Meilleures pratiques pour la sécurité des rapports
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Les attaquants tentent généralement d’obtenir autant d’informations que possible sur l’entreprise afin d’en déceler les vulnérabilités. Il est possible qu'un attaquant tente d'accéder aux rapports Microsoft System Center Configuration Manager 2007 pour trouver des informations sur l'environnement réseau. Par exemple, si une personne malveillante peut consulter le rapport indiquant la conformité des mises à jour logicielles, elle peut lancer des attaques spécifiques contre les ordinateurs qui n’ont pas été mis à jour.
Les attaques contre les rapports Configuration Manager 2007 représentent un risque moins important que les attaques portant sur le serveur de site, le serveur de base de données de site, la distribution de logiciels et les outils de contrôle à distance.
Limitez les requêtes et les rapports aux observateurs autorisés Utilisez le principe des privilèges minimum lorsque vous attribuez des autorisations sur les requêtes et les rapports. Les rapports peuvent être exécutés depuis la console Configuration Manager 2007 ou par le biais d'une visionneuse de rapports telle qu'Internet Explorer. Seules les requêtes affichées dans la console Configuration Manager 2007 sont soumises à la sécurité des objets Configuration Manager 2007. Lorsque vous exécutez des requêtes Configuration Manager 2007, vous devez disposer des autorisations de sécurité d'objet Configuration Manager 2007 pour les objets inclus dans la requête. En outre, lors de la création d’une requête, la zone Valeurs de l’onglet Critères, dansla boîte de dialogue Propriétés de l’instruction de la requête, ne renvoie aucune donnée si vous ne disposez pas des droits Lire et Lire la ressource pour la classe Regroupements.
Une requête peut être limitée à des regroupements spécifiques afin que les utilisateurs puissent interroger uniquement les données des ressources appartenant aux regroupements qu'ils sont autorisés à utiliser. Même si l'utilisateur n'opte pas pour cette limitation au moment de créer une requête, Configuration Manager 2007 l'applique si l'utilisateur n'est pas autorisé à afficher toutes les ressources. Si un utilisateur demande à accéder à des informations, assurez-vous qu’il ne sera pas restreint par la fonction de limitation au regroupement.
Utilisez le groupe Utilisateurs des rapports pour contrôler l'accès au point de rapport Par défaut, tous les membres des groupes Administrateurs et Utilisateurs des rapports ont accès au site Web du point de rapport. Si des utilisateurs désirent accéder à des rapports sur le point de rapport, ajoutez-les au groupe local Utilisateurs des rapports sur chaque point de rapport requis. Ce groupe est par défaut dépourvu de membres.
Les droits de sécurité d'objet Configuration Manager 2007 ne sont pas configurés par défaut pour le groupe Utilisateurs des rapports. Ce groupe doit bénéficier des droits de sécurité Lire sur la classe SMS de rapports (SMS_Report), sinon les membres du groupe ne sont pas en mesure d'accéder aux rapports, même s'ils ont accès au site Web des rapports.
Gérez la sécurité pour les utilisateurs qui se connectent directement à l'ordinateur SQL Server Si vous utilisez des mécanismes de rapport autres que la console et les rapports Configuration Manager, la sécurité WMI et la sécurité des objets Configuration Manager ne sont pas activées. Si vous choisissez d'utiliser les mécanismes de rapport permettant d'accéder directement aux vues SQL Server, notamment l'utilisation du script ou du pilote ODBC, vous devez implémenter des contrôles de sécurité afin que seuls les utilisateurs autorisés puissent accéder aux données.
Notes
L'accès aux données directement à partir des tables n'est pas pris en charge. L'accès aux données via les vues est le seul mode d'accès pris en charge.
Activez l'accès HTTPS pour les points de rapport Lorsque vous configurez le rôle de point de rapport sur un système de site, vous devez configurer le point de rapport pour lancer la visionneuse de rapports à l'aide de HTTPS. L’interception de l’état de la session ou des informations d’identification dans un trafic HTTP non crypté est une attaque relativement facile contre la sécurité. Le vol de l’état de la session donne à l’attaquant un accès complet au point de rapport. Ce paramétrage n’obtient pas le certificat ni ne configure IIS pour utiliser SSL. Effectuez ces configurations avant de configurer le point de rapport pour un accès HTTPS.
Notes
La configuration de HTTPS sur le point de rapport est complètement distincte de la configuration du mode natif. Même en mode natif, les points de rapport utilisent l'accès HTTP par défaut.
Voir aussi
Concepts
Rapports dans Configuration Manager
Autres ressources
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.