Nouveautés de la sécurité pour Configuration Manager
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 apporte d'importantes modifications relatives à la sécurité par rapport à Systems Management Server (SMS) 2003.
Configuration Manager 2007 possède un seul mode de sécurité
Dans SMS 2003, vous pouvez choisir la sécurité standard ou la sécurité avancée, cette dernière étant recommandée. Dans Configuration Manager 2007, vous ne disposez que d'un seul mode de sécurité, équivalent au mode de sécurité avancée de SMS 2003. Dans SMS 2003, certains sites ne pouvaient pas se conformer aux exigences de sécurité avancée stipulant que tous les systèmes de site devaient appartenir à un domaine Active Directory. Cette condition est maintenant obligatoire pour l'exécution de Configuration Manager 2007.
Si vous installez un nouveau site, vous ne serez pas invité à choisir un mode de sécurité. Si vous effectuez une mise à niveau à partir de SMS 2003, vous devez convertir votre site vers la sécurité avancée avant d'exécuter le programme d'installation. Après cette conversion, supprimez tous les comptes qui ne seront pas requis. Pour plus d'informations, consultez Comptes à supprimer après la mise à niveau à partir de SMS 2003. Vous devez également vérifier que vous avez mis en place les comptes adéquats pour que Configuration Manager 2007 fonctionne. Pour plus d'informations, consultez Liste de vérification de la sécurité de compte Configuration Manager.
Configuration Manager 2007 possède deux modes de site
Configuration Manager 2007 vous offre le choix entre le mode natif Configuration Manager 2007 et le mode mixte Configuration Manager 2007. Le mode natif nécessite l'implémentation d'une infrastructure à clés publiques existante, mais il garantit une authentification mutuelle entre les clients et les serveurs Configuration Manager 2007. Il s'agit de l'option la plus sûre. Le mode mixte est proposé pour garantir une compatibilité en amont avec les hiérarchies qui doivent prendre en charge des sites SMS 2003 et pour les organisations ne disposant pas des ressources nécessaires au déploiement d'une infrastructure à clé publique. Si vous devez effectuer le déploiement en mode mixte, vous avez la possibilité d'approuver manuellement tous les clients avant qu'ils ne puissent rejoindre le site, ou vous pouvez autoriser l'approbation automatique de tous les clients joints au domaine. Il est possible d'autoriser l'approbation automatique de tous les clients, qu'ils appartiennent ou non à un domaine de confiance, mais cela augmente pour vous les risques de sécurité en permettant à des clients inconnus de rejoindre votre site.
Configuration Manager 2007 prend en charge un seul type de client
Dans SMS 2003, vous pouviez choisir entre le Client hérité et le Client avancé. À partir de SMS 2003 SP1, vous pouviez installer le Client hérité seulement sur les clients Windows 98 ou Windows NT 4.0. Dans Configuration Manager 2007, il n'existe qu'un seul client, appelé simplement client Configuration Manager 2007, qui s'apparente au Client avancé de SMS 2003. Avant la mise à niveau vers System Center Configuration Manager 2007, vous devez supprimer tous les clients hérités de la hiérarchie de site.
Configuration Manager 2007 prend uniquement en charge l'authentification Windows de SQL Server
Dans SMS 2003, vous configurez SMS de manière à accéder à la base de données du site à l'aide de l'authentification SQL Server (précédemment appelée sécurité standard) ou de l'authentification Windows (précédemment appelée sécurité intégrée). Si vous utilisiez l'authentification SQL Server, vous deviez fournir des informations d'ouverture de session SQL pour que SMS puisse les utiliser lors de l'accès à la base de données de site. Configuration Manager 2007 ne prend en charge que l'authentification Windows, ce qui signifie que Configuration Manager 2007 utilise le compte d'ordinateur du serveur de site pour accéder à la base de données de site. Plusieurs rôles de base de données ont été ajoutés afin de mieux contrôler l'accès de Configuration Manager 2007 au serveur SQL Server.
Sécurité des communications entre les sites
Dans SMS 2003, vous pouviez déterminer si un site pouvait ou non accepter des données non signées de la part d'un autre site. Dans Configuration Manager 2007, toutes les données doivent être signées entre les sites et il n'est pas possible de désactiver cet impératif de signature.
De plus, dans SMS 2003, l'échange de clés sécurisé n'était pas activé par défaut entre les sites. Dans Configuration Manager 2007, l'obligation de sécuriser l'échange de clés entre les sites est activée par défaut pour les nouvelles installations.
L'installation poussée du client peut utiliser le compte d'ordinateur$
Même si votre site SMS 2003 utilisait la sécurité avancée, vous deviez configurer un compte d'utilisateur pour effectuer l'installation poussée du client. Dans Configuration Manager 2007, si vous n'avez pas de compte d'utilisateur configuré, Configuration Manager 2007 tentera d'utiliser le compte d'ordinateur$ du serveur de site. Si aucun compte d'installation poussée du client n'a été défini, et si le compte d'ordinateur$ ne dispose pas de droits administratifs sur l'ordinateur client, l'installation poussée du client échoue.
Important
Il n'est pas recommandé d'ajouter le compte d'ordinateur$ du serveur de site au groupe global Administrateurs du domaine car cela va à l'encontre du principe des moindres privilèges. Il est préférable d'ajouter le compte d'ordinateur$ du serveur de site à un autre groupe global et d'utiliser une stratégie de groupe pour ajouter ce groupe global au groupe Administrateurs local en tant que groupe restreint. Pour plus d'informations, consultez l'article 320065 de la Base de connaissances Microsoft, « Comment configurer un groupe global en tant que membre du groupe Administrateurs sur toutes les stations de travail ».
L'Assistant Configuration de la sécurité permet de sécuriser les rôles de site
Avec la publication de Windows Server 2003 SP1, l'Assistant Configuration de la sécurité renforce les serveurs en fonction des rôles qu'ils tiennent. Des modèles Configuration Manager 2007 peuvent être ajoutés à l'Assistant Configuration de la sécurité pour offrir la configuration de sécurité recommandée pour les rôles de système de site Configuration Manager 2007. L'exécution de l'Assistant Configuration de la sécurité remplace les recommandations de sécurité précédentes qui consistaient à exécuter un verrouillage IIS et une analyse des URL sur les rôles Configuration Manager 2007 nécessitant les services IIS. Dans la mesure où l'Assistant Configuration de la sécurité offre une méthode automatique pour la sécurisation des serveurs, les listes de vérification pour la sécurisation renforcée manuelle d'IIS et de SQL proposées dans « Scénarios et procédures pour SMS 2003 : sécurité » ne sont plus fournies.
Avant de pouvoir exécuter l'Assistant Configuration de la sécurité sur votre serveur de site et sur les systèmes de site, vous devez installer le modèle SCW Configuration Manager 2007, devant être inclus aux outils Configuration Manager 2007 (https://go.microsoft.com/fwlink/?LinkId=93071).
Les administrateurs mis à niveau n'ont pas accès à tous les objets
Après la mise à niveau, l'utilisateur qui l'a exécutée a accès à tous les objets de la console Configuration Manager 2007, mais les administrateurs existants ne peuvent accéder qu'aux objets déjà présents avant la mise à niveau. Ceci vaut même pour les objets de mises à jour logicielles. Les utilisateurs qui bénéficiaient de droits d'accès complets sur tous les objets de mises à jour logicielles SMS 2003 bénéficient de droits d'accès complets sur les mêmes objets dans Configuration Manager 2007, mais ils n'ont aucun droit sur les nouveaux types d'objets, tels que les modèles.
Modifications de comptes
Dans la mesure où la sécurité standard et le Client hérité ne sont pas utilisés dans Configuration Manager 2007, tous les comptes liés à ces configurations deviennent inutiles. Configuration Manager 2007 ne crée pas de comptes d'utilisateurs pendant l'exécution du programme d'installation ou l'installation des clients. Plusieurs nouveaux comptes, décrits dans le tableau suivant, ont été ajoutés dans Configuration Manager 2007.
| Nom du compte | Rôle |
|---|---|
Compte d'installation du système de site |
Utilisé pour installer et configurer les systèmes de site |
Compte de publication de la référence d'état d'intégrité |
Utilisé pour publier la protection d'accès réseau vers les Services de domaine Active Directory |
Compte d'interrogation de référence d'état d'intégrité |
Utilisé pour interroger la protection d'accès réseau à partir des Services de domaine Active Directory |
Compte de capture de l'image du système d'exploitation |
Utilisé pour capturer des images pour les déploiements de systèmes d'exploitation |
Compte du serveur proxy du point de mise à jour logicielle |
Utilisé pour synchroniser le catalogue de mises à jour logicielles, si votre serveur proxy nécessite une authentification |
Compte de jonction de domaine de l'Éditeur de séquence de tâches |
Utilisé pour les séquences de tâches dans le déploiement de système d'exploitation nécessitant un contexte de sécurité pour rejoindre un domaine |
Compte proxy pour les clients basés sur Internet |
Utilisé pour les clients Internet devant s'authentifier auprès d'un serveur proxy lorsqu'ils accèdent à Internet |
Le groupe SMS_SiteSystemToSQLConnection n'est plus nécessaire car l'accès aux bases de données est contrôlé par les rôles SQL Server, qui sont créés automatiquement lors de l'installation de Configuration Manager 2007. Pour plus d'informations, consultez À propos des rôles de base de données pour Configuration Manager.
Un nouveau groupe, le groupe Utilisateurs du contrôle à distance ConfigMgr, a été ajouté afin de contenir les membres de la liste Observateurs autorisés.
Voir aussi
Concepts
Meilleures pratiques pour la sécurité de la distribution de logiciels et informations sur la confidentialité
Nouveautés de Configuration Manager 2007
Autres ressources
Comptes et groupes dans Configuration Manager
Sécurité et confidentialité pour Configuration Manager 2007
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.