Informationen zum Blockieren von Clients und zur Out-of-Band-Verwaltung
Letzte Aktualisierung: Oktober 2009
Betrifft: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Wenn ein Clientcomputer nicht mehr vertrauenswürdig ist, kann der Configuration Manager-Administrator den Client in der Configuration Manager 2007-Konsole blockieren, sodass er nicht mit mehr mit Standortsystemen für den Download von Richtlinien, das Hochladen von Inventurdaten oder Senden von Zustands- oder Statusmeldungen kommunizieren kann. Die Blockierung eines Clients kann aufgehoben werden, wenn der Client wieder als vertrauenswürdig gilt. Das Blockieren und Wiederzulassen von Clients hat besondere Auswirkungen, wenn der Computer für die Out-of-Band-Verwaltung bereitgestellt wird. Diese Auswirkungen werden in den nachstehenden Abschnitten beschrieben. Weitere Informationen zum Blockieren von Clients finden Sie unter Bestimmen, ob Configuration Manager-Clients blockiert werden müssen und Blockieren von Configuration Manager-Clients.
Hinweis
Die Angaben in diesem Thema gelten nur für Configuration Manager 2007 SP1 und spätere Versionen.
Blockieren AMT-basierter Computer in Configuration Manager 2007 SP1
Computer, die von Configuration Manager 2007 SP1 blockiert wurden, akzeptieren Verbindungen im Rahmen der Out-of-Band-Verwaltung weiterhin. Wenn ein AMT-basierter Computer blockiert wird, weil er nicht mehr als vertrauenswürdig gilt, können Sie sich für eine der folgenden Lösungen entscheiden:
Sperren Sie das AMT-Zertifikat des Computers manuell, und deaktivieren oder löschen Sie das AMT-Konto in Active Directory-Domänendienste. Diese Option ist die sicherste, da sie keine Verbindung mit dem nicht vertrauenswürdigen Computer erfordert, Sie sofort überprüfen können, ob diese Aktionen erfolgreich ausgeführt wurden, und Sie den Sperrgrund steuern sowie festlegen können, ob das Konto deaktiviert oder gelöscht wird. Nachteilig ist bei dieser Option vor allem, dass Sie – wenn Sie die Blockierung dieses Clients später aufheben – den Computer erst dann wieder out-of-band verwalten können, nachdem Sie die Bereitstellungsinformationen manuell aus den BIOS-Erweiterungen entfernt und den Computer neu bereitgestellt haben. Weitere Nachteile sind der administrativer Mehraufwand und mögliche Verzögerungen bei der Durchführung dieser manuellen Aktionen.
Entfernen Sie die Bereitstellungsinformationen auf dem AMT-basierten Computer mithilfe von Configuration Manager, wenn der Out-of-Band-Dienstpunkt eine Verbindung mit dem AMT-basierten Computer herstellen kann. Mit dieser Aktion wird das AMT-Zertifikat des Computers automatisch gesperrt (mit dem Sperrungsgrund „Abgelöst“) und das AMT-Konto in Active Directory-Domänendienste automatisch gelöscht. Bei dieser Aktion wird auch der zugeordnete SPN gelöscht. Weitere Informationen zum Entfernen von Bereitstellungsinformationen finden Sie unter Entfernen von Bereitstellungsinformationen für AMT-basierte Computer. Diese Lösung ist von allen die einfachste und bietet zusätzliche Sicherheit, da Sperrung und Kontolöschung automatisch erfolgen. Wenn Sie die Blockierung dieses Clients später aufheben, können Sie zudem den Client erneut bereitstellen, ohne die BIOS-Erweiterungen lokal neu konfigurieren zu müssen. Bei Verwendung dieser Option müssen u. a. folgende Nachteile in Kauf genommen werden: Sie sind gezwungen, mit einem nicht vertrauenswürdigen Computer zu kommunizieren, Sie können den Sperrgrund nicht angeben, und Sie können das Konto nicht deaktivieren, selbst wenn dies in Übereinstimmung mit der Unternehmensrichtlinie nahelegt oder vorgeschrieben wird – stattdessen wird das Konto automatisch gelöscht. Stellen Sie bei Verwendung dieser Option sicher, dass das Zertifikat gesperrt und das Konto gelöscht wurde, und führen Sie bei Bedarf manuell eine Wiederherstellungsaktion aus.
Ergreifen Sie keine Maßnahmen zur Verhinderung der Kommunikation im Rahmen der Out-of-Band-Verwaltung. Diese Lösung ist mit dem höchsten Sicherheitsrisiko behaftet, da ein nicht vertrauenwürdiger Computer über ein gültiges Zertifikat und ein Konto verfügt, das die Anmeldung bei Active Directory-Domänendienste ermöglicht. Dieses Szenario birgt Sicherheitsrisiken wie die Erhöhung von Berechtigungen und Informationsoffenlegung. Da dieser Computer out-of-band verwaltet werden kann, können Sie jedoch zusätzliche Schritte zu seinem Schutz unternehmen, z. B. durch das Anfertigen eines Abbilds des Computers, oder das Neuformatieren und anschließende Herunterfahren des Computers. Mit diesen zusätzlichen Maßnahmen allein lässt sich jedoch weder verhindern, dass Angreifer den Computer wieder hochfahren, noch werden damit die Informationen in AMT geschützt.
Hinweis
Suchen Sie zum Ermitteln des AMT-Zertifikats auf der ausstellenden Zertifizierungsstelle das Zertifikat, das für den Standortserver mit dem FQDN des AMT-basierten Computer als Zertifikatantragsteller ausgestellt wurde. Suchen Sie zum Ermitteln des AMT-Kontos in der Domäne des Computers die Organisationseinheit oder den Container, die bzw. der in den Eigenschaften der Out-of-Band-Verwaltungskomponente auf der Registerkarte Allgemein angegeben wurde. Das Konto wird als Computer mit <Computername> im Ergebnisbereich der Active Directory-Benutzer und -Computer-Konsole angezeigt, obwohl in den vollständigen Eigenschaften für dieses Konto der Name in folgendem Format angezeigt wird: <Computername>$iME.
Blockieren AMT-basierter Computer in Configuration Manager 2007 SP2
Computer, die von Configuration Manager 2007 SP2 blockiert werden, können nicht mehr out-of-band verwaltet werden. Wenn ein AMT-basierter Computer blockiert wird, werden automatisch die nachstehend beschriebenen Aktionen ausgeführt, um das Netzwerk vor Sicherheitsrisiken wie Erhöhung von Berechtigungen und Informationsoffenlegung zu schützen.
Der Standortserver sperrt alle für den AMT-basierten Computer ausgestellten Zertifikate mit dem Sperrgrund „Abgelöst“. Der AMT-basierte Computer verfügt möglicherweise über mehrere Zertifikate, da Configuration Manager 2007 SP2 authentifizierte 802.1X-Kabel- und Drahtlosnetzwerke unterstützt, die Clientzertifikate akzeptieren.
Der Standortserver löscht das AMT-Konto in Active Directory-Domänendienste.
Bereitstellungsinformationen werden nicht von AMT entfernt, jedoch kann der AMT-basierte Computer nicht mehr out-of-band verwaltet werden, da sein Zertifikat gesperrt und sein Konto gelöscht wird. Wenn Sie später die Blockierung des Clients aufheben, müssen Sie die nachstehend beschriebenen Aktionen ausführen, um den Computer out-of-band verwalten zu können:
Manuelles Entfernen der Bereitstellungsinformationen aus den BIOS-Erweiterungen des Computers. Diese Konfiguration kann nicht remote durchgeführt werden.
Erneutes Bereitstellen von Configuration Manager auf dem Computer.
Wenn Sie vermuten, dass Sie die Blockierung des Clients zu einem späteren Zeitpunkt aufheben werden und Sie vor dem Blockieren des Clients eine Verbindung mit dem AMT-basierten Computer überprüfen können, können Sie Bereitstellungsinformationen mithilfe von Configuration Manager entfernen und dann den Client blockieren. Dieses Vorgehen erspart Ihnen das manuelle Konfigurieren der BIOS-Erweiterungen, nachdem die Blockierung des Clients aufgehoben wurde. Diese Option ist jedoch für das Entfernen von Bereitstellungsinformationen auf die Verbindung mit dem nicht vertrauenswürdigen Computer angewiesen. Dies ist besonders riskant, wenn der AMT-basierte Computer um einen Laptop ist, der möglicherweise vom Netzwerk getrennt wird oder über über eine Drahtlosverbindung kommuniziert.
Hinweis
Vergewissern Sie sich, dass der AMT-basierte Computer den Vorgang zum Entfernen der Bereitstellungsinformationen erfolgreich ausgeführt hat, indem Sie prüfen, ob der AMT-Status von Bereitgestellt in Nicht bereitgestellt geändert wurde. Wenn die Bereitstellungsinformationen nicht vor dem Blockieren des Clients entfernt werden, ist der AMT-Status weiterhin Bereitgestellt, doch können Sie den Computer erst dann out-of-band verwalten, nachdem Sie die BIOS-Erweiterungen neu konfiguriert und den Computer erneut für AMT bereitgestellt haben. Weitere Informationen zum AMT-Status finden Sie unter Informationen zum AMT-Status und zur Out-of-Band-Verwaltung.
Siehe auch
Tasks
Blockieren von Configuration Manager-Clients
Entfernen von Bereitstellungsinformationen für AMT-basierte Computer
Konzepte
Informationen zu Zertifikaten für die Out-of-Band-Verwaltung
Bestimmen, ob Configuration Manager-Clients blockiert werden müssen
Übersicht über die Out-of-Band-Verwaltung
Bewährte Sicherheitsmethoden und Datenschutzinformationen zur Out-of-Band-Verwaltung
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com