Partager via

Meilleures pratiques pour la sécurité du déploiement du système d'exploitation et informations de confidentialité

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Dernière mise à jour de la rubrique—Mars 2008

Pour que votre environnement dispose des configurations et des systèmes d'exploitation les plus sécurisés, vous disposez d'une méthode pratique qui consiste à déployer le système d'exploitation. Cependant, si une personne malveillante parvient à prendre le contrôle de l'infrastructure de votre site Microsoft System Center Configuration Manager 2007, elle peut exécuter la séquence de tâches de son choix, y compris le formatage des disques durs de tous les ordinateurs clients. Les séquences de tâches peuvent être configurées pour contenir des informations sensibles telles que des comptes disposant des autorisations nécessaires pour rejoindre le domaine et des clés de licence en volume, ce qui génère un risque de divulgation des informations.

Un autre principe important de la sécurité du déploiement du système d'exploitation consiste à protéger le certificat d'authentification du client utilisé pour le support de démarrage des séquences de tâches et pour le déploiement du démarrage PXE. La capture du certificat d'authentification du client octroie à la personne malveillante la clé privée permettant d'emprunter l'identité d'un client valide sur le réseau.

Meilleures pratiques

Instaurez des contrôles d'accès pour protéger les supports de démarrage    Lorsque vous créez un support de démarrage, vous devez systématiquement attribuer un mot de passe pour contribuer à sécuriser le support. Cependant, même lorsqu'un mot de passe est utilisé, seuls les fichiers contenant des données sensibles sont protégés. Vous devez également contrôler l'accès physique au support pour qu'une personne malveillante ne puisse pas recourir à des attaques par chiffrement pour obtenir le certificat d'authentification du client.

Si le certificat du client est compromis, bloquez-le     Pour déployer un client à l'aide d'un support de démarrage et de points de service PXE, vous devez disposer d'un certificat d'authentification du client doté d'une clé privée. Si ce certificat est compromis, vous devez le bloquer sous le nœud Paramètres de site / Certificats / nœud Support dedémarrage ou PXE.

Sécurisez le canal de communication entre le serveur et le point de service PXE    Lorsque le point de service PXE est configuré à l'aide du certificat d'authentification du client par le serveur de site, le certificat est susceptible d'être capturé sur le réseau. Utilisez IPsec ou une autre forme de chiffrement entre le serveur de site et le point de service PXE.

Utilisez les points de service PXE uniquement sur des segments réseau sécurisés    Lorsqu'un client envoie une demande de démarrage PXE, il n'existe aucune garantie de prise en charge de la demande par un point de service PXE valide. Un point de service PXE non autorisé peut offrir une image néfaste aux clients. Une personne malveillante peut lancer une attaque par le biais d'un intermédiaire (« man-in-the-middle ») contre le protocole TFTP utilisé par PXE, et envoyer du code nuisible avec les fichiers du système d'exploitation, ou créer un client non autorisé pour effectuer des demandes TFTP directement au point de service PXE. Une personne malveillante peut utiliser un client malveillant pour lancer une attaque par déni de service contre le point de service PXE. Adoptez un excellent système de défense pour protéger les segments réseau sur lesquels les clients accèderont aux points de service PXE.

Important

Bien que la configuration du point de service PXE soit prise en charge dans un réseau de périmètre, elle n'est pas recommandée.

Configurez le point de service PXE pour qu'il réponde aux demandes PXE uniquement sur des interfaces réseau spécifiées    Si vous autorisez le point de service PXE à répondre sur toutes les interfaces réseau, le point de service PXE peut alors répondre sur un réseau non sécurisé.

Exigez un mot de passe pour le démarrage PXE    L'identification du client doit être entrée dans la base de données ; ainsi, les ordinateurs totalement inconnus ne sont pas autorisés à procéder à un démarrage PXE. Le fait d'exiger un mot de passe ajoute un niveau de sécurité supplémentaire au processus de démarrage PXE, ce dernier étant non sécurisé par nature.

Supprimez manuellement les dossiers de point de migration de l'état lorsqu'ils sont hors service    Lorsque vous supprimez un dossier de point de migration de l'état dans la console Configuration Manager 2007 sur les propriétés du point de migration de l'état, le dossier physique n'est pas supprimé. Vous devez retirer manuellement le partage réseau et supprimer le dossier.

Ne configurez pas la stratégie de suppression pour supprimer l'état utilisateur immédiatement     Si vous définissez la stratégie de suppression sur le point de migration de l'état afin de supprimer les données marquées pour suppression immédiatement, et si une personne malveillante parvient à récupérer l'état utilisateur avant l'ordinateur valide, les données de l'état utilisateur seront immédiatement supprimées. Définissez l'intervalle Supprimer après de sorte qu'il soit suffisamment long pour permettre la vérification de la restauration correcte des données de l'état utilisateur.

Contrôlez l'accès physique aux ordinateurs à l'aide de périphériques flash USB pour les séquences de tâches    Dans une installation autonome utilisant BitLocker pour écrire sur des périphériques flash USB, une séquence de tâches avec l'action Désactiver BitLocker stocke les protecteurs de clé BitLocker en texte clair pour autoriser l'accès au volume à partir de Microsoft Windows PE et pour désactiver la vérification de l'intégrité du démarrage par le GPC. Une fois cette action exécutée, une personne malveillante bénéficiant d'un accès physique à l'ordinateur sera en mesure d'accéder au volume chiffré. En outre, si la séquence de tâches utilise un périphérique flash USB, la personne malveillante pourra tout simplement voler le lecteur USB.

Instaurez des contrôles d'accès pour protéger le processus d'acquisition d'image de l'ordinateur de référence     Vérifiez que l'ordinateur de référence utilisé pour capturer des images du système d'exploitation est situé dans un environnement sécurisé intégrant les contrôles d'accès appropriés afin que des logiciels malveillants ne puissent pas être installés et inclus par inadvertance dans l'image capturée. Lorsque vous capturez l'image, assurez-vous que l'emplacement du partage de fichiers réseau de destination est sécurisé afin que l'image ne puisse pas être manipulée une fois capturée.

Installez systématiquement les mises à jour de sécurité les plus récentes sur l'ordinateur de référence    Si vous démarrez avec un ordinateur de référence à jour, vous minimisez les risques de vulnérabilité pour les nouveaux ordinateurs qui se connectent.

Si vous devez déployer des systèmes d'exploitation vers un ordinateur inconnu, instaurez des contrôles d'accès afin d'empêcher les ordinateurs non autorisés de se connecter au réseau    Bien que la configuration d'ordinateurs inconnus puisse constituer un moyen efficace de configurer plusieurs ordinateurs sur demande, elle peut également permettre à une personne malveillante de devenir un client approuvé sur votre réseau. Limitez l'accès physique au réseau et contrôlez les clients afin de détecter les ordinateurs non autorisés. De même, toutes les données relatives aux ordinateurs répondant au déploiement du système d'exploitation établi par PXE risquent d'être détruites lors du déploiement du système d'exploitation. Cela peut engendrer une perte de disponibilité au niveau des systèmes qui sont reformatés par inadvertance.

Configurez toujours les publications de séquence de tâches pour télécharger le contenu    La méthode consistant à configurer le téléchargement du contenu localement (si nécessaire) en exécutant la séquence de tâches est plus sécurisée étant donné que Configuration Manager 2007 vérifie le hachage du package après le téléchargement de la séquence de tâches et ignore les séquences de tâches si le hachage ne correspond pas à celui défini dans la stratégie. Si vous configurez la publication des séquences de tâches pour accéder au contenu à partir d'un point de distribution (si nécessaire) en exécutant la séquence de tâches, aucune vérification n'est effectuée et des personnes malveillantes peuvent en altérer le contenu. Si vous devez exécuter le programme à partir du point de distribution, utilisez les autorisations NTFS minimales pour les packages sur les points de distribution et utilisez IPsec pour sécuriser le canal de communication entre le client et le point de distribution et entre le point de distribution et le serveur de site.

Activez le chiffrement pour les packages de multidiffusion    Pour chaque package de déploiement du système d'exploitation, vous pouvez activer le chiffrement lors du transfert du package par multidiffusion. L'activation du chiffrement permet d'empêcher les ordinateurs non autorisés de se joindre à la session multidiffusion et les personnes malveillantes d'altérer la transmission.

Contrôlez les points de distribution de multidiffusion non autorisés     Si des personnes malveillantes ont accès à votre réseau, elles peuvent configurer des serveurs de multidiffusion non autorisés pour détourner le déploiement du système d'exploitation.

Informations de confidentialité

Configuration Manager 2007 peut non seulement permettre de déployer des systèmes d'exploitation sur des ordinateurs sans système d'exploitation, mais également de migrer les fichiers et les paramètres des utilisateurs d'un ordinateur à un autre. L'administrateur configure les informations à transférer, notamment les fichiers de données personnelles, les paramètres de configuration et les cookies du navigateur.

Les informations sont stockées sur un point de migration de l'état et sont chiffrées durant la transmission et le stockage. Les informations peuvent être récupérées par le nouvel ordinateur associé aux informations d'état. Si le nouvel ordinateur perd la clé permettant d'extraire les informations, un administrateur Configuration Manager bénéficiant de l'autorisation Afficher les informations de récupération sur les objets d'instance d'association d'ordinateurs peut accéder aux informations et les associer au nouvel ordinateur. Une fois que le nouvel ordinateur a restauré les informations d'état, il supprime les données après un jour par défaut. Vous pouvez configurer le moment auquel le point de migration de l'état supprime les données marquées pour suppression. Les informations de migration de l'état ne sont pas stockées dans la base de données de site et ne sont pas envoyées à Microsoft.

Si vous utilisez un support de démarrage pour déployer des images du système d'exploitation, vous devez systématiquement utiliser l'option par défaut permettant de protéger par mot de passe le support de démarrage. Le mot de passe chiffre les variables stockées dans la séquence de tâches, mais les informations non stockées dans une variable peuvent être facilement divulguées.

Le déploiement du système d'exploitation peut utiliser des séquences de tâches pour effectuer un grand nombre de tâches durant le processus de déploiement (par exemple, la distribution de logiciels et les mises à jour logicielles). Lorsque vous configurez des séquences de tâches, vous devez également être conscient des conséquences de la distribution de logiciels et des mises à jour logicielles en termes de confidentialité.

Configuration Manager 2007 ne met pas en œuvre le déploiement du système d'exploitation par défaut et requiert plusieurs étapes de configuration avant que vous puissiez recueillir des informations d'état ou créer des séquences de tâches ou des images de démarrage. Avant de configurer le déploiement du système d'exploitation, prenez en compte vos impératifs en matière de confidentialité.

Voir aussi

Autres ressources

Déploiement du système d'exploitation dans Configuration Manager
Meilleures pratiques pour la sécurité et informations de confidentialité pour les fonctionnalités de Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.