确定是否需要阻止 Configuration Manager 客户端

项目
12/19/2014

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

如果某个客户端计算机或客户端移动设备不再受信任，Configuration Manager 管理员可以在 Configuration Manager 2007 控制台中阻止该客户端。Configuration Manager 2007 基础结构会拒绝被阻止的客户端，使它们无法与站点系统通信，从而无法下载策略、上载清单数据或者发送状态或状况消息。

您必须阻止和取消阻止客户端与其分配的站点通信。不能在层级结构中较高层次的站点中执行这些操作。

重要

虽然在 Configuration Manager 2007 中进行阻止有助于保护 Configuration Manager 2007 站点的安全，但如果该站点处于混合模式，则不要依赖此功能来防止不受信任的计算机或移动设备与该站点通信，因为被阻止的客户端可以使用新的自签名证书和硬件 ID 重新加入该站点。

此功能旨在用来在使用操作系统部署功能以及纯模式客户端部署客户端时阻止丢失或被泄漏的启动媒体。

使用 ISV 代理证书访问该站点的客户端不能被阻止。有关 ISV 代理证书的详细信息，请参阅 System Center Configuration Manager 2007 软件开发工具包 (SDK)。

如果此站点处于纯模式，且公钥基础结构支持证书吊销列表 (CRL)，则请始终将证书吊销作为防止可能被泄漏的证书的主要防线。在 Configuration Manager 2007 中阻止客户端为保护您的层次结构提供第二道防线。

为帮助区分支持 PKI 的环境中的证书吊销与在 Configuration Manager 2007 中阻止客户端，请参阅下表。

阻止客户端	证书吊销
此选项在混合模式和纯模式站点中都可用，但当站点处于混合模式时安全受到限制。	如果公钥基础结构支持证书吊销列表 (CRL)，则此选项只在纯模式站点中可用。虽然移动设备客户端的证书可以通过 Configuration Manager 2007 来吊销和检查，但移动设备客户端不使用证书吊销列表。
Configuration Manager 2007 管理员具有阻止客户端的权限，该操作在 Configuration Manager 控制台中完成。	公钥基础结构管理员具有吊销证书的权限，该操作在 Configuration Manager 外完成。
仅 Configuration Manager 2007 层次结构拒绝客户端通信。备注同一客户端可以注册到不同的 Configuration Manager 2007 层次结构。	任何需要此客户端证书的计算机或移动设备都可以拒绝客户端通信。
客户端将立即被阻止与 Configuration Manager 2007 站点通信。	从吊销证书到站点系统下载修改的证书吊销列表 (CRL) 之间很可能存在延迟。如果有很多 PKI 部署，延迟时间可能会达一天或更长时间。例如，在 Microsoft Windows 2003 证书服务中，完整 CRL 的默认有效期是一星期，而增量 CRL 的有效期是一天。
帮助防止可能被泄漏的计算机和移动设备与站点系统通信。	帮助防止可能被泄漏的计算机和移动设备与站点系统和客户端通信。有关在客户端计算机上启用证书吊销检查的详细信息，请参阅确定是否需要在客户端上启用证书吊销检查 (CRL)（纯模式）。备注您还可以使用证书信任列表 (CTL) 进一步防止未知客户端与纯模式站点通信。有关详细信息，请参阅确定是否需要使用 IIS 配置证书信任列表 (CTL)（纯模式）。

另请参阅

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。

通过

确定是否需要阻止 Configuration Manager 客户端

另请参阅

任务

概念

其他资源

其他资源