Determinar se deve bloquear clientes no System Center Configuration ManagerDetermine whether to block clients in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Se um computador cliente ou dispositivo móvel cliente já não fidedigno, é possível bloquear o cliente na consola do System Center 2012 Configuration Manager.If a client computer or client mobile device is no longer trusted, you can block the client in the System Center 2012 Configuration Manager console. Os clientes bloqueados são rejeitados pela infraestrutura do Configuration Manager para que não possam comunicar com sistemas de sites para transferir políticas, carregar dados de inventário ou enviar mensagens de estado.Blocked clients are rejected by the Configuration Manager infrastructure so that they cannot communicate with site systems to download policy, upload inventory data, or send state or status messages.

O cliente deve ser bloqueado e desbloqueado a partir do site atribuído e não de um site secundário ou de um site de administração central.You must block and unblock a client from its assigned site rather than from a secondary site or a central administration site.

Importante

Apesar de bloqueio no Configuration Manager pode ajudar a proteger o site do Configuration Manager, não recorra esta funcionalidade para proteger o site contra dispositivos móveis ou computadores não fidedignos se permitir que os clientes comunicar com sistemas de sites utilizando HTTP, uma vez que um cliente bloqueado poderia voltar ao site com um ID de hardware e de certificado autoassinado novoAlthough blocking in Configuration Manager can help to secure the Configuration Manager site, do not rely on this feature to protect the site from untrusted computers or mobile devices if you allow clients to communicate with site systems by using HTTP, because a blocked client could rejoin the site with a new self-signed certificate and hardware ID. Em vez disso, utilize a funcionalidade de bloqueio para bloquear suportes de dados de arranque perdidos ou comprometidos, que utiliza para implementar sistemas operativos, e quando os sistemas de sites aceitam ligações de cliente por HTTPS.Instead, use the blocking feature to block lost or compromised boot media that you use to deploy operating systems, and when site systems accept HTTPS client connections.

Os clientes que acedem ao site utilizando o certificado de Proxy ISV não podem ser bloqueados.Clients that access the site by using the ISV Proxy certificate cannot be blocked. Para obter mais informações sobre o certificado de ISV Proxy, consulte o System Center Configuration Manager Software Development Kit (SDK) do System.For more information about the ISV Proxy certificate, see the System Center Configuration Manager Software Development Kit (SDK).

Se os seus sistemas do site aceitarem ligações de cliente por HTTPS e a sua infraestrutura de chaves públicas (PKI) suportar uma lista de revogação de certificados (CRL), considere sempre a revogação de certificados como a primeira linha de defesa contra certificados potencialmente comprometidos.If your site systems accept HTTPS client connections and your public key infrastructure (PKI) supports a certificate revocation list (CRL), always consider certificate revocation to be the primary line of defense against potentially compromised certificates. Bloqueio de clientes no Configuration Manager oferece uma segunda linha de defesa para proteger a hierarquia.Blocking clients in Configuration Manager offers a second line of defense to protect your hierarchy.

Considerações para bloquear clientes Considerations for blocking clients

  • Esta opção está disponível para ligações de cliente por HTTP e HTTPS, mas tem segurança limitada quando os clientes ligam aos sistemas do site por HTTP.This option is available for HTTP and HTTPS client connections, but has limited security when clients connect to site systems by using HTTP.

  • Utilizadores administrativos do Configuration Manager têm autoridade para bloquear um cliente e a ação é executada na consola do Configuration Manager.Configuration Manager administrative users have the authority to block a client, and the action is taken in the Configuration Manager console.

  • Comunicação do cliente é rejeitada a partir da hierarquia do Configuration Manager apenas.Client communication is rejected from the Configuration Manager hierarchy only.

    Nota

    Foi possível registar o mesmo cliente com uma hierarquia diferente e do Configuration Manager.The same client could register with a different Configuration Manager hierarchy.

  • O cliente é imediatamente bloqueado no site do Configuration Manager.The client is immediately blocked from the Configuration Manager site.

  • Ajuda a proteger os sistemas do site contra computadores e dispositivos móveis potencialmente comprometidos.Helps to protect site systems from potentially compromised computers and mobile devices.

Considerações sobre como utilizar a revogação de certificadosConsiderations for using certificate revocation

  • Esta opção está disponível para ligações de cliente do Windows por HTTPS se a infraestrutura de chaves públicas suportar uma lista de revogação de certificados (CRL).This option is available for HTTPS Windows client connections if the public key infrastructure supports a certificate revocation list (CRL).

    Os clientes Mac efetuam sempre a verificação CRL e esta funcionalidade não pode ser desativada.Mac clients always perform CRL checking and this functionality cannot be disabled.

    Embora os clientes de dispositivos móveis não utilizem listas de revogação de certificados para verificar os certificados para sistemas de sites, os seus certificados podem ser revogados e verificados pelo Configuration Manager.Although mobile device clients do not use certificate revocation lists to check the certificates for site systems, their certificates can be revoked and checked by Configuration Manager.

  • Os administradores de infraestrutura de chaves públicas têm autoridade para revogar um certificado e a ação é executada fora da consola do Configuration Manager.Public key infrastructure administrators have the authority to revoke a certificate, and the action is taken outside the Configuration Manager console.

  • A comunicação do cliente a partir de qualquer computador ou dispositivo móvel que requeira este certificado de cliente pode ser rejeitada.Client communication can be rejected from any computer or mobile device that requires this client certificate.

  • É provável que haja um atraso entre a revogação de um certificado e a transferência pelos sistemas do site da lista de revogação de certificados (CRL) modificada.There is likely to be a delay between revoking a certificate and site systems downloading the modified certificate revocation list (CRL).

  • Para muitas implementações de PKI, este atraso pode demorar um dia ou mais.For many PKI deployments, this delay can be a day or longer. Por exemplo, nos Serviços de Certificados do Active Directory, o período de validade predefinido é uma semana para uma CRL completa e um dia para uma CRL de diferenças.For example, in Active Directory Certificate Services, the default expiration period is one week for a full CRL, and one day for a delta CRL.

  • Ajuda a proteger os sistemas do site e os clientes contra computadores e dispositivos móveis potencialmente comprometidos.Helps to protect site systems and clients from potentially compromised computers and mobile devices.

    Nota

    É possível proteger ainda mais os sistemas do site que executam o IIS contra clientes desconhecidos, configurando uma lista fidedigna de certificados (CTL) no IIS.You can further protect site systems that run IIS from unknown clients by configuring a certificate trust list (CTL) in IIS.