Mise à jour de secours de connexion NTLM pour Microsoft endpoint Configuration Manager
S’applique à : Configuration Manager (Current Branch, versions 2103, 2107, 2111, 2203, 2207)
Résumé de KB15498768
Importante
Cette mise à jour est remplacée par les éléments suivants :
La désactivation de l’option Autoriser le secours de connexion à NTLM dans les propriétés d’installation push du client n’est pas respectée dans l’une des conditions suivantes :
- En cas d’échecs d’authentification Kerberos, le compte push du client tente une connexion NTLM à la place.
- Le compte d’ordinateur du serveur de site tente une connexion à l’aide de NTLM si l’authentification Kerberos échoue pour tous les comptes d’installation Push du client définis.
Cette mise à jour empêche toute tentative d’authentification NTLM pour l’installation push du client lorsque l’option Autoriser la connexion de secours à NTLM est désactivée.
L’installation de cette mise à jour résout le problème de sécurité suivant :
À compter de Configuration Manager current Branch, version 2207, l’option Autoriser la connexion de secours à NTLM est désactivée par défaut sur les nouvelles installations de site.
Il est recommandé de désactiver cette option dans les environnements existants, si possible, pour renforcer la sécurité.
Pour plus d’informations sur la sécurité du client et NTLM, reportez-vous aux documents suivants :
- Sécurité et confidentialité pour les clients Configuration Manager
- KB5005413 : Atténuation des attaques de relais NTLM sur les services de certificats Active Directory
- Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants
Les environnements utilisant des versions de Configuration Manager Current Branch antérieures à la version 2103 sont encouragés à effectuer une mise à jour vers une version ultérieure prise en charge. Les administrateurs peuvent également désactiver l’utilisation des méthodes d’installation push automatique et manuelle du client pour supprimer le risque d’exposition à ce problème. Pour plus d’informations, consultez Prise en charge des versions Configuration Manager Current Branch.
Informations de mise à jour pour Microsoft Endpoint Configuration Manager, versions 2103-2207
Une mise à jour pour résoudre ce problème est disponible dans le nœud Mises à jour et maintenance de la console Configuration Manager pour les environnements sur 2103-2207 installés.
Mettre à jour les informations de remplacement
Cette mise à jour ne remplace aucune mise à jour publiée précédemment.
Informations de redémarrage
Pour Configuration Manager versions 2107 et ultérieures, cette mise à jour ne nécessite pas de redémarrage de l’ordinateur ou de réinitialisation de site après l’installation.
Configuration Manager version 2103 nécessite une réinitialisation du site après l’installation de la mise à jour.
Informations supplémentaires sur l’installation
Après avoir installé cette mise à jour sur un site principal, les sites secondaires préexistants doivent être mis à jour manuellement. Pour mettre à jour un site secondaire dans la console Configuration Manager, sélectionnez Sitesde configuration>> de site d’administration>Récupérer le site secondaire, puis sélectionnez le site secondaire. Le site principal réinstalle ensuite ce site secondaire à l’aide des fichiers mis à jour. Les configurations et les paramètres du site secondaire ne sont pas affectés par cette réinstallation. Les sites secondaires nouveaux, mis à niveau et réinstallés sous ce site principal reçoivent automatiquement cette mise à jour.
Exécutez la commande SQL Server suivante sur la base de données du site pour vérifier si la version de mise à jour d’un site secondaire correspond à celle de son site principal parent :
select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
Si la valeur 1 est retournée, le site est à jour, avec tous les correctifs appliqués sur son site principal parent.
Si la valeur 0 est retournée, le site n’a pas installé tous les correctifs appliqués au site principal et vous devez utiliser l’option Récupérer le site secondaire pour mettre à jour le site secondaire.
Informations de version
Aucun composant principal n’est mis à jour avec cette version.
Informations sur le fichier
Les informations sur les fichiers sont disponibles dans les listes de fichiers spécifiques à la version suivantes (KB15498768_FileList.txt) :
- Gestionnaire de configuration 2103
- Gestionnaire de configuration 2017
- Configuration Manager 2111
- Configuration Manager 2203
- Configuration Manager 2207
Historique des versions
- 20 septembre 2022 : Version initiale du correctif logiciel
- 30 septembre 2022 : Ajout d’informations de remplacement pour la base de connaissances 15599094
References
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour