Meilleures pratiques de sécurité Surface Hub 3

  • Article
  • S’applique à:
    Surface Hub 3, Surface Hub 3 Pack

Étendue

Cet article s’applique aux nouveaux appareils Surface Hub 3, aux appareils Surface Hub 2S mis à niveau avec la cartouche de calcul Surface Hub 3 Pack et aux appareils Surface Hub 2S migrés vers le salles Teams sur la plateforme Windows.

Introduction

Surface Hub 31 exécute l’expérience Salles Microsoft Teams sur Windows. En fonction de la posture de sécurité de votre organization, vous pouvez prendre d’autres mesures de sécurité, comme décrit dans cet article. Au minimum, nous vous recommandons les mesures suivantes :

Astuce

Avant de commencer, passez en revue les conseils pour la sécurité Salles Microsoft Teams, qui se concentrent principalement sur la sécurité des appareils de conférence de table : salles Teams systèmes certifiés. Le système d’exploitation Windows 11 IoT Enterprise fournit aux administrateurs informatiques une gamme d’options de configuration et de gestion centralisées.

Modifier le mot de passe d’administrateur local par défaut

Le compte d’administrateur local par défaut est un point d’entrée bien connu pour les acteurs malveillants. Si le mot de passe administrateur par défaut reste inchangé après la première installation, l’appareil peut être vulnérable aux violations de données, à la manipulation du système ou à d’autres accès non autorisés.

Pour modifier le mot de passe de l’administrateur local sur Surface Hub 3

  1. Connectez-vous avec les informations d’identification de l’administrateur et accédez à Paramètres > Comptes > Options > de connexion Modifier le mot de passe>.
  2. Entrez le mot de passe par défaut actuel :sfb.
  3. Create un nouveau mot de passe, confirmez le mot de passe et ajoutez un indicateur. Pour plus d’informations, consultez Modifier ou réinitialiser votre mot de passe Windows.

Capture d’écran montrant Modifier votre mot de passe.

Astuce

Quand vous êtes joint à Microsoft Entra ID (Azure AD), vous pouvez utiliser Windows LAPS (Solution de mot de passe d’administrateur local). Bien que LAPS ne supprime pas les comptes d’administrateur local, il gère automatiquement les mots de passe d’administrateur local, en veillant à ce qu’ils soient aléatoires et stockés en toute sécurité dans AD. Cela réduit le risque associé aux mots de passe d’administrateur obsolètes ou largement connus. Pour en savoir plus, consultez Microsoft Intune prise en charge de Windows LAPS.

Définir un mot de passe UEFI

L’interface UEFI (Unified Extensible Firmware Interface) est une interface de microprogramme avancée conçue pour remplacer le BIOS (Basic Input/Output System) traditionnel, offrant des fonctionnalités améliorées telles qu’une sécurité améliorée, des temps de démarrage plus rapides et la prise en charge de disques durs plus volumineux dans les systèmes d’exploitation Windows modernes. En définissant un mot de passe UEFI, vous ajoutez une couche de sécurité supplémentaire, empêchant les utilisateurs non autorisés de modifier les paramètres du microprogramme de l’appareil. Définissez un mot de passe UEFI fort et stockez-le dans un emplacement sécurisé.

Utilisez surface IT Toolkit pour définir un mot de passe UEFI avec le mode de gestion d’entreprise (SEMM) surface.

Inscrire le Surface Hub 3 dans SEMM

Vous avez besoin d’un lecteur USB dédié avec au moins 50 Mo d’espace de stockage.

  1. Ouvrez it Toolkit, puis sélectionnez UEFI Configurator>Configurer les appareils.

    Capture d’écran du configurateur UEFI pour Surface Hub.

  2. Sous Choisir la build de déploiement, sélectionnez DFI.

    Capture d’écran de l’option Build de déploiement pour Surface Hub.

  3. Sous Importer Certficate Protection, ajoutez votre certificat PFE (Personal Information Exchange) organisationnel.

    Capture d’écran de la protection des certificats d’importation.

    Remarque

    Cet article suppose que vous obtenez des certificats auprès d’un fournisseur tiers ou que vous disposez déjà d’une expertise dans les services de certificats PKI et que vous savez créer les vôtres. Pour plus d’informations, consultez Exigences relatives aux certificats SEMM et Documentation sur l’architecture des services de certificats.

  4. Sous Type de package DFI, sélectionnez Package de configuration. Pour Appareil, sélectionnez Surface HubSurface Hub> 3, puis Suivant.

    Capture d’écran montrant la sélection du package de configuration.

  5. Sous Mot de passe UEFI , sélectionnez Définir ou Modifier le mot de passe , puis entrez et confirmez votre mot de passe. Sélectionnez Suivant.

    Capture d’écran de Définir le mot de passe UEFI pour Surface Hub.

  6. Si vous le souhaitez, vous pouvez configurer des composants et des paramètres avancés, comme décrit dans la section Gérer les paramètres UEFI avec SEMM, sur cette page. Sinon, sélectionnez Suivant.

  7. Sélectionnez votre lecteur USB et choisissez Create.

    Capture d’écran montrant l’écran de génération du package DFI UEFI.

  8. Une fois le package créé, le Configurator affiche les deux derniers caractères de l’empreinte numérique de votre certificat. Vous avez besoin de ces caractères lorsque vous importez la configuration dans Surface Hub 3.

Surface Hub 3 physiquement sécurisé

La sécurité physique est un outil aussi crucial que la sécurité numérique. Les appareils tels que le Surface Hub dans les salles de conférence publiques peuvent être exposés à des dommages physiques ou à des falsifications. Pour protéger le Surface Hub, procédez comme suit :

  • Scellés inviolables : Utilisez des joints inviolables sur l’appareil. Si quelqu’un tente d’ouvrir l’appareil, le cachet montre des signes de falsification.
  • Câbles et verrous de sécurité : Utilisez des câbles de sécurité et des verrous pour sécuriser l’appareil sur un objet lourd ou inamovible, ce qui rend difficile pour quelqu’un de s’en aller avec lui.
  • Surveillance : Selon l’environnement de travail, vous pouvez choisir d’installer des caméras de surveillance dans la salle de conférence. La simple présence de caméras peut dissuader les personnes qui se trompent.

Différences avec Windows 10 Collaboration sur Surface Hub & Surface Hub 2S

Les fonctionnalités de sécurité suivantes ne sont plus activées par défaut sur Surface Hub 3 :

BitLocker

Vous pouvez activer BitLocker via Intune lorsqu’il est joint à Microsoft Entra ID (Azure AD). Pour en savoir plus, consultez Chiffrer des appareils Windows avec BitLocker dans Intune.

Pour activer BitLocker sur un Surface Hub 3 autonome

  1. Connectez-vous au Surface Hub 3 avec des informations d’identification d’administrateur.

  2. Sélectionnez Démarrer, entrez **Contrôle, puis ouvrez Panneau de configuration.

  3. Sélectionnez Système & Sécurité>Chiffrement du> lecteur BitLockerActiver BitLocker.

    [Capture d’écran montrant comment activer BitLocker via Panneau de configuration.

Intégrité du code du mode utilisateur (UMCI)

UMCI applique des stratégies d’intégrité du code et garantit que seul le code approuvé s’exécute en mode utilisateur, ce qui permet d’empêcher l’exécution de code malveillant ou non approuvé. Vous pouvez configurer UMCI via stratégie de groupe lorsque Hub 3 est joint à un domaine Microsoft Entra ou à l’aide d’applets de commande PowerShell. UMCI fait partie d’un ensemble de fonctionnalités que vous pouvez gérer avec le contrôle d’application Windows Defender (WDAC), qui inclut également des stratégies d’intégrité du code configurables. Pour plus d’informations, consultez Comprendre les règles de stratégie de contrôle d’application Windows Defender (WDAC) et les règles de fichier.

gestion Salles Microsoft Teams Pro

Nous vous recommandons vivement d’utiliser la licence du portail Salles Microsoft Teams Pro Management. Cette plateforme de gestion basée sur le cloud est conçue pour améliorer l’expérience de la salle de réunion en offrant une surveillance proactive et des mises à jour pour les appareils Salles Microsoft Teams et leurs périphériques. Destiné aux organisations qui cherchent à optimiser leurs environnements de réunion, ce service assure la supervision et la gestion en temps réel des appareils Salles Microsoft Teams, y compris le Surface Hub 3. En adoptant cette solution, les organisations peuvent améliorer considérablement la facilité d’utilisation et la fiabilité pour les utilisateurs finaux, garantissant ainsi des expériences de réunion transparentes.

  • Opérations intelligentes : utilise les logiciels et le Machine Learning pour automatiser les mises à jour, détecter les problèmes et résoudre les problèmes liés aux Salles Microsoft Teams.
  • Mises à jour de sécurité en temps opportun : la gestion automatisée des mises à jour garantit que les correctifs de sécurité sont appliqués rapidement dès qu’ils deviennent disponibles, ce qui réduit la fenêtre de vulnérabilité et protège les appareils contre les menaces de sécurité connues.
  • Gestion des mises à jour : automatise l’orchestration des mises à jour d’application de réunion et Windows en fonction des anneaux de déploiement configurables par le client.

Pour plus d’informations, consultez gestion Salles Microsoft Teams Pro.

Gestion d’entreprise du Surface Hub 3

Nous vous recommandons de joindre Surface Hub 3 à Microsoft Entra ID (Azure AD) et de gérer l’appareil à l’aide de Microsoft Intune ou d’une solution de gestion des appareils mobiles (MDM) équivalente. Le tableau suivant décrit les options de gestion de la configuration pour Intune.

Fonctionnalité Description En savoir plus
Profils de configuration d’appareil Utilisez les paramètres endpoint protection de Intune pour configurer Windows Defender, les paramètres de pare-feu et d’autres fonctionnalités de sécurité afin de protéger l’appareil contre les menaces potentielles. Create profils d’appareil dans Microsoft Intune
Stratégies de conformité des appareils Vérifiez que l’appareil est conforme aux normes de sécurité de votre organization. Si un appareil n’est pas conforme (par exemple, si une mise à jour requise n’est pas installée), vous pouvez configurer des actions de correction automatisées ou des notifications. Create stratégies de conformité des appareils dans Microsoft Intune
Gestion des mises à jour Utilisez les paramètres de gestion des mises à jour par défaut pour installer automatiquement les mises à jour pendant une fenêtre de maintenance nocturne. Intune fournit d’autres options à personnaliser si nécessaire. Windows Update paramètres que vous pouvez gérer avec Intune stratégies d’anneau de mise à jour pour les appareils Windows 10/11.
Gestion des applications Utilisez Intune pour gérer les applications installées sur Surface Hub 3. Vérifiez que seules les applications nécessaires liées aux fonctionnalités salles Teams sont installées et régulièrement mises à jour. Gérer et sécuriser les applications dans Intune
Chiffrement BitLocker Vérifiez que le stockage de l’appareil est chiffré à l’aide de BitLocker. Cela protège les données contre les accès non autorisés ou le vol d’appareil. Contrairement au Surface Hub 2S, BitLocker n’est pas installé par défaut. Chiffrer des appareils Windows avec BitLocker dans Intune
Solution de mot de passe administrateur local Windows Windows LAPS gère automatiquement les mots de passe d’administrateur local, en veillant à ce qu’ils soient aléatoires et stockés en toute sécurité dans Microsoft Entra ID (Azure AD). Cela réduit le risque associé aux mots de passe d’administrateur obsolètes ou largement connus. Microsoft Intune prise en charge de Windows LAPS
Accès conditionnel Configurez des stratégies d’accès conditionnel pour vous assurer que l’appareil peut accéder aux ressources d’entreprise uniquement s’il répond à des conditions spécifiques, telles que la conformité aux stratégies de sécurité. Utiliser l’accès conditionnel avec des stratégies de conformité Microsoft Intune
Sécurité du réseau Vérifiez que l’appareil est connecté à un segment réseau sécurisé. Utilisez Intune pour configurer les paramètres de Wi-Fi, les VPN ou d’autres configurations réseau afin de protéger les données en transit. Create un profil Wi-Fi pour les appareils dans Microsoft Intune

Points de terminaison réseau pour Microsoft Intune
Réinitialisation et verrouillage à distance En cas d’incident de sécurité, vérifiez que vous pouvez verrouiller ou réinitialiser l’appareil à distance à l’aide de Intune. Mettre hors service ou réinitialiser des appareils à l’aide de Microsoft Intune
Auditer et surveiller Passez régulièrement en revue les journaux d’audit et configurez des alertes pour les activités suspectes. Intune s’intègre à Microsoft Endpoint Manager et à d’autres solutions de sécurité Microsoft, offrant ainsi une vue holistique de la sécurité des appareils. Auditer les modifications et les événements dans Microsoft Intune
Formation de l’utilisateur Informez les utilisateurs de ne pas laisser d’informations sensibles visibles à l’écran.

Si votre organization a Protection contre la perte de données Microsoft Purview (DLP), vous pouvez définir des stratégies qui empêchent les utilisateurs de partager des informations sensibles dans un canal ou une session de conversation Microsoft Teams.		 Protection contre la perte de données et Microsoft Teams

Gérer les paramètres de stratégie de groupe dans les scénarios joints à un domaine

Lors de l’intégration de salles Teams à un domaine, il est impératif d’établir une unité d’organisation (UO) distincte et dédiée spécifiquement pour salles Teams. Cette approche permet l’application d’exclusions d’objets de stratégie de groupe (GPO) directement à cette unité d’organisation, garantissant que seules les stratégies pertinentes affectent salles Teams objets.

  • Désactivez l’héritage des objets de stratégie de groupe. Il est essentiel de désactiver tout l’héritage des objets de stratégie de groupe au sein de cette unité d’organisation pour empêcher l’application de paramètres de stratégie de groupe non pris en charge ou non pertinents pour salles Teams.

  • Appliquez des objets de stratégie de groupe à l’unité d’organisation avant de joindre le domaine. Assurez-vous que les objets machine pour salles Teams sont créés dans cette unité d’organisation spécifique avant la jointure de domaine. Cette étape est essentielle pour éviter l’application par inadvertance de stratégies d’unité d’organisation d’ordinateur par défaut pour salles Teams et maintenir la configuration et la posture de sécurité prévues.

Pour en savoir plus sur la configuration des stratégie de groupe dans les scénarios joints à un domaine, consultez les ressources suivantes :

Gérer les paramètres UEFI avec SEMM

SEMM permet aux administrateurs informatiques de verrouiller les fonctionnalités au niveau du microprogramme que vous souhaiterez peut-être implémenter en fonction de la posture de sécurité de votre environnement. Ouvrez Surface UEFI Configurator, comme expliqué précédemment, et accédez aux écrans suivants :

Capture d’écran montrant composants et paramètres avancés à activer ou désactiver.

Pour obtenir une description des paramètres, consultez Informations de référence sur les paramètres UEFI SEMM.

Multithreading simultané (SMT)

Communément appelé hyperthreading dans les processeurs Intel, SMT permet à un seul cœur de processeur physique d’exécuter plusieurs threads simultanément. Cela peut améliorer les performances dans les applications multithread. Toutefois, il existe des scénarios spécifiques dans lesquels vous pouvez contrôler le paramètre SMT. Certaines vulnérabilités, telles que les attaques par canal latéral par exécution spéculative (par exemple, erreur de terminal L1, vulnérabilités MDS), peuvent potentiellement exploiter SMT pour accéder aux données sensibles. La désactivation de SMT peut atténuer le risque associé à ces vulnérabilités, mais au détriment de certaines performances. SMT est activé par défaut.

IPv6 pour démarrage PXE

Si votre infrastructure réseau et vos contrôles de sécurité sont principalement conçus autour d’IPv4 et doivent toujours être entièrement équipés pour gérer le trafic IPv6 en toute sécurité, l’activation d’IPv6 pour le démarrage PXE peut introduire des vulnérabilités. Cela est dû au fait que IPv6 peut contourner certains des contrôles de sécurité existants pour IPv4.

Bien que l’activation d’IPv6 pour le démarrage PXE s’aligne sur la tendance générale du secteur à adopter IPv6, il est essentiel de s’assurer que l’infrastructure réseau, les contrôles de sécurité et les pratiques opérationnelles sont tous équipés pour gérer IPv6 en toute sécurité. Si ce n’est pas le cas, il peut être plus sûr de conserver IPv6 pour le démarrage PXE désactivé jusqu’à ce que ces mesures soient en place.

Démarrage alternatif & démarrage USB

La possibilité de démarrer à partir d’une autre source, telle qu’un périphérique USB ou Ethernet, offre de la flexibilité pour la récupération du système, mais peut également introduire des vulnérabilités :

  • Systèmes d’exploitation non autorisés : si le démarrage alternatif est activé, un attaquant disposant d’un accès physique à l’appareil peut démarrer le système à l’aide d’un système d’exploitation non autorisé à partir d’un lecteur USB. Cela peut contourner les contrôles de sécurité du système d’exploitation principal.
  • Extraction de données : une personne malveillante peut démarrer à partir d’un appareil externe vers un système qui permet un accès direct au stockage interne, ce qui peut extraire des données sensibles.
  • Installation de programmes malveillants : le démarrage à partir d’une source non approuvée peut introduire des programmes malveillants, des rootkits ou d’autres logiciels malveillants au niveau du système.

Compte tenu de ces implications, les organisations dans des environnements de travail hautement sécurisés peuvent choisir de désactiver le démarrage de remplacement et le démarrage USB pour réduire le risque d’accès non autorisé ou de falsification.

Verrou d’ordre de démarrage

L’activation du « verrouillage d’ordre de démarrage » améliore la posture de sécurité en veillant à ce qu’il démarre uniquement à partir de sources autorisées. Le verrouillage de l’ordre de démarrage est désactivé par défaut.

Références

  1. S’applique à Surface Hub 3 et Surface Hub 2S mis à niveau avec Surface Hub 3 Pack.

En savoir plus