Sécurité et confidentialité pour le déploiement du système d’exploitation dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Cet article contient des informations de sécurité et de confidentialité pour la fonctionnalité de déploiement de système d’exploitation dans Configuration Manager.
Meilleures pratiques de sécurité pour le déploiement du système d’exploitation
Utilisez les meilleures pratiques de sécurité suivantes lorsque vous déployez des systèmes d’exploitation avec Configuration Manager :
Implémenter des contrôles d’accès pour protéger le média de démarrage
Lorsque vous créez un média de démarrage, affectez toujours un mot de passe pour sécuriser le média. Même avec un mot de passe, il chiffre uniquement les fichiers qui contiennent des informations sensibles, et tous les fichiers peuvent être remplacés.
Contrôlez l’accès physique au média pour empêcher un attaquant d’utiliser des attaques de chiffrement pour obtenir le certificat d’authentification client.
Pour empêcher un client d’installer du contenu ou une stratégie client qui a été falsifié, le contenu est haché et doit être utilisé avec la stratégie d’origine. Si le hachage du contenu échoue ou si le contenu correspond à la stratégie, le client n’utilise pas le média de démarrage. Seul le contenu est haché. La stratégie n’est pas hachée, mais elle est chiffrée et sécurisée lorsque vous spécifiez un mot de passe. Ce comportement rend plus difficile pour un attaquant de modifier correctement la stratégie.
Utiliser un emplacement sécurisé lorsque vous créez un média pour des images de système d’exploitation
Si des utilisateurs non autorisés ont accès à l’emplacement, ils peuvent falsifier les fichiers que vous créez. Ils peuvent également utiliser tout l’espace disque disponible afin que la création du média échoue.
Protéger les fichiers de certificat
Protégez les fichiers de certificat (.pfx) avec un mot de passe fort. Si vous les stockez sur le réseau, sécurisez le canal réseau lorsque vous les importez dans Configuration Manager
Lorsque vous avez besoin d’un mot de passe pour importer le certificat d’authentification client que vous utilisez pour le support de démarrage, cette configuration permet de protéger le certificat contre un attaquant.
Utilisez la signature SMB ou IPsec entre l’emplacement réseau et le serveur de site pour empêcher une personne malveillante de falsifier le fichier de certificat.
Bloquer ou révoquer tous les certificats compromis
Si le certificat client est compromis, bloquez le certificat de Configuration Manager. S’il s’agit d’un certificat PKI, révoquez-le.
Pour déployer un système d’exploitation à l’aide d’un média de démarrage et d’un démarrage PXE, vous devez disposer d’un certificat d’authentification client avec une clé privée. Si ce certificat est compromis, bloquez-le dans le nœud Certificats de l’espace de travail Administration , nœud Sécurité .
Sécuriser le canal de communication entre le serveur de site et le fournisseur SMS
Lorsque le fournisseur SMS est distant du serveur de site, sécurisez le canal de communication pour protéger les images de démarrage.
Lorsque vous modifiez des images de démarrage et que le fournisseur SMS s’exécute sur un serveur qui n’est pas le serveur de site, les images de démarrage sont vulnérables aux attaques. Protégez le canal réseau entre ces ordinateurs en utilisant la signature SMB ou IPsec.
Activer les points de distribution pour la communication du client PXE uniquement sur des segments réseau sécurisés
Lorsqu’un client envoie une demande de démarrage PXE, vous n’avez aucun moyen de vous assurer que la requête est prise en charge par un point de distribution PXE valide. Ce scénario présente les risques de sécurité suivants :
Un point de distribution non autorisé qui répond aux demandes PXE peut fournir une image falsifiée aux clients.
Un attaquant peut lancer une attaque de l’intercepteur contre le protocole TFTP utilisé par PXE. Cette attaque peut envoyer du code malveillant avec les fichiers du système d’exploitation. L’attaquant peut également créer un client non autorisé pour envoyer des requêtes TFTP directement au point de distribution.
Un attaquant peut utiliser un client malveillant pour lancer une attaque par déni de service contre le point de distribution.
Utilisez la défense en profondeur pour protéger les segments réseau où les clients accèdent aux points de distribution compatibles PXE.
Avertissement
En raison de ces risques de sécurité, n’activez pas de point de distribution pour la communication PXE lorsqu’il se trouve dans un réseau non approuvé, tel qu’un réseau de périmètre.
Configurer des points de distribution compatibles PXE pour répondre aux requêtes PXE uniquement sur des interfaces réseau spécifiées
Si vous autorisez le point de distribution à répondre aux requêtes PXE sur toutes les interfaces réseau, cette configuration peut exposer le service PXE à des réseaux non approuvés
Exiger un mot de passe pour le démarrage PXE
Lorsque vous avez besoin d’un mot de passe pour le démarrage PXE, cette configuration ajoute un niveau de sécurité supplémentaire au processus de démarrage PXE. Cette configuration permet de vous protéger contre les clients non autorisés qui rejoignent la hiérarchie Configuration Manager.
Restreindre le contenu dans les images de système d’exploitation utilisées pour le démarrage PXE ou la multidiffusion
N’incluez pas d’applications métier ou de logiciels qui contiennent des données sensibles dans une image que vous utilisez pour le démarrage PXE ou la multidiffusion.
En raison des risques de sécurité inhérents au démarrage PXE et à la multidiffusion, réduisez les risques si un ordinateur non autorisé télécharge l’image du système d’exploitation.
Restreindre le contenu installé par les variables de séquence de tâches
N’incluez pas d’applications métier ou de logiciels qui contiennent des données sensibles dans les packages d’applications que vous installez à l’aide de variables de séquences de tâches.
Lorsque vous déployez des logiciels à l’aide de variables de séquences de tâches, ils peuvent être installés sur des ordinateurs et pour les utilisateurs qui ne sont pas autorisés à recevoir ce logiciel.
Sécuriser le canal réseau lors de la migration de l’état de l’utilisateur
Lorsque vous migrez l’état utilisateur, sécurisez le canal réseau entre le client et le point de migration d’état à l’aide de la signature SMB ou IPsec.
Après la connexion initiale via HTTP, les données de migration de l’état utilisateur sont transférées à l’aide de SMB. Si vous ne sécurisez pas le canal réseau, un attaquant peut lire et modifier ces données.
Utiliser la dernière version d’USMT
Utilisez la dernière version de l’outil de migration d’état utilisateur (USMT) prise en charge par Configuration Manager.
La dernière version d’USMT offre des améliorations de sécurité et un meilleur contrôle pour la migration des données d’état utilisateur.
Supprimer manuellement les dossiers sur les points de migration d’état lorsque vous les désactivez
Lorsque vous supprimez un dossier de point de migration d’état dans la console Configuration Manager sur les propriétés du point de migration d’état, le site ne supprime pas le dossier physique. Pour protéger les données de migration de l’état utilisateur contre la divulgation d’informations, supprimez manuellement le partage réseau et supprimez le dossier.
Ne configurez pas la stratégie de suppression pour supprimer immédiatement l’état de l’utilisateur
Si vous configurez la stratégie de suppression sur le point de migration d’état pour supprimer immédiatement les données marquées pour suppression, et si un attaquant parvient à récupérer les données d’état utilisateur avant que l’ordinateur valide ne le fasse, le site supprime immédiatement les données d’état utilisateur. Définissez l’intervalle Supprimer après l’intervalle sur suffisamment long pour vérifier la restauration réussie des données d’état utilisateur.
Supprimer manuellement les associations d’ordinateurs
Supprimez manuellement les associations d’ordinateurs lorsque la restauration des données de migration de l’état utilisateur est terminée et vérifiée.
Configuration Manager ne supprime pas automatiquement les associations d’ordinateurs. Aidez à protéger l’identité des données d’état utilisateur en supprimant manuellement les associations d’ordinateurs qui ne sont plus nécessaires.
Sauvegarder manuellement les données de migration de l’état utilisateur sur le point de migration d’état
Configuration Manager Sauvegarde n’inclut pas les données de migration de l’état utilisateur dans la sauvegarde de site.
Implémenter des contrôles d’accès pour protéger le média préparé
Contrôlez l’accès physique au média pour empêcher un attaquant d’utiliser des attaques de chiffrement pour obtenir le certificat d’authentification client et les données sensibles.
Implémenter des contrôles d’accès pour protéger le processus de création d’images de l’ordinateur de référence
Vérifiez que l’ordinateur de référence que vous utilisez pour capturer des images de système d’exploitation se trouve dans un environnement sécurisé. Utilisez les contrôles d’accès appropriés afin que des logiciels inattendus ou malveillants ne puissent pas être installés et inclus par inadvertance dans l’image capturée. Lorsque vous capturez l’image, assurez-vous que l’emplacement réseau de destination est sécurisé. Ce processus permet de s’assurer que l’image ne peut pas être falsifiée après sa capture.
Installer toujours les mises à jour de sécurité les plus récentes sur l’ordinateur de référence
Lorsque l’ordinateur de référence dispose des mises à jour de sécurité actuelles, cela permet de réduire la fenêtre de vulnérabilité des nouveaux ordinateurs lors de leur premier démarrage.
Implémenter des contrôles d’accès lors du déploiement d’un système d’exploitation sur un ordinateur inconnu
Si vous devez déployer un système d’exploitation sur un ordinateur inconnu, implémentez des contrôles d’accès pour empêcher les ordinateurs non autorisés de se connecter au réseau.
L’approvisionnement d’ordinateurs inconnus fournit une méthode pratique pour déployer de nouveaux ordinateurs à la demande. Mais cela peut également permettre à une personne malveillante de devenir efficacement un client approuvé sur votre réseau. Limitez l’accès physique au réseau et surveillez les clients pour détecter les ordinateurs non autorisés.
Toutes les données peuvent être détruites sur les ordinateurs qui répondent à un déploiement de système d’exploitation lancé par PXE. Ce comportement peut entraîner une perte de disponibilité des systèmes qui sont reformatés par inadvertance.
Activer le chiffrement pour les packages de multidiffusion
Pour chaque package de déploiement de système d’exploitation, vous pouvez activer le chiffrement lorsque Configuration Manager transfère le package à l’aide de la multidiffusion. Cette configuration permet d’empêcher les ordinateurs non autorisés de rejoindre la session de multidiffusion. Il permet également d’empêcher les attaquants de falsifier la transmission.
Surveiller les points de distribution non autorisés prenant en charge la multidiffusion
Si des attaquants peuvent accéder à votre réseau, ils peuvent configurer des serveurs de multidiffusion non autorisés pour usurper le déploiement du système d’exploitation.
Lorsque vous exportez des séquences de tâches vers un emplacement réseau, sécurisez l’emplacement et sécurisez le canal réseau
Limitez les personnes autorisées à accéder au dossier réseau.
Utilisez la signature SMB ou IPsec entre l’emplacement réseau et le serveur de site pour empêcher un attaquant de falsifier la séquence de tâches exportée.
Si vous utilisez le compte d’identification de séquence de tâches, prenez des précautions de sécurité supplémentaires
Si vous utilisez le compte d’identification de séquence de tâches, prenez les mesures de précaution suivantes :
Utilisez un compte avec le moins d’autorisations possible.
N’utilisez pas le compte d’accès réseau pour ce compte.
Ne faites jamais du compte un administrateur de domaine.
Ne configurez jamais de profils itinérants pour ce compte. Lorsque la séquence de tâches s’exécute, elle télécharge le profil itinérant pour le compte, ce qui rend le profil vulnérable à l’accès sur l’ordinateur local.
Limitez l’étendue du compte. Par exemple, créez des comptes d’exécution de séquence de tâches différents pour chaque séquence de tâches. Si un compte est compromis, seuls les ordinateurs clients auxquels ce compte a accès sont compromis. Si la ligne de commande nécessite un accès administratif sur l’ordinateur, envisagez de créer un compte d’administrateur local uniquement pour le compte d’exécution de séquence de tâches. Créez ce compte local sur tous les ordinateurs qui exécutent la séquence de tâches et supprimez le compte dès qu’il n’est plus nécessaire.
Restreindre et surveiller les utilisateurs administratifs auxquels le rôle de sécurité gestionnaire de déploiement du système d’exploitation est attribué
Les utilisateurs administratifs auxquels le rôle de sécurité gestionnaire de déploiement du système d’exploitation est attribué peuvent créer des certificats auto-signés. Ces certificats peuvent ensuite être utilisés pour emprunter l’identité d’un client et obtenir une stratégie cliente à partir de Configuration Manager.
Utiliser le protocole HTTP amélioré pour réduire le besoin d’un compte d’accès réseau
À compter de la version 1806, lorsque vous activez http amélioré, plusieurs scénarios de déploiement de système d’exploitation ne nécessitent pas de compte d’accès réseau pour télécharger du contenu à partir d’un point de distribution. Pour plus d’informations, consultez Séquences de tâches et compte d’accès réseau.
Problèmes de sécurité pour le déploiement du système d’exploitation
Bien que le déploiement du système d’exploitation puisse être un moyen pratique de déployer les systèmes d’exploitation et les configurations les plus sécurisés pour les ordinateurs de votre réseau, il présente les risques de sécurité suivants :
Divulgation d’informations et déni de service
Si un attaquant peut obtenir le contrôle de votre infrastructure Configuration Manager, il peut exécuter n’importe quelle séquence de tâches. Ce processus peut inclure la mise en forme des disques durs de tous les ordinateurs clients. Les séquences de tâches peuvent être configurées pour contenir des informations sensibles, telles que des comptes disposant d’autorisations pour joindre les clés de licence en volume et de domaine.
Emprunt d’identité et élévation de privilèges
Les séquences de tâches peuvent joindre un ordinateur à un domaine, ce qui peut fournir à un ordinateur non autorisé un accès réseau authentifié.
Protégez le certificat d’authentification client utilisé pour le média de séquence de tâches de démarrage et pour le déploiement de démarrage PXE. Lorsque vous capturez un certificat d’authentification client, ce processus permet à un attaquant d’obtenir la clé privée dans le certificat. Ce certificat leur permet d’emprunter l’identité d’un client valide sur le réseau. Dans ce scénario, l’ordinateur non autorisé peut télécharger la stratégie, qui peut contenir des données sensibles.
Si les clients utilisent le compte d’accès réseau pour accéder aux données stockées sur le point de migration d’état, ces clients partagent effectivement la même identité. Ils peuvent accéder aux données de migration d’état à partir d’un autre client qui utilise le compte d’accès réseau. Les données étant chiffrées, seul le client d’origine peut les lire, mais les données peuvent être falsifiées ou supprimées.
L’authentification du client auprès du point de migration d’état est obtenue à l’aide d’un jeton Configuration Manager émis par le point de gestion.
Configuration Manager ne limite ni ne gère la quantité de données stockées sur le point de migration d’état. Un attaquant peut remplir l’espace disque disponible et provoquer un déni de service.
Si vous utilisez des variables de collection, les administrateurs locaux peuvent lire les informations potentiellement sensibles
Bien que les variables de collecte offrent une méthode flexible pour déployer des systèmes d’exploitation, cette fonctionnalité peut entraîner la divulgation d’informations.
Informations de confidentialité pour le déploiement du système d’exploitation
En plus du déploiement d’un système d’exploitation sur des ordinateurs sans système d’exploitation, Configuration Manager peut être utilisé pour migrer les fichiers et les paramètres des utilisateurs d’un ordinateur à un autre. L’administrateur configure les informations à transférer, notamment les fichiers de données personnelles, les paramètres de configuration et les cookies du navigateur.
Configuration Manager stocke les informations sur un point de migration d’état et les chiffre pendant la transmission et le stockage. Seul le nouvel ordinateur associé aux informations d’état peut récupérer les informations stockées. Si le nouvel ordinateur perd la clé pour récupérer les informations, un administrateur Configuration Manager avec le droit Afficher les informations de récupération sur les objets d’instance d’association d’ordinateurs peut accéder aux informations et les associer à un nouvel ordinateur. Une fois que le nouvel ordinateur a restauré les informations d’état, il supprime les données après un jour, par défaut. Vous pouvez configurer le moment où le point de migration d’état supprime les données marquées pour suppression. Configuration Manager ne stocke pas les informations de migration d’état dans la base de données du site et ne les envoie pas à Microsoft.
Si vous utilisez un support de démarrage pour déployer des images de système d’exploitation, utilisez toujours l’option par défaut pour protéger le média de démarrage par mot de passe. Le mot de passe chiffre toutes les variables stockées dans la séquence de tâches, mais toute information non stockée dans une variable peut être vulnérable à la divulgation.
Le déploiement du système d’exploitation peut utiliser des séquences de tâches pour effectuer de nombreuses tâches différentes pendant le processus de déploiement, notamment l’installation d’applications et de mises à jour logicielles. Lorsque vous configurez des séquences de tâches, vous devez également être conscient des implications en matière de confidentialité de l’installation des logiciels.
Configuration Manager n’implémente pas le déploiement du système d’exploitation par défaut. Il nécessite plusieurs étapes de configuration avant de collecter des informations d’état utilisateur ou de créer des séquences de tâches ou des images de démarrage.
Avant de configurer le déploiement du système d’exploitation, tenez compte de vos exigences en matière de confidentialité.
Voir aussi
Données de diagnostic et d’utilisation
Sécurité et confidentialité pour le Gestionnaire de configuration
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour