Если клиентский компьютер больше не является доверенным, администратор Configuration Manager может заблокировать клиент в консоли Configuration Manager 2007, чтобы тот больше не мог обмениваться данными с системами сайта для загрузки политики, передачи данных инвентаризации или отправки сообщений об изменении состояния или статусе. Если в дальнейшем клиент будет считаться доверенным, его можно будет разблокировать. В следующих разделах описывается, как блокировка и разблокировка клиентов влияет на компьютеры, допускающие внешнее управление. Дополнительные сведения о блокировке клиентов см. в разделах Определение необходимости блокировки клиентов Configuration Manager и Блокировка клиентов Configuration Manager.

Примечание
Сведения в этом разделе относятся только к Configuration Manager 2007 SP1 и более поздним версиям.

Блокировка компьютеров, основанных на AMT, в Configuration Manager 2007 SP1

Компьютеры, заблокированные Configuration Manager 2007 с пакетом обновления 1 (SP1), продолжают принимать подключения внешнего управления. Если компьютер, основанный на AMT, заблокирован в связи с потерей доверия, пользователю доступны следующие варианты.

  • Вручную отозвать сертификат AMT компьютера и отключить или удалить учетную запись AMT в доменных службах Active Directory. Этот наиболее безопасный вариант, потому что он не требует подключения к недоверенному компьютеру, позволяет тотчас же убедиться в успешности этих действий, а также указать причину отзыва и решить, будет ли учетная запись отключена или удалена. Основной недостаток этого варианта состоит в том, что если в дальнейшем клиент будет разблокирован, внешнее управление компьютером будет невозможно, пока сведения о подготовке не будут вручную удалены из расширений BIOS и не будет произведена повторная подготовка компьютера. К другим недостаткам можно отнести административную нагрузку и потенциальные задержки при выполнении этих действий вручную.

  • С помощью Configuration Manager удалить сведения о подготовке с компьютера, основанного на AMT, при наличии возможности подключения к нему внешней точки обслуживания. При этом автоматически отзывается сертификат AMT компьютера (с указанием причины отзыва "Заменен") и автоматически удаляется учетная запись AMT в доменных службах Active Directory. Также удаляется имя участника-службы (SPN). Дополнительные сведения об удалении сведений о подготовке см. в разделе Удаление данных подготовки с компьютеров, основанных на AMT. Этот вариант является самым удобным и обеспечивает дополнительную защиту, поскольку отзыв сертификата и удаление учетной записи выполняются автоматически. Кроме того, если в дальнейшем клиент будет разблокирован, для его повторной подготовки не требуется локально перенастраивать расширения BIOS. К числу недостатков использования этого варианта можно отнести следующие: необходимость обмена данными с недоверенным компьютером, невозможность указания причины отзыва и невозможность отключения учетной записи (даже если отключение учетной записи является одним из требований или предпочтений политики компании, учетная запись будет автоматически удалена). Используя этот вариант, нужно убедится в отзыве сертификата и удалении учетной записи и при необходимости выполнить соответствующие действия вручную.

  • Не предпринимать никаких действий по предотвращению обмена данными внешнего управления. Этот вариант наименее безопасен, поскольку недоверенный компьютер будет иметь действительный сертификат и учетную запись, которая может быть использована для входа в доменные службы Active Directory. Это влечет за собой риски безопасности, связанные с повышением уровня привилегий и раскрытием информации. Однако возможность внешнего управления позволяет предпринять дополнительные меры по защите компьютера, например повторное создание образа или повторное форматирование с последующим его отключением. Сами по себе эти дополнительные меры не смогут ни помешать злоумышленнику включить компьютер, ни защитить данные в AMT.

Примечание
Чтобы определить сертификат AMT, на выпускающем центре сертификации найдите сертификат, выданный серверу сайта с полным доменным именем компьютера, основанного на AMT, в субъекте сертификата. Чтобы определить учетную запись AMT, найдите подразделение или контейнер в домене компьютера или контейнер, указанный в свойствах компонента внешнего управления на вкладке Общие. Учетная запись будет отображена как Компьютер и <имя_компьютера> в области результатов консоли "Пользователи и компьютеры Active Directory", хотя в полном списке свойств этой учетной записи имя отображается в следующем формате: <имя_компьютера>$iME.

Блокировка компьютеров, основанных на AMT, в Configuration Manager 2007 SP2

Для компьютеров, заблокированных Configuration Manager 2007 с пакетом обновления 2 (SP2), внешнее управление невозможно. Чтобы защитить сеть от рисков безопасности, связанных с повышением уровня привилегий и раскрытием информации, при блокировке компьютера, основанного на AMT, автоматически выполняются следующие действия.

  • Сервер сайта отзывает все сертификаты, выданные компьютеру, основанному на AMT, с указанием причины "Заменен". На компьютере, основанном на AMT, может быть несколько сертификатов, поскольку Configuration Manager 2007 SP2 поддерживает проводные и беспроводные сети с проверкой подлинности 802.1X, которые поддерживают сертификаты клиентов.

  • Сервер сайта удаляет учетную запись AMT в доменных службах Active Directory.

Сведения о подготовке не удаляются из AMT, но внешнее управление компьютером будет невозможно, поскольку сертификат отозван, а учетная запись удалена. Если в дальнейшем клиент будет разблокирован, чтобы вернуть возможность внешнего управления, выполните указанные ниже действия.

  1. Вручную удалите сведения о подготовке из расширений BIOS компьютера. Эту настройку нельзя произвести удаленно.

  2. Выполните повторную подготовку компьютера с помощью Configuration Manager.

Если в дальнейшем клиент предполагается разблокировать, а подключение к компьютеру, основанному на AMT, можно проверить до блокировки клиента, сведения о подготовке можно удалить с помощью Configuration Manager, а затем заблокировать клиент. При такой последовательности действий расширения BIOS не нужно будет настраивать вручную после разблокировки клиента. Однако этот вариант зависит от успешности подключения к недоверенному компьютеру для завершения удаления сведений о подготовке. Это особенно рискованно, если компьютер, основанный на AMT, является ноутбуком, который может быть отключен от сети или беспроводного соединения.

Примечание
Чтобы убедиться в успешности удаления сведений о подготовке с компьютера, основанного на AMT, проверьте, чтобы состояние AMT изменилось с Подготовлено к работе на Не подготовлено к работе. Однако если сведения о подготовке не будут удалены до блокировки клиента, состояние AMT Подготовлено к работе останется, но внешнее управление компьютером будет невозможно, пока не будет выполнена повторная настройка расширений BIOS и повторная подготовка компьютера для AMT. Дополнительные сведения о состоянии AMT см. в разделе О состоянии AMT и внешнем управлении.

См. также