分享方式:

判斷是否要封鎖 Configuration Manager 中的用戶端

  • 文章

適用於:Configuration Manager (目前的分支)

如果不再信任用戶端電腦或用戶端行動裝置,您可以在 System Center 2012 Configuration Manager 主控台中封鎖用戶端。 封鎖的用戶端遭到Configuration Manager基礎結構拒絕,因此無法與月臺系統通訊以下載原則、上傳清查資料,或傳送狀態或狀態訊息。

您必須從其指派的月臺封鎖和解除封鎖用戶端,而不是從次要月臺或管理中心網站封鎖用戶端。

重要事項

雖然封鎖Configuration Manager有助於保護Configuration Manager網站,但如果您允許用戶端使用 HTTP 與月臺系統通訊,請勿依賴這項功能來保護月臺免于不受信任的電腦或行動裝置,因為封鎖的用戶端可能會使用新的自我簽署憑證和硬體識別碼重新加入網站。 相反地,請使用封鎖功能來封鎖您用來部署作業系統的遺失或遭入侵開機媒體,以及月臺系統接受 HTTPS 用戶端連線時。

無法封鎖使用 ISV Proxy 憑證存取月臺的用戶端。 如需 ISV Proxy 憑證的詳細資訊,請參閱 Configuration Manager Software Development Kit (SDK) 。

如果您的月臺系統接受 HTTPS 用戶端連線,而您的公開金鑰基礎結構 (PKI) 支援 (CRL) 的憑證撤銷清單,請一律將憑證撤銷視為防範可能遭入侵憑證的主要防禦措施。 封鎖Configuration Manager中的用戶端提供第二行防禦來保護您的階層。

封鎖用戶端的考慮

  • 此選項適用于 HTTP 和 HTTPS 用戶端連線,但是當用戶端使用 HTTP 連線到月臺系統時,其安全性有限。

  • Configuration Manager系統管理使用者有權封鎖用戶端,而且會在 Configuration Manager 主控台中採取動作。

  • 用戶端通訊只會從Configuration Manager階層拒絕。

    注意事項

    相同的用戶端可以向不同的Configuration Manager階層註冊。

  • 用戶端會立即從Configuration Manager網站封鎖。

  • 協助保護月臺系統免于可能遭到入侵的電腦和行動裝置。

使用憑證撤銷的考慮

  • 如果公開金鑰基礎結構支援 CRL) (憑證撤銷清單,則此選項適用于 HTTPS Windows 用戶端連線。

    Mac 用戶端一律會執行 CRL 檢查,而且無法停用這項功能。

    雖然行動裝置用戶端不會使用憑證撤銷清單來檢查月臺系統的憑證,但其憑證可以由Configuration Manager撤銷和檢查。

  • 公開金鑰基礎結構系統管理員有權撤銷憑證,而且會在Configuration Manager主控台外採取動作。

  • 任何需要此用戶端憑證的電腦或行動裝置都可以拒絕用戶端通訊。

  • 撤銷憑證與網站系統下載修改過的憑證撤銷清單 (CRL) 之間可能會有延遲。

  • 對於許多 PKI 部署而言,此延遲可能是一天或更長的時間。 例如,在 Active Directory 憑證服務中,完整 CRL 的預設到期期間為一周,差異 CRL 則為一天。

  • 協助保護月臺系統和用戶端免于可能遭到入侵的電腦和行動裝置。

    注意事項

    您可以在 IIS 中設定憑證信任清單 (CTL) ,進一步保護執行 IIS 的月臺系統不受未知用戶端的防護。