Определение того, следует ли блокировать клиенты в Configuration Manager

Относится к Configuration Manager (Current Branch)

Если клиентский компьютер или клиентское мобильное устройство больше не является доверенным, вы можете заблокировать клиент в консоли System Center 2012 Configuration Manager. Заблокированные клиенты отклоняются инфраструктурой Configuration Manager, поэтому они не могут взаимодействовать с системами сайта для скачивания политики, передачи данных инвентаризации или отправки сообщений о состоянии или состоянии.

Необходимо заблокировать и разблокировать клиент с назначенного сайта, а не с вторичного сайта или сайта центра администрирования.

Важно!

Хотя блокировка в Configuration Manager может помочь защитить сайт Configuration Manager, не используйте эту функцию для защиты сайта от недоверенных компьютеров или мобильных устройств, если вы разрешаете клиентам взаимодействовать с системами сайта по протоколу HTTP, так как заблокированный клиент может повторно присоединиться к сайту с помощью нового самозаверяющего сертификата и идентификатора оборудования. Вместо этого используйте функцию блокировки, чтобы заблокировать потерянный или скомпрометированный загрузочный носитель, используемый для развертывания операционных систем, и когда системы сайта принимают клиентские подключения HTTPS.

Клиенты, которые обращаются к сайту с помощью сертификата прокси-сервера ISV, не могут быть заблокированы. Дополнительные сведения о сертификате прокси-сервера ISV см. в пакете SDK для Configuration Manager.

Если системы сайта принимают клиентские подключения HTTPS, а инфраструктура открытых ключей (PKI) поддерживает список отзыва сертификатов (CRL), всегда рассматривайте отзыв сертификата как основную линию защиты от потенциально скомпрометированных сертификатов. Блокировка клиентов в Configuration Manager обеспечивает вторую линию защиты для защиты иерархии.

Рекомендации по блокировке клиентов

• Этот параметр доступен для клиентских подключений HTTP и HTTPS, но имеет ограниченную безопасность при подключении клиентов к системам сайта по протоколу HTTP.

• Configuration Manager пользователи с правами администратора могут блокировать клиент, и действие выполняется в консоли Configuration Manager.

• Взаимодействие с клиентом отклоняется только из иерархии Configuration Manager.

  Примечание.

  Один и тот же клиент может зарегистрироваться в другой иерархии Configuration Manager.

• Клиент немедленно блокируется на сайте Configuration Manager.

• Помогает защитить системы сайта от потенциально скомпрометированных компьютеров и мобильных устройств.

Рекомендации по использованию отзыва сертификатов

• Этот параметр доступен для клиентских подключений HTTPS Windows, если инфраструктура открытых ключей поддерживает список отзыва сертификатов (CRL).

  Клиенты Mac всегда выполняют проверку списка отзыва сертификатов, и эту функцию нельзя отключить.

  Хотя клиенты мобильных устройств не используют списки отзыва сертификатов для проверки сертификатов для систем сайта, их сертификаты могут быть отозваны и проверены Configuration Manager.

• Администраторы инфраструктуры открытых ключей имеют право отзывать сертификат, и действие выполняется за пределами Configuration Manager консоли.

• Взаимодействие с клиентом может быть отклонено с любого компьютера или мобильного устройства, которому требуется этот сертификат клиента.

• Скорее всего, между отзывом сертификата и загрузкой измененного списка отзыва сертификатов (CRL) системами сайта может возникнуть задержка.

• Для многих развертываний PKI эта задержка может составлять один день или больше. Например, в службах сертификатов Active Directory срок действия по умолчанию составляет одну неделю для полного списка отзыва сертификатов и один день для разностного списка отзыва сертификатов.

• Помогает защитить системы сайта и клиенты от потенциально скомпрометированных компьютеров и мобильных устройств.

  Примечание.

  Вы можете дополнительно защитить системы сайта, на которые выполняются СЛУЖБЫ IIS, от неизвестных клиентов, настроив список доверия сертификатов (CTL) в IIS.