Bestimmen, ob Configuration Manager-Clients blockiert werden müssen
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Wenn ein Clientcomputer oder ein mobiles Gerät eines Clients nicht mehr vertrauenswürdig ist, kann der Configuration Manager-Administrator den Client in der Configuration Manager 2007-Konsole blockieren. Blockierte Clients werden von der Configuration Manager 2007-Infrastruktur abgewiesen, sodass sie nicht mit Standortsystemen kommunizieren können, um Richtlinien herunterzuladen, Inventurdaten hochzuladen oder Zustands- bzw. Statusmeldungen zu senden.
Sie müssen einen Client vom zugewiesenen Standort blockieren und wieder zulassen. Solche Aktionen können nicht von einem Standort aus durchgeführt werden, der in der Hierarchie höher angeordnet ist.
Wichtig
Das Blockieren in Configuration Manager 2007 trägt zwar zu einer erhöhten Sicherheit des Configuration Manager 2007-Standorts bei, Sie sollten sich jedoch für einen Schutz des Standorts vor nicht vertrauenswürdigen Computern oder mobilen Geräten nicht auf dieses Feature verlassen, wenn sich der Standort im gemischten Modus befindet. In diesem Fall könnte sich der Client nämlich mit einem neuen selbstsignierten Zertifikat und einer neuen Hardware-ID erneut dem Standort beitreten.
Mit diesem Feature können verlorene oder kompromittierte Bootmedien blockiert werden, wenn Clients mithilfe des Betriebssystembereitstellungsfeatures bereitgestellt werden bzw. wenn es sich um Clients im einheitlichen Modus handelt. Clients, die über das ISV-Proxyzertifikat auf den Standort zugreifen, können nicht blockiert werden. Weitere Informationen zum ISV-Proxyzertifikat finden Sie im System Center Configuration Manager 2007-SDK (Software Development Kit). Wenn sich der Standort im einheitlichen Modus befindet und Ihre Public Key-Infrastruktur eine Zertifikatsperrliste (Certificate Revocation List, CRL) unterstützt, sollte zunächst eine Zertifikatsperrung als erste Verteidigung gegen möglicherweise kompromittierte Zertifikate in Betracht gezogen werden. Das Blockieren von Clients in Configuration Manager 2007 bietet eine zweite Stufe der Verteidigung, mit der die Standorthierarchie geschützt wird.Die Unterschiede zwischen einer Zertifikatsperrung in einer PKI-unterstützten Umgebung und dem Blockieren eines Clients in Configuration Manager 2007 sind in der folgenden Tabelle aufgeführt.
| Client blockieren | Zertifikatsperrung |
|---|---|
Diese Option ist in Standorten mit gemischtem und einheitlichem Modus verfügbar, bietet für Standorte mit gemischtem Modus allerdings nur begrenzte Sicherheit. |
Diese Option ist nur in Standorten mit einheitlichem Modus verfügbar, wenn die Public Key-Infrastruktur eine Zertifikatsperrliste (Certificate Revocation List, CRL) unterstützt. Clients für mobile Geräte verwenden keine Zertifikatsperrlisten. Ihre Zertifikate können jedoch von Configuration Manager 2007 gesperrt und überprüft werden. |
Der Configuration Manager 2007-Administrator kann einen Client blockieren. Diese Aktion findet innerhalb der Configuration Manager-Konsole statt. |
Der Public Key-Infrastrukturadministrator kann ein Zertifikat sperren. Diese Aktion findet außerhalb der Configuration Manager-Konsole statt. |
Die Clientkommunikation wird lediglich von der Configuration Manager 2007-Hierarchie zurückgewiesen. Hinweis Derselbe Client könnte sich bei einer anderen Configuration Manager 2007-Hierarchie registrieren. |
Die Clientkommunikation kann von einem beliebigen Computer oder mobilen Gerät zurückgewiesen werden, für den dieses Clientzertifikat erforderlich ist. |
Der Client wird sofort vom Configuration Manager 2007-Standort blockiert. |
Zwischen dem Sperren eines Zertifikats und dem Herunterladen der geänderten Zertifikatsperrliste (Certificate Revocation List, CRL) tritt möglicherweise eine Verzögerung auf. Bei vielen PKI-Bereitstellungen handelt es sich dabei um mindestens einen Tag. Bei den Microsoft Windows 2003-Zertifikatdiensten beläuft sich der Standardablaufzeitraum auf eine Woche für eine vollständige CRL und einen Tag für eine Delta-CRL. |
Schützt Standortsysteme vor möglicherweise kompromittierten Computern und mobilen Geräten. |
Schützt Standortsysteme und Clients vor möglicherweise kompromittierten Computern und mobilen Geräten. Weitere Informationen zum Aktivieren der Zertifikatsperrprüfung auf Clientcomputern finden Sie unter Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus). Hinweis Außerdem können Sie einen Standort im einheitlichen Modus durch Verwenden einer Zertifikatvertrauensliste (Certificate Trust List, CTL) vor unbekannten Clients schützen. Weitere Informationen finden Sie unter Bestimmen, ob eine CTL (Certificate Trust List) mit IIS konfiguriert werden muss (einheitlicher Modus). |
Siehe auch
Tasks
Blockieren von Configuration Manager-Clients
Konzepte
Administratorcheckliste: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Übersicht über die Bereitstellung von Configuration Manager-Clients
Bestimmen, ob die CRL-Prüfung (Certificate Revocation List) auf Clients aktiviert werden muss (einheitlicher Modus)
Andere Ressourcen
Planen und Bereitstellen von Clients für Configuration Manager 2007
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com