Partager via


Sécurité et confidentialité pour l’administration de site dans Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Cet article contient des informations de sécurité et de confidentialité pour Configuration Manager sites et la hiérarchie.

Conseils de sécurité pour l’administration de site

Utilisez les conseils suivants pour vous aider à sécuriser Configuration Manager sites et la hiérarchie.

Exécuter le programme d’installation à partir d’une source approuvée et sécuriser la communication

Pour empêcher une personne de falsifier les fichiers sources, exécutez Configuration Manager installation à partir d’une source approuvée. Si vous stockez les fichiers sur le réseau, sécurisez l’emplacement réseau.

Si vous exécutez le programme d’installation à partir d’un emplacement réseau, pour empêcher un attaquant de falsifier les fichiers lorsqu’ils sont transmis sur le réseau, utilisez la signature IPsec ou SMB entre l’emplacement source des fichiers d’installation et le serveur de site.

Si vous utilisez le téléchargeur d’installation pour télécharger les fichiers requis par le programme d’installation, veillez à sécuriser l’emplacement où ces fichiers sont stockés. Sécurisez également le canal de communication pour cet emplacement lorsque vous exécutez le programme d’installation.

Étendre le schéma Active Directory et publier des sites au domaine

Les extensions de schéma ne sont pas nécessaires pour s’exécuter Configuration Manager, mais elles créent un environnement plus sécurisé. Les clients et les serveurs de site peuvent récupérer des informations à partir d’une source approuvée.

Si les clients se trouvent dans un domaine non approuvé, déployez les rôles de système de site suivants dans les domaines des clients :

  • Point de gestion

  • Point de distribution

Remarque

Un domaine approuvé pour Configuration Manager nécessite une authentification Kerberos. Si les clients se trouvent dans une autre forêt qui n’a pas d’approbation de forêt bidirectionnelle avec la forêt du serveur de site, ces clients sont considérés comme appartenant à un domaine non approuvé. Une approbation externe n’est pas suffisante à cet effet.

Utiliser IPsec pour sécuriser les communications

Bien que Configuration Manager sécurise la communication entre le serveur de site et l’ordinateur qui exécute SQL Server, Configuration Manager ne sécurise pas les communications entre les rôles de système de site et les SQL Server. Vous pouvez uniquement configurer certains systèmes de site avec HTTPS pour la communication intrasite.

Si vous n’utilisez pas de contrôles supplémentaires pour sécuriser ces canaux de serveur à serveur, les attaquants peuvent utiliser diverses attaques d’usurpation d’identité et d’intercepteur contre les systèmes de site. Utilisez la signature SMB quand vous ne pouvez pas utiliser IPsec.

Importante

Sécurisez le canal de communication entre le serveur de site et le serveur source du package. Cette communication utilise SMB. Si vous ne pouvez pas utiliser IPsec pour sécuriser cette communication, utilisez la signature SMB pour vous assurer que les fichiers ne sont pas falsifiés avant que les clients ne les téléchargent et les exécutent.

Ne modifiez pas les groupes de sécurité par défaut

Ne modifiez pas les groupes de sécurité suivants que Configuration Manager crée et gère pour la communication du système de site :

  • <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager crée et gère automatiquement ces groupes de sécurité. Ce comportement inclut la suppression de comptes d’ordinateur lorsqu’un rôle de système de site est supprimé.

Pour garantir la continuité du service et les privilèges minimum, ne modifiez pas manuellement ces groupes.

Gérer le processus d’approvisionnement de clé racine approuvée

Si les clients ne peuvent pas interroger le catalogue global pour obtenir des informations Configuration Manager, ils doivent s’appuyer sur la clé racine approuvée pour authentifier les points de gestion valides. La clé racine approuvée est stockée dans le registre du client. Il peut être défini à l’aide d’une stratégie de groupe ou d’une configuration manuelle.

Si le client ne dispose pas d’une copie de la clé racine approuvée avant de contacter un point de gestion pour la première fois, il approuve le premier point de gestion avec lequel il communique. Pour réduire le risque qu’un attaquant redirige mal les clients vers un point de gestion non autorisé, vous pouvez préprovisionner les clients avec la clé racine approuvée. Pour plus d’informations, consultez Planification de la clé racine approuvée.

Utiliser des numéros de port autres que les numéros par défaut

L’utilisation de numéros de port autres que les numéros par défaut peut fournir une sécurité supplémentaire. Ils rendent plus difficile pour les attaquants d’explorer l’environnement en préparation d’une attaque. Si vous décidez d’utiliser des ports autres que les ports par défaut, planifiez-les avant d’installer Configuration Manager. Utilisez-les de manière cohérente sur tous les sites de la hiérarchie. Les ports de requête client et Wake On LAN sont des exemples où vous pouvez utiliser des numéros de port autres que ceux par défaut.

Utiliser la séparation des rôles sur les systèmes de site

Bien que vous puissiez installer tous les rôles de système de site sur un seul ordinateur, cette pratique est rarement utilisée sur les réseaux de production. Il crée un point de défaillance unique.

Réduire le profil d’attaque

L’isolation de chaque rôle de système de site sur un serveur différent réduit le risque qu’une attaque contre les vulnérabilités d’un système de site puisse être utilisée contre un autre système de site. De nombreux rôles nécessitent l’installation d’Internet Information Services (IIS) sur le système de site, ce qui augmente la surface d’attaque. Si vous devez combiner des rôles pour réduire les dépenses matérielles, combinez les rôles IIS uniquement avec d’autres rôles qui nécessitent IIS.

Importante

Le rôle de point de status de secours est une exception. Étant donné que ce rôle de système de site accepte les données non authentifiées des clients, n’attribuez pas le rôle de point de status de secours à un autre rôle de système de site Configuration Manager.

Configurer des adresses IP statiques pour les systèmes de site

Les adresses IP statiques sont plus faciles à protéger contre les attaques de résolution de noms.

Les adresses IP statiques facilitent également la configuration d’IPsec. L’utilisation d’IPsec est une bonne pratique de sécurité pour sécuriser la communication entre les systèmes de site dans Configuration Manager.

N’installez pas d’autres applications sur des serveurs de système de site

Lorsque vous installez d’autres applications sur des serveurs de système de site, vous augmentez la surface d’attaque pour Configuration Manager. Vous risquez également des problèmes d’incompatibilité.

Exiger la signature et activer le chiffrement en tant qu’option de site

Activez les options de signature et de chiffrement pour le site. Vérifiez que tous les clients peuvent prendre en charge l’algorithme de hachage SHA-256, puis activez l’option Exiger SHA-256.

Restreindre et surveiller les utilisateurs administratifs

Accordez un accès administratif à Configuration Manager uniquement aux utilisateurs auxquels vous faites confiance. Accordez-leur ensuite des autorisations minimales en utilisant les rôles de sécurité intégrés ou en personnalisant les rôles de sécurité. Les utilisateurs administratifs qui peuvent créer, modifier et déployer des logiciels et des configurations peuvent potentiellement contrôler des appareils dans la hiérarchie Configuration Manager.

Auditez régulièrement les affectations d’utilisateurs administratifs et leur niveau d’autorisation pour vérifier les modifications requises.

Pour plus d’informations, consultez Configurer l’administration basée sur les rôles.

Sécuriser les sauvegardes Configuration Manager

Lorsque vous sauvegardez Configuration Manager, ces informations incluent des certificats et d’autres données sensibles qui peuvent être utilisés par un attaquant pour l’emprunt d’identité.

Utilisez la signature SMB ou IPsec lorsque vous transférez ces données sur le réseau et sécurisez l’emplacement de sauvegarde.

Sécuriser les emplacements des objets exportés

Chaque fois que vous exportez ou importez des objets à partir de la console Configuration Manager vers un emplacement réseau, sécurisez l’emplacement et sécurisez le canal réseau.

Limitez les personnes autorisées à accéder au dossier réseau.

Pour empêcher une personne malveillante de falsifier les données exportées, utilisez la signature SMB ou IPsec entre l’emplacement réseau et le serveur de site. Sécurisez également la communication entre l’ordinateur qui exécute la console Configuration Manager et le serveur de site. Utilisez IPsec pour chiffrer les données sur le réseau afin d’empêcher la divulgation d’informations.

Supprimer manuellement les certificats des serveurs défaillants

Si un système de site n’est pas désinstallé correctement ou cesse de fonctionner et ne peut pas être restauré, supprimez manuellement les certificats Configuration Manager pour ce serveur d’autres serveurs Configuration Manager.

Pour supprimer l’approbation d’homologue qui a été initialement établie avec les rôles de système de site et de système de site, supprimez manuellement les certificats Configuration Manager pour le serveur défaillant dans le magasin de certificats Personnes approuvé sur d’autres serveurs de système de site. Cette action est importante si vous réutilisez le serveur sans le reformatage.

Pour plus d’informations, consultez Contrôles de chiffrement pour la communication serveur.

Ne configurez pas les systèmes de site basés sur Internet pour relier le réseau de périmètre

Ne configurez pas les serveurs de système de site pour qu’ils soient multirés résidentiels afin qu’ils se connectent au réseau de périmètre et à l’intranet. Bien que cette configuration permette aux systèmes de site Basés sur Internet d’accepter les connexions clientes à partir d’Internet et de l’intranet, elle élimine une limite de sécurité entre le réseau de périmètre et l’intranet.

Configurer le serveur de site pour lancer des connexions aux réseaux de périmètre

Si un système de site se trouve sur un réseau non approuvé, tel qu’un réseau de périmètre, configurez le serveur de site pour établir des connexions au système de site.

Par défaut, les systèmes de site initient des connexions au serveur de site pour transférer des données. Cette configuration peut constituer un risque pour la sécurité lorsque l’initiation de la connexion provient d’un réseau non approuvé vers le réseau approuvé. Lorsque les systèmes de site acceptent des connexions à partir d’Internet ou résident dans une forêt non approuvée, configurez l’option de système de site pour Demander au serveur de site d’établir des connexions à ce système de site. Après l’installation du système de site et de tous les rôles, toutes les connexions sont lancées par le serveur de site à partir du réseau approuvé.

Utiliser le pontage et l’arrêt SSL avec l’authentification

Si vous utilisez un serveur proxy web pour la gestion des clients basée sur Internet, utilisez le pontage SSL vers SSL, en utilisant l’arrêt avec l’authentification.

Lorsque vous configurez l’arrêt SSL sur le serveur web proxy, les paquets provenant d’Internet sont soumis à une inspection avant d’être transférés au réseau interne. Le serveur web proxy authentifie la connexion à partir du client, l’arrête, puis ouvre une nouvelle connexion authentifiée aux systèmes de site basés sur Internet.

Lorsque Configuration Manager ordinateurs clients utilisent un serveur web proxy pour se connecter à des systèmes de site basés sur Internet, l’identité du client (GUID) est contenue en toute sécurité dans la charge utile du paquet. Ensuite, le point de gestion ne considère pas le serveur web proxy comme étant le client.

Si votre serveur web proxy ne peut pas prendre en charge la configuration requise pour le pontage SSL, le tunneling SSL est également pris en charge. Cette option est moins sécurisée. Les paquets SSL provenant d’Internet sont transférés aux systèmes de site sans arrêt. Ensuite, ils ne peuvent pas être inspectés à la recherche de contenu malveillant.

Avertissement

Les appareils mobiles inscrits par Configuration Manager ne peuvent pas utiliser le pontage SSL. Ils doivent utiliser uniquement le tunneling SSL.

Configurations à utiliser si vous configurez le site pour mettre en éveil les ordinateurs afin d’installer des logiciels

  • Si vous utilisez des paquets de mise en éveil traditionnels, utilisez la monodiffusion plutôt que les diffusions dirigées par le sous-réseau.

  • Si vous devez utiliser des diffusions dirigées par un sous-réseau, configurez les routeurs pour autoriser les diffusions dirigées par IP uniquement à partir du serveur de site et uniquement sur un numéro de port autre que celui par défaut.

Pour plus d’informations sur les différentes technologies Wake On LAN, consultez Planification de la mise en éveil des clients.

Si vous utilisez la notification par e-mail, configurez l’accès authentifié au serveur de messagerie SMTP

Dans la mesure du possible, utilisez un serveur de messagerie qui prend en charge l’accès authentifié. Utilisez le compte d’ordinateur du serveur de site pour l’authentification. Si vous devez spécifier un compte d’utilisateur pour l’authentification, utilisez un compte disposant du moins de privilèges.

Appliquer la liaison de canal LDAP et la signature LDAP

La sécurité des contrôleurs de domaine Active Directory peut être améliorée en configurant le serveur pour rejeter les liaisons LDAP SASL (Simple Authentication and Security Layer) qui ne demandent pas de signature ou pour rejeter les liaisons LDAP simples effectuées sur une connexion en texte clair. À compter de la version 1910, Configuration Manager prend en charge l’application de la liaison de canal LDAP et de la signature LDAP. Pour plus d’informations, consultez Liaison de canal LDAP 2020 et Conditions de signature LDAP pour Windows.

Conseils de sécurité pour le serveur de site

Utilisez les conseils suivants pour vous aider à sécuriser le serveur de site Configuration Manager.

Avertissement

Compte d’accès réseau : n’accordez pas de droits de connexion interactive à ce compte sur les serveurs SQL Server. N’accordez pas à ce compte le droit de joindre des ordinateurs au domaine. Si vous devez joindre des ordinateurs au domaine pendant une séquence de tâches, utilisez le compte de jointure de domaine de séquence de tâches.

Installer Configuration Manager sur un serveur membre au lieu d’un contrôleur de domaine

Le serveur de site et les systèmes de site Configuration Manager ne nécessitent pas d’installation sur un contrôleur de domaine. Les contrôleurs de domaine n’ont pas de base de données sam (Security Accounts Management) locale autre que la base de données de domaine. Lorsque vous installez Configuration Manager sur un serveur membre, vous pouvez conserver Configuration Manager comptes dans la base de données SAM locale plutôt que dans la base de données de domaine.

Cette pratique réduit également la surface d’attaque sur vos contrôleurs de domaine.

Installer des sites secondaires sans copier les fichiers sur le réseau

Lorsque vous exécutez le programme d’installation et que vous créez un site secondaire, ne sélectionnez pas l’option permettant de copier les fichiers du site parent vers le site secondaire. N’utilisez pas non plus d’emplacement source réseau. Lorsque vous copiez des fichiers sur le réseau, un attaquant qualifié peut détourner le package d’installation du site secondaire et falsifier les fichiers avant qu’ils ne soient installés. Le minutage de cette attaque serait difficile. Cette attaque peut être atténuée à l’aide d’IPsec ou de SMB lorsque vous transférez les fichiers.

Au lieu de copier les fichiers sur le réseau, sur le serveur de site secondaire, copiez les fichiers sources du dossier multimédia vers un dossier local. Ensuite, lorsque vous exécutez le programme d’installation pour créer un site secondaire, dans la page Fichiers sources d’installation , sélectionnez Utiliser les fichiers sources à l’emplacement suivant sur l’ordinateur du site secondaire (le plus sécurisé) et spécifiez ce dossier.

Pour plus d’informations, consultez Installer un site secondaire.

L’installation du rôle de site hérite des autorisations de la racine du lecteur

Veillez à configurer correctement les autorisations de lecteur système avant d’installer le premier rôle de système de site sur n’importe quel serveur. Par exemple, C:\SMS_CCM hérite des autorisations de C:\. Si la racine du lecteur n’est pas correctement sécurisée, les utilisateurs disposant de droits faibles peuvent accéder au contenu ou le modifier dans le dossier Configuration Manager.

Conseils de sécurité pour SQL Server

Configuration Manager utilise SQL Server comme base de données principale. Si la base de données est compromise, les attaquants peuvent contourner Configuration Manager. S’ils accèdent directement à SQL Server, ils peuvent lancer des attaques via Configuration Manager. Considérez que les attaques contre SQL Server sont à haut risque et qu’elles sont atténuées de manière appropriée.

Utilisez les conseils de sécurité suivants pour vous aider à sécuriser SQL Server pour Configuration Manager.

N’utilisez pas le serveur de base de données de site Configuration Manager pour exécuter d’autres applications SQL Server

Lorsque vous augmentez l’accès au serveur de base de données de site Configuration Manager, cette action augmente le risque pour vos données Configuration Manager. Si la base de données du site Configuration Manager est compromise, d’autres applications sur le même ordinateur SQL Server sont alors également menacées.

Configurer SQL Server pour utiliser Authentification Windows

Bien que Configuration Manager accède à la base de données du site à l’aide d’un compte Windows et d’un Authentification Windows, il est toujours possible de configurer SQL Server pour utiliser SQL Server mode mixte. SQL Server mode mixte permet à d’autres connexions SQL Server d’accéder à la base de données. Cette configuration n’est pas obligatoire et augmente la surface d’attaque.

Mettre à jour les SQL Server Express sur les sites secondaires

Lorsque vous installez un site principal, Configuration Manager télécharge SQL Server Express à partir du Centre de téléchargement Microsoft. Il copie ensuite les fichiers sur le serveur de site principal. Lorsque vous installez un site secondaire et que vous sélectionnez l’option qui installe SQL Server Express, Configuration Manager installe la version précédemment téléchargée. Il n’case activée pas si de nouvelles versions sont disponibles. Pour vous assurer que le site secondaire dispose des dernières versions, effectuez l’une des tâches suivantes :

  • Après avoir installé le site secondaire, exécutez Windows Update sur le serveur de site secondaire.

  • Avant d’installer le site secondaire, installez manuellement SQL Server Express sur le serveur de site secondaire. Veillez à installer la dernière version et toutes les mises à jour logicielles. Installez ensuite le site secondaire, puis sélectionnez l’option permettant d’utiliser un SQL Server instance existant.

Exécutez régulièrement Windows Update pour toutes les versions installées de SQL Server. Cette pratique permet de s’assurer qu’ils disposent des dernières mises à jour logicielles.

Suivez les instructions générales pour SQL Server

Identifiez et suivez les instructions générales pour votre version de SQL Server. Toutefois, prenez en compte les exigences suivantes pour Configuration Manager :

  • Le compte d’ordinateur du serveur de site doit être membre du groupe Administrateurs sur l’ordinateur qui exécute SQL Server. Si vous suivez la recommandation SQL Server de « provisionner explicitement les principaux d’administrateur », le compte que vous utilisez pour exécuter le programme d’installation sur le serveur de site doit être membre du groupe SQL Server Utilisateurs.

  • Si vous installez SQL Server à l’aide d’un compte d’utilisateur de domaine, assurez-vous que le compte d’ordinateur du serveur de site est configuré pour un nom de principal de service (SPN) publié sur services de domaine Active Directory. Sans le SPN, l’authentification Kerberos échoue et Configuration Manager configuration échoue.

Conseils de sécurité pour les systèmes de site qui exécutent IIS

Plusieurs rôles de système de site dans Configuration Manager nécessitent IIS. Le processus de sécurisation d’IIS permet à Configuration Manager de fonctionner correctement et réduit le risque d’attaques de sécurité. Lorsque cela est pratique, réduisez le nombre de serveurs qui nécessitent IIS. Par exemple, exécutez uniquement le nombre de points de gestion dont vous avez besoin pour prendre en charge votre base de clients, en tenant compte de la haute disponibilité et de l’isolation réseau pour la gestion des clients basée sur Internet.

Utilisez les conseils suivants pour vous aider à sécuriser les systèmes de site qui exécutent IIS.

Désactiver les fonctions IIS dont vous n’avez pas besoin

Installez uniquement les fonctionnalités IIS minimales pour le rôle de système de site que vous installez. Pour plus d’informations, consultez Prérequis pour le site et le système de site.

Configurer les rôles de système de site pour exiger HTTPS

Lorsque les clients se connectent à un système de site à l’aide de HTTP plutôt que de HTTPS, ils utilisent Authentification Windows. Ce comportement peut revenir à l’utilisation de l’authentification NTLM plutôt que de l’authentification Kerberos. Lorsque l’authentification NTLM est utilisée, les clients peuvent se connecter à un serveur non autorisé.

Les points de distribution peuvent faire exception à ces conseils. Les comptes d’accès aux packages ne fonctionnent pas lorsque le point de distribution est configuré pour HTTPS. Les comptes d’accès aux packages fournissent l’autorisation d’accéder au contenu, ce qui vous permet de limiter les utilisateurs autorisés à accéder au contenu. Pour plus d’informations, consultez Conseils de sécurité pour la gestion de contenu.

Importante

À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.

Configurer une liste de certificats d’approbation (CTL) dans IIS pour les rôles de système de site

Rôles de système de site :

  • Point de distribution que vous configurez pour HTTPS

  • Point de gestion que vous configurez pour HTTPS et activez pour prendre en charge les appareils mobiles

Une CTL est une liste définie d’autorités de certification racines approuvées. Lorsque vous utilisez une CTL avec une stratégie de groupe et un déploiement d’infrastructure à clé publique (PKI), une CTL vous permet de compléter les autorités de certification racines approuvées existantes configurées sur votre réseau. Par exemple, les autorités de certification qui sont automatiquement installées avec Microsoft Windows ou ajoutées via les autorités de certification racine d’entreprise Windows. Lorsqu’une CTL est configurée dans IIS, elle définit un sous-ensemble de ces autorités de certification racines approuvées.

Ce sous-ensemble vous permet de mieux contrôler la sécurité. La CTL limite les certificats clients qui sont acceptés aux seuls certificats émis à partir de la liste des autorités de certification dans la CTL. Par exemple, Windows est fourni avec un certain nombre de certificats d’autorité de certification tiers bien connus.

Par défaut, l’ordinateur qui exécute IIS approuve les certificats qui sont liés à ces autorités de certification connues. Lorsque vous ne configurez pas IIS avec une CTL pour les rôles de système de site répertoriés, le site accepte en tant que client valide tout appareil disposant d’un certificat émis par ces autorités de certification. Si vous configurez IIS avec une CTL qui n’incluait pas ces autorités de certification, le site refuse les connexions clientes, si le certificat est lié à ces autorités de certification. Pour que Configuration Manager clients soient acceptés pour les rôles de système de site répertoriés, vous devez configurer IIS avec une CTL qui spécifie les autorités de certification utilisées par Configuration Manager clients.

Remarque

Seuls les rôles de système de site répertoriés nécessitent que vous configuriez une CTL dans IIS. La liste des émetteurs de certificats que Configuration Manager utilise pour les points de gestion fournit les mêmes fonctionnalités pour les ordinateurs clients lorsqu’ils se connectent à des points de gestion HTTPS.

Pour plus d’informations sur la configuration d’une liste d’autorités de certification approuvées dans IIS, consultez la documentation IIS.

Ne placez pas le serveur de site sur un ordinateur avec IIS

La séparation des rôles permet de réduire le profil d’attaque et d’améliorer la récupération. Le compte d’ordinateur du serveur de site dispose généralement de privilèges administratifs sur tous les rôles de système de site. Il peut également disposer de ces privilèges sur Configuration Manager clients, si vous utilisez l’installation push du client.

Utiliser des serveurs IIS dédiés pour Configuration Manager

Bien que vous puissiez héberger plusieurs applications web sur les serveurs IIS qui sont également utilisés par Configuration Manager, cette pratique peut augmenter considérablement votre surface d’attaque. Une application mal configurée pourrait permettre à un attaquant de prendre le contrôle d’un système de site Configuration Manager. Cette violation peut permettre à un attaquant de prendre le contrôle de la hiérarchie.

Si vous devez exécuter d’autres applications web sur Configuration Manager systèmes de site, créez un site web personnalisé pour Configuration Manager systèmes de site.

Utiliser un site web personnalisé

Pour les systèmes de site qui exécutent IIS, configurez Configuration Manager pour utiliser un site web personnalisé au lieu du site web par défaut. Si vous devez exécuter d’autres applications web sur le système de site, vous devez utiliser un site web personnalisé. Ce paramètre est un paramètre à l’échelle du site plutôt qu’un paramètre pour un système de site spécifique.

Lorsque vous utilisez des sites web personnalisés, supprimez les répertoires virtuels par défaut

Lorsque vous passez de l’utilisation du site web par défaut à l’utilisation d’un site web personnalisé, Configuration Manager ne supprime pas les anciens répertoires virtuels. Supprimez les répertoires virtuels qui Configuration Manager créés à l’origine sous le site web par défaut.

Par exemple, supprimez les répertoires virtuels suivants pour un point de distribution :

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

Suivez les instructions de sécurité du serveur IIS

Identifiez et suivez les instructions générales pour votre version du serveur IIS. Prenez en compte toutes les exigences que Configuration Manager a pour des rôles de système de site spécifiques. Pour plus d’informations, consultez Prérequis pour le site et le système de site.

Configurer des en-têtes personnalisés IIS

Configurez les en-têtes personnalisés suivants pour désactiver la détection MIME :

x-content-type-options: nosniff

Pour plus d’informations, consultez En-têtes personnalisés.

Si d’autres services utilisent la même instance IIS, assurez-vous que ces en-têtes personnalisés sont compatibles.

Conseils de sécurité pour le point de gestion

Les points de gestion sont l’interface principale entre les appareils et les Configuration Manager. Considérez que les attaques contre le point de gestion et le serveur sur lequel il s’exécute sont à haut risque et qu’elles sont atténuées de manière appropriée. Appliquez tous les conseils de sécurité appropriés et surveillez les activités inhabituelles.

Utilisez les conseils suivants pour sécuriser un point de gestion dans Configuration Manager.

Affecter le client sur un point de gestion au même site

Évitez le scénario dans lequel vous affectez le client Configuration Manager qui se trouve sur un point de gestion à un site autre que le site du point de gestion.

Si vous migrez d’une version antérieure vers Configuration Manager Current Branch, migrez le client sur le point de gestion vers le nouveau site dès que possible.

Conseils de sécurité pour le point de status de secours

Si vous installez un point de status de secours dans Configuration Manager, suivez les conseils de sécurité suivants :

Pour plus d’informations sur les considérations de sécurité lorsque vous installez un point de status de secours, consultez Déterminer si vous avez besoin d’un point de status de secours.

N’exécutez aucun autre rôle sur le même système de site

Le point de status de secours est conçu pour accepter les communications non authentifiées à partir de n’importe quel ordinateur. Si vous exécutez ce rôle de système de site avec d’autres rôles ou un contrôleur de domaine, le risque pour ce serveur augmente considérablement.

Installer le point de status de secours avant d’installer les clients avec des certificats PKI

Si Configuration Manager systèmes de site n’acceptent pas la communication client HTTP, vous ne savez peut-être pas que les clients ne sont pas gérés en raison de problèmes de certificat liés à l’infrastructure à clé publique. Si vous affectez des clients à un point de status de secours, ils signalent ces problèmes de certificat via le point de status de secours.

Pour des raisons de sécurité, vous ne pouvez pas attribuer de point de secours status aux clients après leur installation. Vous pouvez uniquement attribuer ce rôle lors de l’installation du client.

Évitez d’utiliser le point de status de secours dans le réseau de périmètre

Par conception, le point de status de secours accepte les données de n’importe quel client. Bien qu’un point de status de secours dans le réseau de périmètre puisse vous aider à dépanner les clients basés sur Internet, équilibrez les avantages de la résolution des problèmes avec le risque d’un système de site qui accepte des données non authentifiées dans un réseau accessible publiquement.

Si vous installez le point de status de secours dans le réseau de périmètre ou tout réseau non approuvé, configurez le serveur de site pour lancer des transferts de données. N’utilisez pas le paramètre par défaut qui permet au point de status de secours d’établir une connexion au serveur de site.

Problèmes de sécurité pour l’administration de site

Passez en revue les problèmes de sécurité suivants pour Configuration Manager :

  • Configuration Manager ne dispose d’aucune défense contre un utilisateur administratif autorisé qui utilise Configuration Manager pour attaquer le réseau. Les utilisateurs administratifs non autorisés représentent un risque élevé pour la sécurité. Ils peuvent lancer de nombreuses attaques, qui incluent les stratégies suivantes :

    • Utilisez le déploiement de logiciels pour installer et exécuter automatiquement des logiciels malveillants sur chaque ordinateur client Configuration Manager dans le organization.

    • Contrôlez à distance un client Configuration Manager sans autorisation du client.

    • Configurez des intervalles d’interrogation rapides et des quantités extrêmes d’inventaire. Cette action crée des attaques par déni de service contre les clients et les serveurs.

    • Utilisez un site dans la hiérarchie pour écrire des données dans les données Active Directory d’un autre site.

    La hiérarchie de site est la limite de sécurité. Considérez les sites comme des limites de gestion uniquement.

    Auditez toutes les activités des utilisateurs administratifs et examinez régulièrement les journaux d’audit. Exiger que tous les utilisateurs administratifs Configuration Manager subissent une case activée en arrière-plan avant d’être embauchés. Exiger des vérifications périodiques comme condition d’emploi.

  • Si le point d’inscription est compromis, un attaquant peut obtenir des certificats pour l’authentification. Ils peuvent voler les informations d’identification des utilisateurs qui inscrivent leurs appareils mobiles.

    Le point d’inscription communique avec une autorité de certification. Il peut créer, modifier et supprimer des objets Active Directory. N’installez jamais le point d’inscription dans le réseau de périmètre. Surveillez toujours les activités inhabituelles.

  • Si vous autorisez des stratégies utilisateur pour la gestion des clients basée sur Internet, vous augmentez votre profil d’attaque.

    En plus d’utiliser des certificats PKI pour les connexions client à serveur, ces configurations nécessitent Authentification Windows. Ils peuvent revenir à l’utilisation de l’authentification NTLM plutôt que Kerberos. L’authentification NTLM est vulnérable aux attaques d’emprunt d’identité et de relecture. Pour authentifier correctement un utilisateur sur Internet, vous devez autoriser une connexion du système de site internet à un contrôleur de domaine.

  • Le partage Administration$ est requis sur les serveurs de système de site.

    Le serveur de site Configuration Manager utilise le partage Administration$ pour se connecter et effectuer des opérations de service sur les systèmes de site. Ne désactivez pas ou ne supprimez pas ce partage.

  • Configuration Manager utilise des services de résolution de noms pour se connecter à d’autres ordinateurs. Ces services sont difficiles à sécuriser contre les attaques de sécurité suivantes :

    • Usurpation
    • Altération
    • Répudiation
    • Divulgation d’informations
    • Déni de service
    • Élévation de privilège

    Identifiez et suivez les instructions de sécurité pour la version de DNS que vous utilisez pour la résolution de noms.

Informations de confidentialité pour la découverte

La découverte crée des enregistrements pour les ressources réseau et les stocke dans la base de données Configuration Manager. Les enregistrements de données de découverte contiennent des informations sur l’ordinateur, telles que les adresses IP, les versions de système d’exploitation et les noms d’ordinateurs. Vous pouvez également configurer les méthodes de découverte Active Directory pour retourner toutes les informations que votre organization stocke dans services de domaine Active Directory.

La seule méthode de découverte que Configuration Manager active par défaut est la découverte par pulsation. Cette méthode détecte uniquement les ordinateurs sur lesquels le logiciel client Configuration Manager est déjà installé.

Les informations de découverte ne sont pas directement envoyées à Microsoft. Il est stocké dans la base de données Configuration Manager. Configuration Manager conserve les informations dans la base de données jusqu’à ce qu’elle supprime les données. Ce processus se produit tous les 90 jours par la tâche de maintenance du site Supprimer les données de découverte anciennes.