Determinar si se bloquean los clientes en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Si un equipo cliente o dispositivo móvil cliente ya no es de confianza, puede bloquear el cliente en la consola de System Center 2012 Configuration Manager. La infraestructura de Configuration Manager rechaza los clientes bloqueados para que no puedan comunicarse con los sistemas de sitio para descargar la directiva, cargar datos de inventario o enviar mensajes de estado o estado.

Debe bloquear y desbloquear un cliente de su sitio asignado en lugar de desde un sitio secundario o un sitio de administración central.

Importante

Aunque el bloqueo en Configuration Manager puede ayudar a proteger el sitio Configuration Manager, no confíe en esta característica para proteger el sitio de equipos o dispositivos móviles que no son de confianza si permite que los clientes se comuniquen con sistemas de sitio mediante HTTP, ya que un cliente bloqueado podría volver a unirse al sitio con un nuevo certificado autofirmado y un identificador de hardware. En su lugar, use la característica de bloqueo para bloquear los medios de arranque perdidos o en peligro que se usan para implementar sistemas operativos y cuando los sistemas de sitio acepten conexiones de cliente HTTPS.

Los clientes que acceden al sitio mediante el certificado de proxy ISV no se pueden bloquear. Para obtener más información sobre el certificado de proxy isv, consulte el kit de desarrollo de software (SDK) de Configuration Manager.

Si los sistemas de sitio aceptan conexiones de cliente HTTPS y la infraestructura de clave pública (PKI) admite una lista de revocación de certificados (CRL), considere siempre la posibilidad de que la revocación de certificados sea la línea de defensa principal frente a certificados potencialmente en peligro. Bloquear clientes en Configuration Manager ofrece una segunda línea de defensa para proteger la jerarquía.

Consideraciones para bloquear clientes

  • Esta opción está disponible para las conexiones de cliente HTTP y HTTPS, pero tiene una seguridad limitada cuando los clientes se conectan a sistemas de sitio mediante HTTP.

  • Configuration Manager los usuarios administrativos tienen la autoridad para bloquear un cliente y la acción se realiza en la consola de Configuration Manager.

  • La comunicación de cliente solo se rechaza desde la jerarquía de Configuration Manager.

    Nota:

    El mismo cliente podría registrarse con una jerarquía de Configuration Manager diferente.

  • El cliente se bloquea inmediatamente desde el sitio de Configuration Manager.

  • Ayuda a proteger los sistemas de sitio frente a equipos potencialmente en peligro y dispositivos móviles.

Consideraciones para usar la revocación de certificados

  • Esta opción está disponible para las conexiones de cliente de Windows HTTPS si la infraestructura de clave pública admite una lista de revocación de certificados (CRL).

    Los clientes Mac siempre realizan la comprobación de CRL y esta funcionalidad no se puede deshabilitar.

    Aunque los clientes de dispositivos móviles no usan listas de revocación de certificados para comprobar los certificados de los sistemas de sitio, Configuration Manager pueden revocar y comprobar sus certificados.

  • Los administradores de infraestructura de clave pública tienen la autoridad para revocar un certificado y la acción se realiza fuera de la consola de Configuration Manager.

  • La comunicación de cliente se puede rechazar desde cualquier equipo o dispositivo móvil que requiera este certificado de cliente.

  • Es probable que haya un retraso entre revocar un certificado y los sistemas de sitio que descargan la lista de revocación de certificados (CRL) modificada.

  • En muchas implementaciones de PKI, este retraso puede ser un día o más. Por ejemplo, en Servicios de certificados de Active Directory, el período de expiración predeterminado es una semana para una CRL completa y un día para una CRL delta.

  • Ayuda a proteger los sistemas de sitio y los clientes frente a equipos potencialmente en peligro y dispositivos móviles.

    Nota:

    Puede proteger aún más los sistemas de sitio que ejecutan IIS desde clientes desconocidos configurando una lista de confianza de certificados (CTL) en IIS.