• 项目

确定是否在 Configuration Manager 中阻止客户端

 

适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

如果不再信任某客户端计算机或客户端移动设备,则可以在 System Center 2012 Configuration Manager 控制台中阻止该客户端。配置管理器 基础结构会拒绝被阻止的客户端,使它们无法与站点系统通信,从而无法下载策略、上载清单数据或者发送状况或状态消息。

在 配置管理器 SP1 中,Microsoft Intune 注册的 Mac 客户端、Linux 和 UNIX 客户端以及移动设备均支持阻止和取消阻止。

若要阻止和取消阻止客户端,必须通过为其分配的站点而不是通过辅助站点或管理中心站点来这样做。

System_CAPS_important重要事项

虽然在 配置管理器 中进行阻止有助于保护 配置管理器 站点的安全,但如果你允许客户端使用 HTTP 与站点系统通信,则请勿依赖此功能来防止站点与不受信任的计算机或移动设备通信,因为被阻止的客户端可以使用新的自签名证书和硬件 ID 重新加入该站点。 应改为使用阻止功能来阻止丢失或泄漏你用于部署操作系统的启动媒体,当站点系统接受 HTTPS 客户端连接时也可以使用阻止功能。

如果客户端使用 ISV 代理证书来访问站点,则无法阻止这些客户端。 有关 ISV 代理证书的详细信息,请查看 Microsoft System Center 2012 Configuration Manager 软件开发工具包 (SDK)。

如果站点系统接受 HTTPS 客户端连接,而且公钥基础结构 (PKI) 支持证书吊销列表 (CRL),则始终考虑将证书吊销作为预防证书泄漏的主要防线。 在 配置管理器 中阻止客户端为保护您的层次结构提供第二道防线。

使用下列部分来帮助了解阻止客户端和使用证书吊销列表之间的区别,以及阻止基于 AMT 的计算机的影响:

  • 比较阻止客户端和吊销客户端证书

  • 阻止基于 AMT 的计算机

比较阻止客户端和吊销客户端证书

使用下表来帮助了解阻止客户端和在支持 PKI 的环境中使用证书吊销之间的区别。

阻止客户端

使用证书吊销

此选项可用于 HTTP 和 HTTPS 客户端连接,但其安全性在客户端使用 HTTP 连接到站点系统时会受到限制。

如果公钥基础结构支持证书吊销列表 (CRL),则此选项可用于 HTTPS Windows 客户端连接。

在 配置管理器 SP1 中,Mac 客户端始终会执行 CRL 检查,因此无法禁用此功能。

虽然移动设备客户端并不使用证书吊销列表来检查站点系统的证书,但 配置管理器 可以吊销和检查它们的证书。

配置管理器 管理用户有权阻止客户端,而此操作是在 配置管理器 控制台中执行的。

公钥基础结构管理员有权吊销证书,而此操作是在 配置管理器 控制台之外执行的。

只能从 配置管理器 层次结构中拒绝客户端通信。

System_CAPS_note注意

同一个客户端可以向不同的 配置管理器 层次结构注册。

可以从需要此客户端证书的任何计算机或移动设备中拒绝客户端通信。

立即在 配置管理器 站点中阻止客户端。

在吊销证书和站点系统下载已修改的证书吊销列表 (CRL) 之间可能存在延迟。

对许多 PKI 部署而言,此延迟可能达到一天或更长时间。 例如,在 Active Directory 证书服务中,默认的有效期对于完整 CRL 为一周,对于增量 CRL 为一天。

帮助防止可能有危害的计算机和移动设备侵害站点系统。

帮助防止可能有危害的计算机和移动设备侵害站点系统及客户端。

System_CAPS_note注意

通过在 IIS 中配置证书信任列表 (CTL),可以进一步防止未知的客户端对运行 IIS 的站点系统的损害。

阻止基于 AMT 的计算机

在阻止由 System Center 2012 Configuration Manager 设置的、基于 Intel AMT 的计算机之后,你将无法再对它进行带外管理。 在阻止基于 AMT 的计算机时,系统会自动执行下列操作,以帮助网络抵御特权提升和信息泄漏的安全风险:

  • 站点服务器吊销所有颁发给基于 AMT 的计算机的证书(吊销原因为Cease of Operation)。 如果为经过 802.1X 身份验证且支持客户端证书的有线或无线网络配置了基于 AMT 的计算机,则该计算机可能具有多个证书。

  • 站点服务器在 Active Directory 域服务中删除 AMT 帐户。

不会从计算机中删除 AMT 设置信息,但可能无法再对计算机进行带外管理,因为其证书已被吊销,而且其帐户已被删除。 如果以后取消阻止客户端,则在可以对计算机进行带外管理之前,必须执行下列操作:

  1. 从计算机的 BIOS 扩展中手动删除设置信息。 你无法远程执行此配置。

  2. 利用 配置管理器 重新设置计算机。

如果认为自己可能会在以后取消阻止客户端,而且可以在阻止客户端之前验证与基于 AMT 的计算机的连接,则可以利用 配置管理器 删除 AMT 设置信息,然后阻止客户端。 这样做的结果是,你不必在取消阻止客户端之后手动配置 BIOS 扩展。 但是,此选项依靠成功连接到不受信任的计算机来完成设置信息的删除。 如果基于 AMT 的计算机是便携式计算机,并且可能会断开与网络的连接,或者可能使用无线连接,则这样做特别危险。

System_CAPS_note注意

若要验证基于 AMT 的计算机是否成功删除了设置信息,请确认 AMT 状态已从“已设置”变为“未设置”。 但是,如果在阻止客户端之前未删除设置信息,则 AMT 状态仍然为“已设置”,但是,在重新配置 BIOS 扩展和重新为 AMT 设置计算机之前,你将无法对计算机进行带外管理。 有关 AMT 状态的详细信息,请参阅 有关 AMT 状态和带外管理配置管理器中