Determinar si se deben bloquear clientes en System Center Configuration ManagerDetermine whether to block clients in System Center Configuration Manager

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

Si un equipo cliente o un dispositivo móvil cliente deja de ser de confianza, puede bloquear el cliente en la consola de System Center 2012 Configuration Manager.If a client computer or client mobile device is no longer trusted, you can block the client in the System Center 2012 Configuration Manager console. La infraestructura de Configuration Manager rechaza los clientes bloqueados para que no se puedan comunicar con los sistemas de sitio para descargar directivas, cargar datos de inventario o enviar mensajes de estado.Blocked clients are rejected by the Configuration Manager infrastructure so that they cannot communicate with site systems to download policy, upload inventory data, or send state or status messages.

Debe bloquear y desbloquear a un cliente desde su sitio asignado en lugar de hacerlo desde un sitio secundario o un sitio de administración central.You must block and unblock a client from its assigned site rather than from a secondary site or a central administration site.

Importante

Si bien el bloqueo en Configuration Manager puede ayudar a proteger el sitio de Configuration Manager, no se debe confiar en que esta característica protegerá el sitio contra equipos o dispositivos móviles que no son de confianza si permite que los clientes se comuniquen con sistemas de sitio mediante HTTP, ya que un cliente bloqueado puede volver a unirse al sitio con un nuevo certificado autofirmado y un nuevo identificador de hardware.Although blocking in Configuration Manager can help to secure the Configuration Manager site, do not rely on this feature to protect the site from untrusted computers or mobile devices if you allow clients to communicate with site systems by using HTTP, because a blocked client could rejoin the site with a new self-signed certificate and hardware ID. En cambio, use la característica de bloqueo para bloquear medios de arranque perdidos o comprometidos que se usan para implementar sistemas operativos y cuando los sistemas de sitio acepten conexiones de cliente HTTPS.Instead, use the blocking feature to block lost or compromised boot media that you use to deploy operating systems, and when site systems accept HTTPS client connections.

No es posible bloquear los clientes que tienen acceso al sitio mediante el certificado de proxy de ISV.Clients that access the site by using the ISV Proxy certificate cannot be blocked. Para obtener más información sobre el certificado de proxy de ISV, consulte el kit de desarrollo de software (SDK) de System Center Configuration Manager.For more information about the ISV Proxy certificate, see the System Center Configuration Manager Software Development Kit (SDK).

Si los sistemas de sitio aceptan conexiones de cliente HTTPS y la infraestructura de clave pública (PKI) admite una lista de revocación de certificados (CRL), considere siempre la revocación de certificados como la primera línea de defensa contra certificados que puedan estar comprometidos.If your site systems accept HTTPS client connections and your public key infrastructure (PKI) supports a certificate revocation list (CRL), always consider certificate revocation to be the primary line of defense against potentially compromised certificates. El bloqueo de clientes en Configuration Manager ofrece una segunda línea de defensa para proteger la jerarquía.Blocking clients in Configuration Manager offers a second line of defense to protect your hierarchy.

Consideraciones para el bloqueo de clientesConsiderations for blocking clients

  • Esta opción está disponible para conexiones de cliente HTTP y HTTPS, pero brinda seguridad limitada cuando los clientes se conectan a los sistemas de sitio mediante HTTP.This option is available for HTTP and HTTPS client connections, but has limited security when clients connect to site systems by using HTTP.

  • Los usuarios administrativos de Configuration Manager tienen autoridad para bloquear un cliente, y esta acción se realiza en la consola de Configuration Manager.Configuration Manager administrative users have the authority to block a client, and the action is taken in the Configuration Manager console.

  • La comunicación de cliente solo puede rechazarse desde la jerarquía de Configuration Manager.Client communication is rejected from the Configuration Manager hierarchy only.

    Nota

    El mismo cliente podría registrarse en una jerarquía de Configuration Manager diferente.The same client could register with a different Configuration Manager hierarchy.

  • El cliente queda inmediatamente bloqueado en el sitio de Configuration Manager.The client is immediately blocked from the Configuration Manager site.

  • Ayuda a proteger los sistemas de sitio contra equipos y dispositivos móviles potencialmente comprometidos.Helps to protect site systems from potentially compromised computers and mobile devices.

Consideraciones sobre el uso de la revocación de certificadosConsiderations for using certificate revocation

  • Esta opción está disponible para las conexiones de cliente de Windows HTTPS si la infraestructura de clave pública es compatible con una lista de revocación de certificados (CRL).This option is available for HTTPS Windows client connections if the public key infrastructure supports a certificate revocation list (CRL).

    Los clientes Mac siempre realizan una comprobación de CRL y esta funcionalidad no puede deshabilitarse.Mac clients always perform CRL checking and this functionality cannot be disabled.

    Si bien los clientes de dispositivos móviles no usan listas de revocación de certificados para comprobar los certificados de los sistemas de sitio, Configuration Manager puede comprobar y revocar sus certificados.Although mobile device clients do not use certificate revocation lists to check the certificates for site systems, their certificates can be revoked and checked by Configuration Manager.

  • Los administradores de infraestructura de clave pública poseen la autoridad para revocar un certificado, y esta acción se realiza fuera de la consola de Configuration Manager.Public key infrastructure administrators have the authority to revoke a certificate, and the action is taken outside the Configuration Manager console.

  • La comunicación de cliente puede rechazarse desde cualquier equipo o dispositivo móvil que requiere este certificado de cliente.Client communication can be rejected from any computer or mobile device that requires this client certificate.

  • Es probable que exista un retraso entre el momento en que se revoca un certificado y el momento en que los sistemas de sitio descargan la lista de revocación de certificados (CRL) modificada.There is likely to be a delay between revoking a certificate and site systems downloading the modified certificate revocation list (CRL).

  • Para muchas de las implementaciones de PKI, este retraso puede ser de un día o más.For many PKI deployments, this delay can be a day or longer. Por ejemplo, en Servicios de certificados de Active Directory, el período de expiración predeterminado es de una semana para una CRL completa y de un día para una CRL de diferencias.For example, in Active Directory Certificate Services, the default expiration period is one week for a full CRL, and one day for a delta CRL.

  • Ayuda a proteger los sistemas de sitio y los clientes contra equipos y dispositivos móviles potencialmente comprometidos.Helps to protect site systems and clients from potentially compromised computers and mobile devices.

    Nota

    Puede proteger aún más los sistemas de sitio que ejecutan IIS contra clientes desconocidos mediante la configuración de una lista de certificados de confianza (CTL) en IIS.You can further protect site systems that run IIS from unknown clients by configuring a certificate trust list (CTL) in IIS.