• Article

Sécurité et confidentialité pour la gestion hors bande dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notes

Cette rubrique s'affiche dans le guide Biens et compatibilité dans System Center 2012 Configuration Manager et dans le guide Sécurité et confidentialité pour System Center 2012 Configuration Manager.

Cette rubrique contient des informations de sécurité et de confidentialité pour la gestion hors bande dans System Center 2012 Configuration Manager.

Meilleures pratiques de sécurité pour la gestion hors bande

Utilisez les meilleures pratiques suivantes en matière de sécurité lorsque vous gérez des ordinateurs Intel AMT hors bande.

Meilleure pratique de sécurité

Plus d'informations

Demandez un microprogramme personnalisé avant d'acheter des ordinateurs AMT Intel.

Les ordinateurs qui peuvent être gérés hors bande disposent d'extensions BIOS qui peuvent définir des valeurs personnalisées pour renforcer de manière significative la sécurité lorsque ces ordinateurs se trouvent sur votre réseau.Contactez le fabricant des ordinateurs pour connaître les paramètres d'extensions BIOS disponibles et spécifiez vos valeurs.Pour plus d'informations, voir Déterminer s'il faut utiliser une Image personnalisée de microprogramme auprès du fabricant de votre ordinateur.

Si vos ordinateurs AMT ne disposent pas des valeurs de microprogramme que vous souhaitez utiliser, vous pouvez peut-être les définir manuellement.Pour plus d'informations sur la configuration manuelle des extensions BIOS, consultez la documentation Intel ou la documentation du constructeur des ordinateurs.Pour plus d'informations, consultez Intel vPro Expert Center : Gestion de Microsoft vPro.Personnalisez les options suivantes pour améliorer la sécurité :

  • Remplacez toutes les empreintes numériques de certificat des autorités de certification externes par l'empreinte numérique de certificat de votre propre autorité de certification interne.Ainsi, vous empêchez les serveurs de configuration non autorisés de tenter de configurer vos ordinateurs AMT. De plus, vous n'avez pas à acheter des certificats de configuration auprès d'autorités de certification externes.

  • Utilisez un mot de passe personnalisé pour le compte MEBx en remplacement de la valeur par défaut admin.Indiquez ensuite ce mot de passe avec un compte de configuration et de découverte AMT dans Configuration Manager.Ainsi, les serveurs de configuration non autorisés ne peuvent pas configurer les ordinateurs AMT avec le mot de passe par défaut connu.

Contrôlez la demande et l'installation du certificat de configuration.

Demandez le certificat de configuration directement depuis le serveur de configuration en utilisant le contexte de sécurité de l'ordinateur afin que le certificat soit installé directement dans le magasin de l'ordinateur local.Pour demander le certificat d'un autre ordinateur, vous devez exporter la clé privée, puis utiliser des contrôles de sécurité supplémentaires lorsque vous transférez et importez le certificat vers un magasin de certificats.

Veillez à demander un nouveau certificat de configuration avant l'expiration du certificat actuel

Un certificat de configuration AMT expiré entraîne un échec de configuration.Si vous utilisez une autorité externe de certification pour votre certificat de configuration, prévoyez du temps supplémentaire pour l'exécution du processus de renouvellement et la reconfiguration du point de gestion hors bande.

Utilisez un modèle de certificat dédié pour la configuration des ordinateurs AMT.

Si vous utilisez une version d'entreprise de Windows Server pour l'autorité de certification d'entreprise, créez un modèle de certificat en dupliquant le modèle de certificat Web Server par défaut, vérifiez que seul le groupe de sécurité que vous définissez dans les propriétés du composant de gestion hors bande dispose des autorisations de lecture et d'inscription et n'ajoutez pas des fonctionnalités supplémentaires à la valeur par défaut d'authentification serveur.

Le fait de disposer d'un modèle de certificat dédié permet de mieux gérer et contrôler l'accès afin d'empêcher une élévation des privilèges.Si vous possédez une version standard de Windows Server pour votre autorité de certification d'entreprise, vous ne pouvez pas créer un modèle de certificat dupliqué.Dans ce cas, vous devez ajouter les autorisations de lecture et d'inscription au groupe de sécurité que vous définissez dans les propriétés du composant de gestion hors bande et supprimer les autorisations inutiles.

Utilisez les commandes de mise sous tension AMT à la place des paquets de sortie de veille.

Bien que les deux solutions permettent de faire sortir de veille des ordinateurs pour installer du logiciel, les commandes de mise sous tension AMT sont plus fiables que la transmission de paquets de sortie de veille, car elles fournissent l'authentification et le chiffrement en utilisant des protocoles de sécurité standard.En utilisant les commandes de mise sous tension AMT avec la gestion hors bande, cette solution peut également s'intégrer à un déploiement d'infrastructure à clé publique (PKI) et les contrôles de sécurité peuvent être gérés indépendamment du produit.Pour plus d'informations, consultez « Planification de la sortie de veille des clients » dans Planification des communications client dans Configuration Manager.

Désactivez AMT dans le microprogramme si l'ordinateur n'est pas pris en charge pour la gestion hors bande.

Même lorsque les ordinateurs AMT ont une version prise en charge d'AMT, il peut arriver que la gestion hors bande ne puisse pas être utilisée.Ces scénarios incluent les ordinateurs de groupe de travail, les ordinateurs qui ont un espace de noms différent et ordinateurs disposant d'un espace de noms disjoint.

Pour que ces ordinateurs AMT ne soient pas publiés dans les services de domaine Active Directory et qu'aucun certificat PKI ne soit demandé pour eux, désactivez AMT dans le microprogramme.La configuration AMT dans Configuration Manager crée des informations d'identification de domaine pour les comptes publiés dans les services de domaine Active Directory, ce qui risque d'élever les privilèges lorsque les ordinateurs n'appartiennent pas à votre forêt Active Directory.

Utilisez une unité d'organisation dédiée pour publier les comptes des ordinateurs AMT.

N'utilisez pas un conteneur ou une unité d'organisation (UO) existants pour publier les comptes Active Directory qui sont créés lors de la configuration AMT.Une unité d'organisation séparée permet de gérer et de contrôler plus efficacement ces comptes et d'éviter d'accorder à ces comptes plus d'autorisations que ce dont ils ont besoin.

Accordez aux comptes des ordinateurs serveurs du site l'autorisation d'écriture dans l'unité d'organisation, le groupe Ordinateurs du domaine et le groupe Invités du domaine dans chaque domaine qui contient des ordinateurs AMT.

Outre l'octroi des autorisations Créer tous les objets enfants et Supprimer tous les objets enfants aux comptes d'ordinateurs serveurs pour l'unité d'organisation et leur application à un objet donné uniquement, accordez les autorisations suivantes pour les comptes des ordinateurs serveurs du site :

  • Pour l'unité d'organisation : Écrire toutes les propriétés et appliquez-la à Cet objet et tous ceux descendants.

  • Pour le groupe Ordinateurs du domaine : Écrire toutes les propriétés et appliquez-la à Cet objet uniquement.

  • Pour le groupe Invités du domaine : Écrire toutes les propriétés et appliquez-la à Cet objet uniquement.

Utilisez un regroupement dédié pour la configuration AMT.

N'utilisez pas un regroupement existant contenant un nombre d'ordinateurs supérieur au nombre d'ordinateurs que vous voulez préparer pour AMT.Créez plutôt un regroupement basé sur une requête en utilisant l'état AMT Non préparé.

Pour plus d'informations sur l'état AMT et la création d'une requête pour Non préparé, consultez À propos de l'état AMT et de la gestion hors bande dans Configuration Manager.

Récupérez et stockez les fichiers images en toute sécurité lors du démarrage à partir d'un autre support afin d'utiliser la fonction de redirection IDE.

Lorsque vous démarrez à partir d'un autre support pour utiliser la fonction de redirection IDE, si possible, stockez les fichiers images localement sur l'ordinateur exécutant la console de gestion hors bande.Si vous devez les stocker sur le réseau, assurez-vous que les connexions pour récupérer les fichiers sur le réseau utilisent la signature SMB pour empêcher leur falsification au cours du transfert réseau.Dans les deux cas, sécurisez les fichiers stockés pour les protéger contre les accès non autorisés, en utilisant, par exemple, les autorisations NTFS et le système de fichiers chiffrés.

Récupérez et stockez les fichiers de journaux d'audit AMT en toute sécurité.

Si vous enregistrez les fichiers journaux d'audit AMT, si possible, stockez les fichiers localement sur l'ordinateur qui exécute la console de gestion hors bande.Si vous devez les stocker sur le réseau, assurez-vous que les connexions pour récupérer les fichiers sur le réseau utilisent la signature SMB pour empêcher leur falsification au cours du transfert réseau.Dans les deux cas, sécurisez les fichiers stockés pour les protéger contre les accès non autorisés, en utilisant, par exemple, les autorisations NTFS et le système de fichiers chiffrés.

Réduisez le nombre de comptes de configuration et de découverte AMT.

Même si vous pouvez définir plusieurs comptes de configuration et de découverte AMT pour que Configuration Manager puisse découvrir les ordinateurs ayant des contrôleurs de gestion AMT et les préparer pour la gestion hors bande, ne spécifiez pas de comptes n'ayant aucune utilité actuellement et supprimez les comptes qui ne sont plus nécessaires.Spécifiez uniquement les comptes dont vous avez besoin pour que ces comptes ne reçoivent pas plus d'autorisations que nécessaire et pour ne pas augmenter le trafic réseau et les activités de traitement inutilement.Pour plus d'informations sur le compte de découverte et de configuration AMT, consultez Étape 5 : Configuration du composant de gestion hors bande.

Pour la continuité de service, spécifiez un compte d'utilisateur comme compte de suppression de préparation AMT et définissez également ce compte comme compte utilisateur AMT.

Le compte de suppression de préparation AMT permet de garantir la continuité de service si vous devez restaurer le site Configuration Manager.Après avoir restauré le site, demandez et configurez un nouveau certificat de configuration AMT, utilisez le compte de préparation et de suppression AMT pour supprimer les informations de configuration des ordinateurs AMT, puis repréparez les ordinateurs.

Vous pouvez également utiliser ce compte si un ordinateur AMT a été réaffecté à partir d'un autre site et que les informations de configuration n'ont pas été supprimées.

Pour plus d'informations sur la façon de supprimer des informations de préparation AMT, voir Comment supprimer les informations AMT.

Utilisez un modèle de certificat unique pour les certificats d'authentification client chaque fois que cela est possible.

Même si vous pouvez définir des modèles de certificats différents pour chacun des profils sans fil, utilisez un seul modèle de certificat si rien ne vous impose d'utiliser des paramètres différents pour différents réseaux sans fil, spécifiez uniquement la fonctionnalité d'authentification client et dédiez ce modèle de certificat à la gestion hors bande Configuration Manager.Si, par exemple, un réseau sans fil requiert une plus grande taille de clé ou une période de validité plus courte qu'un autre, vous devrez créer un modèle de certificat séparé.Un modèle de certificat unique permet de contrôler plus facilement son utilisation et vous protège contre l'élévation de privilèges.

Assurez-vous que seuls les utilisateurs administratifs autorisés exécutent des actions d'audit AMT et gèrent les journaux d'audit de manière appropriée.

Selon la version AMT, Configuration Manager peut arrêter d'écrire des entrées dans le journal d'audit AMT lorsqu'il est presque plein ou remplacer les anciennes entrées.Pour consigner de nouvelles entrées sans remplacer les anciennes, effacez régulièrement le journal d'audit, si nécessaire, et enregistrez les entrées d'audit.Pour plus d'informations sur la gestion du journal d'audit et la surveillance des activités d'audit, consultez Comment gérer le journal d'audit pour les ordinateurs AMT dans Configuration Manager.

Utilisez le principe des privilèges de base et administration basée sur les rôles pour accorder aux utilisateurs administratifs des autorisations pour gérer les ordinateurs AMT hors bande.

Utilisez le rôle de sécurité Opérateur d'outils à distance pour accorder aux utilisateurs administratifs l'autorisation de contrôle AMT qui leur permet d'afficher et de gérer les ordinateurs en utilisant la console de gestion hors bande et d'exécuter des actions de contrôle d'alimentation depuis la console Configuration Manager.

Pour plus d'informations sur les autorisations de sécurité, vous pouvez avoir besoin pour gérer des ordinateurs AMT, consultez « Dépendances de Configuration Manager » dans Conditions requises pour la gestion hors bande dans Configuration Manager.

Problèmes de sécurité pour la gestion hors bande

La gestion des ordinateurs AMT hors bande pose les problèmes de sécurité suivants :

  • Un intrus peut envoyer une fausse demande de préparation, ce qui entraîne la création d'un compte Active Directory.Surveillez l'unité d'organisation où les comptes AMT sont créés pour vous assurer que seuls les comptes prévus sont créés.

  • Vous ne pouvez pas configurer un accès proxy Web pour le point de service hors bande pour vérifier la liste de révocation de certificats publiée sur Internet.Si vous activez la vérification de la liste pour le certificat de configuration AMT et que la liste est inaccessible, le point de service hors bande ne prépare pas les ordinateurs AMT.

  • L'option permettant de désactiver la préparation AMT automatique est stockée sur le client Configuration Manager et non pas dans AMT.Cela signifie que l'ordinateur AMT peut toujours être configuréPar exemple, le client Configuration Manager peut être désinstallé ou l'ordinateur peut être configuré par un autre produit de gestion.

  • Même si vous sélectionnez l'option pour désactiver la configuration automatique pour un ordinateur AMT, le point de service hors bande accepte une demande de configuration de l'ordinateur.

Confidentialité des informations de gestion hors bande

La console de gestion hors bande hors gère les ordinateurs dotés du processeur Intel vPro définie et Intel Active Management Technology (Intel AMT) avec une version de microprogramme pris en charge par Configuration Manager.Configuration Manager temporairement recueille des informations sur la configuration et les paramètres, tels que le nom de l'ordinateur, une adresse IP et une adresse MAC.Les informations sont transmises entre l'ordinateur géré et la console de gestion hors bande via un canal chiffré.Cette fonctionnalité n'est pas activée par défaut, et les informations ne sont généralement pas conservées après l'expiration de la session de gestion.Si vous activez l'audit AMT, vous pouvez enregistrer les informations d'audit dans un fichier comprenant l'adresse IP de l'ordinateur AMT géré, ainsi que le domaine et le compte d'utilisateur qui a exécuté l'action de gestion à la date et à l'heure enregistrées.Ces informations ne sont pas envoyées à Microsoft.

Vous avez la possibilité d'activer Configuration Manager pour identifier les ordinateurs avec des contrôleurs de gestion qui peuvent être gérés par la console de gestion hors bande.La découverte crée des enregistrements pour les ordinateurs gérables et les stocke dans la base de données.Les enregistrements de découverte de données contiennent des informations sur les ordinateurs, telles que leur adresse IP, leur système d'exploitation et leur nom.Par défaut, la découverte des contrôleurs de gestion n'est pas activée.Les informations de découverte ne sont pas envoyées à Microsoft.Les informations de découverte sont stockées dans la base de données du site.Les informations sont conservées dans la base de données jusqu'à ce que la tâche de maintenance de site Supprimer les données de découverte anciennes les supprime au bout de 90 jours.Vous pouvez configurer l'intervalle de suppression.

Avant de configurer la gestion hors bande, pensez à vos besoins en matière de confidentialité.