Determinare se bloccare o meno i client in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Se un computer client o un dispositivo mobile client non è più considerato attendibile, è possibile bloccare il client nella console di System Center 2012 Configuration Manager. I client bloccati vengono rifiutati dall'infrastruttura di Configuration Manager e non potranno quindi comunicare con i sistemi del sito per scaricare criteri, caricare dati di inventario o inviare messaggi di stato.

In Configuration Manager SP1 i client Mac, Linux e UNIX e i dispositivi mobili registrati da Microsoft Intune supportano blocco e sblocco.

È necessario bloccare e sbloccare un client dal sito assegnato e non da un sito di amministrazione centrale o da un sito secondario.

System_CAPS_importantImportante

Anche se il blocco in Configuration Manager consente di proteggere il sito di Configuration Manager, non fare affidamento su questa funzionalità per proteggere il sito da computer o dispositivi mobili non attendibili se si consente ai client di comunicare con sistemi del sito tramite HTTP, poiché un client bloccato potrebbe accedere nuovamente al sito con un ID hardware e un certificato autofirmato nuovi. In alternativa, utilizzare la funzionalità di blocco per bloccare i supporti di avvio persi o compromessi usati per distribuire i sistemi operativi e quando i sistemi del sito accettano connessioni client HTTPS.

Non è possibile bloccare i client che accedono al sito usando il certificato proxy ISV. Per altre informazioni sul certificato proxy ISV, vedere il Software Development Kit (SDK) di Microsoft System Center 2012 Configuration Manager.

Se i sistemi del sito accettano connessioni client HTTPS e l'infrastruttura a chiave pubblica (PKI) supporta un elenco di revoche di certificati (CRL), considerare sempre la revoca del certificato come prima linea di difesa contro certificati potenzialmente compromessi. Il blocco dei client in Configuration Manager offre una seconda linea di difesa per la protezione della gerarchia.

Usare le seguenti sezioni per distinguere il blocco di client e l'utilizzo di un elenco di revoche di certificati dalle implicazioni del blocco dei computer basati su AMT:

  • Confronto tra il blocco di client e la revoca dei certificati dei client

  • Blocco dei computer basati su AMT

Confronto tra il blocco di client e la revoca dei certificati dei client

Usare la seguente tabella per distinguere tra il blocco di un client e l'utilizzo della revoca del certificato in un ambiente supportato da PKI.

Blocco client

Utilizzo della revoca dei certificati

L'opzione è disponibile per le connessioni client HTTP e HTTPS, ma dispone di protezione limitata quando i client si connettono ai sistemi del sito tramite HTTP.

L'opzione è disponibile per le connessioni client di Windows HTTPS se l'infrastruttura PKI supporta un elenco di revoche di certificati (CRL).

In Configuration Manager SP1 i client Mac eseguono sempre il controllo CRL e non è possibile disattivare questa funzionalità.

Nonostante i client di dispositivi mobili non utilizzino elenchi di revoche di certificati per verificare i certificati per i sistemi del sito, i relativi certificati possono essere revocati e verificati da Configuration Manager.

Gli utenti amministratori di Configuration Manager dispongono dell'autorità per bloccare un client e la relativa azione viene eseguita nella console di Configuration Manager.

Gli utenti amministratori dell'infrastruttura PKI dispongono dell'autorità per bloccare un client e la relativa azione viene eseguita fuori dalla console di Configuration Manager.

La comunicazione client è stata rifiutata solo dalla gerarchia di Configuration Manager.

Nota

Lo stesso client può registrarsi con una gerarchia di Configuration Manager diversa.

La comunicazione client può essere rifiutata da qualsiasi computer o dispositivo mobile che richiede il certificato client.

Il client viene bloccato immediatamente dal sito di Configuration Manager.

È probabile che si verifichi un ritardo tra la revoca di certificato e il download da parte dei sistemi del sito dell'elenco di revoche di certificati (CRL) modificato.

Per molte distribuzioni di PKI, questo ritardo può essere un giorno o più. Ad esempio, in Servizi certificati Active Directory la scadenza predefinita è di una settimana per un CRL completo e un giorno per delta CRL.

Consente di proteggere i sistemi del sito da computer e dispositivi mobili potenzialmente compromessi.

Consente di proteggere client e sistemi del sito da computer e dispositivi mobili potenzialmente compromessi.

Nota

È possibile proteggere ulteriormente i sistemi che eseguono IIS da client sconosciuti tramite la configurazione di un elenco di certificati attendibili (CTL) in IIS.

Blocco dei computer basati su AMT

Dopo aver bloccato un computer basato su Intel AMT di cui System Center 2012 Configuration Manager ha eseguito il provisioning, non sarà più possibile gestirlo fuori banda. Quando un computer basato su AMT viene bloccato, si verificano automaticamente le seguenti azioni, che consentono di proteggere la rete dai rischi di protezione relativi ad aumento di privilegi e divulgazione delle informazioni:

  • Il server del sito revoca tutti i certificati rilasciati al computer basato su AMT con motivo: Cease of Operation. Il computer basato su AMT potrebbe disporre di più certificati se è configurato per reti wireless o cablate autenticate 802.1X che supportano i certificati client.

  • Il server del sito elimina l'account AMT in Servizi di dominio Active Directory.

Le informazioni di provisioning AMT non vengono rimosse dal computer, ma il computer non può più essere gestito fuori banda poiché il certificato è revocato e l'account viene eliminato. Se il client viene sbloccato in un secondo momento, è necessario eseguire le seguenti operazioni prima di gestire il computer fuori banda:

  1. Rimuovere manualmente le informazioni relative al provisioning dalle estensioni BIOS del computer. Non sarà possibile eseguire questa configurazione in remoto.

  2. Effettuare nuovamente il provisioning del computer con Configuration Manager.

Se si desidera sbloccare il client in un secondo momento ed è possibile verificare una connessione nel computer basato su AMT prima di bloccare il client, è possibile rimuovere le informazioni relative al provisioning AMT con Configuration Manager e quindi bloccare il client. Questa sequenza di azioni evita di dover configurare manualmente le estensioni BIOS dopo aver sbloccato il client. Tuttavia, questa opzione si basa su una connessione al computer non attendibile per completare la rimozione delle informazioni di provisioning. Questa situazione è particolarmente rischiosa quando il computer basato su AMT è un computer portatile e può essere disconnesso dalla rete o da una connessione wireless.

Nota

Per verificare che il computer basato su AMT abbia rimosso correttamente le informazioni di provisioning, confermare che lo stato AMT è stato modificato da Provisioning eseguito a Senza provisioning. Tuttavia, se le informazioni relative al provisioning non sono state rimosse prima del blocco del client, lo stato AMT rimane su Provisioning eseguito ma non sarà possibile gestire il computer fuori banda fino a quando non vengono eseguiti la riconfigurazione delle estensioni BIOS e il nuovo provisioning del computer per AMT. Per altre informazioni sullo stato di AMT, vedere Sullo stato AMT e gestione fuori banda in Configuration Manager.