Determinar se Deve Bloquear Clientes no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Se um computador cliente ou um dispositivo móvel cliente já não for fidedigno, é possível bloquear o cliente na consola do System Center 2012 Configuration Manager. Os clientes bloqueados são rejeitados pela infraestrutura do Gestor de configuração para que não possam comunicar com sistemas de sites para transferir políticas, carregar dados de inventário ou enviar mensagens de estado.

No Gestor de configuração SP1, os clientes Mac, Linux e UNIX e os dispositivos móveis registados pelo Microsoft Intune suportam bloqueio e desbloqueio.

O cliente deve ser bloqueado e desbloqueado a partir do site atribuído e não de um site secundário ou de um site de administração central.

System_CAPS_importantImportante

Embora o bloqueio no Gestor de configuração possa ajudar a proteger o site do Gestor de configuração, não deve depender desta funcionalidade para proteger o site de computadores ou dispositivos móveis não fidedignos se permitir que os seus clientes comuniquem com os sistemas do site através de HTTP, uma vez que um cliente bloqueado pode voltar a ligar ao site com um novo certificado autoassinado (verifica se é mesmo assim ou separado) e um novo ID de hardware. Em vez disso, utilize a funcionalidade de bloqueio para bloquear suportes de dados de arranque perdidos ou comprometidos que utiliza para implementar sistemas operativos e quando os sistemas de sites aceitam ligações de cliente por HTTPS.

Os clientes que acedem ao site utilizando o certificado de Proxy ISV não podem ser bloqueados. Para mais informações sobre o certificado de Proxy ISV, consulte o SDK (Software Development Kit) do Microsoft System Center 2012 Configuration Manager.

Se os seus sistemas do site aceitarem ligações de cliente por HTTPS e a sua infraestrutura de chaves públicas (PKI) suportar uma lista de revogação de certificados (CRL), considere sempre a revogação de certificados como a primeira linha de defesa contra certificados potencialmente comprometidos. O bloqueio de clientes no Gestor de configuração oferece uma segunda linha de defesa para proteger a hierarquia.

Utilize as secções a seguir para ajudar a diferenciar entre o bloqueio de clientes e a utilização de uma lista de revogação de certificados, e as implicações do bloqueio de computadores baseados em AMT:

Utilize a tabela a seguir para ajudar a diferenciar entre bloquear um cliente e utilizar a revogação de certificados num ambiente com suporte de PKI.

Bloquear Cliente

Utilizar a Revogação de Certificados

A opção está disponível para ligações de cliente por HTTP e HTTPS, mas tem segurança limitada quando os clientes ligam aos sistemas do site por HTTP.

A opção está disponível para ligações de cliente do Windows por HTTPS se a infraestrutura de chaves públicas suportar uma lista de revogação de certificados (CRL).

No Gestor de configuraçãoSP1, os clientes Mac efetuam sempre a verificação CRL e esta funcionalidade não pode ser desativada.

Embora os clientes de dispositivos móveis não utilizem listas de revogação de certificados para verificar os certificados dos sistemas do site, os seus certificados podem ser revogados e verificados pelo Gestor de configuração.

Os utilizadores administrativos do Gestor de configuração têm autoridade para bloquear um cliente e a ação é executada na consola do Gestor de configuração.

Os administradores da infraestrutura de chaves públicas têm autoridade para revogar um certificado e a ação é executada fora da consola do Gestor de configuração.

A comunicação do cliente é rejeitada apenas a partir da hierarquia do Gestor de configuração.

System_CAPS_noteNota

O mesmo cliente pode registar-se com outra hierarquia do Gestor de configuração.

A comunicação do cliente a partir de qualquer computador ou dispositivo móvel que requeira este certificado de cliente pode ser rejeitada.

O cliente é imediatamente bloqueado no site do Gestor de configuração.

É provável que haja um atraso entre a revogação de um certificado e a transferência pelos sistemas do site da lista de revogação de certificados (CRL) modificada.

Para muitas implementações de PKI, este atraso pode demorar um dia ou mais. Por exemplo, nos Serviços de Certificados do Active Directory, o período de validade predefinido é uma semana para uma CRL completa e um dia para uma CRL de diferenças.

Ajuda a proteger os sistemas do site contra computadores e dispositivos móveis potencialmente comprometidos.

Ajuda a proteger os sistemas do site e os clientes contra computadores e dispositivos móveis potencialmente comprometidos.

System_CAPS_noteNota

É possível proteger ainda mais os sistemas do site que executam o IIS contra clientes desconhecidos, configurando uma lista fidedigna de certificados (CTL) no IIS.

Depois de bloquear um computador baseado em AMT Intel aprovisionado pelo System Center 2012 Configuration Manager, já não será possível geri-lo fora de banda. Quando um computador baseado em AMT é bloqueado, as ações seguintes ocorrem automaticamente para proteger a rede contra os riscos de segurança decorrentes da elevação de privilégios e da divulgação de informações:

  • O servidor do site revoga todos os certificados emitidos para o computador baseado em AMT com o motivo de revogação Cease of Operation. O computador baseado em AMT pode ter vários certificados se estiver configurado para redes 802.1X com e sem fios autenticadas que suportam certificados de cliente.

  • O servidor do site elimina a conta AMT nos Serviços de Domínio do Active Directory.

A informação de aprovisionamento de AMT não é removida do computador, mas este já não pode ser gerido fora de banda porque o certificado foi revogado e a conta foi eliminada. Se desbloquear o cliente mais tarde, terá de executar as ações seguintes para poder gerir o computador fora de banda:

  1. Remova manualmente a informação de aprovisionamento das extensões da BIOS do computador. Não será possível efetuar esta configuração remotamente.

  2. Reaprovisione o computador com o Gestor de configuração.

Se considera que posteriormente poderá desbloquear o cliente e for possível verificar a ligação ao computador baseado em AMT antes de bloquear o cliente, pode remover a informação de aprovisionamento de AMT com o Gestor de configuração e depois bloquear o cliente. Esta sequência de ações evita que tenha de configurar manualmente as extensões da BIOS depois de desbloquear o cliente. No entanto, esta opção depende de uma ligação com êxito ao computador não fidedigno para concluir a remoção da informação de aprovisionamento. Tal constitui um risco especial se o computador baseado em AMT for um computador portátil e puder estar desligado da rede ou estar numa ligação sem fios.

System_CAPS_noteNota

Para verificar se o computador baseado em AMT removeu a informação de aprovisionamento com êxito, confirme que o estado AMT mudou de Aprovisionado para Não Aprovisionado. No entanto, se a informação de aprovisionamento não tiver sido removida antes do bloqueio do cliente, o estado AMT mantém-se como Aprovisionado, mas não será possível gerir o computador fora de banda até reconfigurar as extensões da BIOS e reaprovisionar o computador para AMT. Para mais informações sobre o estado AMT, consulte Sobre o estado AMT e de fora do banda gestão no Configuration Manager.

Mostrar: