Determinare se bloccare i client in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Se un computer client o un dispositivo mobile client non è più attendibile, è possibile bloccare il client nella console di System Center 2012 Configuration Manager. I client bloccati vengono rifiutati dall'infrastruttura Configuration Manager in modo che non possano comunicare con i sistemi del sito per scaricare i criteri, caricare i dati di inventario o inviare messaggi di stato o di stato.
È necessario bloccare e sbloccare un client dal sito assegnato anziché da un sito secondario o da un sito di amministrazione centrale.
Importante
Anche se il blocco in Configuration Manager può aiutare a proteggere il sito Configuration Manager, non fare affidamento su questa funzionalità per proteggere il sito da computer non attendibili o dispositivi mobili se si consente ai client di comunicare con i sistemi del sito tramite HTTP, perché un client bloccato potrebbe ricongiungersi al sito con un nuovo certificato autofirmato e un ID hardware. Usare invece la funzionalità di blocco per bloccare i supporti di avvio persi o compromessi usati per distribuire i sistemi operativi e quando i sistemi del sito accettano connessioni client HTTPS.
I client che accedono al sito usando il certificato proxy ISV non possono essere bloccati. Per altre informazioni sul certificato proxy ISV, vedere Configuration Manager Software Development Kit (SDK).
Se i sistemi del sito accettano connessioni client HTTPS e l'infrastruttura a chiave pubblica (PKI) supporta un elenco di revoche di certificati (CRL), considerare sempre la revoca del certificato come la linea di difesa primaria contro i certificati potenzialmente compromessi. Il blocco dei client in Configuration Manager offre una seconda linea di difesa per proteggere la gerarchia.
Considerazioni per il blocco dei client
Questa opzione è disponibile per le connessioni client HTTP e HTTPS, ma ha una sicurezza limitata quando i client si connettono ai sistemi del sito tramite HTTP.
Configuration Manager gli utenti amministratori hanno l'autorità di bloccare un client e l'azione viene eseguita nella console Configuration Manager.
La comunicazione client viene rifiutata solo dalla gerarchia Configuration Manager.
Nota
Lo stesso client può eseguire la registrazione con una gerarchia di Configuration Manager diversa.
Il client viene immediatamente bloccato dal sito Configuration Manager.
Consente di proteggere i sistemi del sito da computer e dispositivi mobili potenzialmente compromessi.
Considerazioni sull'uso della revoca del certificato
Questa opzione è disponibile per le connessioni client Windows HTTPS se l'infrastruttura a chiave pubblica supporta un elenco di revoche di certificati .This option is available for HTTPS Windows client connections if the public key infrastructure supports a certificate revocation list (CRL).
I client Mac eseguono sempre il controllo CRL e questa funzionalità non può essere disabilitata.
Anche se i client di dispositivi mobili non usano elenchi di revoche di certificati per controllare i certificati per i sistemi del sito, i relativi certificati possono essere revocati e controllati da Configuration Manager.
Gli amministratori dell'infrastruttura a chiave pubblica hanno l'autorità di revocare un certificato e l'azione viene eseguita all'esterno della console Configuration Manager.
La comunicazione client può essere rifiutata da qualsiasi computer o dispositivo mobile che richiede questo certificato client.
È probabile che si verifichi un ritardo tra la revoca di un certificato e i sistemi del sito che scaricano l'elenco di revoche di certificati (CRL) modificato.
Per molte distribuzioni PKI, questo ritardo può essere di un giorno o più. Ad esempio, in Servizi certificati Active Directory il periodo di scadenza predefinito è una settimana per un CRL completo e un giorno per un CRL delta.
Consente di proteggere i sistemi e i client del sito da computer e dispositivi mobili potenzialmente compromessi.
Nota
È possibile proteggere ulteriormente i sistemi del sito che eseguono IIS da client sconosciuti configurando un elenco di attendibilità dei certificati (CTL) in IIS.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per