Sécurité et confidentialité des mises à jour logicielles dans Configuration ManagerSecurity and privacy for software updates in Configuration Manager

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Cette rubrique contient des informations de sécurité et de confidentialité pour les mises à jour logicielles dans Configuration Manager.This topic contains security and privacy information for software updates in Configuration Manager.

Bonnes pratiques concernant les mises à jour logiciellesSecurity best practices for software updates

Utilisez ces meilleures pratiques de sécurité lorsque vous déployez des mises à jour logicielles vers des clients :Use the following security best practices when you deploy software updates to clients:

  • Ne modifiez pas les autorisations par défaut des packages de mises à jour logicielles.Do not change the default permissions on software update packages.

    Par défaut, les packages de mises à jour logicielles sont définis pour permettre aux administrateurs d'avoir un Contrôle intégral et aux utilisateurs d'avoir un accès en Lecture .By default, software update packages are set to allow administrators Full Control and users to have Read access. La modification de ces autorisations pourrait permettre à un attaquant d'ajouter, de retirer ou de supprimer des mises à jour logicielles.If you change these permissions, it might allow an attacker to add, remove, or delete software updates.

  • Contrôlez l'accès à l'emplacement de téléchargement des mises à jour logicielles.Control access to the download location for software updates.

    Les comptes d'ordinateur pour le fournisseur SMS, le serveur de site et l'utilisateur administratif qui téléchargeront les mises à jour logicielles vers l'emplacement de téléchargement doivent avoir un accès en Écriture à cet emplacement.The computer accounts for the SMS Provider, the site server, and the administrative user who will actually download the software updates to the download location require Write access to the download location. Limitez l'accès à l'emplacement de téléchargement pour éviter que des personnes malveillantes ne falsifient les fichiers sources des mises à jour logicielles.Restrict access to the download location to reduce the risk of attackers tampering with the software updates source files in the download location.

    En outre, si vous utilisez un partage UNC pour l'emplacement de téléchargement, sécurisez le canal réseau à l'aide d'une signature IPsec ou SMB pour éviter la falsification des fichiers sources des mises à jour logicielles lorsqu'ils sont transférés sur le réseau.In addition, if you use a UNC share for the download location, secure the network channel by using IPsec or SMB signing to prevent tampering of the software updates source files when they are transferred over the network.

  • Utilisez le temps universel coordonné (UTC) pour évaluer les temps de déploiement.Use UTC for evaluating deployment times.

    Si vous utilisez l'heure locale au lieu de l'heure UTC, les utilisateurs pourraient retarder l'installation des mises à jour logicielles en changeant le fuseau horaire sur leurs ordinateurs.If you use local time instead of UTC, users could potentially delay installation of software updates by changing the time zone on their computers

  • Activez SSL sur WSUS, puis suivez les meilleures pratiques pour la sécurisation de Windows Server Update Services (WSUS).Enable SSL on WSUS and follow the best practices for securing Windows Server Update Services (WSUS).

    Identifiez et adoptez les bonnes pratiques de sécurité pour la version de WSUS que vous utilisez avec Configuration Manager.Identify and follow the security best practices for the version of WSUS that you use with Configuration Manager.

    Pour plus d’informations sur l’activation de SSL, consultez Tutoriel : Configurer un point de mise à jour logicielle pour utiliser TLS/SSL avec un certificat PKI.For more information on enabling SSL, see the Configure a software update point to use TLS/SSL with a PKI certificate tutorial.

    Important

    Si vous configurez le point de mise à jour logicielle pour activer les communications SSL pour le serveur WSUS, vous devez configurer SSL pour les racines virtuelles sur le serveur WSUS.If you configure the software update point to enable SSL communications for the WSUS server, you must configure virtual roots for SSL on the WSUS server.

  • Activez la vérification de la liste de révocation de certificats.Enable CRL checking.

    Par défaut, Configuration Manager ne consulte pas la liste de révocation de certificats (CRL) pour vérifier la signature des mises à jour logicielles avant de les déployer sur les ordinateurs.By default, Configuration Manager does not check the certificate revocation list (CRL) to verify the signature on software updates before they are deployed to computers. La vérification de la liste de révocation de certificats à chaque utilisation d'un certificat est une sécurité supplémentaire qui permet de ne pas utiliser de certificat révoqué. Toutefois, elle implique un délai de connexion et un traitement supplémentaire sur l'ordinateur qui l'effectue.Checking the CRL each time a certificate is used offers more security against using a certificate that has been revoked, but it introduces a connection delay and incurs additional processing on the computer performing the CRL check.

    Pour plus d'informations sur l'activation de la vérification de la liste de révocation des certificats pour les mises à jour logicielles, voir How to Enable CRL Checking for Software Updates.For more information about how to enable CRL checking for software updates, see How to enable CRL checking for software updates.

  • Configurez WSUS pour utiliser un site Web personnalisé.Configure WSUS to use a custom website.

    Lorsque vous installez WSUS sur le point de mise à jour logicielle, vous avez la possibilité d'utiliser le site Web IIS par défaut existant ou créer un site Web WSUS personnalisé.When you install WSUS on the software update point, you have the option to use the existing IIS Default Web site or to create a custom WSUS website. Créez un site Web personnalisé pour WSUS de sorte que les services Internet hébergent les services WSUS dans un site Web virtuel dédié plutôt que de partager le même site Web que celui utilisé par les autres systèmes de site Configuration Manager ou d'autres applications.Create a custom website for WSUS so that IIS hosts the WSUS services in a dedicated virtual website instead of sharing the same web site that is used by the other Configuration Manager site systems or other applications.

    Pour plus d'informations, voir Configure WSUS to use a custom web site.For more information, see Configure WSUS to use a custom web site.

Informations de confidentialité pour les mises à jour logiciellesPrivacy information for software updates

Les mises à jour logicielles analysent vos ordinateurs clients pour connaître les mises à jour requises et renvoient les informations à la base de données de site.Software updates scans your client computers to determine which software updates you require, and then sends that information back to the site database. Pendant le processus de mise à jour logicielle, Configuration Manager peut faire circuler, entre les clients et les serveurs, des informations qui permettent d’identifier les comptes d’ordinateur et d’ouverture de session.During the software updates process, Configuration Manager might transmit information between clients and servers that identify the computer and logon accounts.

Configuration Manager gère les informations d’état relatives au processus de déploiement de logiciels.Configuration Manager maintains state information about the software deployment process. Les informations d'état ne sont pas chiffrées au cours de la transmission ou du stockage.State information is not encrypted during transmission or storage. Les informations d’état sont stockées dans la base de données Configuration Manager et sont supprimées par les tâches de maintenance de la base de données.State information is stored in the Configuration Manager database and it is deleted by the database maintenance tasks. Aucune information d'état n'est renvoyée à Microsoft.No state information is sent to Microsoft.

L’utilisation des mises à jour logicielles Configuration Manager pour installer les mises à jour logicielles sur les ordinateurs clients peut être soumise à un contrat de licence indépendant du contrat de licence logiciel de Configuration Manager.The use of Configuration Manager software updates to install software updates on client computers might be subject to software license terms for those updates, which is separate from the Software License Terms for Configuration Manager. Consultez et acceptez toujours les termes du contrat de licence logicielle pour pouvoir installer les mises à jour logicielles à l’aide de Configuration Manager.Always review and agree to the Software Licensing Terms prior to installing the software updates by using Configuration Manager.

Configuration Manager n’implémente pas les mises à jour logicielles par défaut et requiert plusieurs étapes de configuration avant de collecter les informations.Configuration Manager does not implement software updates by default and requires several configuration steps before information is collected.

Avant de configurer les mises à jour logicielles, réfléchissez à vos besoins en matière de confidentialité.Before you configure software updates, consider your privacy requirements.