Configuration Manager'da İstemcilerin Engellenip Engellenmeyeceğini Belirleme

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Bir istemci bilgisayara veya istemci mobil cihaza artık güvenilmiyorsa, o istemciyi System Center 2012 Configuration Manager konsolundan engelleyebilirsiniz. Engellenen istemciler Configuration Manager altyapısı tarafından reddedilir, böylelikle ilke indirmek, envanter verileri yüklemek veya durum mesajları göndermek üzere site sistemleriyle iletişim kuramazlar.

Configuration Manager SP1'de, Mac istemcileri, Linux ve UNIX istemcileri ve Microsoft Intune tarafından kaydedilen mobil cihazlar engellemeyi ve engel kaldırmayı desteklerler.

İstemciyi ikincil bir siteden veya merkezi yönetim sitesinden değil atandığı siteden engellemeniz ya da engelini kaldırmanız gerekir.

System_CAPS_importantÖnemli

Configuration Manager konsolunda engellemek Configuration Manager sitesinin güvenliğini sağlamaya yardımcı olabilse de engellenmiş istemci otomatik imzalanan yeni bir sertifika ve donanım kimliği ile siteye yeniden katılabileceği için istemcilerin HTTP kullanarak site sistemleriyle iletişim kurmasına izin veriyorsanız siteyi güvenilmeyen bilgisayarlardan veya mobil cihazlardan korumak için bu özelliğe güvenmeyin. Onun yerine, işletim sistemlerini dağıtmak için kullandığınız kayıp veya güvenliği aşılmış önyükleme medyasını engellemek için ve site sistemleri HTTPS istemci bağlantılarını kabul ediyorsa engelleme özelliğini kullanın.

Siteye ISV Proxy sertifikasını kullanarak erişen istemciler engellenemez. ISV Proxy sertifikası hakkında daha fazla bilgi için Microsoft System Center 2012 Configuration Manager Yazılım Geliştirme Setine (SDK) bakın.

Site sistemleriniz HTTPS istemci bağlantılarını kabul ediyor ve ortak anahtar altyapınız (PKI) sertifika iptal listesini (CRL) destekliyorsa sertifika iptalini daima, riskli olabilecek sertifikalara karşı birincil savunma hattı olarak değerlendirin.Configuration Manager içinde istemcilerin engellenmesi, hiyerarşinizi korumak için ikinci bir savunma hattı sunar.

İstemci engelleme ve sertifika iptal listesini kullanmayı birbirinden ayırmaya yardımcı olması ve AMT tabanlı bilgisayarı engellemenin sonuçları için aşağıdaki bölümleri kullanın:

  • İstemcileri Engelleme ve İstemci Sertifikalarını İptal Etmeyi Karşılaştırma

  • AMT Tabanlı Bilgisayarları Engelleme

İstemcileri Engelleme ve İstemci Sertifikalarını İptal Etmeyi Karşılaştırma

İstemciyi engelleme ile PKI destekli ortamda sertifika iptalini kullanmayı birbirinden ayırmaya yardımcı olması için aşağıdaki tabloyu kullanın.

İstemci Engelleme

Sertifika İptali Kullanma

Bu seçenek, HTTP ve HTTPS istemci bağlantılarında kullanılabilir, ancak istemciler site sistemlerine HTTP kullanarak bağlandığında güvenliği sınırlıdır.

Bu seçenek, ortak anahtar altyapısı (PKI) sertifika iptal listesini (CRL) destekliyorsa HTTPS Windows istemci bağlantılarında kullanılabilir.

Configuration Manager SP1'de, Mac istemcileri her zaman CRL denetimi yapar ve bu işlev devre dışı bırakılamaz.

Mobil cihaz istemcilerinin site sistemlerinin sertifikalarını denetlemek için sertifika iptal listelerini kullanmamasına karşın, bunların sertifikaları Configuration Manager tarafından iptal edilebilir ve denetlenebilir.

Configuration Manager yönetici kullanıcılarının istemciyi engelleme yetkisi vardır ve bu eylem Configuration Manager konsolunda gerçekleştirilir.

Ortak anahtar altyapısı yöneticilerinin sertifikayı iptal etme yetkisi vardır ve bu eylem Configuration Manager konsolunun dışında gerçekleştirilir.

İstemci iletişimi yalnızca Configuration Manager hiyerarşisinden reddedilir.

Not

Aynı istemci farklı bir Configuration Manager hiyerarşisine kaydolabilir.

İstemci iletişimi, bu istemci sertifikasını gerektiren herhangi bir bilgisayardan veya mobil cihazdan reddedilebilir.

İstemci anında Configuration Manager sitesinden engellenir.

Bir sertifikayı iptal etme ile değiştirilmiş sertifika iptal listesini (CRL) site sistemlerinin indirmesi arasında bir gecikme olması muhtemeldir.

Birçok PKI dağıtımında, bu gecikme bir gün veya daha uzun sürebilir. Örneğin, Active Directory Sertifika Hizmetlerinde, varsayılan sona erme süresi tam CRL için bir hafta, fark CRL'si için ise bir gündür.

Site sistemlerini riskli olabilecek bilgisayarlardan ve mobil cihazlardan korumaya yardımcı olur.

Site sistemlerini ve istemcileri riskli olabilecek bilgisayarlardan ve mobil cihazlardan korumaya yardımcı olur.

Not

Ayrıca, IIS'de sertifika güven listesi (CTL) yapılandırarak IIS çalıştıran site sistemlerini bilinmeyen istemcilerden koruyabilirsiniz.

AMT Tabanlı Bilgisayarları Engelleme

System Center 2012 Configuration Manager tarafından sağlanmış Intel AMT tabanlı bir bilgisayarı engelledikten sonra, onu artık bant dışından yönetemezsiniz. AMT tabanlı bir bilgisayar engellendiğinde, ayrıcalıkların yükselmesinin ve bilgilerin açığa çıkmasının doğurduğu güvenlik risklerinden ağı korumaya yardımcı olmak için aşağıdaki eylemler otomatik olarak gerçekleşir:

  • Site sunucusu AMT tabanlı bilgisayara verilmiş tüm sertifikaları Cease of Operation iptal nedeniyle iptal eder. AMT tabanlı bilgisayar istemci sertifikalarını destekleyen 802.1X kimliği doğrulanmış kablolu veya kablosuz ağlara göre yapılandırılmışsa birden çok sertifikası olabilir.

  • Site sunucusu Active Directory Etki Alan Hizmetleri'ndeki AMT hesabını siler.

AMT sağlama bilgileri bilgisayardan kaldırılmaz, ancak bilgisayarın sertifikası iptal edildiği ve hesabı silindiği için bilgisayar artık bant dışından yönetilemez. İstemcinin engellemesini daha sonra kaldırırsanız o bilgisayarı bant dışından yönetebilmek için aşağıdaki işlemleri yapmanız gerekir:

  1. Sağlama bilgilerini bilgisayarın BIOS uzantılarından elle kaldırın. Bu yapılandırma uzaktan gerçekleştirilemez.

  2. Bilgisayarı Configuration Manager ile yeniden sağlayın.

İstemcinin engellemesini daha sonra kaldırabileceğinizi düşünüyor ve istemciyi engellemeden önce AMT tabanlı bilgisayara bağlantıyı doğrulayabiliyorsanız, Configuration Manager ile AMT sağlama bilgilerini kaldırabilir ve daha sonra istemciyi engelleyebilirsiniz. Bu eylem dizisi, istemcinin engelini kaldırdıktan sonra BIOS uzantılarını elle yapılandırmak zorunda kalmaktan sizi kurtarır. Ancak bu seçenek, sağlama bilgilerinin kaldırılmasını tamamlamak için güvenilmeyen bilgisayara başarıyla bağlanmayı gerektirir. AMT tabanlı bilgisayar bir dizüstü olduğunda ağ bağlantısı kesilebileceği veya kablosuz bağlantısı olabileceği için bu özellikle risklidir.

Not

AMT tabanlı bilgisayarın sağlama bilgilerini başarıyla kaldırdığını doğrulamak için AMT durumunun Hazırlandı'dan Sağlanmadı'ya değiştiğinden emin olun. Bununla birlikte, sağlama bilgileri istemci engellenmeden önce kaldırılmamışsa, AMT durumu Hazırlandı'da kalır ancak BIOS uzantılarını yeniden yapılandırıp bilgisayarı AMT için yeniden hazırlayana dek bilgisayarı bant dışından yönetemezsiniz. AMT durumu hakkında daha fazla bilgi için bkz. AMT durum ve bant dışı yönetim Yapılandırma Yöneticisi'nde dışı hakkında.