• 發行項

判斷是否要在 Configuration Manager 中封鎖用戶端

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

如果您不再信任某個用戶端電腦或用戶端行動裝置,可以在 System Center 2012 Configuration Manager 主控台中封鎖該用戶端。Configuration Manager 基礎結構會拒絕被封鎖的用戶端,因此這些用戶端無法與網站系統通訊並下載原則、上傳清查資料或傳送狀態或狀態訊息。

在 Configuration Manager SP1 中,Mac 用戶端、Linux 及 UNIX 用戶端,以及 Microsoft Intune 所註冊的行動裝置皆支援封鎖和解除封鎖。

您必須從用戶端指派到的網站封鎖和解除封鎖該用戶端,而不是從次要網站或管理中心網站。

System_CAPS_important重要事項

雖然 Configuration Manager 中的封鎖有助於保障 Configuration Manager 站台的安全,但如果允許站台使用 HTTP 與網站系統通訊,請勿依賴此功能來防範不受信任的電腦或行動裝置,因為被封鎖的用戶端可以使用新的自我簽署憑證和硬體 ID 重新加入站台。 反之,如果用於部署作業系統的開機媒體遺失或遭到竄改,且站台系統接受 HTTPS 用戶端連線時,再使用封鎖功能封鎖這類開機媒體。

您無法封鎖使用 ISV Proxy 憑證存取網站的用戶端。 如需 ISV Proxy 憑證的詳細資訊,請參閱 Microsoft System Center 2012 Configuration Manager 軟體開發套件 (SDK)。

如果網站系統接受 HTTPS 用戶端連線,且您的公開金鑰基礎結構 (PKI) 支援憑證撤銷清單 (CRL),請務必考慮使用憑證撤銷作為主要防禦機制以防止可能遭竄改的憑證。 在 Configuration Manager 中封鎖用戶端是保護階層的第二條防線。

以下各節可協助您區別封鎖用戶端及使用憑證撤銷清單之間的差異,以及封鎖 AMT 型電腦所代表的含意:

  • 封鎖用戶端與撤銷用戶端憑證的比較

  • 封鎖 AMT 型電腦

封鎖用戶端與撤銷用戶端憑證的比較

下表可協助您區別在支援 PKI 的環境中封鎖用戶端和使用憑證撤銷的差異。

封鎖用戶端

使用憑證撤銷

此選項適用於 HTTP 和 HTTPS 用戶端連線,但若用戶端使用 HTTP 連線至網站系統,則安全性有限。

如果公開金鑰基礎結構支援憑證撤銷清單 (CRL),則此選項適用於 HTTPS Windows 用戶端連線。

在 Configuration Manager SP1 中,Mac 用戶端一律會執行 CRL 檢查,無法停用此功能。

雖然行動裝置用戶端部使用憑證撤銷清單檢查網站系統的憑證,但 Configuration Manager 可以撤銷及檢查網站系統的憑證。

Configuration Manager 系統管理使用者有權封鎖用戶端,且此動作會在 Configuration Manager 主控台中執行。

公開金鑰基礎結構系統管理員有權撤銷憑證,此動作會在 Configuration Manager 主控台以外執行。

只有 Configuration Manager 階層拒絕用戶端通訊。

System_CAPS_note注意事項

同一個用戶端可以在不同的 Configuration Manager 階層註冊。

可透過任何要求此用戶端憑證的電腦或行動裝置拒絕用戶端通訊。

Configuration Manager 網站會立即封鎖用戶端。

撤銷憑證與網站系統下載修改過的憑證撤銷清單 (CRL) 之間可能會有延遲。

在許多 PKI 部署中,此類延遲可能會達一天或更久。 例如,在 Active Directory 憑證服務中,完整 CRL 的預設到期時間是一週,差異 CRL 的預設到期時間則是一天。

有助於保護網站系統防止遭竄改的電腦和行動裝置入侵。

有助於保護網站系統和用戶端防止遭竄改的電腦和行動裝置入侵。

System_CAPS_note注意事項

您可以在 IIS 中設定憑證信任清單 (CTL),進一步防範未知用戶端破壞執行 IIS 的網站系統。

封鎖 AMT 型電腦

封鎖 System Center 2012 Configuration Manager 所佈建的 Intel AMT 型電腦後,您就不能再以超出訊號範圍的方式管理該電腦。 AMT 型電腦遭到封鎖時,會自動發生下列動作,協助防範網路出現權限提高及資訊外洩的安全性風險:

  • 網站伺服器會撤銷發給 AMT 型電腦的所有憑證,撤銷原因為 Cease of Operation。 若 AMT 型電腦設定為以 802.1X 驗證支援用戶端憑證的有線或無線網路,可能會有多個憑證。

  • 網站伺服器會在 Active Directory 網域服務中刪除 AMT 帳戶。

電腦中的 AMT 佈建資訊仍會保留,但已不能再以超出訊號範圍的方式管理電腦,因為該電腦的憑證已被撤銷,且其帳戶也已刪除。 如果之後解除封鎖該用戶端,您必須先執行下列動作,才能以超出訊號範圍的方式管理該電腦:

  1. 從電腦的 BIOS 延伸手動移除佈建資訊。 您不能遠端執行這項設定。

  2. 使用 Configuration Manager 重新佈建電腦。

如果您認為之後可能會解除封鎖用戶端,而且可以在封鎖該用戶端之前驗證與 AMT 型電腦之間的連線,可以使用 Configuration Manager 移除 AMT 佈建資訊再封鎖用戶端。 如採用此動作順序,解除封鎖用戶端後即不需要手動設定 BIOS 延伸。 不過,要使用此選項,必須成功連線至不受信任的電腦以移除佈建資訊。 若 AMT 型電腦為膝上型電腦,且可能會與網路中斷或使用無線連線,則此方式的風險會特別高。

System_CAPS_note注意事項

若要驗證是否已成功移除 AMT 型電腦中的佈建資訊,請確認 AMT 的狀態已從 [已佈建] 變更為 [未佈建]。 不過,如果未在封鎖用戶端之前移除佈建資訊,AMT 狀態仍會保持為 [已佈建],但在重新設定 BIOS 與重新佈建電腦的 AMT 之前,您無法以超出訊號範圍的方式管理電腦。 如需 AMT 狀態的詳細資訊,請參閱關於 AMT 狀態和頻外管理 Configuration Manager 中的向外