销证书，并且操作在Configuration Manager控制台外部执行。

• 需要此客户端证书的任何计算机或移动设备都可能会拒绝客户端通信。

• 吊销证书和站点系统下载修改后的证书吊销列表 (CRL) 之间可能存在延迟。

• 对于许多 PKI 部署，此延迟可能为一天或更长时间。 例如，在 Active Directory 证书服务中，完整 CRL 的默认过期期为一周，增量 CRL 的默认过期期限为一天。

• 帮助保护站点系统和客户端免受潜在入侵的计算机和移动设备的影响。

  注意

  可以通过在 IIS 中配置证书信任列表 (CTL) ，进一步保护运行 IIS 的站点系统免受未知客户端的阻止。