Partager via

Planification de la sécurité et de la confidentialité de Configuration Manager

  • Article

Mis à jour: décembre 2009

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 Les contrôles de sécurité de sont flexibles et il est possible de les mettre en œuvre ou de les modifier à tout moment. Certaines configurations liées à la sécurité (comme la modification des numéros de ports par défaut et l'utilisation de sites Web personnalisés) sont plus faciles à mettre en œuvre lorsqu'elles ont été planifiées. La confidentialité est également un élément essentiel dont il faut tenir compte lorsque vous utilisez Configuration Manager 2007.

Configuration de sécurité recommandée

La configuration suivante constitue l'environnement Configuration Manager 2007 le plus sécurisé qui soit.

  • Utilisez le mode natif dans toute la hiérarchie.

  • Étendez le schéma Active Directory à Configuration Manager 2007 et activez la publication Active Directory. Configurez les clients de la même forêt de sorte qu'ils puissent adresser des requêtes à Active Directory.

  • Utilisez IPsec pour sécuriser les communications entre les systèmes de site.

Vous pouvez mettre en œuvre cette configuration à tout moment, même si vous avez déjà installé Configuration Manager 2007 avec une autre configuration.

Utilisation du mode natif

Le mode natif implique la mise à niveau de tous vos sites et clients vers Configuration Manager 2007, et l'utilisation de certificats émanant d'une infrastructure à clé publique (PKI) pour authentifier les clients et les systèmes de site. Bien que ces opérations augmentent la charge d'administration, l'authentification mutuelle et le chiffrement entre les clients et les systèmes de site éliminent de nombreux vecteurs d'attaque. Par exemple, en mode natif, le point de gestion authentifie le client avant d'accepter les informations d'inventaire. En mode mixte, toutefois, le client n'est pas authentifié. Pour plus d'informations, consultez Choisir entre le mode natif et le mode mixte.

Notes

En mode mixte, si la case à cocher Ce site contient uniquement des clients ConfigMgr 2007 est activée, seuls les clients qui sont approuvés peuvent recevoir des stratégies contenant des informations sensibles. En revanche, si cette case n'est pas activée, les stratégies contenant des données sensibles peuvent être envoyées à n'importe quel client.

Utilisation d'extensions de schéma et de la publication Active Directory

Les extensions de schéma ne sont pas requises pour exécuter Configuration Manager 2007. Elles contribuent néanmoins à créer un environnement plus sécurisé. Vous devez activer les extensions de schéma Configuration Manager 2007 Active Directory et la publication Configuration Manager 2007 vers Active Directory pour que les points de gestion puissent publier leurs certificats et leur emplacement dans Active Directory. Vous devez également planifier vos sites de sorte que tous les clients se trouvent dans la même forêt que le serveur de site ; les clients de la forêt peuvent ainsi identifier les points de gestion approuvés à partir d'une source digne de confiance. Il est déconseillé d'utiliser des clients dans des groupes de travail car ils ne peuvent pas interroger Active Directory pour obtenir des informations sur le site.

Active Directory peut également stocker la clé publique utilisée pour signer les transferts de données intersites. Lorsque cette clé change au cours d'une opération de restauration, la nouvelle clé se propage automatiquement vers les sites enfants et parents. Si vous procédez à une mise à niveau à partir de SMS 2003, vous devez également mettre à niveau vos extensions de schéma pour Configuration Manager 2007. Pour plus d'informations sur l'extension de schéma, consultezDécider si vous devez étendre le schéma Active Directory.

Utilisation d'IPsec pour sécuriser les communications entre les systèmes de site

Ni le mode natif, ni le mode mixte ne sécurisent le canal de communication entre le serveur de site et les systèmes de site. Si vous utilisez une méthode comme IPsec pour sécuriser ces canaux, des personnes malintentionnées peuvent utiliser des attaques par usurpation ou par intermédiaire à l'encontre des systèmes de site. Pour plus d'informations, consultez Implémentation IPsec dans Configuration Manager 2007.

Planification des ports

L'utilisation de ports personnalisés est souvent bénéfique en termes de sécurité car elle complique l'exploration de l'environnement par des personnes malintentionnées en vue d'une attaque. Si vous prévoyez d'utiliser des ports personnalisés, il est judicieux de les planifier et de les utiliser de façon cohérente sur tous les sites de la hiérarchie, en particulier si vous souhaitez prendre en charge l'itinérance. Si vous ne déployez pas de clients avec les ports personnalisés choisis, vous devrez les reconfigurer ultérieurement.

Planification d'un site Web personnalisé

Configuration Manager 2007 vous permet d'utiliser des sites Web personnalisés en lieu et place du site Web par défaut pour IIS. L'utilisation de systèmes de site pour héberger des applications non-Configuration Manager 2007 dans IIS n'étant pas recommandée, si vous choisissez de faire cohabiter des applications, vous devez systématiquement utiliser un site Web personnalisé. Les sites Web personnalisés sont un paramètre à l'échelle du site, et non un paramètre du système de site ; vous devez configurer tous les systèmes de site de votre organisation pour qu'ils utilisent des sites Web personnalisés.

Planification des comptes

Configuration Manager 2007 utilise principalement le compte système local pour la plupart des opérations de site. Il existe cependant plusieurs comptes supplémentaires qu'il est possible de créer ou de configurer dans la console Configuration Manager 2007 afin d'exécuter des fonctions spécifiques. Durant la phase de planification, déterminez les comptes supplémentaires que vous souhaitez configurer et demandez à l'administrateur des comptes de votre organisation de les créer. Pour plus d'informations, consultez la description détaillée de chacun des comptes dansComptes et groupes dans Configuration Manager.

Planification des droits de sécurité

System Center Configuration Manager 2007 autorise l'accès à ses fonctionnalités en fonction des droits de sécurité. Une partie de la configuration de la sécurité Configuration Manager 2007 consiste à créer divers droits de sécurité permettant aux administrateurs Configuration Manager 2007 d'accéder à certaines fonctionnalités et données.

Vous devez déterminer les rôles que vous utiliserez dans votre environnement et prévoir d'attribuer le moins de droits de sécurité possible pour exécuter ce rôle. Pour plus d'informations, consultez Présentation de la sécurité des objets Configuration Manager et de WMI.

Planification de la confidentialité

Les produits de gestion de la configuration vous permettent de gérer efficacement un grand nombre de clients. Cependant, vous devez être conscient que ces logiciels peuvent avoir une incidence sur la confidentialité des utilisateurs de votre organisation. Configuration Manager 2007 propose plusieurs outils pour recueillir des données et analyser les ordinateurs clients, certains d'entre eux étant susceptibles de présenter des risques en matière de confidentialité. Avant de procéder au déploiement de Configuration Manager 2007, tenez compte de vos exigences en matière de confidentialité. Pour plus d'informations, consultez Présentation de la confidentialité de Configuration Manager.

Considération relative aux autorisations

Si vous avez installé un nouveau serveur de site Configuration Manager 2007, la réinitialisation reconfigure les listes de contrôle d'accès avec les paramètres d'origine. Si vous mettez à niveau un site SMS 2003 existant, le programme d'installation ne modifie pas les autorisations sur les répertoires mis à niveau. De même, si vous réinitialisez un site mis à niveau à partir de SMS 2003, les listes de contrôle d'accès des répertoires mis à niveau ne sont pas réinitialisées.

Voir aussi

Autres ressources

Planification et déploiement d'un site Configuration Manager unique
Sécurité et confidentialité pour Configuration Manager 2007

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.