Meilleures pratiques pour la sécurité de la gestion hors bande et informations de confidentialité
Mis à jour: octobre 2009
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
La fonction de gestion hors bande de Microsoft System Center Configuration Manager 2007 SP1 (ou version ultérieure) offre un contrôle optimal des ordinateurs équipés du processeur Intel vPro et d'une version du microprogramme Intel Active Management Technology (Intel AMT) prise en charge par Configuration Manager. Cependant, il est impératif de restreindre l'accès pour empêcher tout utilisateur non autorisé d'attaquer les ordinateurs de votre réseau à l'aide de cette fonctionnalité.
Meilleures pratiques pour la sécurité
Demandez un microprogramme personnalisé avant d'acheter des ordinateurs AMT Les ordinateurs pouvant être gérés hors bande présentent des extensions BIOS pouvant définir des valeurs personnalisées pour améliorer la sécurité lorsque ces ordinateurs se trouvent sur le réseau. Consultez votre constructeur d'ordinateurs pour connaître les paramètres d'extensions BIOS disponibles et spécifiez votre choix de valeurs. Pour plus d'informations, consultez Déterminez si vous devez vous procurer une image de microprogramme personnalisée auprès du fabricant de votre ordinateur.. Si vos ordinateurs AMT ne possèdent pas les valeurs de microprogramme que vous souhaitez utiliser, vous pourrez peut-être les entrer manuellement. Pour plus d'informations sur la configuration manuelle des extensions BIOS, consultez la documentation Intel ou la documentation du constructeur. Vous pouvez également vous référer au site Web Intel vPro Expert : Microsoft vPro Manageability (https://go.microsoft.com/fwlink/?LinkId=132001). Personnalisez les options suivantes pour améliorer la sécurité :
Remplacez toutes les empreintes numériques des certificats des autorités de certification externes par l'empreinte numérique de certificat de votre propre autorité de certification externe. Cela empêche les serveurs de configuration non autorisés de tenter de configurer vos ordinateurs AMT. De plus, vous n'aurez pas à acheter des certificats de configuration auprès d'autorités de certification externes. Pour plus d'informations sur la localisation de l'empreinte numérique de votre autorité de certification interne, consultez Comment localiser l'empreinte numérique de votre certificat racine interne pour la configuration AMT.
Employez un mot de passe personnalisé pour le compte MEBx en remplacement de la valeur par défaut admin. Indiquez ensuite ce mot de passe avec un compte de configuration et de découverte AMT de Configuration Manager. Ainsi, les serveurs de configuration factices ne peuvent pas configurer vos ordinateurs AMT avec le mot de passe par défaut connu. Pour plus d'informations, consultez À propos du compte MEBx et Comment ajouter un compte de configuration et de découverte AMT.
Modifiez la valeur du serveur de configuration par défaut. L'utilisation du nom de ProvisionServer par défaut peut présenter un risque de sécurité si un enregistrement portant ce nom est configuré pour être résolu en une adresse IP pointant vers un ordinateur incorrect ou non autorisé. La configuration de la valeur du serveur de configuration avec une adresse IP est plus sûre que l'utilisation d'un nom connu. Cependant, une adresse IP n'est pas utilisable pour plusieurs ordinateurs AMT s'ils doivent être configurés par des sites différents. Si vous définissez un nom alternatif au lieu d'une adresse IP, vous devez configurer DNS pour effectuer une résolution de nom. Lorsque vous utilisez la résolution de nom pour ProvisionServer ou pour un nom personnalisé, pensez à sécuriser l'enregistrement DNS afin d'éviter qu'il ne soit modifié et afin qu'il ne pointe plus vers l'ordinateur de système de site du point de service hors bande. Pour plus d'informations, consultez Déterminer si vous devez inscrire un alias pour le point de service hors bande dans DNS.
Configurez un autre port pour la configuration du serveur. Un port personnalisé est plus sécurisé que le port par défaut pour la configuration hors bande. Si vous allez utiliser la configuration hors bande, configurez un autre numéro de port dans l'onglet Propriétés de gestion hors bande : Général.
Utilisez la configuration intrabande plutôt que la configuration hors bande La configuration intrabande permet au client d'exploiter la relation de confiance déjà établie entre le client et l'infrastructure de Configuration Manager, surtout en mode natif. Avec une configuration hors bande, les ordinateurs non approuvés peuvent être configurés s'ils fournissent le GUID SMBIOS (également appelé UUID) qui a été spécifié dans l'assistant Importer les ordinateurs hors bande. Les ordinateurs configurés avec succès possèdent un compte créé automatiquement dans les services de domaine Active Directory et reçoivent un certificat avec une fonctionnalité d'authentification serveur de votre autorité de certification d'entreprise. Si un ordinateur non autorisé est configuré, l'authentification réseau qui en résulte élève les privilèges et le compte peut être utilisé pour lire des informations sur le réseau sécurisé à l'aide d'un accès authentifié (divulgation d'informations). Un certificat avec authentification serveur peut être utilisé de manière correcte pour établir une relation de confiance. Les attaquants peuvent également créer des serveurs qui se font passer pour des serveurs DNS et des serveurs de configuration valides de sorte que des ordinateurs AMT trompent les serveurs de configuration. Si vous n'avez pas besoin d'utiliser la configuration hors bande, procédez comme suit afin de réduire ces risques de sécurité :
Applicable à Configuration Manager 2007 SP2 uniquement : Dans Configuration des composants, évitez de sélectionner l'option Autoriser la préparation hors bande sous l'onglet Général de la boîte de dialogue Propriétés de gestion hors bande. Cette option n'est pas sélectionnée par défaut. Avec ce paramètre par défaut, Configuration Manager ne va pas répondre aux demandes de configuration hors bande, ce qui évite d'effectuer ce type de configuration pour des ordinateurs non autorisés.
Pour empêcher la configuration hors bande d'ordinateurs non autorisés : N'utilisez pas l'assistant Importer les ordinateurs hors bande pour ajouter de nouveaux ordinateurs à la base de données Configuration Manager. Par ailleurs, configurez le pare-feu Windows sur le serveur qui exécute le point de service hors bande pour bloquer le port de configuration (TCP 9971, par défaut) et éviter d'inscrire un alias pour le point de service hors bande dans DNS. Pour plus d'informations sur l'alias DNS, consultez Déterminer si vous devez inscrire un alias pour le point de service hors bande dans DNS. De plus, limitez l'accès physique au réseau et contrôlez les clients afin de détecter les ordinateurs non autorisés.
Pour empêcher des serveurs factices de configurer vos ordinateurs AMT, employez un mot de passe personnalisé pour le compte MEBx dans les extensions BIOS AMT en remplacement de la valeur par défaut admin. Indiquez ensuite ce mot de passe avec un compte de configuration et de découverte AMT de Configuration Manager. Pour plus d'informations, consultez À propos du compte MEBx et Comment ajouter un compte de configuration et de découverte AMT.
Si vous ne pouvez pas utiliser la configuration intrabande car l'ordinateur est nouveau et ne possède pas de système d'exploitation, envisagez de recourir au déploiement de système d'exploitation afin d'installer le système d'exploitation et le client Configuration Manager 2007 SP1 (ou version ultérieure) et de permettre ainsi la configuration intrabande de l'ordinateur. À la différence de la configuration hors bande, le déploiement de système d'exploitation ne crée pas de compte dans les services de domaine Active Directory et ne demande pas de certificat d'authentification serveur à votre autorité de certification d'entreprise. Pour plus d'informations sur le déploiement de système d'exploitation, consultez Déploiement du système d'exploitation dans Configuration Manager. Si vous ne pouvez utiliser la configuration intrabande car l'ordinateur ne possède pas le client Configuration Manager 2007 SP1 (ou version ultérieure) ou une version d'AMT prise en charge de façon native par Configuration Manager, installez le client Configuration Manager 2007 SP1 (ou version ultérieure) et mettez à niveau le microprogramme avec une version prise en charge si nécessaire. Pour plus d'informations sur les versions d'AMT prises en charge par Configuration Manager, consultez Présentation de la gestion hors bande.
Révoquez manuellement les certificats et supprimez les comptes Active Directory des ordinateurs AMT qui sont bloqués par un site Configuration Manager 2007 SP1 Les ordinateurs bloqués par un site Configuration Manager 2007 SP1 continuent d'autoriser les communications de gestion hors bande. Si un ordinateur AMT est bloqué parce qu'il n'est plus approuvé, effectuez manuellement l'action suivante :
Sur l'autorité de certification émettrice, révoquez le certificat émis vers le serveur de site avec le FQDN de l'ordinateur basé sur AMT dans l'objet du certificat.
Dans les services de domaine Active Directory, désactivez ou supprimez le compte AMT créé pour l'ordinateur basé sur AMT.
Contrôlez la demande et l'installation du certificat de configuration Demandez le certificat de configuration directement à partir du serveur de configuration en utilisant le contexte de sécurité de l'ordinateur pour permettre l'installation du certificat directement dans le magasin de l'ordinateur local. Pour demander le certificat depuis un autre ordinateur, vous devez exporter la clé privée, puis utiliser les contrôles de sécurité supplémentaires pendant le transfert et l'importation du certificat dans un magasin de certificats disposant d'un accès restreint.
Assurez-vous de demander un nouveau certificat de configuration avant que le certificat existant n'expire Un certificat de configuration AMT arrivé à expiration entraîne l'échec de la configuration. Si vous utilisez une autorité de certification externe pour votre certificat de configuration, prévoyez du temps supplémentaire pour le processus de renouvellement et de reconfiguration du point de gestion hors bande.
Notes
Pour que vous sachiez à quel moment le certificat de configuration AMT arrivera à expiration, Configuration Manager génère un message d'avertissement (ID 7210) 40 jours avant la date d'expiration du certificat de configuration actif. Ce message d'état est répété tous les jours jusqu'à ce que le certificat soit remplacé par une période de validité supérieure à 40 jours, ou jusqu'à ce que la période de validité soit inférieure à 15 jours. Lorsque la période de validité est inférieure à 15 jours, un message d'erreur (ID 7211) est généré jusqu'à ce que le certificat soit remplacé par une période de validité supérieure à 15 jours.
Si le certificat de configuration est révoqué, supprimez-le du magasin de certificats présent sur le serveur de système de site du point de service hors bande, ainsi que des propriétés de configuration du composant de gestion hors bande Si vous savez que le certificat de configuration AMT a été révoqué, vous devez l'empêcher d'être utilisé par Configuration Manager pour la configuration d'ordinateurs AMT puisque ces derniers ne vérifient pas la liste de révocation de certificats pour le certificat de configuration. Supprimez le certificat du magasin de certificats sur le serveur de système de site du point de service hors bande. Déployez ensuite un nouveau certificat de configuration et configurez-le dans la boîte de dialogue Propriétés du composant de gestion hors bande. Si vous ne pouvez pas déployer directement un certificat de configuration AMT valide, supprimez le rôle de point de service hors bande jusqu'à ce que vous disposiez d'un certificat de remplacement.
Pour révoquer un certificat de configuration fourni par une autorité de certification interne, révoquez le certificat dans la console de l'autorité de certification Il n'existe aucune fonctionnalité permettant la révocation d'un certificat de configuration dans Configuration Manager 2007 SP1 (ou version ultérieure).
Utilisez un modèle de certificat dédié pour la configuration d'ordinateurs AMT Si vous utilisez une version Enterprise de Windows Server pour votre autorité de certification d'entreprise, créez un modèle de certificat à partir du modèle de certificat de serveur Web par défaut, assurez-vous que seuls les serveurs de site Configuration Manager possèdent les autorisations de lecture et d'inscription, mais n'ajoutez pas de fonctionnalités supplémentaires à l'authentification serveur par défaut. Le fait de disposer d'un modèle de certificat dédié vous permet de mieux gérer et contrôler l'accès afin d'empêcher une élévation des privilèges. Si vous possédez une version Standard de Windows Server pour votre autorité de certification d'entreprise, vous ne pourrez pas créer un double du modèle de certificat. Dans ce cas, n'attribuez pas les autorisations de lecture et d'inscription à des ordinateurs autres que les serveurs de site Configuration Manager qui vont configurer les ordinateurs AMT.
Préférez la gestion hors bande à la fonctionnalité d'éveil par appel réseau (Wake On LAN) Même si les deux solutions prennent en charge l'éveil des ordinateurs pour les publications et les mises à jour logicielles, la gestion hors bande est plus sécurisée car elle fournit une authentification et un chiffrement au moyen de protocoles de sécurité standard de l'industrie. Elle permet également une intégration grâce au déploiement d'une infrastructure à clés publiques (PKI) existante, ainsi qu'une gestion des contrôles de sécurité indépendamment du produit. Pour plus d'informations, consultez Choisir entre commandes de mise sous tension avec gestion hors bande et paquets de mis en éveil pour l'éveil par appel réseau.
Désactiver AMT dans le microprogramme si l'ordinateur n'est pas pris en charge pour la gestion hors bande Même quand des ordinateurs AMT possèdent une version d'AMT prise en charge, la gestion hors bande ne prend pas en charge certains scénarios. Voici les scénarios : ordinateurs de groupe de travail, ordinateurs possédant un espace de noms différent et ordinateurs possédant un espace de noms disjoint. Pour vous assurer que les ordinateurs AMT ne sont pas publiés dans les services de domaine Active Directory et qu'aucun certificat PKI obligatoire ne leur est associé, désactivez AMT dans le microprogramme. La configuration d'AMT dans Configuration Manager crée des informations d'identification de domaine pour les comptes publiés dans les services de domaine Active Directory, ce qui risque d'élever les privilèges lorsque les ordinateurs n'appartiennent pas à votre forêt Active Directory.
Utilisez une unité d'organisation dédiée pour publier des ordinateurs AMT N'utilisez pas un conteneur ou une unité d'organisation existante pour publier les comptes Active Directory créés au cours de la configuration AMT. Une unité d'organisation séparée permet de mieux gérer et contrôler ces comptes et évite qu'ils reçoivent plus de privilèges que nécessaire.
Utilisez une stratégie de groupe pour restreindre les droits utilisateur pour les comptes AMT Appliquez des droits utilisateur restrictifs aux comptes AMT publiés dans les services de domaine Active Directory afin d'éviter l'élévation des privilèges et afin de réduire la surface d'attaque au cas où un attaquant accéderait à l'un de ces comptes. Créez un groupe de sécurité qui contient les comptes AMT créés automatiquement par Configuration Manager au cours du processus de configuration AMT, puis ajoutez-le au paramètres suivants de la stratégie de groupe activée sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégie locale\Attribution des droits utilisateur :
Refuser l'accès à un ordinateur à partir du réseau
Refuser l'ouverture de session en tant que tâche
Refuser l'ouverture de session en tant que service
Interdire l'ouverture d'une session locale
Interdire l'ouverture de session par les services Terminal Server
Appliquez ces paramètres de stratégie à tous les ordinateurs de la forêt. Si nécessaire, révisez périodiquement l'appartenance de groupe pour vous assurer qu'elle contient tous les comptes AMT actuellement publiés dans les services de domaine Active Directory.
Utilisez un regroupement dédié pour la configuration intrabande N'utilisez pas un regroupement contenant plusieurs ordinateurs dont vous souhaitez assurer la configuration intrabande. Créez plutôt un regroupement à partir d'une requête en suivant la procédure de configuration intrabande de la rubrique Comment configurer les ordinateurs pour AMT. Si le site est en mode mixte, assurez-vous que ces ordinateurs sont approuvés. Pour plus d'informations sur l'approbation, consultez À propos de l'approbation du client dans Configuration Manager et Comment approuver des clients Configuration Manager.
Limitez l'accès aux droits de Redirection de média et aux droits d'Administration PT (Configuration Manager 2007 SP1) ou aux droits d'Administration de plate-forme (Configuration Manager 2007 SP2) Le fait d'octroyer un droit de redirection de média à un utilisateur équivaut à lui accorder un accès physique à l'ordinateur. Tandis que les personnes malveillantes nécessitent un accès physique pour ouvrir l'ordinateur, une personne disposant d'un droit de redirection de média peut charger un autre système d'exploitation et l'utiliser pour cibler des données à distance sur le disque dur. Les droits Administration PT (Configuration Manager 2007 SP1) et Administration de plate-forme (Configuration Manager 2007 SP2) incluent automatiquement tous les droits AMT, et par conséquent les droits Redirection de média.
Récupérez et stockez les fichiers images en toute sécurité lors du démarrage à partir d'un autre support afin d'utiliser la fonction de redirection IDE Lorsque vous démarrez à partir d'un autre support pour utiliser la fonction de redirection IDE, si possible, stockez les fichiers images sur l'ordinateur local qui exécute la console de gestion hors bande. Si vous devez les stocker sur le réseau, assurez-vous que les connexions qui récupèrent les fichiers utilisent la signature SMB pour empêcher leur falsification au cours du transfert réseau. Dans les deux cas, sécurisez les fichiers stockés pour les protéger contre les accès non autorisés (par exemple, en utilisant les autorisations NTFS et le système de fichiers chiffrés EFS).
Réduisez au minimum le nombre de comptes de configuration et de découverte AMT Bien que vous puissiez indiquer plusieurs comptes de configuration et de découverte AMT de sorte que Configuration Manager puisse découvrir les ordinateurs possédant des contrôleurs de gestion et les prépare pour la configuration hors bande, évitez de définir des comptes s'ils ne sont pas absolument nécessaires et supprimez les comptes devenus inutiles. Spécifier uniquement les comptes requis évite que des privilèges qui ne sont pas nécessaires soient attribués à ceux-ci et contribue à réduire l'activité et le traitement réseau. Pour plus d'informations sur le compte de configuration et de découverte AMT, consultez Déterminer si vous devez ou non configurer un compte de configuration et de découverte AMT pour la gestion hors bande et À propos du compte de configuration et de découverte AMT.
Pour Configuration Manager 2007 SP2 uniquement : Ajoutez manuellement à un groupe de sécurité les ordinateurs configurés pour 802.1X et les connexions sans fil Dans Configuration des composants, évitez d'ajouter automatiquement des ordinateurs à un groupe de sécurité à l'aide de l'option Ajouter automatiquement les ordinateurs basés sur ATM au groupe de sécurité sous l'onglet 802.1X et sans fil dans la boîte de dialogue Propriétés de gestion hors bande. Pour éviter l'élévation de privilèges, contrôlez soigneusement l'appartenance d'un groupe de sécurité utilisé pour l'attribution d'un accès réseau aux ordinateurs. Sélectionnez l'option Ne pas ajouter automatiquement les ordinateurs basés sur ATM au groupe de sécurité, puis ajoutez manuellement les comptes d'ordinateur connus et approuvés à un groupe de sécurité.
Pour Configuration Manager 2007 SP2 uniquement : Utilisez un seul modèle de certificat pour les certificats d'authentification du client Bien que vous puissiez spécifier des modèles de certificat différents pour chacun des profils sans fil, utilisez un seul modèle de certificat (sauf si votre entreprise requiert l'utilisation de paramètres différents pour des réseaux sans fil différents), spécifiez uniquement des fonctions d'authentification du client et réservez ce modèle de certificat à la gestion hors bande Configuration Manager. Par exemple, si un réseau sans fil requiert une taille de clé supérieure ou une période de validité plus courte qu'une autre, vous devrez créer un modèle de certificat séparé. Le fait de disposer d'un seul modèle de certificat vous permet de gérer et de contrôler plus aisément son utilisation et d'empêcher une élévation des privilèges.
Pour Configuration Manager 2007 SP2 uniquement : Assurez-vous que seuls les administrateurs autorisés effectuent des actions d'audit et gèrent les journaux d'audit en fonction des besoins Selon la version d'AMT, Configuration Manager peut cesser d'écrire de nouvelles entrées dans le journal d'audit AMT lorsque celui-ci est presque plein ou peut écraser les anciennes entrées. Pour être certain que les nouvelles entrées sont consignées et que les anciennes sont conservées, effacez périodiquement le journal d'audit si nécessaire et enregistrez les entrées d'audit. Pour plus d'informations sur la gestion du journal d'audit et la surveillance des activités d'audit, consultez Comment gérer le journal d'audit pour les ordinateurs AMT.
Informations de confidentialité
La console de gestion hors bande de Microsoft System Center Configuration Manager 2007 SP1 (ou version ultérieure) gère les ordinateurs dotés du processeur Intel vPro et d'Intel Active Management Technology (Intel AMT) avec une version de microprogramme prise en charge par Configuration Manager. Configuration Manager 2007 SP1 (ou version ultérieure) collecte provisoirement des informations sur la configuration et les paramètres de l'ordinateur, notamment son nom, son adresse IP et l'adresse MAC. Les informations sont transmises entre l'ordinateur géré et la console de gestion hors bande via un canal chiffré. Cette fonctionnalité n'est pas activée par défaut, et les informations ne sont généralement pas conservées après l'expiration de la session de gestion. Si vous activez l'audit dans Configuration Manager 2007 SP2, vous pouvez enregistrer les informations d'audit dans un fichier comprenant l'adresse IP de l'ordinateur AMT géré, ainsi que le compte de domaine et d'utilisateur qui a effectué l'action de gestion à la date et à l'heure enregistrées. Ces informations ne sont pas envoyées à Microsoft.
Vous avez la possibilité d'activer Configuration Manager pour découvrir des ordinateurs avec des contrôleurs de gestion qui peuvent être gérés par la console de gestion hors bande. La découverte crée des enregistrements pour les ordinateurs pouvant être gérés et les stocke dans la base de données. Les enregistrements de découverte de données contiennent des informations sur l'ordinateur, telles que son adresse IP, son système d'exploitation et son nom. La découverte des contrôleurs de gestion est désactivée par défaut. Pour plus d'informations, consultez Comment découvrir les ordinateurs avec des contrôleurs de gestion. Les informations de découverte ne sont pas renvoyées à Microsoft. Les informations de découverte sont stockées dans la base de données de site. Les informations sont conservées dans la base de données jusqu'à leur suppression par les tâches de maintenance du site Supprimer les données de découverte anciennes tous les 90 jours. Vous pouvez configurer l'intervalle de suppression.
Voir aussi
Référence
Présentation de la tâche Supprimer les données de découverte anciennes
Autres ressources
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.