Annak meghatározása, hogy blokkolja-e az ügyfeleket a Configuration Manager

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ha egy ügyfélszámítógép vagy ügyfél mobileszköze már nem megbízható, letilthatja az ügyfelet a System Center 2012 Configuration Manager konzolon. A blokkolt ügyfeleket a Configuration Manager infrastruktúra elutasítja, így nem tudnak kommunikálni a helyrendszerekkel a házirend letöltéséhez, a leltáradatok feltöltéséhez, illetve állapot- vagy állapotüzenetek küldéséhez.

Az ügyfelet nem másodlagos helyről vagy központi adminisztrációs helyről, hanem a hozzárendelt helyről kell letiltania és feloldania.

Fontos

Bár a Configuration Manager blokkolása segíthet a Configuration Manager hely védelmében, ne támaszkodjon erre a szolgáltatásra, hogy megvédje a helyet a nem megbízható számítógépektől vagy mobileszközöktől, ha engedélyezi az ügyfelek számára a HTTP-vel való kommunikációt a helyrendszerekkel, mert a blokkolt ügyfél újra csatlakozhat a helyhez egy új önaláírt tanúsítvánnyal és hardverazonosítóval. Ehelyett használja a blokkolási funkciót az operációs rendszerek központi telepítéséhez használt elveszett vagy feltört rendszerindító adathordozók blokkolására, valamint arra az esetre, ha a helyrendszerek HTTPS-ügyfélkapcsolatokat fogadnak el.

Az ISV-proxytanúsítvánnyal a helyet elérő ügyfelek nem tilthatók le. Az ISV-proxytanúsítvánnyal kapcsolatos további információkért lásd: Configuration Manager Software Development Kit (SDK).

Ha a helyrendszerek HTTPS-ügyfélkapcsolatokat fogadnak, és a nyilvános kulcsú infrastruktúra (PKI) támogatja a visszavont tanúsítványok listáját (CRL), mindig a tanúsítvány-visszavonást érdemes elsődleges védelmi vonalnak tekinteni a potenciálisan sérült tanúsítványok ellen. A Configuration Manager-ügyfelek blokkolása egy második védelmi vonalat kínál a hierarchia védelméhez.

Megfontolandó szempontok az ügyfelek blokkolásához

• Ez a lehetőség HTTP- és HTTPS-ügyfélkapcsolatokhoz érhető el, de korlátozott biztonságú, ha az ügyfelek HTTP használatával csatlakoznak a helyrendszerekhez.

• Configuration Manager rendszergazdai felhasználók blokkolhatják az ügyfelet, és a művelet a Configuration Manager konzolon történik.

• Az ügyfélkommunikáció csak a Configuration Manager hierarchiából lesz elutasítva.

  Megjegyzés:

  Ugyanez az ügyfél regisztrálhat egy másik Configuration Manager-hierarchiával.

• Az ügyfél azonnal le van tiltva a Configuration Manager helyről.

• Segít megvédeni a helyrendszereket a potenciálisan feltört számítógépektől és mobileszközöktől.

A tanúsítvány-visszavonás használatának szempontjai

• Ez a beállítás HTTPS Windows-ügyfélkapcsolatokhoz érhető el, ha a nyilvános kulcsú infrastruktúra támogatja a visszavont tanúsítványok listáját (CRL).

  A Mac-ügyfelek mindig crl-ellenőrzést végeznek, és ez a funkció nem tiltható le.

  Bár a mobileszköz-ügyfelek nem használnak visszavont tanúsítványok listáját a helyrendszerek tanúsítványainak ellenőrzéséhez, a tanúsítványaikat visszavonhatja és ellenőrizheti a Configuration Manager.

• A nyilvános kulcsú infrastruktúra rendszergazdái visszavonhatják a tanúsítványokat, és a műveletet a Configuration Manager konzolon kívül hajtják végre.

• Az ügyfél-kommunikáció bármely olyan számítógépről vagy mobileszközről elutasítható, amely ehhez az ügyféltanúsítványhoz szükséges.

• Valószínűleg késni fog a tanúsítvány visszavonása és a módosított visszavont tanúsítványok listáját (CRL) letöltő helyrendszerek között.

• Sok PKI üzemelő példány esetében ez a késés egy nap vagy több is lehet. Az Active Directory tanúsítványszolgáltatásokban például az alapértelmezett lejárati idő egy hét a teljes CRL-hez, és egy nap a különbözeti CRL-hez.

• Segít megvédeni a helyrendszereket és az ügyfeleket a potenciálisan feltört számítógépektől és mobileszközöktől.

  Megjegyzés:

  Az IIS-t futtató helyrendszereket tovább védheti az ismeretlen ügyfelektől egy tanúsítványmegbízhatósági lista (CTL) konfigurálásával az IIS-ben.