Partager via

Meilleures pratiques pour la sécurité de l'inventaire et informations de confidentialité

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

La collecte d'inventaires engendre des vulnérabilités potentielles. Une personne malveillante peut effectuer les opérations suivantes :

  • envoyer des données non valides ;

  • envoyer de très grandes quantités de données ;

  • accéder aux informations d'inventaire lors de leur transfert vers les systèmes de site.

Les attaques d'inventaire sont généralement moins prises au sérieux que les attaques qui pourraient forcer une distribution de logiciels non autorisée du fait que les informations d'inventaire peuvent être obtenues par d'autres moyens.

Meilleures pratiques en matière d'inventaire

Activer le chiffrement de l'inventaire    Dans le mode natif de Microsoft System Center Configuration Manager 2007, les communications du client avec le point de gestion sont chiffrées à l'aide du protocole SSL. En mode mixte, par défaut, les rapports d'inventaire des clients et les fichiers collectés qui sont envoyés aux points de gestion sont signés, mais ils ne sont pas chiffrés. Pour plus d'informations sur le chiffrement des rapports d'inventaire envoyés aux points de gestion, consultez Comment chiffrer les rapports de l'inventaire client.

Désactiver les regroupements IDMIF et NOIDMIF dans les environnements de haute sécurité    Les regroupements IDMIF et NOIDMIF peuvent être utilisés pour étendre le regroupement d'inventaires matériels. Si besoin est, Configuration Manager 2007 crée de nouvelles tables ou modifie des tables existantes de la base de données du site afin qu'elles soient adaptées aux propriétés des fichiers IDMIF et NOIDMIF. En revanche, les fichiers IDMIF et NOIDMIF ne sont pas validés. Ils peuvent donc être utilisés pour modifier des tables que vous ne souhaitez pas voir modifier. Les données valides peuvent être remplacées par des données non valides. De grandes quantités de données peuvent être chargées et causer de fait des retards dans toutes les fonctions de Configuration Manager 2007. Pour minimiser ce risque, vous pouvez désactiver les regroupements IDMIF et NOIDMIF dans les propriétés de l'Agent du client d'inventaire matériel.

Notes

L'extension du regroupement d'inventaires matériels à l'aide d'extensions SMS_def.mof ne présente pas les mêmes risques de sécurité. Toutes les extensions SMS_def.mof doivent être appliquées du côté du serveur, ce qui nécessite des droits d'administration.

Ne pas utiliser le regroupement de fichiers pour collecter des fichiers critiques ou des informations sensibles    Inventaire de regroupements Configuration Manager 2007 en utilisant tous les droits du compte système local, qui peut collecter des copies de fichiers système critiques, par exemple le Registre ou la base de données du compte sécurité. Lorsque ces fichiers sont disponibles sur le serveur de site, un individu disposant des droits Lire la ressource ou de droits NTFS sur l'emplacement de stockage du fichier pourrait en analyser le contenu et probablement découvrir des informations essentielles sur le client, ce qui permettrait de compromettre sa sécurité.

Informations de confidentialité

L'inventaire matériel vous permet de récupérer toutes les informations stockées dans WMI sur les clients Configuration Manager 2007. L'inventaire logiciel vous permet de découvrir tous les fichiers d'un type donné ou de collecter tous les fichiers spécifiés à partir des clients. Asset Intelligence améliore les capacités de l'inventaire en étendant l'inventaire matériel et logiciel et en ajoutant la nouvelle fonctionnalité de gestion des licences.

L'inventaire matériel est activé par défaut et les informations WMI qui sont collectées sont déterminées par le fichier SMS_def.mof. Vous pouvez modifier le fichier .mof pour collecter davantage ou moins d'informations. L'inventaire logiciel et le regroupement de fichiers sont désactivés par défaut. Le regroupement de données Asset Intelligence n'est pas activé par défaut sur les nouvelles installations, mais s'il a été activé auparavant pour SMS 2003 SP3, il demeure actif après la mise à niveau.

Les informations d'inventaire ne sont pas envoyées à Microsoft. Les informations d'inventaire sont stockées dans la base de données du site. En mode natif, l'inventaire est chiffré pendant le transfert vers le point de gestion. En mode natif, vous pouvez activer le chiffrement de l'inventaire. Aucun mode n'est utilisé pour stocker les données dans la base de données dans un format chiffré. Les informations sont conservées dans la base de données jusqu'à ce qu'elles soient supprimées par les tâches de maintenance du site Supprimer les historiques d'inventaire anciens ou Supprimer les fichiers collectés anciens tous les 90 jours. Vous pouvez configurer l'intervalle de suppression.

Avant de configurer l'inventaire matériel, l'inventaire logiciel, le regroupement de fichiers ou la collecte de données Asset Intelligence, tenez compte de vos exigences en matière de confidentialité.

Voir aussi

Autres ressources

Meilleures pratiques pour la sécurité et informations de confidentialité pour les fonctionnalités de Configuration Manager
Inventaire dans Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.