En retour d'expérience des interventions du support réactif, mais aussi proactif chez nos clients, nous vous proposons une session sur la sécurité dans ConfigMgr 2012 R2. D’un côté, nous abordons comment ConfigMgr contribue à la mise en œuvre d’une meilleure protection. De l’autre, nous vous proposons de faire le tour des bonnes pratiques dans l’architecture de ConfigMgr 2012 R2 et la mise en œuvre de la délégation, notamment, afin d’éviter des crises potentielles.
5. tech.days 2015#mstechdays
Installation poussée de l’agent ConfigMgr
Installation d’un logiciel
Distribution d’un système d’exploitation
Gestion de la conformité
À travers quelques exemples
Sécurité et ConfigMgr 2012 R2
6. tech.days 2015#mstechdays
« Un ordinateur sécurisé est un ordinateur éteint ! Et encore… » Bill GATES
Une chaîne dépend du
maillon le plus faible !
Sécurité et ConfigMgr 2012 R2
9. tech.days 2015#mstechdays
Réinstallation accidentelle de serveurs
Suppression d’objets dans la console
Erreurs de déploiement / packaging
Perte de la clé de recouvrement de BitLocker
Utilisation malveillante
Toute ressemblance avec des événements… n’est pas une coïncidence
Sécurité et ConfigMgr 2012 R2
12. tech.days 2015#mstechdays
Rôles de sécurité prédéfinis
Groupes d’utilisateurs
Étendues de sécurité (Scopes) / Regroupements
(Collections)
Matrix of Role-Based Administration Permissions for
ConfigMgr 2012
Visibilité dans la console
Role Based Administration
Sécurité et ConfigMgr 2012 R2
15. tech.days 2015#mstechdays
Exemple d’utilisation : changer le comportement de
l’interface
http://blogs.msdn.com/b/spapp/archive/2013/06/22/configmgr-
2012-lancer-l-explorateur-de-ressources-sur-un-double-clic.aspx
Autre exemple : Faire disparaître tous les espaces de
travail sauf Ressources et Conformité ou ne conserver
que Propriétés ou Explorateur de ressources sur un
clic droit sur un client
Sécurité par obscurité
Sécurité et ConfigMgr 2012 R2
21. tech.days 2015#mstechdays
Ne pas remonter d’informations confidentielles ou
privée !
Limiter la taille des fichiers MIF
Ne pas collecter les NoIdMIF
À bas les cadences infernales !
Inventaire
Sécurité et ConfigMgr 2012 R2
22. tech.days 2015#mstechdays
Ne pas distribuer sur la collection All Systems
Compte d’accès réseau
Compte pour joindre le domaine
Compte administrateur local
Distribution de Système d’exploitation ou OSD
Sécurité et ConfigMgr 2012 R2
23. tech.days 2015#mstechdays
Droits de créer des packages/applications versus
droits de déployer
Distribution sous Local System
Contenu distribué
Distribution de logiciels
Sécurité et ConfigMgr 2012 R2
24. tech.days 2015#mstechdays
Groupe WSUS Administrators
Compte pour la synchronisation via le proxy
Site Web personnalisé
Gestion des mises à jour
Sécurité et ConfigMgr 2012 R2
26. tech.days 2015#mstechdays
Signature de code
PowerShell et Set-ExecutionPolicy
Scripts de remédiation
Gestion de conformité
Sécurité et ConfigMgr 2012 R2
28. tech.days 2015#mstechdays
Suivi de la délégation et audits
Remettre en conditions opérationnelles une
infrastructure ConfigMgr
Sécurité et ConfigMgr 2012 R2
34. Audit Security (Sécurité de l’audit)*
Control AMT (Contrôler AMT)
Create (Créer)
Delete (Suprimer)
Delete Resource (Supprimer la resource)
Deploy AntiMalware Policies (Déployer des
strategies anti-programmes malveillants)
Deploy Applications (Déployer des
applications)
Deploy Client Settings (Déployer des
paramètres client)
Deploy Configuration Items (Déployer des
éléments de configuration)
Deploy Firewall Policies (Déployer des
strategies de pare-feu)
Deploy Packages (Déployer des packages)
Deploy Software Updates (Déployer des mises
à jour logicielles)
Deploy Task Sequences (Déployer des
sequences de tâches)
Enforce Security
Manage Folder (Modifier un dossier)
Modify (Modifier)
Modify Client Status Alert (Modifier l’alerte
relative à l’état du client)
Modify Collection Setting (Modifier les
paramètres de regroupement)
Modify Folder (Modifier un dossier)
Modify Resource (Modifier la resource)
Move Object (Déplacer un objet)
Provision AMT (Préparer AMT)
Read (Lecture)
Read Resource (Lire la resource)
Remote Control (Contrôle à distance)
View Collected File (Afficher le fichier collecté)
* Sic ! 36
35. Abonnements aux alertes
Stratégies anti-programme
malveillant
Applications
Images de démarrage
Groupes de limites
Éléments de configuration
Paramètres client personnalisés
Points de distribution et groupes de
points de distribution
Packages de pilotes
Conditions globales
Tâches de migration
Images du système d'exploitation
Packages d'installation du système
d'exploitation
Packages
Requêtes
Sites
Règles de contrôle de logiciel
Groupes de mises à jour logicielles
Packages de mises à jour logicielles
Packages de séquence de tâches
Éléments et packages des
paramètres du périphérique
Windows CE
37
36. Forêts Active Directory*
Utilisateurs administratifs
Alertes
Limites
Associations
d'ordinateurs
Paramètres client par
défaut*
Modèles de déploiement
Pilotes de périphériques
Connecteur Exchange
Server*
Mappages de site à site
de migration
Profil d'inscription de
périphérique mobile
Rôles de sécurité
Étendues de sécurité
Adresses de site*
Rôles système de site*
Titres des logiciels
Mises à jour logicielles
Messages d'état
Affinités des
périphériques
d'utilisateur
38