Определение необходимости блокировки клиентов Configuration Manager

Если клиентский компьютер или клиентское мобильное устройство больше не имеют доверия, администратор Configuration Manager может заблокировать клиент в консоли Configuration Manager 2007. Заблокированные клиенты отклоняются инфраструктурой Configuration Manager 2007 и не могут связаться с системами сайта для загрузки политики, передачи данных инвентаризации или отправки на сайт сообщений об изменении состояния.

Блокировка и разблокировка клиента выполняются на назначенном для него сайте. Эти действия нельзя выполнять с сайтов, расположенных выше в иерархии.

Важно!
Хотя блокировка в Configuration Manager 2007 позволяет защитить сайт Configuration Manager 2007, не полагайтесь на эту функцию для защиты сайта от ненадежных компьютеров или мобильных устройств, если сайт находится в смешанном режиме, потому что заблокированный клиент может снова присоединиться к сайту с новым самозаверяющим сертификатом и идентификатором оборудования.Эта функция предназначена для блокировки потерянных или похищенных загрузочных носителей при развертывании клиентов с функцией развертывания операционной системы, а также для клиентов в основном режиме.Клиенты, получающие доступ к сайту при помощи сертификата прокси-сервера ISV, не могут быть заблокированы. Дополнительные сведения о сертификатах прокси-сервера ISV см. в пакете средств разработки (SDK) для System Center Configuration Manager 2007.Если сайт находится в основном режиме, а инфраструктура открытого ключа поддерживает список отзыва сертификатов (CRL), всегда рассматривайте отзыв сертификата как первую линию обороны от потенциально сертификатов, которые могли быть похищены. Блокировка клиентов в Configuration Manager 2007 обеспечивает вторую линию обороны для защиты иерархии.

Важно!

Хотя блокировка в Configuration Manager 2007 позволяет защитить сайт Configuration Manager 2007, не полагайтесь на эту функцию для защиты сайта от ненадежных компьютеров или мобильных устройств, если сайт находится в смешанном режиме, потому что заблокированный клиент может снова присоединиться к сайту с новым самозаверяющим сертификатом и идентификатором оборудования.Эта функция предназначена для блокировки потерянных или похищенных загрузочных носителей при развертывании клиентов с функцией развертывания операционной системы, а также для клиентов в основном режиме.Клиенты, получающие доступ к сайту при помощи сертификата прокси-сервера ISV, не могут быть заблокированы. Дополнительные сведения о сертификатах прокси-сервера ISV см. в пакете средств разработки (SDK) для System Center Configuration Manager 2007.Если сайт находится в основном режиме, а инфраструктура открытого ключа поддерживает список отзыва сертификатов (CRL), всегда рассматривайте отзыв сертификата как первую линию обороны от потенциально сертификатов, которые могли быть похищены. Блокировка клиентов в Configuration Manager 2007 обеспечивает вторую линию обороны для защиты иерархии.

Чтобы понять различия между отзывом сертификатов в среде с поддержкой инфраструктуры открытого ключа и блокировкой клиента в Configuration Manager 2007, воспользуйтесь следующей таблицей.

Блокировка клиента

Отзыв сертификата

Вариант доступен на сайтах как смешанного, так и основного режима, но обеспечивает недостаточный уровень безопасности для сайтов, работающих в смешанном режиме.

Параметр доступен только на сайтах основного режима, если инфраструктура открытого ключа поддерживает список отзыва сертификатов.

Клиенты мобильных устройств не используют списки отзыва сертификатов, хотя их сертификаты могут отзываться и проверяться системами Configuration Manager 2007.

У администратора Configuration Manager 2007 есть полномочия блокировать клиент, это действие выполняется в консоли Configuration Manager.

У администратора инфраструктуры открытого ключа есть полномочия отзывать сертификат, это действие выполняется вне консоли Configuration Manager.

Запросы клиентов отклоняются только в иерархии Configuration Manager 2007.

Примечание
Один и тот же клиент может быть зарегистрирован в различных иерархиях Configuration Manager 2007.

Могут быть отклонены запросы любого клиентского компьютера или мобильного устройства, требующего сертификат клиента.

Клиент моментально блокируется на сайте Configuration Manager 2007.

Вероятна задержка между отзывом сертификата и загрузкой системами сайта измененного списка отзыва сертификатов.

Для многих развертываний инфраструктуры открытого ключа эта задержка может составлять день или больше. Например, в службах сертификатов Microsoft Windows 2003 срок действия равен неделе для полного CRL и одному дню для разностного CRL.

Помогает защищать системы сайта от потенциально скомпрометированных компьютеров и мобильных устройств.

Помогает защищать как системы сайта, так и клиенты, от потенциально скомпрометированных компьютеров и мобильных устройств.

Дополнительные сведения о включении проверки отзыва сертификатов на клиентских компьютерах см. в разделе Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим).

Примечание

Сайты, работающие в основном режиме, можно дополнительно защитить от неизвестных клиентов с помощью списка доверия сертификатов. Дополнительные сведения см. в разделе Определение необходимости настройки IIS для списка доверия сертификатов (основной режим).

См. также

См. также

Задачи

Основные понятия

Другие ресурсы