Annak meghatározása, hogy szükséges-e az ügyfelek blokkolása a System Center Configuration ManagerbenDetermine whether to block clients in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ha egy ügyfélszámítógép vagy mobileszköz típusú ügyfél már nem megbízható, blokkolhatja az ügyfelet a System Center 2012 Configuration Manager konzolon.If a client computer or client mobile device is no longer trusted, you can block the client in the System Center 2012 Configuration Manager console. Blokkolt ügyfeleket a Configuration Manager-infrastruktúra visszautasítja, hogy azok nem kommunikálhatnak helyrendszerek tölthetnek le házirendeket, tölthet fel leltári adatokat vagy küldhetnek állapotinformációkat vagy -üzeneteket.Blocked clients are rejected by the Configuration Manager infrastructure so that they cannot communicate with site systems to download policy, upload inventory data, or send state or status messages.

Az ügyfelet a hozzárendelt helyéről kell blokkolnia és feloldania, nem egy másodlagos helyről vagy a központi felügyeleti helyről.You must block and unblock a client from its assigned site rather than from a secondary site or a central administration site.

Fontos

Bár blokkolja-e a Configuration Manager segítségével a Configuration Manager-hely védelmét, akkor ne használja a ezt a szolgáltatást a hely védelmét a nem megbízható számítógépekhez vagy mobil eszközökhöz, ha megengedi az ügyfeleknek kommunikálni a helyrendszerekkel HTTP, mert a blokkolt ügyfél újracsatlakozhatnak a helyhez egy új önaláírt tanúsítvány- és hardverkövetelményeinek.Although blocking in Configuration Manager can help to secure the Configuration Manager site, do not rely on this feature to protect the site from untrusted computers or mobile devices if you allow clients to communicate with site systems by using HTTP, because a blocked client could rejoin the site with a new self-signed certificate and hardware ID. Inkább használja a blokkolás funkciót az operációs rendszerek központi telepítésére használt, elveszett vagy sérült biztonságú rendszerindító adathordozók letiltására, és ha a helyrendszerek fogadják a HTTPS-ügyfélkapcsolatokat.Instead, use the blocking feature to block lost or compromised boot media that you use to deploy operating systems, and when site systems accept HTTPS client connections.

A helyet ISV-proxy tanúsítvány használatával elérő ügyfeleket nem lehet blokkolni.Clients that access the site by using the ISV Proxy certificate cannot be blocked. Az ISV-proxytanúsítványokkal kapcsolatos további információkért tekintse meg a System Center Configuration Manager Software Development Kit (SDK).For more information about the ISV Proxy certificate, see the System Center Configuration Manager Software Development Kit (SDK).

Ha a helyrendszerek elfogadják a HTTPS-ügyfélkapcsolatokat, és a használt nyilvános kulcsú infrastruktúra (PKI) támogatja a visszavont tanúsítványok listáját (CRL), érdemes a tanúsítványok visszavonását használnia elsődleges védelmi vonalként a potenciálisan veszélyeztetett tanúsítványokkal szemben.If your site systems accept HTTPS client connections and your public key infrastructure (PKI) supports a certificate revocation list (CRL), always consider certificate revocation to be the primary line of defense against potentially compromised certificates. A Configuration Manager ügyfelek blokkolása másodlagos védelmi vonalként szolgálhat-hierarchia védelmére.Blocking clients in Configuration Manager offers a second line of defense to protect your hierarchy.

Szempontok az ügyfelek blokkolásáhozConsiderations for blocking clients

  • Ez a beállítás HTTP és HTTPS ügyfélkapcsolatok esetén is használható, de korlátozott biztonságot nyújt, ha az ügyfelek HTTP használatával csatlakoznak a helyrendszerekhez.This option is available for HTTP and HTTPS client connections, but has limited security when clients connect to site systems by using HTTP.

  • A Configuration Manager rendszergazda felhasználói jogosultak egy ügyfél blokkolására, és a műveletet a Configuration Manager konzolon.Configuration Manager administrative users have the authority to block a client, and the action is taken in the Configuration Manager console.

  • Ügyfél-kommunikáció a Configuration Manager-hierarchia fogja elutasítani.Client communication is rejected from the Configuration Manager hierarchy only.

    Megjegyzés

    Ugyanaz az ügyfél sikeresen regisztrálhat egy másik Configuration Manager hierarchiából.The same client could register with a different Configuration Manager hierarchy.

  • Az ügyfél azonnal blokkolva lett a Configuration Manager-hely.The client is immediately blocked from the Configuration Manager site.

  • Segít megvédeni a helyrendszereket a potenciálisan veszélyeztető számítógépektől és mobileszközöktől.Helps to protect site systems from potentially compromised computers and mobile devices.

Szempontok a tanúsítvány-visszavonás használatáhozConsiderations for using certificate revocation

  • Ez a beállítás HTTPS Windows ügyfélkapcsolatok esetén használható, ha a nyilvános kulcsú infrastruktúra támogatja a visszavont tanúsítványok listáját (CRL).This option is available for HTTPS Windows client connections if the public key infrastructure supports a certificate revocation list (CRL).

    A Mac ügyfelek mindig elvégzik a CRL ellenőrzését, és ezt a funkciót nem lehet letiltani.Mac clients always perform CRL checking and this functionality cannot be disabled.

    Bár a mobileszközök nem használják a visszavont tanúsítványok listáját a helyrendszerek tanúsítványainak ellenőrzésére, a tanúsítványok visszavonása, és be van jelölve a Configuration Manager által.Although mobile device clients do not use certificate revocation lists to check the certificates for site systems, their certificates can be revoked and checked by Configuration Manager.

  • Nyilvános kulcsokra épülő infrastruktúra rendszergazdái jogosultak egy tanúsítvány visszavonására, és a műveletet a Configuration Manager-konzolon kívülről.Public key infrastructure administrators have the authority to revoke a certificate, and the action is taken outside the Configuration Manager console.

  • Az ügyfél kommunikációját el lehet utasítani minden olyan számítógépről vagy mobileszközről, mely igényli ezt az ügyféltanúsítványt.Client communication can be rejected from any computer or mobile device that requires this client certificate.

  • Valószínűleg késleltetés lesz a tanúsítvány visszavonása és a helyrendszerek által a visszavont tanúsítványok módosított listájának (CRL) letöltése között.There is likely to be a delay between revoking a certificate and site systems downloading the modified certificate revocation list (CRL).

  • Sok PKI-telepítésnél ez a késleltetés akár egy napnál is hosszabb idő lehet.For many PKI deployments, this delay can be a day or longer. Az Active Directory tanúsítványszolgáltatásánál például az alapértelmezett lejárati időtartam egy hét a teljes CRL-re, és egy nap a változás CRL-re.For example, in Active Directory Certificate Services, the default expiration period is one week for a full CRL, and one day for a delta CRL.

  • Segít megvédeni a helyrendszereket és ügyfeleket a potenciálisan veszélyeztető számítógépektől és mobileszközöktől.Helps to protect site systems and clients from potentially compromised computers and mobile devices.

    Megjegyzés

    További védelmet biztosíthat az IIS-t futtató helyrendszereknek az ismeretlen ügyfelek ellen, ha az IIS-ben konfigurálja a megbízható tanúsítványok listáját (CTL).You can further protect site systems that run IIS from unknown clients by configuring a certificate trust list (CTL) in IIS.