Определение того, следует ли блокировать клиенты в Configuration Manager
Относится к Configuration Manager (Current Branch)
Если клиентский компьютер или клиентское мобильное устройство больше не является доверенным, вы можете заблокировать клиент в консоли System Center 2012 Configuration Manager. Заблокированные клиенты отклоняются инфраструктурой Configuration Manager, поэтому они не могут взаимодействовать с системами сайта для скачивания политики, передачи данных инвентаризации или отправки сообщений о состоянии или состоянии.
Необходимо заблокировать и разблокировать клиент с назначенного сайта, а не с вторичного сайта или сайта центра администрирования.
Важно!
Хотя блокировка в Configuration Manager может помочь защитить сайт Configuration Manager, не используйте эту функцию для защиты сайта от недоверенных компьютеров или мобильных устройств, если вы разрешаете клиентам взаимодействовать с системами сайта по протоколу HTTP, так как заблокированный клиент может повторно присоединиться к сайту с помощью нового самозаверяющего сертификата и идентификатора оборудования. Вместо этого используйте функцию блокировки, чтобы заблокировать потерянный или скомпрометированный загрузочный носитель, используемый для развертывания операционных систем, и когда системы сайта принимают клиентские подключения HTTPS.
Клиенты, которые обращаются к сайту с помощью сертификата прокси-сервера ISV, не могут быть заблокированы. Дополнительные сведения о сертификате прокси-сервера ISV см. в пакете SDK для Configuration Manager.
Если системы сайта принимают клиентские подключения HTTPS, а инфраструктура открытых ключей (PKI) поддерживает список отзыва сертификатов (CRL), всегда рассматривайте отзыв сертификата как основную линию защиты от потенциально скомпрометированных сертификатов. Блокировка клиентов в Configuration Manager обеспечивает вторую линию защиты для защиты иерархии.
Рекомендации по блокировке клиентов
Этот параметр доступен для клиентских подключений HTTP и HTTPS, но имеет ограниченную безопасность при подключении клиентов к системам сайта по протоколу HTTP.
Configuration Manager пользователи с правами администратора могут блокировать клиент, и действие выполняется в консоли Configuration Manager.
Взаимодействие с клиентом отклоняется только из иерархии Configuration Manager.
Примечание.
Один и тот же клиент может зарегистрироваться в другой иерархии Configuration Manager.
Клиент немедленно блокируется на сайте Configuration Manager.
Помогает защитить системы сайта от потенциально скомпрометированных компьютеров и мобильных устройств.
Рекомендации по использованию отзыва сертификатов
Этот параметр доступен для клиентских подключений HTTPS Windows, если инфраструктура открытых ключей поддерживает список отзыва сертификатов (CRL).
Клиенты Mac всегда выполняют проверку списка отзыва сертификатов, и эту функцию нельзя отключить.
Хотя клиенты мобильных устройств не используют списки отзыва сертификатов для проверки сертификатов для систем сайта, их сертификаты могут быть отозваны и проверены Configuration Manager.
Администраторы инфраструктуры открытых ключей имеют право отзывать сертификат, и действие выполняется за пределами Configuration Manager консоли.
Взаимодействие с клиентом может быть отклонено с любого компьютера или мобильного устройства, которому требуется этот сертификат клиента.
Скорее всего, между отзывом сертификата и загрузкой измененного списка отзыва сертификатов (CRL) системами сайта может возникнуть задержка.
Для многих развертываний PKI эта задержка может составлять один день или больше. Например, в службах сертификатов Active Directory срок действия по умолчанию составляет одну неделю для полного списка отзыва сертификатов и один день для разностного списка отзыва сертификатов.
Помогает защитить системы сайта и клиенты от потенциально скомпрометированных компьютеров и мобильных устройств.
Примечание.
Вы можете дополнительно защитить системы сайта, на которые выполняются СЛУЖБЫ IIS, от неизвестных клиентов, настроив список доверия сертификатов (CTL) в IIS.