Meilleures pratiques pour les outils de contrôle à distance et informations de confidentialité
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Les outils de contrôle à distance de Microsoft System Center Configuration Manager 2007 facilitent l'administration centralisée. Cependant, les administrateurs qui possèdent des autorisations de contrôle à distance peuvent être capables d'espionner les utilisateurs, mettant ainsi en péril la sécurité et la confidentialité. Comme nous l'avons dit précédemment, il n'existe pas de méthode de protection contre un administrateur qui utilise ses droits administratifs de manière inappropriée.
Meilleures pratiques pour la sécurité des outils de contrôle à distance
Utilisez une Stratégie de groupe ou Configuration Manager pour configurer les paramètres d'assistance à distance, mais pas les deux Vous pouvez utiliser à la fois Configuration Manager 2007 et une Stratégie de groupe pour modifier la configuration des paramètres d'assistance à distance. Lorsque la Stratégie de groupe est actualisée sur le client, elle optimise par défaut le processus en ne modifiant que les stratégies qui ont été modifiées sur le serveur. Configuration Manager 2007 modifie les paramètres de la stratégie de sécurité locale, qui ne peuvent pas être remplacés, sauf si la mise à jour de la Stratégie de groupe est forcée. Définir la stratégie aux deux emplacements peut provoquer des incohérences. Choisissez l'une des méthodes ci-dessous pour configurer vos paramètres d'assistance à distance.
Ne considérez pas que le paramètre « Demander l'autorisation lorsqu'un administrateur tente d'accéder aux clients... » soit un paramètre de sécurité adéquat pour les outils de contrôle à distance pour les clients Windows 2000 Même si vous activez l'option Demander l'autorisation lorsqu'un administrateur tente d'accéder aux clients dans les propriétés de l'Agent du client des outils de contrôle à distance, si vous administrez à distance un ordinateur client Windows 2000, déconnectez-vous puis reconnectez-vous en moins de 10 secondes, vous pouvez établir de nouveau la session d'administration à distance sans demander l'autorisation. Également sur les ordinateurs clients Windows 2000, toute personne qui possède des droits d'administrateur local peut modifier le Registre temporairement afin de supprimer l'obligation d'autorisations puis le réactiver.
Activez le paramètre « Demander l'autorisation » Même s'il existe toujours des façons de contourner le paramètre Demander l'autorisation lorsqu'un administrateur tente d'accéder aux clients, vous devez systématiquement activer ce paramètre afin de réduire le risque d'espionnage des utilisateurs lorsqu'ils travaillent sur des tâches confidentielles.
Activez la notification Il convient d'activer les paramètres Afficher un indicateur visuel et Émettre un signal sonore afin de réduire le risque d'espionnage des utilisateurs lorsqu'ils travaillent sur des tâches confidentielles.
Empêchez les utilisateurs de modifier les paramètres de stratégie ou de notification Il est conseillé d'activer le paramètre permettant d'empêcher les utilisateurs de modifier les paramètres de stratégie ou de notification dans le panneau de configuration de contrôle à distance afin de limiter le risque d'espionnage. .
Limitez la liste des Observateurs autorisés Les droits de l'administrateur local ne sont pas obligatoires pour qu'un utilisateur puisse utiliser les Outils de contrôle à distance. Si la sécurité des regroupements et de la liste Observateurs autorisés est assurée, l'utilisateur des Outils de contrôle à distance peut les utiliser sur le client.
Spécifiez des groupes globaux obligatoires Les membres de groupes globaux qui sont membres de groupes locaux apparaissant dans la liste Observateurs autorisés ne sont pas répertoriés et ne se voient donc pas accorder d’autorisations d’accès. Afin d'éviter toute confusion, spécifiez de manière explicite tous les groupes globaux figurant dans la liste Observateurs autorisés.
Spécifiez le contexte du domaine pour les comptes d'utilisateur L’ambiguïté qui caractérise la liste Observateurs autorisés est délibérée, puisque les utilisateurs sont authentifiés par rapport à cette liste sur le client et que le serveur de site peut ne pas avoir accès aux mêmes domaines que le client. Vous pouvez par conséquent entrer un nom de compte dans la liste Observateurs autorisés sans spécifier de domaine pour le compte. En revanche, la liste doit être traitée sur le client. Il est donc préférable que vous entriez un nom de compte dans la liste Observateurs autorisés en adoptant le format domaine\compte, afin de supprimer toute ambiguïté susceptible d'être relevée sur le client.
Ne vous basez pas sur la sécurité des regroupements pour contrôler l'accès des outils de contrôle à distance Il est facile pour des personnes expérimentées ou déterminées de passer outre la sécurité des regroupements pour les Outils de contrôle à distance. Ils peuvent créer un site Configuration Manager 2007 qui n'appartient pas à votre hiérarchie et créer des enregistrements de ressources pour les clients qu'ils souhaitent contrôler. Ils peuvent s'accorder tous les droits qu'ils souhaitent sur ces ressources. En outre, toute personne qui possède l'autorisation Utiliser les outils de contrôle à distance peut utiliser la version de ligne de commande des Outils de contrôle à distance de Windows 2000 avec l'option /SMS:NOSQL afin de contourner le contrôle de base de données. Envisagez la sécurité des regroupements pour les Outils de contrôle à distance comme un confort pour l'organisation et un élément d'efficacité pour le personnel qui suit vos stratégies et procédures.
N'entrez pas de mots de passe pour les comptes avec privilèges en cas d'administration à distance d'ordinateurs Windows 2000 Le mot de passe est sécurisé sur l'ordinateur client, mais le mot de passe est saisi à l'aide d'un clavier virtuel. Des logiciels qui observent les saisies clavier peuvent intercepter le mot de passe. Ou bien, si le programme en cours d'exécution sur l'ordinateur client n'est pas celui que l'utilisateur du contrôle à distance pense, ce programme peut être en train de capturer le mot de passe. Lorsque des comptes et des mots de passe sont demandés, ils doivent être saisis par l'utilisateur final.
Informations de confidentialité
Le contrôle à distance vous permet d'afficher les sessions actives sur les ordinateurs clients Configuration Manager 2007 et de consulter des informations stockées sur ces ordinateurs. Le contrôle à distance n'est pas activé par défaut. Vous pouvez le configurer pour envoyer des avis importants et obtenir le consentement de l'utilisateur avant le début d'une session de contrôle, ou pour surveiller les utilisateurs sans qu'ils le veuillent ou le sachent. Avant de configurer le contrôle à distance, analysez vos besoins en toute confidentialité.
Aucune information n'est collectée pendant la session de contrôle à distance, mais l'état d'audit est généré lors de l'initialisation d'une session. L'état d'audit est stocké dans la base de données de site et supprimé par défaut tous les 180 jours. Le comportement de suppression peut être configuré en définissant à la fois les propriétés de la règle de filtre d'état et la tâche de maintenance de site. Aucune information d'état d'audit n'est renvoyée à Microsoft.
Voir aussi
Concepts
Paramètres de distribution dans Configuration Manager
Autres ressources
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.