Partager via

Meilleures pratiques pour la sécurité des mises à jour logicielles et informations de confidentialité

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

L'application des mises à jour de sécurité les plus récentes est une des meilleures pratiques de sécurité. Microsoft System Center Configuration Manager 2007 facilite l'application des mises à jour logicielles sur les ordinateurs de votre entreprise. Toutefois, certaines des meilleures pratiques peuvent vous aider à empêcher les attaquants de détourner l'infrastructure de mise à jour logicielle.

Meilleures pratiques pour la sécurité

Ne modifiez pas les autorisations par défaut des packages de mises à jour logicielles    Par défaut, les packages de mises à jour logicielles sont définis pour accorder un contrôle intégral aux administrateurs et un accès en lecture aux utilisateurs. La modification de ces autorisations pourrait permettre à un attaquant d'ajouter, d'enlever ou de supprimer des mises à jour logicielles.

Contrôlez l'accès à l'emplacement de téléchargement des mises à jour logicielles     Le compte d'ordinateur du fournisseur SMS et l'utilisateur qui téléchargera les mises à jour logicielles requièrent l'accès en écriture à l'emplacement de téléchargement. Limitez l'accès à l'emplacement de téléchargement pour éviter que des personnes malveillantes ne falsifient les fichiers sources des mises à jour logicielles.

Utilisez le temps universel coordonné (UTC) pour évaluer les temps de déploiement    Si vous utilisez l'heure locale plutôt que le temps universel coordonné, les utilisateurs peuvent retarder l'installation des mises à jour logicielles en modifiant le fuseau horaire de leur ordinateur.

Suivez les meilleures pratiques pour sécuriser WSUS    Pour plus d'informations sur la sécurisation de WSUS, notamment l'ajout de l'authentification Active Directory et de SSL, accédez à https://go.microsoft.com/fwlink/?LinkId=93170.

Important

Si votre site est en mode natif, en plus d'effectuer les étapes classiques de la configuration SSL sur le serveur WSUS, vous devez activer SSL sur certaines racines virtuelles supplémentaires pour prendre en charge le mode natif de Configuration Manager 2007. Pour plus d'informations, consultez Planification pour l'installation du point de mise à jour logicielle.

Activez la vérification de la liste de révocation de certificats Par défaut, la liste de révocation de certificats n'est pas vérifiée lors de la vérification de la signature sur les mises à jour logicielles. La vérification de la liste de révocation de certificats à chaque utilisation d'un certificat est une sécurité supplémentaire qui permet de ne pas utiliser de certificat révoqué. Toutefois, elle implique un délai de connexion et un traitement supplémentaire sur l'ordinateur qui l'effectue. Pour connaître la procédure, voir Comment activer la vérification de la liste de révocation des certificats pour les mises à jour logicielles.

Si le point de mise à jour logicielle est configuré dans un réseau de périmètre, configurez le serveur de site pour qu'il récupère les données du système de site    Par défaut, les systèmes de site repoussent leurs données vers le serveur de site. Vous pouvez configurer un système de site pour que le serveur de site extraie les données à la place, ce qui permet un bon contrôle des ports et des autorisations nécessaires pour le transfert des données. Le paramètre Autoriser uniquement les transferts de données occasionnés par le serveur de site à partir de ce système de site s'applique au système de site tout entier et à tous les rôles de système de site qui y sont configurés.

Si vous devez déployer des mises à jour logicielles sur des clients SMS 2003, exécutez l'outil d'inventaire pour les mises à jour Microsoft sur un serveur de site principal, au sommet de la hiérarchie     Vous n'êtes pas obligé d'installer l'outil d'inventaire pour les mises à jour logicielles sur le serveur central, mais vous devez toujours l'installer sur le site le plus élevé auquel les clients se réfèrent. Si l'outil d'analyse est installé sur un site principal hiérarchiquement inférieur, les sites supérieurs ne peuvent pas rapporter d'informations sur les mises à jour logicielles.

Configurez WSUS pour utiliser un site Web personnalisé    Lors de l'installation de WSUS sur le point de mise à jour logicielle, vous pouvez choisir d'utiliser le site Web IIS par défaut ou de créer un site Web WSUS 3.0 personnalisé. Vous devez créer un site Web personnalisé pour WSUS pour que les services Internet (IIS) hébergent les services WSUS 3.0 dans un site Web virtuel dédié au lieu de partager le site Web utilisé par les autres systèmes de site Configuration Manager 2007 ou d'autres applications. Pour plus d'informations, consultez Planification pour l'installation du point de mise à jour logicielle.

Activez le service BITS 2.5 pour le site et les points de distribution    Lors de l'installation de mises à jour logicielles sur des clients, les fichiers sources sont d'abord téléchargés sur le cache de l'ordinateur client, puis installés. Si le service BITS est activé sur le point de distribution, la déconnexion du réseau lors du téléchargement des mises à jour logicielles n'entraîne pas l'échec du déploiement car le service BITS reprend le téléchargement là où il avait été interrompu lorsque le client accède à nouveau au réseau. Si le service BITS n'est pas activé sur le point de distribution et si un problème réseau se produit lors du téléchargement des mises à jour logicielles, leur installation échoue et entraîne une vulnérabilité potentielle du client aux attaques.

Informations de confidentialité

Les mises à jour logicielles analysent vos ordinateurs clients pour connaître les mises à jour requises et renvoient les informations à la base de données de site. Au cours du processus de mise à jour logicielle, Configuration Manager 2007 peut faire circuler, entre les clients et les serveurs, des informations qui permettent d'identifier les comptes d'ordinateurs et d'ouvertures de session.

Configuration Manager 2007 conserve les informations d'état relatives au processus de distribution de logiciels. Les informations d'état ne sont pas chiffrées au cours de la transmission ou du stockage. Les informations d'état sont stockées dans la base de données de site et supprimées par les tâches de maintenance de la base de données. Aucune information d'état n'est renvoyée à Microsoft.

L'utilisation des mises à jour logicielles Configuration Manager 2007 pour installer les mises à jour logicielles sur les ordinateurs clients peut être soumise à un contrat de licence indépendant du contrat de licence logiciel de Configuration Manager 2007. Vous devez toujours consulter et accepter les termes du contrat de licence logiciel pour pouvoir installer les mises à jour logicielles à l'aide de Configuration Manager 2007.

Configuration Manager 2007 n'implémente pas les mises à jour logicielles par défaut et requiert plusieurs étapes de configuration avant de collecter les informations. Avant de configurer les mises à jour logicielles, réfléchissez à vos besoins en matière de confidentialité.

Voir aussi

Autres ressources

Meilleures pratiques pour la sécurité et informations de confidentialité pour les fonctionnalités de Configuration Manager
Mises à jour logicielles dans Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.