Partager via


Sécurité et confidentialité pour les paramètres de compatibilité dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Cette rubrique contient des informations de sécurité et de confidentialité pour les paramètres de compatibilité dans System Center 2012 Configuration Manager.

Meilleures pratiques de sécurité pour les paramètres de compatibilité

Utilisez les meilleures pratiques suivantes lorsque vous gérez les paramètres de compatibilité sur les clients.

Meilleure pratique de sécurité

Plus d'informations

Ne surveillez pas les données sensibles.

Afin d'éviter la divulgation d'informations, ne configurez pas les éléments de configuration pour surveiller les informations potentiellement sensibles.

Ne configurez pas les règles de compatibilité qui utilisent des données pouvant être modifiées par les utilisateurs finaux.

Si vous créez une règle de conformité en fonction des données que les utilisateurs peuvent modifier, comme les paramètres de Registre pour les choix de configuration, les résultats de conformité ne sera pas fiables.

Importer des packs de configuration de Microsoft System Center et d'autres données de configuration à partir de sources externes uniquement si elles ont une signature numérique valide d'un éditeur approuvé.

Données de configuration publiées peuvent être signées numériquement afin que vous pouvez vérifier la source de publication et vous assurer que les données n'a pas été falsifiées.Si la vérification de la signature numérique échoue, vous êtes averti et vous êtes invité à poursuivre l'importation.N'importez pas les données non signées si vous ne pouvez pas vérifier leur source et leur intégrité.

Mettez en œuvre des contrôles d'accès pour protéger les ordinateurs de référence.

Assurez-vous que lorsqu'un utilisateur administratif configure un Registre ou un paramètre de système de fichiers en naviguant vers un ordinateur de référence, l'ordinateur de référence n'avait pas été compromis.

Sécurisez le canal de communication lorsque vous naviguez vers un ordinateur de référence.

Pour empêcher la falsification des données lorsqu'elles sont transférées sur le réseau, utilisez la sécurité du protocole Internet (IPsec) ou le bloc de message serveur (SMB) entre l'ordinateur qui exécute le Configuration Manager console et l'ordinateur de référence.

Veillez à restreindre et surveiller les utilisateurs administratifs auxquels le rôle de sécurité basé sur le rôle Gestionnaire de paramètres de compatibilité a été accordé.

Les utilisateurs administratifs auxquels le rôle Gestionnaire de paramètres de compatibilité a été accordé peuvent déployer des éléments de configuration vers tous les périphériques et tous les utilisateurs de la hiérarchie.Les éléments de configuration peuvent être très puissants et inclure, par exemple, des scripts et la reconfiguration du Registre.

Informations de confidentialité pour les paramètres de compatibilité

Vous pouvez utiliser les paramètres de compatibilité pour évaluer si vos périphériques client sont compatibles avec les éléments de configuration que vous déployez dans les lignes de base de configuration.Certains paramètres peuvent être corrigés automatiquement s'ils ne sont pas compatibles.Les informations de compatibilité sont transmises au serveur de site par le point de gestion et stockées dans la base de données de site.Les informations sont chiffrées lorsque les périphériques les envoient au point de gestion mais ne sont pas stockées au format chiffré dans la base de données de site.Les informations sont conservées dans la base de données jusqu'à ce que la tâche de maintenance de site Supprimer les données de gestion de configuration anciennes les supprime tous les 90 jours.Vous pouvez configurer l'intervalle de suppression.Les informations de compatibilité ne sont pas transmises à Microsoft.

Par défaut, les périphériques n'évaluent pas les paramètres de compatibilité.En outre, vous devez configurer les éléments de configuration et les lignes de base de configuration, puis les déployer vers les périphériques.

Avant de configurer les paramètres de compatibilité, pensez à vos besoins en matière de confidentialité.