Bepalen of clients moeten worden geblokkeerd in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Indien een clientcomputer of client mobiel apparaat niet langer vertrouwd is, kunt u de client blokkeren in de System Center 2012 Configuration Manager-console. Geblokkeerde clients worden geweigerd door de Configuration Manager-infrastructuur zodat ze niet kunnen communiceren met sitesystemen om beleid te downloaden, inventarisgegevens te uploaden of statusberichten te verzenden.
In Configuration Manager SP1 ondersteunen Mac-, Linux- en UNIX-clients en mobiele apparaten, die ingeschreven zijn door Microsoft Intune, blokkeren en blokkering opheffen.
U moet een client blokkeren en zijn blokkering opheffen van zijn toegewezen site, liever dan van een secundaire site of een centrale beheersite.
.jpeg "System_CAPS_important") Belangrijk |
|---|
Hoewel het blokkeren in Configuration Manager kan helpen om de Configuration Manager-site veilig te stellen, kunt u beter niet vertrouwen op deze functie voor de bescherming van de site tegen niet-vertrouwde computers of mobiele apparaten als u clients toestaat om te communiceren met sitesystemen die HTTP gebruiken, omdat een geblokkeerde client zich weer kan aanmelden bij de site met een nieuw, zelfondertekend certificaat en de hardware-id. Gebruik in plaats hiervan de blokkeringsfunctie om verloren of schadelijke opstartmedia te blokkeren die u gebruikt voor het implementeren van besturingssystemen, en als sitesystemen HTTPS-clientverbindingen accepteren. |
Clients die toegang hebben tot de site door gebruik te maken van het ISV Proxy-certificaat kunnen niet geblokkeerd worden. Voor meer informatie over het ISV Proxy-certificaat, zie de Microsoft System Center 2012 Configuration Manager Software Development Kit (SDK).
Indien uw sitesystemen HTTPS-clientverbindingen aanvaarden en uw openbare-sleutelinfrastructuur (PKI) een certificaatintrekkingslijst (CRL) ondersteunt, beschouw dan altijd certificaatintrekking als uw eerstelijnsverdediging tegen eventueel verdachte certificaten. Clients blokkeren in Configuration Manager is een secundaire verdediging om uw hiërarchie te beschermen.
Gebruik de volgende secties om te helpen het onderscheid te maken tussen het blokkeren van clients en het gebruik van een intrekkingslijst van certificaten, en de implicaties van het blokkeren van AMT-gebaseerde computers:
Vergelijking van blokkering van clients en het intrekken van clientcertificaten
AMT-gebaseerde computers blokkeren
Vergelijking van blokkering van clients en het intrekken van clientcertificaten
Gebruik de volgende tabel om u te helpen bij het onderscheid maken tussen het blokkeren van een client en het intrekken van certificaten in een PKI-ondersteunde omgeving.
Client blokkeren |
Met behulp van certificaatintrekking |
|---|---|
Deze optie is beschikbaar voor HTTP- en HTTPS-clientverbindingen, maar heeft beperkte veiligheid wanneer clients verbinden met sitesystemen door gebruik te maken van HTTP. |
De optie is beschikbaar voor HTTPS Windows client-verbindingen indien de openbare-sleutel-infrastructuur een certificaatintrekkingslijst (CRL) ondersteunt. In Configuration Manager SP1 voeren Mac-clients altijd CRL-controle uit en deze functionaliteit kan niet worden uitgeschakeld. Hoewel mobiele apparaat-clients geen certificaatintrekkinglijsten gebruiken om de certificaten voor sitesystemen te controleren, kunnen hun certificaten ingetrokken en gecontroleerd worden door Configuration Manager. |
Configuration Manager-gebruikers met beheerdersrechten hebben de bevoegdheid om een client te blokkeren en de actie wordt uitgevoerd in de Configuration Manager-console. |
Beheerders van openbare-sleutelinfrastructuur hebben de bevoegdheid om een certificaat in te trekken en de actie wordt uitgevoerd buiten de Configuration Manager-console. |
Clientcommunicatie wordt enkel geweigerd vanuit de Configuration Manager-hiërarchie. Notitie Dezelfde client zou kunnen registreren met een andere Configuration Manager-hiërarchie. |
Clientcommunicatie kan geweigerd worden van elke computer of elk mobiel apparaat dat dit clientcertificaat vereist. |
De client wordt onmiddellijk geblokkeerd vanuit de Configuration Manager-site. |
Er is waarschijnlijk een vertraging tussen een certificaat intrekken en sitesystemen die de gewijzigde certificaatintrekkingslijst (CRL) downloaden. Voor vele PKI-implementaties kan deze vertraging een dag of meer bedragen. In Active Directory Certificate Services bijvoorbeeld is de standaard termijnafloop één week voor een volledige CRM en één dag voor een delta-CRL. |
Helpt sitesystemen te beschermen tegen eventueel verdachte computers en mobiele apparaten. |
Helpt sitesystemen en clients te beschermen tegen eventueel verdachte computers en mobiele apparaten. Notitie U kunt sitesystemen die IIS uitvoeren verder beschermen tegen onbekende clients door een certificaatvertrouwenslijst (CTL) te configureren in IIS. |
AMT-gebaseerde computers blokkeren
Nadat u een Intel AMT-gebaseerde computer blokkeert, die is ingericht door System Center 2012 Configuration Manager, zult u hem niet langer buiten-band kunnen beheren. Wanneer een AMT-gebaseerde computer geblokkeerd is, gebeuren de volgende acties automatisch om het netwerk te helpen beschermen tegen de beveiligingsrisico's van de verhoging van bevoegdheden en vrijgave van informatie:
De siteserver trekt alle certificaten in die werden verleend aan de AMT-gebaseerde computer met de intrekkingsreden van Cease of Operation. De AMT-gebaseerde computer kan meerdere certificaten hebben indien hij geconfigureerd is voor 802.1X geverifieerde bedrade of draadloze netwerken die clientcertificaten ondersteunen.
De siteserver wist de AMT-account in Active DIrectory Domain Services.
De AMT-inrichtingsgegevens worden niet verwijderd van de computer, maar de computer kan niet langer buiten-band beheerd worden omdat zijn certificaat ingetrokken is en zijn account gewist. Indien u later de blokkering van de client opheft, moet u de volgende acties uitvoeren, vóór u de computer out-of-band kunt beheren:
Handmatig inrichtingsgegevens verwijderen uit de BIOS-extensies van de computer. U zult niet in staat zijn deze configuratie op afstand uit te voeren.
De computer opnieuw inrichten met Configuration Manager.
Indien u denkt dat u de blokkering van de client later zou kunnen opheffen en u een verbinding kunt verifiëren met de AMT-gebaseerde computer vóór u de client blokkeert, kunt u de AMT-inrichtingsinformatie verwijderen met Configuration Manager en dan de client blokkeren. Deze sequentie van acties bespaart u het handmatig configureren van de BIOS-extensies nadat u de blokkeringen van de client opheft. Deze optie is evenwel gebaseerd op een succesvolle verbinding met de niet-vertrouwde computer om het verwijderen van informatie voor het inrichten te vervolledigen. Dit is in het bijzonder riskant wanneer de AMT-gebaseerde computer een laptop is en zou kunnen ontkoppeld zijn van het netwerk of gekoppeld zijn aan een draadloze verbinding.
Notitie
Bevestig, om te verifiëren dat de AMT-gebaseerde computer met succes inrichtingsgegevens verwijderde, dat de AMT-status gewijzigd is van Ingericht naar Niet-ingericht. Indien evenwel de inrichtingsgegevens niet werden verwijderd vóór de klant werd geblokkeerd, blijft de AMT-status op Ingericht, maar u zult niet in staat zijn de computer buiten-band te beheren totdat u de BIOS-extensies opnieuw configureert en de computer opnieuw inricht voor AMT. Zie Over de AMT-Status en de buiten-bandbeheer is in Configuration Manager voor meer informatie over de AMT-status.