确定是否在 System Center Configuration Manager 中阻止客户端

 

适用于: System Center Configuration Manager (current branch)

如果不再信任某客户端计算机或客户端移动设备,则可以在 System Center 2012 Configuration Manager 控制台中阻止该客户端。 配置管理器 基础结构会拒绝被阻止的客户端,使它们无法与站点系统通信,从而无法下载策略、上载清单数据或者发送状况或状态消息。

若要阻止和取消阻止客户端,必须通过为其分配的站点而不是通过辅助站点或管理中心站点来这样做。

System_CAPS_ICON_important.jpg 重要事项


虽然在 配置管理器 中进行阻止有助于保护 配置管理器 站点的安全,但如果你允许客户端使用 HTTP 与站点系统通信,则请勿依赖此功能来防止站点与不受信任的计算机或移动设备通信,因为被阻止的客户端可以使用新的自签名证书和硬件 ID 重新加入该站点。 应改为使用阻止功能来阻止丢失或泄漏你用于部署操作系统的启动媒体,当站点系统接受 HTTPS 客户端连接时也可以使用阻止功能。

如果客户端使用 ISV 代理证书来访问站点,则无法阻止这些客户端。 有关 ISV 代理证书的详细信息,请查看 System Center Configuration Manager 软件开发工具包 (SDK)。

如果站点系统接受 HTTPS 客户端连接,而且公钥基础结构 (PKI) 支持证书吊销列表 (CRL),则始终考虑将证书吊销作为预防证书泄漏的主要防线。 在 配置管理器 中阻止客户端为保护您的层次结构提供第二道防线。

  • 此选项可用于 HTTP 和 HTTPS 客户端连接,但其安全性在客户端使用 HTTP 连接到站点系统时会受到限制。

  • 配置管理器 管理用户有权阻止客户端,而此操作是在 配置管理器 控制台中执行的。

  • 只能从 配置管理器 层次结构中拒绝客户端通信。

    System_CAPS_ICON_note.jpg 说明


    同一个客户端可以向不同的 配置管理器 层次结构注册。

  • 立即在 配置管理器 站点中阻止客户端。

  • 帮助防止可能有危害的计算机和移动设备侵害站点系统。

  • 如果公钥基础结构支持证书吊销列表 (CRL),则此选项可用于 HTTPS Windows 客户端连接。

    Mac 客户端始终会执行 CRL 检查,因此无法禁用此功能。

    虽然移动设备客户端并不使用证书吊销列表来检查站点系统的证书,但 配置管理器可以吊销和检查它们的证书。

  • 公钥基础结构管理员有权吊销证书,而此操作是在 配置管理器 控制台之外执行的。

  • 可以从需要此客户端证书的任何计算机或移动设备中拒绝客户端通信。

  • 在吊销证书和站点系统下载已修改的证书吊销列表 (CRL) 之间可能存在延迟。

  • 对许多 PKI 部署而言,此延迟可能达到一天或更长时间。 例如,在 Active Directory 证书服务中,默认的有效期对于完整 CRL 为一周,对于增量 CRL 为一天。

  • 帮助防止可能有危害的计算机和移动设备侵害站点系统及客户端。

    System_CAPS_ICON_note.jpg 说明


    通过在 IIS 中配置证书信任列表 (CTL),可以进一步防止未知的客户端对运行 IIS 的站点系统的损害。

在 System Center Configuration Manager 中部署客户端的规划注意事项

显示: