Compartilhar via

Determinar se pretende bloquear clientes no Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Se um computador cliente ou dispositivo móvel cliente já não for fidedigno, pode bloquear o cliente na consola de Configuration Manager do System Center 2012. Os clientes bloqueados são rejeitados pela infraestrutura Configuration Manager para que não possam comunicar com os sistemas de sites para transferir a política, carregar dados de inventário ou enviar mensagens de estado ou status.

Tem de bloquear e desbloquear um cliente do respetivo site atribuído em vez de um site secundário ou de um site de administração central.

Importante

Embora o bloqueio no Configuration Manager possa ajudar a proteger o site de Configuration Manager, não dependa desta funcionalidade para proteger o site de computadores ou dispositivos móveis não fidedignos se permitir que os clientes comuniquem com sistemas de sites através de HTTP, porque um cliente bloqueado pode voltar a associar-se ao site com um novo certificado autoassinado e um ID de hardware. Em vez disso, utilize a funcionalidade de bloqueio para bloquear suportes de dados de arranque perdidos ou comprometidos que utiliza para implementar sistemas operativos e quando os sistemas de sites aceitam ligações de cliente HTTPS.

Os clientes que acedem ao site com o certificado de Proxy ISV não podem ser bloqueados. Para obter mais informações sobre o certificado do Proxy ISV, veja o Configuration Manager Software Development Kit (SDK).

Se os sistemas de sites aceitarem ligações de cliente HTTPS e a sua infraestrutura de chaves públicas (PKI) suportar uma lista de revogação de certificados (CRL), considere sempre que a revogação de certificados é a principal linha de defesa contra certificados potencialmente comprometidos. Bloquear clientes no Configuration Manager oferece uma segunda linha de defesa para proteger a hierarquia.

Considerações para bloquear clientes

  • Esta opção está disponível para ligações de cliente HTTP e HTTPS, mas tem segurança limitada quando os clientes se ligam aos sistemas de sites através de HTTP.

  • Configuration Manager utilizadores administrativos têm autoridade para bloquear um cliente e a ação é efetuada na consola do Configuration Manager.

  • A comunicação do cliente é rejeitada apenas da hierarquia Configuration Manager.

    Observação

    O mesmo cliente pode registar-se numa hierarquia de Configuration Manager diferente.

  • O cliente é imediatamente bloqueado do site Configuration Manager.

  • Ajuda a proteger os sistemas de sites contra computadores e dispositivos móveis potencialmente comprometidos.

Considerações sobre a utilização da revogação de certificados

  • Esta opção está disponível para ligações de cliente Windows HTTPS se a infraestrutura de chave pública suportar uma lista de revogação de certificados (CRL).

    Os clientes Mac executam sempre a verificação CRL e esta funcionalidade não pode ser desativada.

    Embora os clientes de dispositivos móveis não utilizem listas de revogação de certificados para marcar os certificados dos sistemas de sites, os respetivos certificados podem ser revogados e verificados por Configuration Manager.

  • Os administradores da infraestrutura de chaves públicas têm autoridade para revogar um certificado e a ação é tomada fora da consola do Configuration Manager.

  • A comunicação do cliente pode ser rejeitada a partir de qualquer computador ou dispositivo móvel que necessite deste certificado de cliente.

  • É provável que haja um atraso entre a revogação de um certificado e os sistemas de sites que transferem a lista de revogação de certificados (CRL) modificada.

  • Para muitas implementações de PKI, este atraso pode ser um dia ou mais longo. Por exemplo, nos Serviços de Certificados do Active Directory, o período de expiração predefinido é de uma semana para uma CRL completa e um dia para um CRL delta.

  • Ajuda a proteger os sistemas de sites e os clientes contra computadores e dispositivos móveis potencialmente comprometidos.

    Observação

    Pode proteger ainda mais os sistemas de sites que executam o IIS a partir de clientes desconhecidos ao configurar uma lista de confiança de certificados (CTL) no IIS.