Sécurité et confidentialité pour la gestion du contenu dans Configuration Manager
S’applique à : Configuration Manager (branche actuelle)
Cet article contient des informations de sécurité et de confidentialité pour la gestion du contenu dans Configuration Manager.
Conseils de sécurité
Avantages et inconvénients du protocole HTTPS ou HTTP pour les points de distribution intranet
Pour les points de distribution sur l’intranet, tenez compte des avantages et des inconvénients de l’utilisation de HTTPS ou HTTP. Dans la plupart des scénarios, l’utilisation de comptes d’accès HTTP et de package pour l’autorisation offre plus de sécurité que l’utilisation de HTTPS avec chiffrement, mais sans autorisation. Toutefois, si vous avez des données sensibles dans votre contenu que vous souhaitez chiffrer pendant le transfert, utilisez HTTPS.
Lorsque vous utilisez HTTPS pour un point de distribution : Configuration Manager n’utilise pas de comptes d’accès au package pour autoriser l’accès au contenu. Le contenu est chiffré lorsqu’il est transféré sur le réseau.
Lorsque vous utilisez HTTP pour un point de distribution : vous pouvez utiliser des comptes d’accès au package pour l’autorisation. Le contenu n’est pas chiffré lorsqu’il est transféré sur le réseau.
Envisagez d’activer le protocole HTTP amélioré pour le site. Cette fonctionnalité permet aux clients d’utiliser l’authentification Microsoft Entra pour communiquer en toute sécurité avec un point de distribution HTTP. Pour plus d’informations, consultez HTTP amélioré.
Importante
À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.
Protéger le fichier de certificat d’authentification client
Si vous utilisez un certificat d’authentification client PKI plutôt qu’un certificat auto-signé pour le point de distribution, protégez le fichier de certificat (.pfx) avec un mot de passe fort. Si vous stockez le fichier sur le réseau, sécurisez le canal réseau lorsque vous importez le fichier dans Configuration Manager.
Lorsque vous avez besoin d’un mot de passe pour importer le certificat d’authentification client que le point de distribution utilise pour communiquer avec les points de gestion, cette configuration permet de protéger le certificat contre un attaquant. Pour empêcher une personne malveillante de falsifier le fichier de certificat, utilisez la signature SMB (Server Message Block) ou IPsec entre l’emplacement réseau et le serveur de site.
Supprimer le rôle de point de distribution du serveur de site
Par défaut, Configuration Manager programme d’installation installe un point de distribution sur le serveur de site. Les clients n’ont pas besoin de communiquer directement avec le serveur de site. Pour réduire la surface d’attaque, attribuez le rôle de point de distribution à d’autres systèmes de site et supprimez-le du serveur de site.
Sécuriser le contenu au niveau de l’accès au package
Le partage de point de distribution autorise l’accès en lecture à tous les utilisateurs. Pour limiter les utilisateurs qui peuvent accéder au contenu, utilisez des comptes d’accès au package lorsque le point de distribution est configuré pour HTTP. Cette configuration ne s’applique pas aux passerelles de gestion cloud compatibles avec le contenu, qui ne prennent pas en charge les comptes d’accès aux packages.
Pour plus d’informations, consultez Comptes d’accès aux packages.
Configurer IIS sur le rôle de point de distribution
Si Configuration Manager installe IIS lorsque vous ajoutez un rôle de système de site de point de distribution, supprimez la redirection HTTP et les scripts et outils de gestion IIS une fois l’installation du point de distribution terminée. Le point de distribution ne nécessite pas ces composants. Pour réduire la surface d’attaque, supprimez ces services de rôle pour le rôle serveur web.
Pour plus d’informations sur les services de rôle pour le rôle serveur web pour les points de distribution, consultez Prérequis du système de site et du système de site.
Définir des autorisations d’accès au package lorsque vous créez le package
Étant donné que les modifications apportées aux comptes d’accès sur les fichiers de package ne prennent effet que lorsque vous redistribuez le package, définissez soigneusement les autorisations d’accès au package lorsque vous créez le package pour la première fois. Cette configuration est importante lorsque le package est volumineux ou distribué à de nombreux points de distribution, et lorsque la capacité de bande passante réseau pour la distribution de contenu est limitée.
Implémenter des contrôles d’accès pour protéger les médias qui contiennent du contenu préparé
Le contenu préparé est compressé mais pas chiffré. Un attaquant peut lire et modifier les fichiers téléchargés sur des appareils. Configuration Manager clients rejettent le contenu falsifié, mais ils le téléchargent toujours.
Importer du contenu préparé avec ExtractContent
Importez uniquement le contenu préparé à l’aide de l’outil en ligne de commande ExtractContent.exe. Pour éviter la falsification et l’élévation de privilèges, utilisez uniquement l’outil en ligne de commande autorisé fourni avec Configuration Manager.
Pour plus d’informations, consultez Déployer et gérer du contenu.
Sécuriser le canal de communication entre le serveur de site et l’emplacement source du package
Utilisez la signature IPsec ou SMB entre le serveur de site et l’emplacement source du package lorsque vous créez des applications, un package et d’autres objets avec du contenu. Cette configuration permet d’empêcher une personne malveillante de falsifier les fichiers sources.
Supprimer les répertoires virtuels par défaut pour un site web personnalisé avec le rôle de point de distribution
Si vous modifiez l’option de configuration de site pour utiliser un site web personnalisé plutôt que le site web par défaut après avoir installé un rôle de point de distribution, supprimez les répertoires virtuels par défaut. Lorsque vous passez du site web par défaut à un site web personnalisé, Configuration Manager ne supprime pas les anciens répertoires virtuels. Supprimez les répertoires virtuels suivants qui Configuration Manager créés à l’origine sous le site web par défaut :
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
Pour plus d’informations sur l’utilisation d’un site web personnalisé, consultez Sites web pour les serveurs de système de site.
Pour les passerelles de gestion cloud compatibles avec le contenu, protégez les détails et les certificats de votre abonnement Azure
Lorsque vous utilisez des passerelles de gestion cloud (CMG) compatibles avec le contenu, protégez les éléments à valeur élevée suivants :
- Nom d’utilisateur et mot de passe de votre abonnement Azure
- Clés secrètes pour les inscriptions d’applications Azure
- Certificat d’authentification du serveur
Stockez les certificats en toute sécurité. Si vous les accédez sur le réseau lorsque vous configurez la passerelle de gestion cloud, utilisez la signature IPsec ou SMB entre le serveur de système de site et l’emplacement source.
Pour la continuité du service, surveillez la date d’expiration des certificats de passerelle de gestion cloud
Configuration Manager ne vous avertit pas quand les certificats importés pour la passerelle de gestion cloud sont sur le point d’expirer. Surveillez les dates d’expiration indépendamment de Configuration Manager. Veillez à renouveler, puis à importer les nouveaux certificats avant la date d’expiration. Cette action est importante si vous achetez un certificat d’authentification serveur auprès d’un fournisseur public externe, car vous aurez peut-être besoin de plus de temps pour acquérir un certificat renouvelé.
Si un certificat expire, le gestionnaire de services cloud Configuration Manager génère un message status avec l’ID 9425. Le fichier CloudMgr.log contient une entrée indiquant que le certificat est à l’état expiré, avec la date d’expiration également enregistrée au format UTC.
Considérations en matière de sécurité
Les clients ne valident le contenu qu’après son téléchargement. Configuration Manager clients valident le hachage sur le contenu uniquement après son téléchargement dans leur cache client. Si un attaquant falsifie la liste des fichiers à télécharger ou le contenu lui-même, le processus de téléchargement peut prendre une bande passante réseau considérable. Ensuite, le client ignore le contenu lorsqu’il trouve le hachage non valide.
Lorsque vous utilisez des passerelles de gestion cloud compatibles avec le contenu :
Il limite automatiquement l’accès au contenu à votre organization. Vous ne pouvez pas la restreindre davantage aux utilisateurs ou groupes sélectionnés.
Le point de gestion authentifie d’abord le client. Ensuite, le client utilise un jeton Configuration Manager pour accéder au stockage cloud. Le jeton est valide pendant huit heures. Ce comportement signifie que si vous bloquez un client parce qu’il n’est plus approuvé, il peut continuer à télécharger du contenu à partir du stockage cloud jusqu’à l’expiration de ce jeton. Le point de gestion n’émettra pas un autre jeton pour le client, car il est bloqué.
Pour éviter à un client bloqué de télécharger du contenu dans cette fenêtre de huit heures, arrêtez le service cloud. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez le nœud Passerelle de gestion cloud.
Informations sur la confidentialité
Configuration Manager n’inclut aucune donnée utilisateur dans les fichiers de contenu, bien qu’un utilisateur administratif puisse choisir d’effectuer cette action.