Meilleures pratiques pour la sécurité de la distribution de logiciels et informations sur la confidentialité
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Dernière mise à jour des rubriques—Août 2008
La distribution de logiciels est une fonctionnalité puissante qui peut servir de point d'attaque majeur si la sécurité n'est pas assurée. Pendant l'installation des packages, Microsoft System Center Configuration Manager 2007 peut utiliser des droits élevés dans le contexte utilisateur ou système, même si l'utilisateur ne dispose pas de droits d'administration. Cette fonction particulière de Microsoft System Center Configuration Manager 2007 peut être utilisée par une personne malveillante pour lancer efficacement des attaques dans le but d'élever les droits.
Meilleures pratiques
Toujours configurer les publications pour télécharger le contenu La configuration avec l'option Télécharger le contenu à partir du point de distribution et l'exécuter localement est plus sécurisée parce que Configuration Manager 2007 vérifie le hachage du package après le téléchargement du contenu et rejette le package si le hachage ne correspond pas à celui défini dans la stratégie. Si vous configurez la publication pour exécuter le programme à partir du point de distribution, aucune vérification n'est effectuée et les pirates informatiques peuvent altérer le contenu. Si vous devez exécuter le programme à partir du point de distribution, utilisez les autorisations NTFS minimales pour les packages sur les points de distribution et utilisez IPsec pour sécuriser le canal de communication entre le client et le point de distribution et entre le point de distribution et le serveur de site.
Ne pas autoriser les utilisateurs à interagir avec les programmes s'ils doivent être exécutés avec des droits d'administration Lorsque vous configurez un programme, vous pouvez définir l'option Autoriser les utilisateurs à interagir avec ce programme afin que les utilisateurs puissent répondre à des messages obligatoires dans l'interface utilisateur. Si le programme est également configuré avec l'option Exécuter avec les droits d'administration, une personne malveillante devant un ordinateur exécutant le programme peut utiliser l'interface utilisateur pour élever les privilèges sur l'ordinateur client. Vous devez utiliser des programmes d'installation de type Windows Installer avec des privilèges élevés par utilisateur pour les installations qui nécessitent des informations d'identification d'administrateur, mais ils doivent être exécutés dans le contexte d'un utilisateur qui ne dispose pas d'informations d'identification d'administrateur. Les privilèges élevés par utilisateur Windows Installer représentent la méthode la plus sûre pour déployer les applications avec cette spécification.
Ne pas créer de sous-groupes si vous devez en limiter la distribution de logiciels Une publication vers un regroupement contenant des sous-groupes est envoyée à tous les membres du regroupement et des sous-groupes, même si l'administrateur ne possède que l'autorisation Publier sur le regroupement (et pas sur les sous-groupes). Un administrateur qui peut associer un regroupement à un autre regroupement peut permettre au regroupement de recevoir les publications destinées à l'autre regroupement, même s'il ne dispose pas de l'autorisation Publier sur les regroupements. Pour cette raison, vous devez surveiller l'ajout de sous-groupes à des regroupements avec publications et faire attention aux personnes que vous autorisez à accéder en lecture aux regroupements qui reçoivent les publications.
Définir les autorisations d'accès au package au moment de leur création Les modifications apportées aux comptes d'accès dans les fichiers de package (par opposition aux dossiers partagés des points de distribution) prennent effet uniquement lorsque vous actualisez le package. Par conséquent, si vous distribuez le package à plusieurs points de distribution ou si la capacité de votre réseau est limitée pour la distribution de packages, définissez avec soin les droits d’accès au package la première fois que vous créez ce dernier, surtout s’il est volumineux. Pour déclencher rapidement l'actualisation de tous les points de distribution, vous pouvez utiliser la tâche Mettre à jour les points de distribution du package.
Sécuriser les logiciels au niveau de l'accès au package Par défaut, les fichiers du package sur les points de distribution sont entièrement accessibles par les administrateurs et accessibles en lecture par les utilisateurs. Les utilisateurs disposant de droits administratifs sur les ordinateurs clients peuvent permettre au client de joindre n'importe quel site, même si l'ordinateur ne se trouve pas dans les limites du site. Dès que les clients rejoignent le site, ils peuvent recevoir les distributions de logiciels disponibles sur le site et pour lesquelles l'ordinateur ou l'utilisateur respecte les critères des regroupements concernés. Pour cette raison, les logiciels dédiés à des utilisateurs spécifiques doivent être sécurisés au niveau de l’accès au package pour ces mêmes utilisateurs, et non limités en fonction de la disponibilité du site ou selon les critères des regroupements. Cependant, la restriction de l'accès du compte Invité Internet aux packages entraîne l'échec de l'accès au package pour les clients Internet. Pour plus d'informations, consultez Exemples de scénarios d'accès au package.
Après la mise à niveau, si vous aviez des packages dans SMS 2003, mettez à jour tous les packages SMS 2003 (version publiée) utilisait le hachage MD5 pour hacher les packages ; Configuration Manager 2007 et les Service Packs SMS 2003 ultérieurs au SP1 utilisent SHA-1. Pour soumettre tous les packages à un nouveau hachage avec SHA-1, vous devez mettre à jour tous les packages créés dans SMS 2003 (version publiée) qui n'ont pas déjà été mis à jour avec un service pack SMS. Sinon, les packages valides pourraient être rejetés par les clients, si la publication est configurée pour télécharger le package et l'exécuter localement.
Meilleures pratiques pour les points de distribution
Supprimer le rôle du point de distribution à partir du serveur de site Par défaut, le serveur de site est configuré comme point de distribution standard. Cependant, vous devez attribuer ce rôle à d'autres systèmes de site et le supprimer du serveur de site pour réduire la surface d'attaque. Les clients n'ont aucune raison valable de communiquer directement avec le serveur de site ou n'importe quel rôle configuré sur le serveur de site. Cela est particulièrement important si vous avez choisi d'activer le protocole BITS (Background Intelligent Transfer Service) sur le point de distribution, parce que l'installation des Services Internet (IIS) pour créer un point de distribution compatible BITS augmente considérablement la surface d'attaque du système de site.
Ne pas créer de partages de point de distribution ou de points de distribution de branche sur des clients Internet Même si Configuration Manager 2007 ne vous l'interdit pas, la création d'un point de distribution sur des clients Internet augmente considérablement la surface d'attaque et doit être évitée. Ne créez des points de distribution que sur les systèmes de site qui peuvent être gérés au sein de l'Intranet ou du réseau de périmètre.
Après avoir basculé vers un site Web personnalisé, supprimer les répertoires virtuels par défaut Lorsque vous passez de l'utilisation du site Web par défaut à celle d'un site Web personnalisé, Configuration Manager 2007 ne supprime pas automatiquement les anciens répertoires virtuels. Vous devez alors supprimer manuellement les répertoires virtuels créés sur le site Web par défaut. Cela est particulièrement important si vous avez configuré le point de distribution sur Autoriser les clients à se connecter de façon anonyme (nécessaire pour les clients de périphériques mobiles) tout en utilisant le site Web par défaut et que vous désactivez ensuite les connexions anonymes après le basculement vers le site Web personnalisé. Si tel est le cas, les anciens répertoires virtuels seront toujours configurés pour l'accès anonyme. Pour obtenir la liste des répertoires virtuels créés sur les points de distribution compatibles BITS, consultez À propos des points de distribution compatibles avec BITS.
Implémenter les contrôles d'accès pour protéger les points de distribution de branche Les points de distribution de branche peuvent être installés sur n'importe quel client Configuration Manager 2007, y compris sur les stations de travail exécutant Microsoft Windows XP Professionnel. Généralement, les stations de travail ne sont pas soumises au même contrôle d'accès physique que les serveurs. Vous devez donc contrôler l'utilisation des points de distribution de branche. Ne distribuez pas de fichiers source dont le contenu est sensible aux points de distribution de branche si le risque de vol du disque dur ou du point de distribution de branche se pose. Vous devez configurer toutes les publications afin que les clients téléchargent les packages à partir d'un point de distribution de branche et qu'ils les exécutent localement plutôt que sur le réseau. Configuration Manager 2007 vérifie le hachage des packages téléchargés et rejette ceux qui ne sont pas validés. Cependant, il n'existe pas de vérification de package pour ceux exécutés à partir du point de distribution.
Activer le mode chiffré pour les points de distribution compatibles avec Application Virtualization Streaming Dans Configuration Manager 2007 R2, lorsque vous configurez un point de distribution compatible avec Application Virtualization Streaming**,** vous pouvez sélectionner le protocole RTSP (Real Time Streaming Protocol) ou RTSPS (RTSP sur TLS). L'activation du chiffrement permet de se protéger des personnes malveillantes altérant le flux de données.
Problème de sécurité
Le problème suivant ne peut pas être atténué.
Les packages ne sont valides qu'après leur téléchargement Configuration Manager 2007 ne valide les signatures sur les packages qu'après leur téléchargement dans le cache du client. Si une personne malveillante a altéré un package, le client peut consommer une partie considérable de sa bande passante lors du téléchargement du package, juste pour le voir rejeté en raison d'une signature non valide.
Informations de confidentialité
La distribution de logiciels permet d'exécuter n'importe quel programme ou script sur un client dans le site. Configuration Manager 2007 n'a aucun contrôle sur les types de programmes ou scripts exécutés ou sur le type d'informations transmises. Au cours de la distribution de logiciels, Configuration Manager 2007 peut transmettre les informations entre les clients et les serveurs qui identifient l'ordinateur et les comptes de connexion.
Configuration Manager 2007 gère les informations d'état sur le processus de distribution de logiciels. Les informations d'état sur la distribution de logiciels ne sont pas chiffrées pendant la transmission, sauf si vous activez le mode natif. Les informations d'état sont stockées dans la base de données sous une forme non chiffrée.
Elles sont enregistrées dans la base de données du site et supprimées par défaut tous les 30 jours. Le comportement de suppression peut être configuré en définissant à la fois les propriétés de la règle de filtre d'état et la tâche de maintenance de site. Aucune information d'état n'est renvoyée à Microsoft.
L'utilisation de l'installation de logiciels Configuration Manager 2007 pour installer à distance, en mode interactif ou silencieux, des logiciels sur les clients peut être soumise à un contrat de licence propre à ce logiciel et distinct des termes du contrat de licence logiciel de Configuration Manager 2007. Vous devez toujours consulter et accepter les Termes du contrat de licence logicielle avant d'installer le logiciel avec Configuration Manager 2007.
La distribution de logiciels n'est pas définie par défaut et nécessite plusieurs étapes de configuration. Avant de configurer la distribution de logiciels, réfléchissez aux conditions de confidentialité souhaitées.
Voir aussi
Autres ressources
Meilleures pratiques pour la sécurité et informations de confidentialité pour les fonctionnalités de Configuration Manager
Distribution de logiciels dans Configuration Manager