Partager via

Meilleures pratiques pour la sécurisation des clients

  • Article

Mis à jour: décembre 2009

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Parce que Microsoft System Center Configuration Manager 2007 doit accepter des données des clients, il existe un risque que l'un d'eux attaque le site, par exemple en envoyant un inventaire incorrect ou en essayant de surcharger les systèmes de site. Par conséquent, vous ne devez déployer Configuration Manager 2007 que sur les ordinateurs et périphériques auxquels vous faites confiance.

La section suivante s'applique uniquement aux ordinateurs clients. Pour plus d'informations sur les clients de périphériques mobiles, consultez Meilleures pratiques pour la sécurité des clients de périphérique mobile et informations de confidentialité.

Meilleures pratiques pour le mode mixte

Approuver automatiquement les clients des domaines approuvés     L'approbation peut être manuelle, automatique pour les ordinateurs des domaines approuvés ou automatique pour tous les ordinateurs ; elle est configurée en tant que propriété de site sous l'onglet du mode site pour les sites en mode mixte. La méthode d'approbation la plus sûre consiste à approuver automatiquement les clients qui sont membres de domaines approuvés. Dans ce mode, les clients qui ne sont pas membres d'un domaine approuvé, y compris les clients de groupes de travail, doivent être approuvés manuellement. Si vous voulez vérifier manuellement chaque client avant qu'il soit autorisé à recevoir des stratégies contenant des données sensibles, définissez le mode d'approbation manuel. Il n'est pas recommandé d'approuver automatiquement tous les clients, sauf si vous disposez d'autres contrôles d'accès pour empêcher l'accès des ordinateurs non approuvés à votre réseau. Si un client n'est pas approuvé par une méthode automatique, il s'affiche tout de même dans la console Configuration Manager 2007 et vous pouvez l'approuver manuellement, une fois que vous l'avez localisé dans un regroupement, en utilisant Approuver dans le menu Action.

Notes

Si un client qui a précédemment été approuvé est supprimé de la console Configuration Manager 2007, mais qu'il n'est pas approuvé lorsqu'il réapparaît dans la console, il aura tout de même encore les stratégies contenant des données sensibles.

Ne pas se fier au blocage pour empêcher certains clients d'accéder au site    Les client bloqués sont rejetés par l'infrastructure Configuration Manager 2007 de sorte qu'ils ne peuvent pas communiquer avec les systèmes de site pour télécharger la stratégie, charger des données d'inventaire, envoyer des messages d'état ou des messages de statut. Cependant, ne vous fiez pas au blocage pour protéger le site contre les ordinateurs ou les périphériques mobiles non approuvés si le site est en mode mixte, car un client bloqué peut de nouveau joindre le site avec un nouveau certificat auto-signé et un nouvel ID matériel. Cette fonctionnalité est destinée à bloquer les supports de démarrage perdus ou compromis lors du déploiement de clients à l'aide de la fonction de déploiement de système d'exploitation, et avec les clients en mode natif. Si le site est en mode natif et que votre infrastructure de clé publique prend en charge une liste de révocation de certificats, envisagez toujours de définir la révocation de certificats comme première ligne de défense contre les certificats potentiellement compromis. Le blocage des clients dans Configuration Manager 2007 offre une seconde ligne de défense pour protéger votre hiérarchie. Pour plus d'informations, consultez Déterminer si vous devez bloquer les clients Configuration Manager.

Mettre à niveau tous les clients vers Configuration Manager 2007 et sélectionner « Ce site contient uniquement des clients ConfigMgr 2007 »    Si la case à cocher Ce site contient uniquement des clients ConfigMgr 2007 est activée, seuls les clients approuvés peuvent recevoir les stratégies contenant des données sensibles. En revanche, si cette case n'est pas activée, les stratégies contenant des données sensibles peuvent être envoyées à n'importe quel client.

Meilleures pratiques pour le mode natif

Utiliser le mode natif dès que possible    Le mode natif utilise des certificats générés par une infrastructure à clé publique (PKI) pour fournir l'authentification mutuelle entre les systèmes de site et les clients. Le mode natif est conçu pour être le mode le plus sûr pour Configuration Manager 2007.

Configurer tous les points de distribution pour qu'ils utilisent le service BITS     Si vous ne configurez pas le paramètre Autoriser les clients à transférer le contenu de ce point de distribution en utilisant BITS, HTTP et HTTPS, les clients communiquent avec les points de distribution à l'aide du protocole SMB (Server Message Block), même en mode natif. Or, la communication SMB n'est ni authentifiée, ni chiffrée par Configuration Manager 2007, même en mode natif.

Ne pas sélectionner « Activer la communication HTTP pour l'itinérance et l'attribution de site »     La sélection de ce paramètre permet, en effet, aux clients en mode natif de communiquer avec des points de gestion résidents et des points de distribution via HTTP plutôt que HTTPS lorsqu'ils parcourent des sites en mode mixte de manière itinérante. Toutefois, ce paramètre doit être activé si le schéma des services de domaine Active Directory n'est pas étendu pour Configuration Manager 2007, ou le site en mode natif gère les clients sur l'intranet à partir des groupes de travail ou domaines non approuvés. Pour plus d'informations, consultez Décider si vous devez configurer la communication HTTP pour l'itinérance et l'attribution de site (Mode natif).

Suivez les meilleures pratiques recommandées pour la gestion des certificats    Pour plus d'informations, consultez Meilleures pratiques pour la gestion des certificats.

Meilleures pratiques pour tous les ordinateurs clients

Choisir une méthode d'installation du client adaptée à votre profil de risque Il existe plusieurs façons d'installer le logiciel client Configuration Manager 2007 sur vos ordinateurs gérés. Le tableau suivant présente les avantages, les inconvénients et les informations à prendre en compte pour chaque méthode.

Méthode Avantages Inconvénients Considérations

Installation manuelle

Peut être très sûre si des contrôles d'accès et contrôles des modifications sont mis en œuvre.

Très exigeante en termes de ressources et de processus ; peu adaptable.

Requiert un utilisateur avec des droits d'administration sur chaque ordinateur.

L'administrateur doit créer des contrôles de sécurité pour l'ensemble du processus.

Images

Peut être très sûre si des contrôles d'accès et contrôles des modifications sont mis en œuvre.

Pratique uniquement pour le déploiement d'une nouvelle base de clients, pas pour le déploiement d'ordinateurs existants.

La fonction de déploiement du système d'exploitation de Configuration Manager 2007 peut être utilisée pour installer le logiciel client Configuration Manager 2007 tandis que le nouveau système d'exploitation est déployé.

Stratégie de groupe

S'adapte aisément à un grand nombre d'ordinateurs clients.

Utilise les contrôles de sécurité déjà présents dans les services de domaine Active Directory.

S'exécute automatiquement avec des droits d'administration.

Requiert la coordination avec l'administrateur des services de domaine Active Directory.

Les unités organisationnelles peuvent ne pas correspondre à la façon dont les clients doivent être déployés dans le site.

Ne fonctionne pas pour les clients des groupes de travail.

Les interactions de la stratégie de groupe peuvent être difficiles à évaluer. Il faut s'assurer que les ordinateurs reçoivent le logiciel client et les bons paramètres du client.

Installation poussée du client

S'adapte aisément à un grand nombre d'ordinateurs clients.

Requiert un compte avec des droits d'administration sur chaque client.

Requiert le partage de fichiers et d'imprimantes.

Requiert que les ports du partage de fichiers et d'imprimantes et le service d'administration à distance soient ouverts dans le pare-feu personnel du client. Pour plus d'informations, consultez Paramètres du pare-feu pour les clients Configuration Manager.

N'utilisez pas de compte d'administrateur de domaine comme compte d'installation poussée du client. Envisagez d'utiliser plusieurs comptes d'installation poussée du client avec des portées d'administration plus restreintes pour que, si des attaquants compromettent un compte, ils n'obtiennent pas le contrôle administratif de l'ensemble des ordinateurs clients Configuration Manager 2007. Pour plus d'informations, consultez À propos du compte d'installation poussée du client.

Installation client du point de mise à jour logicielle

S'intègre avec la fonction de mise à jour logicielle.

Faible risque de falsification de fichiers car toutes les mises à jour logicielles sont signées.

S'exécute automatiquement avec des droits d'administration.

Requiert l'infrastructure WSUS.

Vous ne pouvez pas utiliser un autre serveur WSUS pour l'installation client et les mises à jour logicielles.

Si le client n'est pas encore installé, vous devez configurer un objet de stratégie de groupe Active Directory à l'aide du format de nom de serveur et du numéro de port appropriés.

Si l'objet de stratégie de groupe Active Directory n'a pas été correctement configuré, il est possible que le client ne puisse pas obtenir les mises à jour logicielles à partir du point de mise à jour logicielle. Pour plus d'informations, consultez Comment installer des clients Configuration Manager via une installation basée sur un point de mise à jour logicielle.

distribution de logiciels,

Méthode simple de mise à niveau des clients existants sans compte d'administrateur local

S'adapte aisément à un grand nombre d'ordinateurs clients.

Peut être configurée pour s'exécuter avec des droits d'administration.

Fonctionne uniquement pour les ordinateurs clients existants à mettre à niveau.

Comme pour toute distribution de logiciels, vous devez sécuriser les fichiers source utilisés par Configuration Manager 2007 pour créer le package.

Supprimer les certificats avant l'acquisition d'images des clients    Si vous prévoyez de déployer des clients à l'aide de la technologie d'acquisition d'images, supprimez toujours les certificats tels que les certificats d'authentification des clients en mode natif ou les certificats auto-signés en mode mixte, avant de capturer les images. Si vous ne le faisiez pas, vous permettriez aux clients d'emprunter les identités des uns et des autres et empêcheriez la vérification des données de chaque client. Pour plus d'informations sur l'utilisation de Sysprep pour préparer un ordinateur pour l'acquisition d'images, consultez https://go.microsoft.com/fwlink/?LinkId=93068.

Vérifier que les clients Configuration Manager obtiennent une copie autorisée de la clé racine approuvée après installation    Si vous n'avez pas étendu le schéma Active Directory, les clients font appel à la clé racine approuvée pour authentifier les points de gestion valides. Sans la clé racine approuvée, le client n'a aucun moyen de vérifier que le point de gestion est approuvé pour le site, ce qui permet à un attaquant doué de diriger le client vers un point de gestion malveillant.

Configurer les ordinateurs clients pour qu'ils utilisent le mode Active Directory uniquement    L'option la plus sûre pour la configuration du client est SMSDIRECTORYLOOKUP=NoWINS ; toutefois, elle ne peut être utilisée que si vos clients peuvent interroger le catalogue global et ne doit donc pas être utilisée pour les clients des forêts ou groupes de travail distants, ou si le schéma Active Directory n'a pas été étendu. Si les clients doivent utiliser WINS comme emplacement du service et que SMSDIRECTORYLOOKUP=NoWINS, cet emplacement ne fonctionnera pas. Pour plus d'informations, consultez Configuration Manager et emplacement des services (points d'informations et de gestion de site). Si aucune propriété n'est indiquée, le client s'installe en mode WINS sécurisé. Le mode Tout WINS n'est pas sécurisé et pas recommandé. Pour plus d'informations, consultez À propos des propriétés d'installation du client Configuration Manager.

S'assurer que les fenêtres de maintenance sont assez grandes pour déployer des mises à jour logicielles critiques    Configuration Manager 2007 vous permet de configurer des fenêtres de maintenance sur les regroupements dont les clients sont membres afin de restreindre les heures auxquelles Configuration Manager 2007 peut installer le logiciel. Si vous définissez une fenêtre trop petite, le client peut ne pas installer les mises à jour logicielles critiques et l'ordinateur se retrouver vulnérable à l'attaque qui aurait été contrée par la mise à jour logicielle.

Problèmes de sécurité

Les problèmes de sécurité suivants ne peuvent pas être atténués.

Les messages de statut ne sont pas authentifiés    Aucune authentification n'est effectuée sur les messages de statut. En mode mixte, tout ordinateur peut envoyer des messages de statut au point de gestion. En mode natif, un ordinateur devrait obtenir un certificat d'authentification du client valide d'une autorité de certification racine approuvée, mais pourrait aussi envoyer, ensuite, n'importe quel message de statut. Si un client envoie un message de statut non valide, il est supprimé. Il existe donc peu d'attaques potentielles contre cette vulnérabilité. Un attaquant pourrait envoyer un message de statut erroné pour adhérer à un regroupement basé sur des requêtes de messages de statut. Un client pourrait déclencher un refus de service contre le point de gestion en l'inondant de messages de statut. Si les messages de statut déclenchent des actions dans les règles de filtrage des messages de statut, un attaquant pourrait déclencher la règle de filtrage des messages de statut. Un attaquant pourrait également envoyer un message de statut qui rendrait les informations de rapport incorrectes.

Les stratégies peuvent être redirigées vers des clients non ciblés    Plusieurs méthodes sont à la disposition des attaquants qui voudraient rediriger vers un tout autre client une stratégie destinée à un client ciblé. Par exemple, un attaquant au niveau d'un client approuvé pourrait envoyer de fausses informations de découverte ou d'inventaire pour que l'ordinateur soit ajouté à un regroupement auquel il ne devrait pas appartenir, puis recevoir toutes les publications de celui-ci. Bien que des contrôles existent pour aider à empêcher les attaquants de modifier la stratégie directement, des attaquants pourraient prendre une stratégie existante pour reformater ou redéployer un système d'exploitation et l'envoyer à un autre ordinateur, créant ainsi un refus de service. Ces types d'attaques demanderaient un minutage précis et des connaissances approfondies sur l'infrastructure Configuration Manager 2007.

Les journaux du client permettent l'accès utilisateur    Tous les fichiers journaux du client accordent un accès en lecture aux utilisateurs et un accès en écriture aux utilisateurs interactifs. Si vous activez la journalisation détaillée, des attaquants peuvent lire les fichiers journaux pour y rechercher des informations sur la conformité ou les vulnérabilités du système. Les processus tels que la distribution de logiciels, effectués dans un contexte de l'utilisateur, doivent être capables d'écrire vers les journaux avec un compte d'utilisateur doté de droits limités. Cela signifie qu'un attaquant pourrait également écrire vers les journaux avec un compte doté de droits limités. Le risque le plus sérieux est qu'un attaquant puisse supprimer des informations des fichiers journaux, dont un administrateur pourrait avoir besoin pour l'audit et la détection d'intrus.

Informations de confidentialité

Lorsque vous déployez le client Configuration Manager 2007, vous activez des agents clients afin de pouvoir utiliser les fonctionnalités de Configuration Manager 2007. Les paramètres que vous utilisez pour configurer les fonctionnalités s'appliquent à tous les clients du site, qu'ils soient directement connectés au réseau d'entreprise, connectés via une session distante ou connectés à Internet, mais pris en charge par le site. Les informations client sont stockées dans la base de données et ne sont pas renvoyées à Microsoft. Avant de configurer le client Configuration Manager 2007, réfléchissez à vos besoins en matière de confidentialité.

Voir aussi

Autres ressources

Comment gérer la clé racine approuvée dans Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.