Sécurité et confidentialité pour le déploiement de systèmes d'exploitation dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notes
Cette rubrique s'affiche dans le guide Déploiement de logiciels et de systèmes d'exploitation dans System Center 2012 Configuration Manager et dans le guide Sécurité et confidentialité pour System Center 2012 Configuration Manager.
Cette rubrique contient des informations de sécurité et de confidentialité pour le déploiement de systèmes d'exploitation dans System Center 2012 Configuration Manager.
Meilleures pratiques de sécurité pour le déploiement de systèmes d'exploitation
Utilisez les meilleures pratiques de sécurité suivantes pour lorsque vous déployez des systèmes d'exploitation avec Configuration Manager :
Meilleure pratique de sécurité |
Plus d'informations |
||
---|---|---|---|
Instaurez des contrôles d'accès pour protéger les supports de démarrage |
Lorsque vous créez un média de démarrage, attribuez toujours un mot de passe pour sécuriser le média. Toutefois, même avec un mot de passe, seuls les fichiers qui contiennent des informations sensibles sont cryptés et tous les fichiers peuvent être remplacés. Contrôlez l'accès physique au média pour qu'une personne malveillante ne puisse pas recourir à des attaques par chiffrement pour obtenir le certificat d'authentification du client. Notes Dans Configuration Manager SP1, pour empêcher un client d'installer une stratégie de client ou un contenu falsifié, le contenu est haché et doit être utilisé avec la stratégie d'origine. Si le hachage de contenu échoue ou si la vérification détecte que le contenu correspond à la stratégie, le client n'utilise pas le média de démarrage. Seul le contenu est haché : la stratégie ne l'est pas. En revanche, elle est chiffrée et sécurisée lorsque vous spécifiez un mot de passe, ce qui rend la modification de la stratégie plus complexe pour les éventuels intrus. |
||
Utilisez un emplacement sécurisé lorsque vous créez des médias pour les images de système d'exploitation |
Si des utilisateurs non autorisés ont accès à l'emplacement, ils peuvent falsifier les fichiers que vous créez et utiliser tout l'espace disque disponible pour faire échouer la création des médias. |
||
Protégez les fichiers de certificat (.pfx) avec un mot de passe fort et, si vous les stockez sur le réseau, sécurisez le canal de réseau lorsque vous les importez dans Configuration Manager |
Lorsque vous avez besoin d'un mot de passe pour importer le certificat d'authentification client que vous utilisez pour des médias de démarrage, cela permet de protéger le certificat contre une personne malveillante. Utilisez la signature SMB ou IPsec entre l'emplacement réseau et le serveur de site pour empêcher un intrus de falsifier le fichier de certificat. |
||
Si le certificat client est compromis, bloquez le certificat de Configuration Manager et révoquez-le s'il s'agit d'un certificat PKI |
Pour déployer un système d'exploitation à l'aide d'un média de démarrage et un démarrage PXE, vous devez disposer d'un certificat d'authentification client avec une clé privée. Si ce certificat est compromis, bloquez le certificat dans le nœud Certificats de l'espace de travail Administration, nœud Sécurité. Pour plus d'informations sur la différence entre le blocage d'un certificat et sa révocation, consultez Comparaison entre le blocage de clients et la révocation de certificat client. |
||
Lorsque le fournisseur SMS se trouve sur un ou plusieurs ordinateurs autres que le serveur de site, sécurisez le canal de communication pour protéger les images de démarrage |
Lorsque des images de démarrage sont modifiées et que le fournisseur SMS est en cours d'exécution sur un serveur qui n'est pas le serveur de site, les images de démarrage sont vulnérables aux attaques. Protégez le canal de réseau entre ces ordinateurs en utilisant la signature SMB ou IPsec. |
||
Activez les points de distribution pour la communication du client PXE uniquement sur des segments de réseau sécurisés |
Lorsqu'un client envoie une demande de démarrage PXE, vous n'avez aucun moyen de vous assurer que la demande est traitée par un point de distribution PXE valide. Ce scénario présente les risques de sécurité suivants :
Adoptez un excellent système de défense pour protéger les segments réseau sur lesquels les clients accèderont aux points de distribution pour des demandes PXE.
|
||
Configurez le point de distribution PXE de sorte qu'il réponde aux demandes PXE uniquement sur des interfaces réseau spécifiées |
Si vous autorisez le point de distribution à répondre aux demandes PXE sur toutes les interfaces réseau, cette configuration peut exposer le service PXE à des réseaux non approuvés |
||
Exigez un mot de passe pour le démarrage PXE |
Lorsque vous avez besoin d'un mot de passe pour le démarrage PXE, cette configuration ajoute un niveau supplémentaire de sécurité au processus de démarrage PXE afin d'éviter que des clients non autorisés rejoignent la hiérarchie Configuration Manager. |
||
N'incluez pas d'applications métier ou de logiciels contenant des données sensibles dans une image qui sera utilisée pour un démarrage PXE ou une multidiffusion |
En raison des risques de sécurité liés à la multidiffusion et au démarrage PXE, réduisez les risques si l'ordinateur non autorisé télécharge l'image du système d'exploitation. |
||
N'incluez pas d'applications métier ou de logiciels contenant des données sensibles dans des packages logiciels qui sont installés à l'aide de variables de séquences de tâches |
Lorsque vous déployez des packages logiciels à l'aide de variables de séquences de tâches, le logiciel peut être installé sur des ordinateurs et pour des utilisateurs qui ne sont pas autorisés à recevoir ce logiciel. |
||
Lorsque vous migrez un état utilisateur, sécurisez le canal de réseau entre le client et le point de migration d'état à l'aide de la signature SMB ou IPsec |
Après la connexion initiale sur HTTP, les données de migration d'état utilisateur sont transférées à l'aide de SMB. Si vous ne sécurisez pas le canal de réseau, une personne malveillante peut lire et modifier ces données. |
||
Utilisez la dernière version de l'outil de migration de l'état utilisateur (USMT) pris en charge par Configuration Manager |
La dernière version d'USMT offre des améliorations de sécurité et un meilleur contrôle de la migration des données d'état utilisateur. |
||
Supprimez manuellement des dossiers sur le point de migration lorsqu'ils sont hors service |
Lorsque vous supprimez un dossier de point de migration d'état dans la console Configuration Manager sur les propriétés du point de migration d'état, le dossier physique n'est pas supprimé. Pour protéger les données de migration d'état utilisateur contre la divulgation d'informations, vous devez supprimer manuellement le partage réseau et supprimer le dossier. |
||
Ne configurez pas la stratégie de suppression pour supprimer l'état utilisateur immédiatement |
Si vous configurez la stratégie de suppression sur le point de migration d'état afin de supprimer les données marquées pour suppression immédiatement, et si une personne malveillante parvient à récupérer les données d'état utilisateur avant l'ordinateur valide, les données d'état utilisateur seront immédiatement supprimées. Définissez l'intervalle Supprimer après de sorte qu'il soit suffisamment long pour permettre la vérification de la restauration correcte des données de l'état utilisateur. |
||
Supprimez manuellement les associations d'ordinateurs lorsque la restauration des données de migration d'état utilisateur est terminée et vérifiée |
Configuration Manager ne supprime pas automatiquement les associations d'ordinateurs. Protégez l'identité des données d'état utilisateur en supprimant manuellement les associations d'ordinateurs qui ne sont plus nécessaires. |
||
Sauvegardez manuellement les données de migration d'état utilisateur sur le point de migration d'état |
La sauvegarde Configuration Manager n'inclut pas les données de migration d'état utilisateur. |
||
N'oubliez pas d'activer BitLocker après avoir installé le système d'exploitation |
Si un ordinateur prend en charge BitLocker, vous devez le désactiver à l'aide d'une étape de séquence de tâches si vous souhaitez installer le système d'exploitation en mode sans assistance.Configuration Manager n'active pas BitLocker une fois le système d'exploitation installé, vous devez donc réactiver BitLocker manuellement. |
||
Instaurez des contrôles d'accès pour protéger les médias préparés |
Contrôlez l'accès physique au média pour qu'une personne malveillante ne puisse pas recourir à des attaques par chiffrement afin d'obtenir le certificat d'authentification du client et les données sensibles. |
||
Instaurez des contrôles d'accès pour protéger le processus d'acquisition d'image de l'ordinateur de référence |
Vérifiez que l'ordinateur de référence utilisé pour capturer des images du système d'exploitation est situé dans un environnement sécurisé intégrant les contrôles d'accès appropriés afin que des logiciels malveillants ne puissent pas être installés et inclus par inadvertance dans l'image capturée. Lorsque vous capturez l'image, assurez-vous que l'emplacement du partage de fichiers réseau de destination est sécurisé afin que l'image ne puisse pas être falsifiée une fois capturée. |
||
Installez systématiquement les mises à jour de sécurité les plus récentes sur l'ordinateur de référence |
Lorsque l'ordinateur de référence contient des mises à jour de sécurité, il permet de réduire la fenêtre de vulnérabilité des nouveaux ordinateurs lors de leur premier démarrage. |
||
Si vous devez déployer des systèmes d'exploitation vers un ordinateur inconnu, implémentez des contrôles d'accès afin de bloquer la connexion des ordinateurs non autorisés au réseau |
Bien que le provisionnement des ordinateurs inconnus fournisse une méthode pratique pour déployer de nouveaux ordinateurs à la demande, il peut également permettre à une personne malveillante de devenir un client approuvé sur votre réseau. Limitez l'accès physique au réseau et contrôlez les clients afin de détecter les ordinateurs non autorisés. De même, toutes les données relatives aux ordinateurs répondant au déploiement du système d'exploitation établi par PXE risquent d'être détruites lors du déploiement du système d'exploitation. Cela peut engendrer une perte de disponibilité au niveau des systèmes qui sont reformatés par inadvertance. |
||
Activez le chiffrement de packages de multidiffusion |
Pour chaque package de déploiement du système d'exploitation, vous pouvez activer le chiffrement lorsque Configuration Manager transfère le package par multidiffusion. Cette configuration permet d'empêcher les ordinateurs non autorisés de se joindre à la session multidiffusion et les personnes malveillantes d'altérer la transmission. |
||
Contrôlez les points de distribution de multidiffusion activée |
Si des personnes malveillantes peuvent accéder à votre réseau, elles peuvent configurer des serveurs de multidiffusion non autorisés afin qu'ils usurpent un déploiement de systèmes d'exploitation. |
||
Lorsque vous exportez des séquences de tâches vers un emplacement réseau, sécurisez l'emplacement et le canal de réseau |
Veillez à restreindre l'accès au dossier réseau. Utilisez la signature SMB ou IPsec entre l'emplacement réseau et le serveur de site pour empêcher une personne malveillante de falsifier la séquence de tâches exportée. |
||
Pour System Center 2012 R2 Configuration Manager et ultérieur : Sécurisez le canal de communication lorsque vous téléchargez un disque dur virtuel dans Virtual Machine Manager. |
Pour empêcher la falsification des données lorsqu'elles sont transférées sur le réseau, utilisez la sécurité du protocole Internet (IPsec) ou le bloc de message serveur (SMB) entre l'ordinateur qui exécute la console Configuration Manager et l'ordinateur qui exécute Virtual Machine Manager. |
||
Si vous devez utiliser le compte d'identification de séquence de tâches, prenez des précautions de sécurité supplémentaires |
Si vous utilisez le compte d'identification de séquence de tâches, prenez les précautions suivantes :
En outre :
|
||
Limitez et surveillez les utilisateurs administratifs disposant du rôle de sécurité Gestionnaire de déploiement de systèmes d'exploitation |
Les utilisateurs administratifs disposant du rôle de sécurité Gestionnaire de déploiement de systèmes d'exploitation peuvent créer des certificats auto-signés pouvant ensuite être utilisés pour emprunter l'identité d'un client et obtenir une stratégie client de Configuration Manager. |
Problèmes de sécurité pour le déploiement de systèmes d'exploitation
Bien que le déploiement de systèmes d'exploitation puisse être un moyen efficace de déployer les systèmes d'exploitation et les configurations les plus sûrs pour les ordinateurs sur votre réseau, il comporte les risques de sécurité suivants :
Divulgation d'informations et déni de service
Si une personne malveillante peut prendre le contrôle de votre infrastructure Configuration Manager, elle peut exécuter n'importe quelle séquence de tâches, ce qui peut inclure le formatage des disques durs de tous les ordinateurs clients. Des séquences de tâches peuvent être configurées pour contenir des informations sensibles, telles que les comptes autorisés à rejoindre le domaine et les clés de licence en volume.
Emprunt d'identité et élévation de privilèges
Des séquences de tâches peuvent joindre un ordinateur au domaine, qui peut fournir l'accès réseau authentifié à un ordinateur non autorisé. Un autre principe important de la sécurité du déploiement du système d'exploitation consiste à protéger le certificat d'authentification du client utilisé pour le média de démarrage des séquences de tâches et pour le déploiement du démarrage PXE. Lorsque vous capturez un certificat d'authentification client, cela permet à la personne malveillante d'obtenir la clé privée dans le certificat puis d'emprunter l'identité d'un client valide sur le réseau.
Si une personne malveillante obtient le certificat client utilisé pour le média de démarrage des séquences de tâches et pour le déploiement du démarrage PXE, ce certificat peut être utilisé pour emprunter l'identité d'un client valide sur Configuration Manager. Dans ce scénario, l'ordinateur non autorisé peut télécharger une stratégie, qui peut contenir des données sensibles.
Si des clients utilisent le compte d'accès réseau pour accéder aux données stockées sur le point de migration d'état, ces clients partagent effectivement la même identité et peuvent accéder aux données de migration d'état d'un autre client utilisant le compte d'accès réseau. Les données sont chiffrées et seul le client d'origine peut donc les lire, mais elles peuvent être falsifiées ou supprimées.
Le point de migration d'état n'utilise pas l'authentification dans Configuration Manager sans Service Pack
Dans Configuration Manager sans Service Pack, comme le point de migration d'état n'authentifie pas les connexions, n'importe qui peut envoyer des données au point de migration d'état et récupérer les données qui y sont stockées. Même si l'ordinateur d'origine peut lire les données d'état utilisateur récupérées, ne considérez pas ces données comme étant sécurisées.
Dans Configuration Manager SP1, l'authentification des clients auprès du point de migration d'état s'effectue à l'aide d'un jeton Configuration Manager émis par le point de gestion.
Par ailleurs, Configuration Manager ne limite pas et ne gère pas la quantité de données stockées sur le point de migration d'état. Or, un intrus peut saturer l'espace disque disponible et provoquer un déni de service.
Si vous utilisez des variables de regroupement, les administrateurs locaux peuvent lire des informations potentiellement sensibles.
Même si les variables de regroupement offrent une méthode flexible pour le déploiement des systèmes d'exploitation, elles peuvent entraîner une divulgation d'informations.
Informations de confidentialité pour le déploiement de systèmes d'exploitation
Configuration Manager peut non seulement permettre de déployer des systèmes d'exploitation sur des ordinateurs sans système d'exploitation, mais également de migrer les fichiers et les paramètres des utilisateurs d'un ordinateur à un autre. L'administrateur configure les informations à transférer, notamment les fichiers de données personnelles, les paramètres de configuration et les cookies du navigateur.
Les informations sont stockées sur un point de migration de l'état et sont chiffrées durant la transmission et le stockage. Les informations peuvent être récupérées par le nouvel ordinateur associé aux informations d'état. Si le nouvel ordinateur perd la clé permettant d'extraire les informations, un administrateur Configuration Manager bénéficiant de l'autorisation Afficher les informations de récupération sur les objets d'instance d'association d'ordinateurs peut accéder aux informations et les associer au nouvel ordinateur. Une fois que le nouvel ordinateur a restauré les informations d'état, il supprime les données après un jour par défaut. Vous pouvez configurer le moment auquel le point de migration de l'état supprime les données marquées pour suppression. Les informations de migration de l'état ne sont pas stockées dans la base de données de site et ne sont pas envoyées à Microsoft.
Si vous utilisez un média de démarrage pour déployer des images du système d'exploitation, utilisez systématiquement l'option par défaut permettant de protéger par mot de passe le média de démarrage. Le mot de passe chiffre les variables stockées dans la séquence de tâches, mais les informations non stockées dans une variable peuvent être facilement divulguées.
Le déploiement du système d'exploitation peut utiliser des séquences de tâches pour effectuer un grand nombre de tâches durant le processus de déploiement, notamment l'installation d'applications et de mises à jour logicielles. Lorsque vous configurez des séquences de tâches, vous devez également être conscient des conséquences de l'installation de logiciels en termes de confidentialité.
Si vous téléchargez un disque dur virtuel vers Virtual Machine Manager sans utiliser Sysprep auparavant pour nettoyer l'image, le disque dur virtuel téléchargé peut contenir des données personnelles de l'image d'origine.
Configuration Manager ne met pas en œuvre le déploiement du système d'exploitation par défaut et requiert plusieurs étapes de configuration avant que vous puissiez recueillir des informations d'état utilisateur ou créer des séquences de tâches ou des images de démarrage.
Avant de configurer le déploiement du système d'exploitation, prenez en compte vos impératifs en matière de confidentialité.