关于阻止客户端和带外管理

应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

如果客户端计算机不再受到信任,则 Configuration Manager 管理员可以在 Configuration Manager 2007 控制台中阻止该客户端,使其无法再与站点系统通信,从而无法下载策略、上载清单数据或者发送状况或状态消息。如果某个客户端以后被视为可信任,还可以取消对它的阻止。当计算机设置为进行带外管理时,阻止和取消阻止客户端具有特定后果,如以下部分中所述。有关阻止客户端的详细信息,请参阅确定是否需要阻止 Configuration Manager 客户端如何阻止 Configuration Manager 客户端

备注

本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。

在 Configuration Manager 2007 SP1 中阻止基于 AMT 的计算机

Configuration Manager 2007 SP1 阻止的计算机将继续接受带外管理通信。当基于 AMT 的计算机因不再受信任而被阻止时,您可以采用以下选项:

  • 手动吊销计算机的 AMT 证书,并手动禁用或删除 Active Directory 域服务中的 AMT 帐户。此选项是最为安全的选项,因为它不要求连接至不受信任的计算机,您可以立即验证这些操作是否已经成功,还可以控制吊销原因和帐户是否已被禁用或删除。此选项的主要缺点是,如果您以后取消对该客户端的阻止,则无法对计算机进行带外管理,直到从 BIOS 扩展中手动删除设置信息并重新设置计算机为止。其他缺点还包括管理员开销和采取这些手动操作时可能造成的延迟。

  • 当带外服务点可连接到基于 AMT 的计算机时,使用 Configuration Manager 从基于 AMT 的计算机中删除设置信息。此操作会自动吊销计算机的 AMT 证书(吊销原因为被取代)并自动删除 Active Directory 域服务中的 AMT 帐户。此操作还会删除关联的 SPN。有关删除设置信息的详细信息,请参阅如何删除基于 AMT 的计算机的设置信息。此选项最为简便,并且可以提供额外的安全保护,因为吊销和帐户删除操作会自动执行。此外,如果您以后取消对该客户端的阻止,则可以重新设置该客户端,而无需在本地重新配置 BIOS 扩展。使用此选项具有下列缺点:必须与不受信任的计算机通信;无法控制吊销原因;并且,即使您的公司策略倾向于或要求您禁用帐户,您也无法执行此操作,而会自动删除帐户。如果使用此选项,请确认已吊销证书并删除帐户,如有必要则采取手动修正措施。

  • 不采取措施可以防止带外管理通信。此选项是最不安全的选项,因为不受信任的计算机具有可以登录 Active Directory 域服务的有效证书和帐户,从而导致特权提升和信息泄露的安全风险。但是,能够对该计算机进行带外管理意味着您可以采取其他步骤来帮助保护计算机,例如重建映像或重新格式化,然后关闭计算机电源。仅仅有这些额外步骤还不能防止攻击者重新开启计算机,也无法保护 AMT 中的信息。

备注

若要标识 AMT 证书,请在颁发的 CA 上,找到颁发给站点服务器的证书,该证书在证书“使用者”中有基于 AMT 的计算机的 FQDN。若要标识 AMT 帐户,请在计算机的域中,找到在带外管理组件属性“常规”选项卡中指定的组织单位 (OU) 或容器。该帐户将在 Active Directory 用户和计算机控制台的结果窗格中显示为带 <计算机名称> 的“计算机”,尽管该帐户的完整属性以下列格式显示其名称:<计算机名称>$iME。

在 Configuration Manager 2007 SP2 中阻止基于 AMT 的计算机

由 Configuration Manager 2007 SP2 阻止的计算机无法继续进行带外管理。当基于 AMT 的计算机受到阻止时,会自动执行以下操作以帮助防止网络出现特权提升和信息泄露的安全风险:

  • 站点服务器将吊销颁发给基于 AMT 的计算机的所有证书,吊销原因为被取代。基于 AMT 的计算机可能具有多个证书,因为 Configuration Manager 2007 SP2 支持 802.1X 经过身份验证的有线或无线网络,这些网络支持客户端证书。

  • 站点服务器会删除 Active Directory 域服务中的 AMT 帐户。

设置信息不会从 AMT 中删除,但它不能再进行带外管理,因为已吊销其证书并删除其帐户。如果您以后取消对客户端的阻止,则必须采取以下操作,然后才能对计算机进行带外管理:

  1. 从计算机的 BIOS 扩展中手动删除设置信息。您将无法远程执行此配置。

  2. 使用 Configuration Manager 重新设置计算机。

如果您认为以后可能会取消对客户端的阻止,并且您可以在阻止该客户端之前验证与基于 AMT 的计算机的连接,则可以使用 Configuration Manager 删除设置信息,然后再阻止该客户端。这一序列的操作可让您不必在取消对客户端的阻止后手动配置 BIOS 扩展。但是,此选项依赖于到不受信任的计算机的成功连接,以完成对设置信息的删除。当基于 AMT 的计算机是便携式计算机并且可能从网络断开连接或者在无线连接上时,选择此选项就会存在特别大的风险。

备注

要验证基于 AMT 的计算机是否已成功删除了设置信息,请确认 AMT 状态已从“已设置”更改为“未设置”。但是,如果没有在客户端受到阻止之前删除设置信息,则 AMT 状态仍保持为“已设置”,但您将无法对计算机进行带外管理,直到重新配置 BIOS 扩展并针对 AMT 重新设置计算机为止。有关 AMT 状态的详细信息,请参阅关于 AMT 状态和带外管理

另请参阅

任务

如何阻止 Configuration Manager 客户端
如何删除基于 AMT 的计算机的设置信息

概念

关于带外管理的证书
确定是否需要阻止 Configuration Manager 客户端
带外管理概述
带外管理安全最佳方案和隐私信息

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。