Bestimmen, ob Clients in Configuration Manager blockiert werden sollen
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Wenn ein Clientcomputer oder ein mobiles Clientgerät nicht mehr vertrauenswürdig ist, können Sie den Client in der System Center 2012 Configuration Manager-Konsole blockieren. Blockierte Clients werden von der Configuration Manager-Infrastruktur abgewiesen, sodass sie nicht mit Standortsystemen kommunizieren können, um Richtlinien herunterzuladen, Inventurdaten hochzuladen oder Zustands- bzw. Statusmeldungen zu senden.
In Configuration Manager SP1 wird für Mac-Clients, Linux- und UNIX-Clients sowie mobile Geräte, die mithilfe von Microsoft Intune angemeldet werden, das Blockieren und Zulassen unterstützt.
Sie können einen Client nur von dem ihm zugewiesenen Standort aus blockieren und zulassen, nicht jedoch von einem sekundären Standort oder einem Standort der zentralen Verwaltung.
.jpeg "System_CAPS_important"){kind=icon} Wichtig |
|---|
Das Blockieren in Configuration Manager trägt zwar zu einer erhöhten Sicherheit des Configuration Manager-Standorts bei, Sie sollten sich jedoch für einen Schutz des Standorts vor nicht vertrauenswürdigen Computern oder mobilen Geräten nicht auf dieses Feature verlassen, wenn Sie Clients die Kommunikation mit Standortsystemen über HTTP gestatten. In diesem Fall könnte sich der Client nämlich mit einem neuen selbstsignierten Zertifikat und einer neuen Hardware-ID erneut dem Standort beitreten. Verwenden Sie stattdessen das Feature „Blockierung“ zum Blockieren verlorener oder gefährdeter Startmedien, die Sie zum Bereitstellen von Betriebssystemen und in dem Fall verwenden, wenn HTTPS-Clientverbindungen von Standortsystemen akzeptiert werden. |
Clients, von denen das ISV-Proxyzertifikat für den Zugriff auf den Standort verwendet wird, können nicht blockiert werden. Weitere Informationen zum ISV-Proxyzertifikat finden Sie im Microsoft System Center 2012 Configuration Manager Software Development Kit (SDK).
Wenn an Ihrem Standort HTTPS-Clientverbindungen zugelassen werden und eine Zertifikatsperrliste (Certificate Revocation List, CRL) von Ihrer Public Key-Infrastruktur (PKI) unterstützt wird, ziehen Sie zunächst eine Zertifikatsperre zur Verteidigung gegen gefährdete Zertifikate in Betracht. Das Blockieren von Clients in Configuration Manager bietet eine zweite Stufe der Verteidigung, mit der die Standorthierarchie geschützt wird.
In den folgenden Abschnitten werden die Unterschiede zwischen dem Blockieren von Clients und dem Verwenden von Zertifikatsperrlisten sowie die Folgen des Blockierens von AMT-basierten Computern erläutert.
Vergleich zwischen dem Blockieren von Clients und dem Sperren von Clientzertifikaten
Blockieren von AMT-basierten Computern
Vergleich zwischen dem Blockieren von Clients und dem Sperren von Clientzertifikaten
In der folgenden Tabelle sind die Unterschiede zwischen dem Blockieren von Clients und Zertifikatsperren in einer PKI-unterstützten Umgebung aufgeführt.
Blockieren von Clients |
Verwenden der Zertifikatsperre |
||
|---|---|---|---|
Diese Option ist für HTTP- und HTTPS-Clientverbindungen verfügbar, jedoch ist die Sicherheit bei Clientverbindungen mit Standortsystemen über HTTP eingeschränkt. |
Diese Option ist für HTTPS-Windows-Clientverbindungen verfügbar, wenn eine Zertifikatsperrliste (Certificate Revocation List, CRL) von der Public Key-Infrastruktur unterstützt wird. In Configuration Manager SP1 wird die Überprüfung der Zertifikatsperrlisten von Mac-Clients immer durchgeführt. Diese Funktion kann nicht deaktiviert werden. Obwohl von Clients für mobile Geräte keine Zertifikatsperrlisten zum Überprüfen der Zertifikate für Standortsysteme verwendet werden, können ihre Zertifikate von Configuration Manager gesperrt und überprüft werden. |
||
Configuration Manager-Administratoren können einen Client blockieren. Diese Aktion findet innerhalb der Configuration Manager-Konsole statt. |
Administratoren der Public Key-Infrastruktur können ein Zertifikat sperren. Diese Aktion findet außerhalb der Configuration Manager-Konsole statt. |
||
Die Clientkommunikation wird lediglich von der Configuration Manager-Hierarchie zurückgewiesen.
|
Die Clientkommunikation kann von einem beliebigen Computer oder mobilen Gerät zurückgewiesen werden, für den dieses Clientzertifikat erforderlich ist. |
||
Der Client wird sofort vom Configuration Manager-Standort blockiert. |
Zwischen dem Sperren eines Zertifikats und dem Herunterladen der geänderten Zertifikatsperrliste (Certificate Revocation List, CRL) tritt möglicherweise eine Verzögerung auf. Bei vielen PKI-Bereitstellungen handelt es sich dabei um mindestens einen Tag. Bei Active Directory-Zertifikatdienste beläuft sich der Standardablaufzeitraum auf eine Woche für eine vollständige Zertifikatsperrliste und einen Tag für eine Delta-Zertifikatsperrliste. |
||
Schützt Standortsysteme vor möglicherweise kompromittierten Computern und mobilen Geräten. |
Schützt Standortsysteme und Clients vor gefährdeten Computern und mobilen Geräten.
|
Blockieren von AMT-basierten Computern
Wenn Sie einen Intel AMT-basierten Computer blockieren, der von System Center 2012 Configuration Manager bereitgestellt wurde, können Sie ihn nicht mehr out-of-band verwalten. Wenn ein AMT-basierter Computer blockiert wird, werden automatisch die nachstehend beschriebenen Aktionen ausgeführt, um das Netzwerk vor Sicherheitsrisiken wie Erhöhung von Berechtigungen und Informationsoffenlegung zu schützen.
Alle für den AMT-basierten Computer ausgestellten Zertifikate werden vom Standortserver mit dem Sperrgrund Cease of Operation gesperrt. Der AMT-basierte Computer verfügt möglicherweise über mehrere Zertifikate, wenn er für authentifizierte 802.1X-Kabel- und Drahtlosnetzwerke konfiguriert ist, die Clientzertifikate akzeptieren.
Der Standortserver löscht das AMT-Konto in Active Directory-Domänendienste.
Die AMT-Bereitstellungsinformationen werden nicht vom Computer entfernt, jedoch kann der Computer nicht mehr out-of-band verwaltet werden, da sein Zertifikat gesperrt und sein Konto gelöscht wird. Wenn Sie später die Blockierung des Clients aufheben, müssen Sie die nachstehend beschriebenen Aktionen ausführen, um den Computer out-of-band verwalten zu können:
Manuelles Entfernen der Bereitstellungsinformationen aus den BIOS-Erweiterungen des Computers. Diese Konfiguration kann nicht remote durchgeführt werden.
Stellen Sie den Computer mit Configuration Manager erneut bereit.
Wenn Sie vermuten, dass Sie die Blockierung des Clients zu einem späteren Zeitpunkt aufheben werden und Sie vor dem Blockieren des Clients eine Verbindung mit dem AMT-basierten Computer überprüfen können, können Sie die AMT-Bereitstellungsinformationen mithilfe von Configuration Manager entfernen und dann den Client blockieren. Dieses Vorgehen erspart Ihnen das manuelle Konfigurieren der BIOS-Erweiterungen, nachdem die Blockierung des Clients aufgehoben wurde. Diese Option ist jedoch für das Entfernen von Bereitstellungsinformationen auf die Verbindung mit dem nicht vertrauenswürdigen Computer angewiesen. Dies ist besonders riskant, wenn der AMT-basierte Computer um einen Laptop ist, der möglicherweise vom Netzwerk getrennt wird oder über eine Drahtlosverbindung kommuniziert.
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Vergewissern Sie sich, dass der AMT-basierte Computer den Vorgang zum Entfernen der Bereitstellungsinformationen erfolgreich ausgeführt hat, indem Sie prüfen, ob der AMT-Status von Bereitgestellt in Nicht bereitgestellt geändert wurde. Wenn die Bereitstellungsinformationen nicht vor dem Blockieren des Clients entfernt werden, ist der AMT-Status weiterhin Bereitgestellt, doch können Sie den Computer erst dann out-of-band verwalten, nachdem Sie die BIOS-Erweiterungen neu konfiguriert und den Computer erneut für AMT bereitgestellt haben. Weitere Informationen zum AMT-Status finden Sie unter AMT-Status und Out-of-Band-Verwaltung in Configuration Manager. |