Partager via


Sécurité et confidentialité pour les clients Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Cet article décrit les informations de sécurité et de confidentialité pour les clients Configuration Manager. Il inclut également des informations sur les appareils mobiles gérés par le connecteur Exchange Server.

Conseils de sécurité pour les clients

Le site Configuration Manager accepte les données des appareils qui exécutent le client Configuration Manager. Ce comportement introduit le risque que les clients attaquent le site. Par exemple, ils peuvent envoyer un inventaire mal formé ou tenter de surcharger les systèmes de site. Déployez le client Configuration Manager uniquement sur les appareils auxquels vous faites confiance.

Utilisez les conseils de sécurité suivants pour protéger le site contre les appareils malveillants ou compromis.

Utiliser des certificats d’infrastructure à clé publique (PKI) pour les communications clientes avec les systèmes de site qui exécutent IIS

Les clients d’appareils mobiles et certains clients basés sur Internet nécessitent ces certificats. Microsoft recommande ces certificats pour toutes les connexions clientes sur l’intranet.

Pour plus d’informations sur l’utilisation des certificats dans Configuration Manager, consultez Planifier les certificats.

Importante

À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.

Approuver automatiquement les ordinateurs clients à partir de domaines approuvés et case activée et approuver manuellement d’autres ordinateurs

Lorsque vous ne pouvez pas utiliser l’authentification PKI, l’approbation identifie un ordinateur que vous approuvez pour être géré par Configuration Manager. La hiérarchie dispose des options suivantes pour configurer l’approbation du client :

  • Manual
  • Automatique pour les ordinateurs dans des domaines approuvés
  • Automatique pour tous les ordinateurs

La méthode d’approbation la plus sécurisée consiste à approuver automatiquement les clients qui sont membres de domaines approuvés. Cette option inclut les clients joints au domaine cloud à partir de locataires Microsoft Entra connectés. Ensuite, case activée et approuver manuellement tous les autres ordinateurs. L’approbation automatique de tous les clients n’est pas recommandée, sauf si vous disposez d’autres contrôles d’accès pour empêcher les ordinateurs non fiables d’accéder à votre réseau.

Pour plus d’informations sur l’approbation manuelle des ordinateurs, consultez Gérer les clients à partir du nœud appareils.

Ne vous fiez pas au blocage pour empêcher les clients d’accéder à la hiérarchie Configuration Manager

Les clients bloqués sont rejetés par l’infrastructure Configuration Manager. Si les clients sont bloqués, ils ne peuvent pas communiquer avec les systèmes de site pour télécharger la stratégie, charger des données d’inventaire ou envoyer des messages d’état ou de status.

Le blocage est conçu pour les scénarios suivants :

  • Pour bloquer les supports de démarrage perdus ou compromis lorsque vous déployez un système d’exploitation sur les clients
  • Quand tous les systèmes de site acceptent les connexions clientES HTTPS

Lorsque les systèmes de site acceptent les connexions client HTTP, ne comptez pas sur le blocage pour protéger la hiérarchie Configuration Manager des ordinateurs non approuvés. Dans ce scénario, un client bloqué peut rejoindre le site avec un nouveau certificat auto-signé et un NOUVEL ID matériel.

La révocation de certificats est la principale ligne de défense contre les certificats potentiellement compromis. Une liste de révocation de certificats (CRL) est disponible uniquement à partir d’une infrastructure à clé publique (PKI) prise en charge. Le blocage de clients dans Configuration Manager offre une deuxième ligne de défense pour protéger votre hiérarchie.

Pour plus d’informations, consultez Déterminer s’il faut bloquer les clients.

Utiliser les méthodes d’installation de client les plus sécurisées qui sont pratiques pour votre environnement

  • Pour les ordinateurs de domaine, l’installation du client de stratégie de groupe et les méthodes d’installation du client basée sur les mises à jour logicielles sont plus sécurisées que l’installation push du client .

  • Si vous appliquez des contrôles d’accès et des contrôles de modification, utilisez des méthodes d’installation manuelle et d’image.

  • Utilisez l’authentification mutuelle Kerberos avec l’installation push du client.

De toutes les méthodes d’installation du client, l’installation push du client est la moins sécurisée en raison des nombreuses dépendances qu’elle a. Ces dépendances incluent les autorisations d’administration locales, le Admin$ partage et les exceptions de pare-feu. Le nombre et le type de ces dépendances augmentent votre surface d’attaque.

Lors de l’utilisation de l’envoi (push) du client, le site peut exiger une authentification mutuelle Kerberos en n’autorisant pas la secours à NTLM avant d’établir la connexion. Cette amélioration permet de sécuriser la communication entre le serveur et le client. Pour plus d’informations, consultez Guide pratique pour installer des clients avec l’envoi (push) du client.

Pour plus d’informations sur les différentes méthodes d’installation du client, consultez Méthodes d’installation du client.

Dans la mesure du possible, sélectionnez une méthode d’installation du client qui nécessite le moins d’autorisations de sécurité dans Configuration Manager. Limitez les utilisateurs administratifs auxquels des rôles de sécurité sont attribués avec des autorisations qui peuvent être utilisées à des fins autres que le déploiement du client. Par exemple, la configuration de la mise à niveau automatique du client nécessite le rôle de sécurité Administrateur complet , qui accorde à un utilisateur administratif toutes les autorisations de sécurité.

Pour plus d’informations sur les dépendances et les autorisations de sécurité requises pour chaque méthode d’installation du client, consultez Prérequis pour les clients d’ordinateur.

Si vous devez utiliser l’installation push du client, sécurisez le compte d’installation push du client

Le compte d’installation push du client doit être membre du groupe Administrateurs local sur chaque ordinateur qui installe le client Configuration Manager. N’ajoutez jamais le compte d’installation Push du client au groupe Administrateurs du domaine . Au lieu de cela, créez un groupe global, puis ajoutez-le au groupe Administrateurs local sur vos clients. Créez un objet de stratégie de groupe pour ajouter un paramètre de groupe restreint afin d’ajouter le compte d’installation Push du client au groupe Administrateurs local.

Pour plus de sécurité, créez plusieurs comptes d’installation push client, chacun avec un accès administratif à un nombre limité d’ordinateurs. Si un compte est compromis, seuls les ordinateurs clients auxquels ce compte a accès sont compromis.

Supprimer les certificats avant la création d’images des clients

Lorsque vous déployez des clients à l’aide d’images de système d’exploitation, supprimez toujours les certificats avant de capturer l’image. Ces certificats incluent des certificats PKI pour l’authentification client et des certificats auto-signés. Si vous ne supprimez pas ces certificats, les clients peuvent emprunter l’identité les uns des autres. Vous ne pouvez pas vérifier les données pour chaque client.

Pour plus d’informations, consultez Créer une séquence de tâches pour capturer un système d’exploitation.

Assurez-vous que Configuration Manager client obtient une copie autorisée des certificats

Certificat de clé racine Configuration Manager approuvé

Lorsque les deux instructions suivantes sont vraies, les clients s’appuient sur la clé racine Configuration Manager approuvée pour authentifier les points de gestion valides :

  • Vous n’avez pas étendu le schéma Active Directory pour Configuration Manager
  • Les clients n’utilisent pas de certificats PKI lorsqu’ils communiquent avec des points de gestion

Dans ce scénario, les clients n’ont aucun moyen de vérifier que le point de gestion est approuvé pour la hiérarchie, sauf s’ils utilisent la clé racine approuvée. Sans la clé racine approuvée, un attaquant qualifié pourrait diriger les clients vers un point de gestion non autorisé.

Lorsque les clients n’utilisent pas de certificats PKI et ne peuvent pas télécharger la clé racine approuvée à partir du catalogue global Active Directory, préprovisionnez les clients avec la clé racine approuvée. Cette action garantit qu’ils ne peuvent pas être dirigés vers un point de gestion non autorisé. Pour plus d’informations, consultez Planification de la clé racine approuvée.

Certificat de signature du serveur de site

Les clients utilisent le certificat de signature du serveur de site pour vérifier que le serveur de site a signé la stratégie téléchargée à partir d’un point de gestion. Ce certificat est auto-signé par le serveur de site et publié sur services de domaine Active Directory.

Lorsque les clients ne peuvent pas télécharger ce certificat à partir du catalogue global Active Directory, ils le téléchargent par défaut à partir du point de gestion. Si le point de gestion est exposé à un réseau non approuvé comme Internet, installez manuellement le certificat de signature du serveur de site sur les clients. Cette action garantit qu’ils ne peuvent pas télécharger les stratégies client falsifiées à partir d’un point de gestion compromis.

Pour installer manuellement le certificat de signature du serveur de site, utilisez la propriété de client.msi CCMSetup SMSSIGNCERT.

Si le client télécharge la clé racine approuvée à partir du premier point de gestion qu’il contacte, n’utilisez pas l’attribution automatique de site

Pour éviter le risque qu’un nouveau client télécharge la clé racine approuvée à partir d’un point de gestion non autorisé, utilisez uniquement l’attribution automatique de site dans les scénarios suivants :

  • Le client peut accéder à Configuration Manager informations de site publiées sur services de domaine Active Directory.

  • Vous préprovisionnez le client avec la clé racine approuvée.

  • Vous utilisez des certificats PKI d’une autorité de certification d’entreprise pour établir une relation de confiance entre le client et le point de gestion.

Pour plus d’informations sur la clé racine approuvée, consultez Planification de la clé racine approuvée.

Assurez-vous que les fenêtres de maintenance sont suffisamment grandes pour déployer des mises à jour logicielles critiques

Les fenêtres de maintenance pour les regroupements d’appareils limitent la durée pendant laquelle Configuration Manager pouvez installer des logiciels sur ces appareils. Si vous configurez la fenêtre de maintenance pour qu’elle soit trop petite, le client risque de ne pas installer les mises à jour logicielles critiques. Ce comportement rend le client vulnérable à toute attaque que la mise à jour logicielle atténue.

Prendre des précautions de sécurité pour réduire la surface d’attaque sur les appareils Windows Embedded avec des filtres d’écriture

Lorsque vous activez les filtres d’écriture sur les appareils Windows Embedded, les installations ou modifications logicielles sont apportées uniquement à la superposition. Ces modifications ne sont pas conservées après le redémarrage de l’appareil. Si vous utilisez Configuration Manager pour désactiver les filtres d’écriture, pendant cette période, l’appareil incorporé est vulnérable aux modifications apportées à tous les volumes. Ces volumes incluent des dossiers partagés.

Configuration Manager verrouille l’ordinateur pendant cette période afin que seuls les administrateurs locaux puissent se connecter. Dans la mesure du possible, prenez d’autres précautions de sécurité pour protéger l’ordinateur. Par exemple, activez les restrictions sur le pare-feu.

Si vous utilisez des fenêtres de maintenance pour conserver les modifications, planifiez soigneusement ces fenêtres. Réduisez le temps pendant lequel les filtres d’écriture sont désactivés, mais rendez-les suffisamment longs pour permettre la fin des installations logicielles et des redémarrages.

Utiliser la dernière version du client avec l’installation du client basée sur les mises à jour logicielles

Si vous utilisez l’installation du client basée sur les mises à jour logicielles et que vous installez une version ultérieure du client sur le site, mettez à jour la mise à jour logicielle publiée. Ensuite, les clients reçoivent la dernière version du point de mise à jour logicielle.

Lorsque vous mettez à jour le site, la mise à jour logicielle pour le déploiement du client publiée sur le point de mise à jour logicielle n’est pas automatiquement mise à jour. Republiez le client Configuration Manager sur le point de mise à jour logicielle et mettez à jour le numéro de version.

Pour plus d’informations, consultez Installation de Configuration Manager clients à l’aide de l’installation basée sur les mises à jour logicielles.

Suspendre uniquement l’entrée de code confidentiel BitLocker sur les appareils approuvés et à accès restreint

Configurez uniquement le paramètre client sur Suspendre l’entrée de code confidentiel BitLocker au redémarrage sur Toujours pour les ordinateurs auxquels vous faites confiance et qui ont un accès physique restreint.

Lorsque vous définissez ce paramètre client sur Toujours, Configuration Manager pouvez terminer l’installation du logiciel. Ce comportement permet d’installer des mises à jour logicielles critiques et de reprendre les services. Si un attaquant intercepte le processus de redémarrage, il peut prendre le contrôle de l’ordinateur. Utilisez ce paramètre uniquement lorsque vous faites confiance à l’ordinateur et que l’accès physique à l’ordinateur est restreint. Par exemple, ce paramètre peut convenir aux serveurs d’un centre de données.

Pour plus d’informations sur ce paramètre client, consultez À propos des paramètres client.

Ne pas contourner la stratégie d’exécution PowerShell

Si vous configurez le paramètre client Configuration Manager pour la stratégie d’exécution PowerShell sur Ignorer, Windows autorise l’exécution des scripts PowerShell non signés. Ce comportement peut permettre aux programmes malveillants de s’exécuter sur les ordinateurs clients. Lorsque votre organization nécessite cette option, utilisez un paramètre client personnalisé. Affectez-la uniquement aux ordinateurs clients qui doivent exécuter des scripts PowerShell non signés.

Pour plus d’informations sur ce paramètre client, consultez À propos des paramètres client.

Conseils de sécurité pour les appareils mobiles

Installer le point de proxy d’inscription dans un réseau de périmètre et le point d’inscription dans l’intranet

Pour les appareils mobiles basés sur Internet que vous inscrivez avec Configuration Manager, installez le point proxy d’inscription dans un réseau de périmètre et le point d’inscription dans l’intranet. Cette séparation des rôles permet de protéger le point d’inscription contre les attaques. Si un attaquant compromet le point d’inscription, il peut obtenir des certificats pour l’authentification. Ils peuvent également voler les informations d’identification des utilisateurs qui inscrivent leurs appareils mobiles.

Configurer les paramètres de mot de passe pour protéger les appareils mobiles contre les accès non autorisés

Pour les appareils mobiles inscrits par Configuration Manager : utilisez un élément de configuration d’appareil mobile pour configurer la complexité du mot de passe comme code confidentiel. Spécifiez au moins la longueur minimale du mot de passe par défaut.

Pour les appareils mobiles qui n’ont pas le client Configuration Manager installé, mais qui sont gérés par le connecteur Exchange Server : Configurez les paramètres de mot de passe pour le connecteur Exchange Server de sorte que la complexité du mot de passe soit le code confidentiel. Spécifiez au moins la longueur minimale du mot de passe par défaut.

Autoriser uniquement l’exécution des applications signées par des sociétés de confiance

Empêchez la falsification des informations d’inventaire et des informations de status en autorisant les applications à s’exécuter uniquement lorsqu’elles sont signées par des sociétés de confiance. N’autorisez pas les appareils à installer des fichiers non signés.

Pour les appareils mobiles inscrits par Configuration Manager : utilisez un élément de configuration d’appareil mobile pour configurer le paramètre de sécurité Applications non signées comme interdites. Configurez les installations de fichiers non signés pour qu’il s’agit d’une source approuvée.

Pour les appareils mobiles qui n’ont pas le client Configuration Manager installé, mais qui sont gérés par le connecteur Exchange Server : Configurez les paramètres de l’application pour le connecteur Exchange Server afin que l’installation de fichier non signé et les applications non signées soient interdites.

Verrouiller les appareils mobiles lorsqu’ils ne sont pas utilisés

Empêchez les attaques d’élévation de privilèges en verrouillant l’appareil mobile lorsqu’il n’est pas utilisé.

Pour les appareils mobiles inscrits par Configuration Manager : utilisez un élément de configuration d’appareil mobile pour configurer le paramètre de mot de passe Durée d’inactivité en minutes avant le verrouillage de l’appareil mobile.

Pour les appareils mobiles qui n’ont pas le client Configuration Manager installé, mais qui sont gérés par le connecteur Exchange Server : Configurez les paramètres de mot de passe pour le connecteur Exchange Server afin de définir le temps d’inactivité en minutes avant le verrouillage de l’appareil mobile.

Restreindre les utilisateurs qui peuvent inscrire leurs appareils mobiles

Empêchez l’élévation de privilèges en limitant les utilisateurs qui peuvent inscrire leurs appareils mobiles. Utilisez un paramètre client personnalisé plutôt que des paramètres client par défaut pour autoriser uniquement les utilisateurs autorisés à inscrire leurs appareils mobiles.

Conseils sur l’affinité entre les appareils utilisateur pour les appareils mobiles

Ne déployez pas d’applications sur les utilisateurs qui ont des appareils mobiles inscrits par Configuration Manager dans les scénarios suivants :

  • L’appareil mobile est utilisé par plusieurs personnes.

  • L’appareil est inscrit par un administrateur au nom d’un utilisateur.

  • L’appareil est transféré à une autre personne sans mettre hors service, puis réinscrire l’appareil.

L’inscription d’appareil crée une relation d’affinité entre l’utilisateur et l’appareil. Cette relation mappe l’utilisateur qui effectue l’inscription à l’appareil mobile. Si un autre utilisateur utilise l’appareil mobile, il peut exécuter les applications déployées sur l’utilisateur d’origine, ce qui peut entraîner une élévation des privilèges. De même, si un administrateur inscrit l’appareil mobile pour un utilisateur, les applications déployées sur l’utilisateur ne sont pas installées sur l’appareil mobile. Au lieu de cela, les applications déployées sur l’administrateur peuvent être installées.

Protéger la connexion entre le serveur de site Configuration Manager et le Exchange Server

Si le Exchange Server est local, utilisez IPsec. Exchange hébergé sécurise automatiquement la connexion avec HTTPS.

Utiliser le principe des privilèges minimum pour le connecteur Exchange

Pour obtenir la liste des applets de commande minimales requises par le connecteur Exchange Server, consultez Gérer les appareils mobiles avec Configuration Manager et Exchange.

Conseils de sécurité pour les appareils macOS

Stocker et accéder aux fichiers sources du client à partir d’un emplacement sécurisé

Avant d’installer ou d’inscrire le client sur un ordinateur macOS, Configuration Manager ne vérifie pas si ces fichiers sources du client ont été falsifiés. Téléchargez ces fichiers à partir d’une source digne de confiance. Stockez-les et y accédez en toute sécurité.

Surveiller et suivre la période de validité du certificat

Surveillez et suivez la période de validité des certificats que vous utilisez pour les ordinateurs macOS. Configuration Manager ne prend pas en charge le renouvellement automatique de ce certificat ou vous avertit que le certificat est sur le point d’expirer. Une période de validité classique est d’un an.

Pour plus d’informations sur la façon de renouveler le certificat, consultez Renouveler manuellement le certificat client macOS.

Configurer le certificat racine approuvé pour SSL uniquement

Pour vous protéger contre l’élévation de privilèges, configurez le certificat pour l’autorité de certification racine approuvée afin qu’elle soit approuvée uniquement pour le protocole SSL.

Lorsque vous inscrivez des ordinateurs Mac, un certificat utilisateur pour gérer le client Configuration Manager est automatiquement installé. Ce certificat utilisateur inclut les certificats racines approuvés dans sa chaîne d’approbation. Pour limiter l’approbation de ce certificat racine au protocole SSL uniquement, procédez comme suit :

  1. Sur l’ordinateur Mac, ouvrez une fenêtre de terminal.

  2. Entrez la commande suivante : sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. Dans la boîte de dialogue Accès au trousseau , dans la section Trousseaux , sélectionnez Système. Ensuite, dans la section Catégorie , sélectionnez Certificats.

  4. Recherchez et ouvrez le certificat d’autorité de certification racine pour le certificat client Mac.

  5. Dans la boîte de dialogue du certificat d’autorité de certification racine, développez la section Approbation , puis apportez les modifications suivantes :

    1. Lors de l’utilisation de ce certificat : modifiez le paramètre Always Trust sur Utiliser les valeurs système par défaut.

    2. SSL (Secure Sockets Layer) : remplacez aucune valeur spécifiée parAlways Trust.

  6. Fermez la boîte de dialogue. Lorsque vous y êtes invité, entrez le mot de passe de l’administrateur, puis sélectionnez Mettre à jour les paramètres.

Une fois cette procédure terminée, le certificat racine est approuvé uniquement pour valider le protocole SSL. Parmi les autres protocoles qui ne sont désormais pas approuvés avec ce certificat racine, citons Secure Mail (S/MIME), l’authentification extensible (EAP) ou la signature de code.

Remarque

Utilisez également cette procédure si vous avez installé le certificat client indépendamment de Configuration Manager.

Problèmes de sécurité pour les clients

Les problèmes de sécurité suivants n’ont aucune atténuation :

Les messages d’état ne sont pas authentifiés

Le point de gestion n’authentifie pas status messages. Lorsqu’un point de gestion accepte des connexions client HTTP, n’importe quel appareil peut envoyer des messages status au point de gestion. Si le point de gestion accepte uniquement les connexions client HTTPS, un appareil doit disposer d’un certificat d’authentification client valide, mais peut également envoyer n’importe quel message status. Le point de gestion ignore tout message status non valide reçu d’un client.

Il existe quelques attaques potentielles contre cette vulnérabilité :

  • Un attaquant peut envoyer un faux message status pour devenir membre d’une collection basée sur status requêtes de message.
  • Tout client peut lancer un déni de service sur le point de gestion en l’inondant de messages status.
  • Si status messages déclenchent des actions dans status règles de filtre de messages, un attaquant peut déclencher la règle de filtre de messages status.
  • Un attaquant peut envoyer status message qui rendrait les informations de rapport inexactes.

Les stratégies peuvent être recibées pour les clients non ciblés

Il existe plusieurs méthodes que les attaquants peuvent utiliser pour qu’une stratégie ciblée sur un client s’applique à un client entièrement différent. Par exemple, un attaquant d’un client approuvé peut envoyer de fausses informations d’inventaire ou de découverte pour que l’ordinateur soit ajouté à une collection à laquelle il ne doit pas appartenir. Ce client reçoit ensuite tous les déploiements vers ce regroupement.

Des contrôles existent pour empêcher les attaquants de modifier directement la stratégie. Toutefois, les attaquants peuvent adopter une stratégie existante qui reformate et redéploie un système d’exploitation et l’envoie à un autre ordinateur. Cette stratégie redirigée peut créer un déni de service. Ces types d’attaques nécessitent un calendrier précis et une connaissance approfondie de l’infrastructure Configuration Manager.

Les journaux clients autorisent l’accès utilisateur

Tous les fichiers journaux du client autorisent le groupe Utilisateurs avec accès en lecture , et l’utilisateur interactif spécial disposant d’un accès pour écrire des données. Si vous activez la journalisation détaillée, les attaquants peuvent lire les fichiers journaux pour rechercher des informations sur la conformité ou les vulnérabilités du système. Les processus tels que les logiciels que le client installe dans le contexte d’un utilisateur doivent écrire dans les journaux avec un compte d’utilisateur avec des droits faibles. Ce comportement signifie qu’un attaquant peut également écrire dans les journaux avec un compte avec des droits faibles.

Le risque le plus grave est qu’un attaquant puisse supprimer des informations dans les fichiers journaux. Un administrateur peut avoir besoin de ces informations pour l’audit et la détection des intrusions.

Un ordinateur peut être utilisé pour obtenir un certificat conçu pour l’inscription d’appareils mobiles

Lorsque Configuration Manager traite une demande d’inscription, il ne peut pas vérifier que la demande provient d’un appareil mobile plutôt que d’un ordinateur. Si la demande provient d’un ordinateur, il peut installer un certificat PKI qui lui permet ensuite de s’inscrire auprès de Configuration Manager.

Pour empêcher une attaque par élévation de privilèges dans ce scénario, autorisez uniquement les utilisateurs approuvés à inscrire leurs appareils mobiles. Surveillez attentivement les activités d’inscription des appareils sur le site.

Un client bloqué peut toujours envoyer des messages au point de gestion

Lorsque vous bloquez un client auquel vous n’avez plus confiance, mais qu’il a établi une connexion réseau pour la notification du client, Configuration Manager ne déconnecte pas la session. Le client bloqué peut continuer à envoyer des paquets à son point de gestion jusqu’à ce que le client se déconnecte du réseau. Ces paquets ne sont que de petits paquets qui restent actifs. Ce client ne peut pas être géré par Configuration Manager tant qu’il n’est pas débloqué.

La mise à niveau automatique du client ne vérifie pas le point de gestion

Lorsque vous utilisez la mise à niveau automatique du client, le client peut être dirigé vers un point de gestion pour télécharger les fichiers sources du client. Dans ce scénario, le client ne vérifie pas le point de gestion en tant que source approuvée.

Lorsque les utilisateurs inscrivent des ordinateurs macOS pour la première fois, ils sont exposés au risque d’usurpation DNS

Lorsque l’ordinateur macOS se connecte au point proxy d’inscription pendant l’inscription, il est peu probable que l’ordinateur macOS dispose déjà du certificat d’autorité de certification racine approuvé. À ce stade, l’ordinateur macOS n’approuve pas le serveur et invite l’utilisateur à continuer. Si un serveur DNS non autorisé résout le nom de domaine complet (FQDN) du point de proxy d’inscription, il peut diriger l’ordinateur macOS vers un point proxy d’inscription non autorisé pour installer des certificats à partir d’une source non approuvée. Pour réduire ce risque, suivez les instructions DNS pour éviter l’usurpation d’identité dans votre environnement.

L’inscription macOS ne limite pas les demandes de certificat

Les utilisateurs peuvent réinscrire leurs ordinateurs macOS, chaque fois en demandant un nouveau certificat client. Configuration Manager ne case activée pas pour plusieurs demandes ou limite le nombre de certificats demandés à partir d’un seul ordinateur. Un utilisateur non autorisé peut exécuter un script qui répète la demande d’inscription en ligne de commande. Cette attaque peut entraîner un déni de service sur le réseau ou sur l’autorité de certification émettrice. Pour réduire ce risque, surveillez attentivement l’autorité de certification émettrice pour ce type de comportement suspect. Bloquez immédiatement de la hiérarchie Configuration Manager tout ordinateur présentant ce modèle de comportement.

Un accusé de réception de réinitialisation ne vérifie pas que l’appareil a été correctement réinitialné

Lorsque vous démarrez une action de réinitialisation pour un appareil mobile et que Configuration Manager accuse réception de la réinitialisation, la vérification est que Configuration Manager correctement envoyé le message. Il ne vérifie pas que l’appareil a agi sur la demande.

Pour les appareils mobiles gérés par le connecteur Exchange Server, un accusé de réception vérifie que la commande a été reçue par Exchange, et non par l’appareil.

Si vous utilisez les options pour valider les modifications sur les appareils Windows Embedded, les comptes risquent d’être verrouillés plus tôt que prévu

Si l’appareil Windows Embedded exécute une version de système d’exploitation antérieure à Windows 7 et qu’un utilisateur tente de se connecter alors que les filtres d’écriture sont désactivés par Configuration Manager, Windows autorise seulement la moitié du nombre configuré de tentatives incorrectes avant que le compte ne soit verrouillé.

Par exemple, vous configurez la stratégie de domaine pour le seuil de verrouillage de compte sur six tentatives. Un utilisateur entre mal son mot de passe trois fois, et le compte est verrouillé. Ce comportement crée effectivement un déni de service. Si les utilisateurs doivent se connecter à des appareils incorporés dans ce scénario, avertissez-les du risque d’un seuil de verrouillage réduit.

Informations de confidentialité pour les clients

Lorsque vous déployez le client Configuration Manager, vous activez les paramètres du client pour les fonctionnalités Configuration Manager. Les paramètres que vous utilisez pour configurer les fonctionnalités peuvent s’appliquer à tous les clients de la hiérarchie Configuration Manager. Ce comportement est le même qu’ils soient directement connectés au réseau interne, connectés via une session à distance ou connectés à Internet.

Les informations client sont stockées dans la base de données de site Configuration Manager de votre SQL Server et ne sont pas envoyées à Microsoft. Les informations sont conservées dans la base de données jusqu’à ce qu’elles soient supprimées par la tâche de maintenance du site Supprimer les données de découverte anciennes tous les 90 jours. Vous pouvez configurer l’intervalle de suppression.

Certaines données de diagnostics et d’utilisation résumées ou agrégées sont envoyées à Microsoft. Pour plus d’informations, consultez Données de diagnostic et d’utilisation.

Pour en savoir plus sur la collecte et l’utilisation des données de Microsoft, consultez la Déclaration de confidentialité Microsoft.

État du client

Configuration Manager surveille l’activité des clients. Il évalue régulièrement le Configuration Manager client et peut corriger les problèmes liés au client et à ses dépendances. Le status client est activé par défaut. Il utilise des métriques côté serveur pour les vérifications d’activité du client. Le status client utilise des actions côté client pour les auto-vérifications, la correction et l’envoi d’informations de status client au site. Le client exécute les auto-vérifications selon une planification que vous configurez. Le client envoie les résultats des vérifications au site Configuration Manager. Ces informations sont chiffrées pendant le transfert.

Les informations de status client sont stockées dans la base de données Configuration Manager de votre SQL Server et ne sont pas envoyées à Microsoft. Les informations ne sont pas stockées au format chiffré dans la base de données du site. Ces informations sont conservées dans la base de données jusqu’à ce qu’elles soient supprimées en fonction de la valeur configurée pour le paramètre Conserver l’historique des status client pendant le nombre de status jours suivant. La valeur par défaut de ce paramètre est tous les 31 jours.

Informations de confidentialité pour le connecteur Exchange Server

Le connecteur Exchange Server recherche et gère les appareils qui se connectent à un Exchange Server local ou hébergé à l’aide du protocole ActiveSync. Les enregistrements trouvés par le connecteur Exchange Server sont stockés dans la base de données Configuration Manager de votre SQL Server. Les informations sont collectées à partir du Exchange Server. Il ne contient pas d’informations supplémentaires sur ce que les appareils mobiles envoient à Exchange Server.

Les informations sur l’appareil mobile ne sont pas envoyées à Microsoft. Les informations de l’appareil mobile sont stockées dans la base de données Configuration Manager de votre SQL Server. Les informations sont conservées dans la base de données jusqu’à ce qu’elles soient supprimées par la tâche de maintenance du site Supprimer les données de découverte anciennes tous les 90 jours. Vous configurez l’intervalle de suppression.

Pour en savoir plus sur la collecte et l’utilisation des données de Microsoft, consultez la Déclaration de confidentialité Microsoft.