Sécurité et confidentialité pour la gestion de contenu dans Configuration ManagerSecurity and privacy for content management in Configuration Manager

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Cet article contient des informations de sécurité et de confidentialité pour la gestion de contenu dans Configuration Manager.This article contains security and privacy information for content management in Configuration Manager.

Meilleures pratiques de sécurité pour la gestion de contenuSecurity best practices for content management

Avantages et inconvénients de HTTPS ou HTTP pour les points de distribution intranetAdvantages and disadvantages of HTTPS or HTTP for intranet distribution points

Pour les points de distribution sur l’intranet, prenez en compte les avantages et les inconvénients de l’utilisation des protocoles HTTP et HTTPS.For distribution points on the intranet, consider the advantages and disadvantages of using HTTPS and HTTP. Dans la plupart des cas, utiliser le protocole HTTP et des comptes d'accès aux packages pour l'autorisation est plus sûr qu'utiliser le protocole HTTPS avec chiffrement mais sans autorisation.In most scenarios, using HTTP and package access accounts for authorization provides more security than using HTTPS with encryption but without authorization. Toutefois, si des données sensibles se trouvent dans votre contenu que vous souhaitez chiffrer lors du transfert, utilisez le protocole HTTPS.However, if you have sensitive data in your content that you want to encrypt during transfer, use HTTPS.

  • Quand vous utilisez HTTPS pour un point de distribution, Configuration Manager n’utilise pas les comptes d’accès aux packages pour autoriser l’accès au contenu, mais le contenu est chiffré pendant son transfert sur le réseau.When you use HTTPS for a distribution point, Configuration Manager doesn't use package access accounts to authorize access to the content, but the content is encrypted when it's transferred over the network.

  • Quand vous utilisez HTTP pour un point de distribution, vous pouvez utiliser des comptes d’accès aux packages pour l’autorisation, mais le contenu n’est pas chiffré pendant son transfert sur le réseau.When you use HTTP for a distribution point, you can use package access accounts for authorization, but the content isn't encrypted when it's transferred over the network.

À compter de la version 1806, activez HTTP amélioré pour le site.Starting in version 1806, consider enabling Enhanced HTTP for the site. Cette fonctionnalité permet aux clients d’utiliser l’authentification Azure Active Directory pour communiquer de manière sécurisée avec un point de distribution HTTP.This feature allows clients to use Azure Active Directory authentication to securely communicate with an HTTP distribution point. Pour plus d’informations, consultez HTTP amélioré.For more information, see Enhanced HTTP.

Protéger le fichier de certificat d’authentification clientProtect the client authentication certificate file

Si vous utilisez un certificat d'authentification de client PKI plutôt qu'un certificat auto-signé pour le point de distribution, protégez le fichier de certificat (.pfx) avec un mot de passe fort.If you use a PKI client authentication certificate rather than a self-signed certificate for the distribution point, protect the certificate file (.pfx) with a strong password. Si vous stockez le fichier sur le réseau, sécurisez le canal du réseau lorsque vous importez le fichier dans Configuration Manager.If you store the file on the network, secure the network channel when you import the file into Configuration Manager.

Quand vous avez besoin d’un mot de passe pour importer le certificat d’authentification du client que le point de distribution utilise pour communiquer avec des points de gestion, cette configuration permet de protéger le certificat contre les utilisateurs malveillants.When you require a password to import the client authentication certificate that the distribution point uses to communicate with management points, this configuration helps to protect the certificate from an attacker. Utilisez la signature SMB (Server Message Block) ou IPsec entre l’emplacement réseau et le serveur de site pour empêcher une personne malveillante de falsifier le fichier de certificat.Use Server Message Block (SMB) signing or IPsec between the network location and the site server to prevent an attacker from tampering with the certificate file.

Supprimer le rôle de point de distribution du serveur de siteRemove the distribution point role from the site server

Par défaut, le programme d’installation de Configuration Manager installe un point de distribution sur le serveur de site.By default, Configuration Manager setup installs a distribution point on the site server. Les clients n’ont pas besoin de communiquer directement avec le serveur de site.Clients don't have to communicate directly with the site server. Pour réduire la surface d’attaque, attribuez le rôle de point de distribution à d’autres systèmes de site et retirez-le du serveur de site.To reduce the attack surface, assign the distribution point role to other site systems and remove it from the site server.

Sécuriser le contenu au niveau de l’accès aux packagesSecure content at the package access level

Le partage de point de distribution permet un accès en lecture à tous les utilisateurs.The distribution point share allows read access to all users. Pour restreindre les utilisateurs pouvant accéder au contenu, utilisez les comptes d'accès aux packages lorsque le point de distribution est configuré pour le protocole HTTP.To restrict which users can access the content, use package access accounts when the distribution point is configured for HTTP. Cette configuration ne s’applique pas aux points de distribution cloud, qui ne prennent pas en charge les comptes d’accès aux packages.This configuration doesn't apply to cloud distribution points, which don't support package access accounts. Pour plus d’informations, consultez Comptes d’accès aux packages.For more information, see Package access accounts.

Configurer IIS sur le rôle de point de distributionConfigure IIS on the distribution point role

Si Configuration Manager installe IIS quand vous ajoutez un rôle de système de site du point de distribution, supprimez la redirection HTTP ou les scripts et outils de gestion IIS une fois l’installation du point de distribution terminée.If Configuration Manager installs IIS when you add a distribution point site system role, remove HTTP redirection or IIS Management Scripts and Tools when the distribution point installation is complete. Le point de distribution ne nécessite pas la redirection HTTP ou les scripts et outils de gestion IIS.The distribution point doesn't require HTTP redirection or IIS Management Scripts and Tools. Pour réduire la surface d’attaque, supprimez ces services de rôle pour le rôle de serveur Web.To reduce the attack surface, remove these role services for the web server role. Pour plus d’informations sur les services de rôle pour le rôle de serveur web pour les points de distribution, consultez Prérequis des sites et systèmes de site.For more information about the role services for the web server role for distribution points, see Site and site system prerequisites.

Définir des autorisations d'accès aux packages lors de la création du packageSet package access permissions when you create the package

Comme les modifications apportées aux comptes d'accès sur les fichiers de package ne sont mises en place qu'une fois que le package a été redistribué, paramétrez les autorisations d'accès au package avec précaution lorsque vous créez le package pour la première fois.Because changes to the access accounts on the package files become effective only when you redistribute the package, set the package access permissions carefully when you first create the package. Cette configuration est importante quand le package est volumineux ou distribué à de nombreux points de distribution, et quand la capacité de la bande passante réseau pour la distribution de contenu est limitée.This configuration is important when the package is large or distributed to many distribution points, and when the network bandwidth capacity for content distribution is limited.

Implémenter des contrôles d'accès pour protéger les supports qui contiennent le contenu préparéImplement access controls to protect media that contains prestaged content

Le contenu préparé est compressé mais n'est pas chiffré.Prestaged content is compressed but not encrypted. Une personne malveillante pourrait lire et modifier les fichiers qui sont téléchargés vers des appareils.An attacker could read and modify the files that are downloaded to devices. Les clients Configuration Manager rejettent le contenu qui a été falsifié, mais ils le téléchargent malgré tout.Configuration Manager clients reject content that's tampered with, but they still download it.

Importer du contenu préparé avec ExtractContentImport prestaged content with ExtractContent

Importez du contenu préparé uniquement à l’aide de l’outil en ligne de commande ExtractContent.exe.Only import prestaged content by using the ExtractContent.exe command-line tool. Pour éviter toute falsification et une élévation de privilèges, n’utilisez que l’outil en ligne de commande fourni avec Configuration Manager.To avoid tampering and elevation of privileges, use only the authorized command-line tool that comes with Configuration Manager.

Sécuriser le canal de communication entre le serveur de site et l'emplacement source du packageSecure the communication channel between the site server and the package source location

Utilisez une signature SMB ou IPsec entre le serveur de site et l’emplacement source du package quand vous créez des applications et des packages.Use IPsec or SMB signing between the site server and the package source location when you create applications and packages. Cette configuration permet d’empêcher une personne malveillante de falsifier les fichiers sources.This configuration helps to prevent an attacker from tampering with the source files.

Supprimer les répertoires virtuels par défaut pour le site web personnalisé avec le rôle de point de distributionRemove default virtual directories for custom website with the distribution point role

Si vous changez l’option de configuration du site pour utiliser un site web personnalisé plutôt que le site web par défaut après l’installation d’un rôle de point de distribution, supprimez les répertoires virtuels par défaut.If you change the site configuration option to use a custom website rather than the default website after installing a distribution point role, remove the default virtual directories. Quand vous passez du site web par défaut à un site web personnalisé, Configuration Manager ne supprime pas les anciens répertoires virtuels.When you switch from the default website to a custom website, Configuration Manager doesn't remove the old virtual directories. Supprimez les répertoires virtuels suivants que Configuration Manager a créés initialement sous le site web par défaut :Remove the following virtual directories that Configuration Manager originally created under the default website:

  • SMS_DP_SMSPKG$SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$NOCERT_SMS_DP_SMSSIG$

Pour les points de distribution cloud, protéger vos informations d’abonnement Azure et vos certificatsFor cloud distribution points, protect your Azure subscription details and certificates

Quand vous utilisez des points de distribution cloud, protégez les éléments particulièrement importants suivants :When you use cloud distribution points, protect the following high-value items:

  • Le nom d’utilisateur et le mot de passe de votre abonnement AzureThe user name and password for your Azure subscription
  • Le certificat de gestion AzureThe Azure management certificate
  • Le certificat du service du point de distribution cloudThe cloud distribution point service certificate

Stockez les certificats de manière sécurisée.Store the certificates securely. Si vous y accédez via le réseau lors de la configuration du point de distribution cloud, utilisez la signature SMB ou IPsec entre le serveur de système de site et l’emplacement source.If you browse to them over the network when you configure the cloud distribution point, use IPsec or SMB signing between the site system server and the source location.

Pour garantir la continuité du service, superviser la date d’expiration des certificats de point de distribution cloudFor service continuity, monitor the expiry date of the cloud distribution point certificates

Configuration Manager ne vous avertit pas quand les certificats importés pour le point de distribution cloud sont sur le point d’expirer.Configuration Manager doesn't warn you when the imported certificates for the cloud distribution point are about to expire. Supervisez les dates d’expiration indépendamment de Configuration Manager.Monitor the expiry dates independently from Configuration Manager. Pensez à renouveler puis à importer le nouveau certificat avant la date d’expiration.Make sure that you renew and then import the new certificates before the expiry date. Cette action est importante si vous faites l’acquisition un certificat d’authentification serveur auprès d’un fournisseur public externe, car l’acquisition d’un certificat renouvelé peut prendre plus de temps.This action is important if you acquire a server authentication certificate from an external, public provider, because you might need additional time to acquire a renewed certificate.

En cas d’expiration d’un certificat, le Gestionnaire de services cloud génère l’ID de message d’état 9425.If either certificate expires, Cloud Services Manager generates the status message ID 9425. Le fichier CloudMgr.log contient une entrée pour indiquer que le certificat est dans l’état Expiré, avec la date d’expiration également exprimée au format UTC.The CloudMgr.log file contains an entry to indicate that the certificate is in expired state, with the expiry date also logged in UTC.

Considérations de sécurité pour la gestion de contenuSecurity considerations for content management

Tenez compte des points suivants au moment de planifier la gestion de contenu :Consider the following points when planning for content management:

  • Les clients ne valident pas le contenu jusqu’au téléchargement de celui-ci.Clients don't validate content until after it's downloaded.

    Les clients Configuration Manager ne valident le hachage du contenu qu’après le téléchargement de celui-ci dans leur cache client.Configuration Manager clients validate the hash on content only after it's downloaded to their client cache. Si un individu mal intentionné falsifie la liste des fichiers à télécharger ou le contenu lui-même, le processus de téléchargement peut consommer une quantité importante de bande passante réseau pour que le client supprime ensuite le contenu quand il rencontre le hachage non valide.If an attacker tampers with the list of files to download or with the content itself, the download process can take up considerable network bandwidth, only for the client to then discard the content when it encounters the invalid hash.

  • Quand vous utilisez des points de distribution cloud, l’accès au contenu est automatiquement limité à votre entreprise.When you use cloud distribution points, access to the content is automatically restricted to your enterprise. Vous ne pouvez pas le limiter de façon plus précise en sélectionnant des utilisateurs ou des groupes.You can't restrict it further to selected users or groups.

  • Quand vous utilisez des points de distribution cloud, les clients sont authentifiés par le point de gestion, puis ils utilisent un jeton Configuration Manager pour accéder aux points de distribution cloud.When you use cloud distribution points, clients are authenticated by the management point and then use a Configuration Manager token to access cloud distribution points. Le jeton reste valide pendant huit heures.The token is valid for eight hours. Ce comportement signifie que si vous bloquez un client parce qu’il n’est plus approuvé, il peut continuer à télécharger du contenu à partir d’un point de distribution cloud jusqu’à la fin de la période de validité de ce jeton.This behavior means that if you block a client because it's no longer trusted, it can continue to download content from a cloud distribution point until the validity period of this token has expired. À ce stade, le point de gestion n’émettra pas d’autre jeton pour le client, puisque celui-ci aura été bloqué.At this point, the management point won't issue another token for the client because the client is blocked.

    Pour empêcher un client bloqué de télécharger du contenu pendant cette période de huit heures, arrêtez le service de cloud.To avoid a blocked client from downloading content within this eight-hour window, stop the cloud service. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez le nœud Points de distribution cloud.In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select the Cloud Distribution Points node.

Informations de confidentialité pour la gestion de contenuPrivacy information for content management

Configuration Manager n’inclut pas de données utilisateur dans les fichiers de contenu, même si un utilisateur administratif peut choisir d’effectuer cette action.Configuration Manager doesn't include any user data in content files, although an administrative user might choose to do this action.

Voir aussiSee also