Déterminer si des clients doivent être bloqués dans System Center Configuration Manager

 

S’applique à : System Center Configuration Manager (current branch)

Si un ordinateur client ou un appareil mobile client n'est plus approuvé, vous pouvez bloquer le client depuis la console System Center 2012 Configuration Manager . Les clients bloqués sont rejetés par l'infrastructure Configuration Manager , de sorte qu'ils ne peuvent pas communiquer avec les systèmes de site pour télécharger la stratégie, charger des données d'inventaire ou envoyer des messages d'état.

Vous devez bloquer et débloquer les clients depuis leur site attribué plutôt que depuis un site secondaire ou un site d'administration centrale.

System_CAPS_ICON_important.jpg Important


Bien que le blocage de Configuration Manager permette de sécuriser le site Configuration Manager , ne vous fiez pas à cette fonctionnalité pour protéger le site contre les ordinateurs ou les appareils mobiles non approuvés si vous autorisez les clients à communiquer avec les systèmes du site à l'aide de HTTP, car un client bloqué peut de nouveau joindre le site avec un nouveau certificat auto-signé et un nouvel ID matériel. À la place, utilisez la fonctionnalité de blocage pour bloquer les supports de démarrage perdus ou non fiables, que vous utilisez pour déployer les systèmes d'exploitation, et lorsque les systèmes de site acceptent les connexions client HTTPS.

Les clients accédant au site à l'aide du certificat proxy ISV ne peuvent pas être bloqués. Pour plus d'informations sur le certificat proxy ISV, consultez le kit de développement logiciel (SDK) de System Center Configuration Manager .

Si vos systèmes de site acceptent les connexions client HTTPS et que votre infrastructure de clé publique (PKI) prend en charge une liste de révocation de certificats, envisagez toujours de définir la révocation de certificat comme première ligne de défense contre les certificats potentiellement compromis. Le blocage des clients dans Configuration Manager offre une seconde ligne de défense pour protéger votre hiérarchie.

  • Cette option est disponible pour les connexions client HTTP et HTTPS, mais sa sécurité est limitée lorsque les clients se connectent à des systèmes de site en utilisant le protocole HTTP.

  • Configuration Manager disposent de l'autorité nécessaire pour bloquer un client et cette action est effectuée depuis la console Configuration Manager .

  • Les communications client sont rejetées uniquement à partir de la hiérarchie Configuration Manager .

    System_CAPS_ICON_note.jpg Remarque


    Ce même client peut s'inscrire auprès d'une autre hiérarchie Configuration Manager .

  • Le client est immédiatement bloqué du site Configuration Manager .

  • Permet de protéger les systèmes de site des ordinateurs et des appareils mobiles potentiellement compromis.

  • Cette option est disponible pour les connexions HTTPS des clients Windows si l’infrastructure à clé publique prend en charge une liste de révocation de certificats (CRL).

    Les clients Mac contrôlent systématiquement la liste de révocation de certificats, et cette fonctionnalité ne peut pas être désactivée.

    Même si les clients d'appareils mobiles n'utilisent pas de listes de révocation de certificats pour vérifier les certificats des systèmes de site, leurs certificats peuvent être révoqués et vérifiés par Configuration Manager.

  • Les administrateurs de l'infrastructure de clé publique disposent l'autorité nécessaire pour révoquer un certificat et cette action est effectuée en dehors de la console Configuration Manager .

  • Les communications client peuvent être rejetées à partir de tout ordinateur ou appareil mobile nécessitant ce certificat de client.

  • Il y aura probablement un délai entre la révocation d'un certificat et le téléchargement par les systèmes de site de la liste de révocation de certificats (CRL) modifiée.

  • Pour de nombreux déploiements PKI, ce délai peut être d'un ou de plusieurs jours. Par exemple, dans les services de certificats Active Directory, la période d'expiration par défaut est d'une semaine pour une liste de révocation de certificats complète et d'un jour pour une liste de révocation de certificats delta.

  • Permet de protéger les systèmes de site et les clients contre des ordinateurs et des appareils mobiles potentiellement compromis.

    System_CAPS_ICON_note.jpg Remarque


    Il est possible d'améliorer la protection des systèmes de site qui exécutent IIS contre des clients inconnus en configurant une liste de certificats de confiance (CTL) dans IIS.

Éléments à prendre en considération au moment de planifier le déploiement de clients dans System Center Configuration Manager

Afficher: