Planifier la sécurité dans System Center Configuration Manager

 

S'applique à: System Center Configuration Manager (current branch)

Configuration Manager utilise une combinaison de certificats auto-signés et de certificats pour infrastructure à clé publique (PKI).

Comme meilleure pratique de sécurité, utilisez des certificats PKI dès que possible. Pour plus d'informations sur les certificats PKI requis, voir Configuration requise des certificats PKI pour System Center Configuration Manager. Lorsque Configuration Manager demande les certificats PKI, notamment lors de l'inscription d'appareils mobiles et la configuration AMT, vous devez utiliser les services de domaine Active Directory et une autorité de certification d'entreprise. Tous les autres certificats PKI doivent être déployés et gérés indépendamment de Configuration Manager.

Les certificats PKI sont également requis lorsque des ordinateurs clients se connectent à des systèmes de site basés sur Internet et il est recommandé de les utiliser lorsque des clients se connectent à des systèmes de site qui exécutent les services IIS. Pour plus d'informations sur les communications client, voir Comment configurer les ports de communication des clients dans System Center Configuration Manager.

Lorsque vous utilisez une infrastructure à clés publiques, vous pouvez également utiliser IPsec pour renforcer la sécurité de la communication serveur à serveur entre les systèmes de site d'un site et entre les sites et pour tout autre scénario lorsque vous transférez des données entre ordinateurs. Vous devez configurer et implémenter IPsec indépendamment de Configuration Manager.

Configuration Manager peut générer automatiquement des certificats auto-signés lorsque les certificats PKI ne sont pas disponibles et certains certificats dans Configuration Manager sont toujours auto-signés. Dans la plupart des cas, Configuration Manager gère automatiquement les certificats auto-signés et aucune action supplémentaire n'est requise. Une exception possible est le certificat de signature du serveur de site. Le certificat de signature du serveur de site est toujours auto-signé et il garantit que les stratégies client que les clients téléchargent à partir du point de gestion ont été envoyées à partir du serveur de site et n'ont pas été falsifiées.

Les clients peuvent obtenir en toute sécurité une copie du certificat de signature du serveur de site à partir des services de domaine Active Directory et à partir de l'installation poussée du client. Si les clients ne peuvent pas obtenir une copie du certificat de signature du serveur de site selon l'un de ces mécanismes, une meilleure pratique de sécurité consiste à installer une copie du certificat de signature du serveur de site lorsque vous installez le client. Cela est particulièrement important si la première communication du client avec le site s'effectue à partir d'Internet, car le point de gestion est connecté à un réseau non approuvé et il est donc vulnérable aux attaques. Si vous ne prenez pas cette mesure supplémentaire, les clients téléchargent automatiquement une copie du certificat de signature du serveur de site à partir du point de gestion.

Les scénarios suivants se présentent lorsque les clients ne peuvent pas obtenir une copie du certificat du serveur de site en toute sécurité :

  • Vous n'installez pas le client de manière poussée et l'une des conditions suivantes est vraie :

    • Le schéma Active Directory n'est pas étendu pour Configuration Manager.

    • Le site du client n'est pas publié sur les services de domaine Active Directory.

    • Le client est issu d'une forêt non approuvée ou d'un groupe de travail.

  • Vous installez le client lorsqu'il se trouve sur Internet.

Pour installer des clients ainsi qu'une copie du certificat de signature du serveur de site, procédez comme suit.

Pour installer des clients ainsi qu'une copie du certificat de signature du serveur de site

  1. Recherchez le certificat de signature du serveur de site sur le serveur de site principal du client. Le certificat est stocké dans le magasin de certificats SMS et possède le nom d'objet Serveur de site et le nom convivial Certificat de signature du serveur de site.

  2. Exportez le certificat sans la clé privée, stockez le fichier dans un emplacement sécurisé et accédez-y uniquement à partir d'un canal sécurisé (par exemple, en utilisant la signature SMB ou IPsec).

  3. Installez le client à l’aide de la propriété Client.msi SMSSIGNCERT= <chemin_complet_et_nom_de_fichier> avec CCMSetup.exe.

Lorsque vous utilisez des certificats PKI avec Configuration Manager, prévoyez si et comment les clients et serveurs utiliseront une liste de révocation des certificats (CRL) pour vérifier le certificat sur l'ordinateur connecté. La liste de révocation des certificats (CRL) est un fichier créé et signé par une autorité de certification et qui contient une liste des certificats qu'elle a émis, puis annulés. Les certificats peuvent être annulés par un administrateur d'une autorité de certification, par exemple, si un certificat émis est altéré ou suspecté de l'être.

System_CAPS_importantImportant

Étant donné que l'emplacement d'une liste de révocation des certificats est ajouté à un certificat lorsqu'il est émis par une autorité de certification, veillez à planifier la liste de révocation des certificats avant de déployer des certificats PKI que Configuration Manager utilisera.

Par défaut, IIS vérifie toujours la liste de révocation des certificats pour les certificats clients, et vous ne pouvez pas modifier cette configuration dans Configuration Manager. Par défaut, les clients Configuration Manager vérifient toujours la liste de révocation des certificats pour les systèmes de site. Toutefois, vous pouvez désactiver ce paramètre en spécifiant une propriété de site et une propriété CCMSetup. Lorsque vous gérez des ordinateurs Intel AMT hors bande, vous pouvez également activer la vérification de la liste de révocation des certificats pour le point de service hors bande et pour les ordinateurs qui exécutent la console de gestion hors bande.

Si les ordinateurs utilisent la vérification de la révocation des certificats mais ne parviennent pas à localiser la liste de révocation des certificats, tous les certificats de la chaîne de certification sont considérés comme révoqués puisque leur absence de la liste ne peut pas être vérifiée. Dans ce scénario, toutes les connexions nécessitant des certificats et utilisant une liste de révocation des certificats échouent.

Le fait de vérifier la liste de révocation des certificats chaque fois qu'un certificat est utilisé offre un niveau de sécurité supérieur par rapport à l'utilisation d'un certificat qui a été révoqué, mais ajoute un délai de connexion et de traitement sur le client. Vous êtes plus susceptible de demander cette vérification de sécurité supplémentaire lorsque les clients sont sur Internet ou sur un réseau non approuvé.

Consultez vos administrateurs PKI avant de décider si les clients Configuration Manager doivent vérifier la liste de révocation des certificats, puis envisagez de laisser cette option activée dans Configuration Manager lorsque les deux conditions suivantes sont vraies :

  • Votre infrastructure PKI prend en charge une liste de révocation des certificats et elle est publiée à un emplacement où tous les clients Configuration Manager peuvent la localiser. N'oubliez pas que cela peut inclure des clients sur Internet si vous utilisez la gestion des clients basés sur Internet et les clients situés dans des forêts non approuvées.

  • La nécessité de vérifier la liste de révocation des certificats pour chaque connexion sur un système de site configuré pour utiliser un certificat PKI est supérieure à la nécessité de disposer de connexions plus rapides et un traitement efficace sur le client, mais également supérieure au risque d'échec de connexion des clients sur les serveurs si la liste de révocation des certificats est introuvable.

Si vos systèmes de site IIS utilisent des certificats clients PKI pour l'authentification du client sur HTTP ou pour le chiffrement et l'authentification du client sur HTTPS, vous pouvez être amené à importer des certificats d'autorités de certification racine comme propriété de site. Les deux scénarios sont les suivants :

  • Vous déployez des systèmes d'exploitation à l'aide de Configuration Manager et les points de gestion acceptent uniquement les connexions de clients HTTPS.

  • Vous utilisez des certificats clients PKI qui ne se lient pas à un certificat d'autorité de certification racine qui est approuvé par des points de gestion.

    System_CAPS_noteRemarque

    Lorsque vous émettez des certificats PKI clients à partir de la même hiérarchie de certification racine que celle qui émet les certificats de serveurs que vous utilisez pour les points de gestion, il n'est pas nécessaire de spécifier ce certificat d'autorité de certification racine. Toutefois, si vous utilisez plusieurs hiérarchies d'autorité de certification et si vous n'êtes pas certain qu'elles s'approuvent mutuellement, importez l'autorité de certification racine pour la hiérarchie d'autorité de certification des clients.

Si vous devez importer des certificats d'autorité de certification racine pour Configuration Manager, exportez-les à partir de l'autorité de certification émettrice ou de l'ordinateur client. Si vous exportez le certificat à partir de l'autorité de certification émettrice, qui est également l'autorité de certification racine, assurez-vous que la clé privée n'est pas exportée. Stockez le fichier du certificat exporté dans un emplacement sécurisé pour empêcher toute falsification. Vous devez pouvoir accéder au fichier lorsque vous configurez le site, de sorte que si vous accédez au fichier sur le réseau, assurez-vous que la communication est protégée contre la falsification à l'aide de la signature SMB ou IPsec.

Si l'un des certificats d'autorité de certification racine que vous importez est renouvelé, vous devez importer les certificats renouvelés.

Ces certificats d'autorité de certification racine importés et le certificat d'autorité de certification racine de chaque point de gestion créent la liste des émetteurs de certificats que les ordinateurs Configuration Manager utilisent de la manière suivante :

  • Lorsque des clients se connectent à des points de gestion, le point de gestion vérifie que le certificat client est lié à un certificat racine approuvé dans la liste des émetteurs de certificats du site. Dans le cas contraire, le certificat est rejeté et la connexion PKI échoue.

  • Lorsque des clients sélectionnent un certificat PKI, s'ils disposent d'une liste des émetteurs de certificats, ils sélectionnent un certificat lié à un certificat racine approuvé dans la liste des émetteurs de certificats. En cas d'absence de correspondance, le client ne sélectionne pas de certificat PKI. Pour plus d'informations sur le processus de certificat client, voir la section Planification de la sélection des certificats client PKI dans cette rubrique.

Indépendamment de la configuration du site, vous pouvez également être amené à importer un certificat d'autorité de certification racine lorsque vous inscrivez des appareils mobiles ou des ordinateurs Mac, et lorsque vous configurez des ordinateurs Intel AMT pour des réseaux sans fil.

Si vos systèmes de site IIS utilisent des certificats clients PKI pour l'authentification du client sur HTTP ou pour le chiffrement et l'authentification du client sur HTTPS, planifiez la manière dont les clients Windows sélectionneront le certificat à utiliser pour Configuration Manager.

System_CAPS_noteRemarque

Tous les appareils ne prennent pas en charge une méthode de sélection du certificat. Ils sélectionnent plutôt automatiquement le premier certificat qui répond à la configuration requise des certificats. Par exemple, les clients sur les ordinateurs Mac et les appareils mobiles ne prennent pas en charge une méthode de sélection du certificat.

Dans de nombreux cas, la configuration par défaut et le comportement seront suffisants. Le client Configuration Manager sur les ordinateurs Windows filtre plusieurs certificats à l'aide des critères suivants :

  1. La liste des émetteurs de certificats : le certificat est lié à une autorité de certification racine qui est approuvée par le point de gestion.

  2. Le certificat se trouve dans le magasin de certificats par défaut de Personnel.

  3. Le certificat est valide, non révoqué, et n'a pas expiré. Le contrôle de validité consiste à vérifier que la clé privée est accessible et que le certificat n'est pas créé à l'aide d'un modèle de certificat de version 3, qui n'est pas compatible avec Configuration Manager.

  4. Le certificat dispose d'une fonctionnalité d'authentification client ou il est émis vers le nom d'ordinateur.

  5. Le certificat possède la plus longue période de validité.

Les clients peuvent être configurés pour utiliser la liste des émetteurs de certificats selon les mécanismes suivants :

  • Est-elle publiée comme informations de site Configuration Manager vers les services de domaine Active Directory.

  • Les clients sont installés à l'aide de la poussée du client.

  • Les clients la téléchargent à partir du point de gestion après qu'ils sont correctement affectés à leur site.

  • Elle est spécifiée pendant l'installation du client, en tant que propriété client.msi CCMSetup de CCMCERTISSUERS.

Si les clients ne disposent pas de la liste des émetteurs de certificats lors de leur installation initiale et s'ils ne sont pas encore affectés au site, ils ignorent cette étape. S'ils disposent de la liste des émetteurs de certificats et ne possèdent pas de certificat PKI lié à un certificat racine approuvé dans la liste des émetteurs de certificats la sélection du certificat échoue et les clients ne poursuivent pas avec les autres critères de sélection de certificat.

Dans la plupart des cas, le client Configuration Manager identifie correctement un certificat PKI unique et approprié à utiliser. Dans le cas contraire, plutôt que de sélectionner le certificat à partir de la fonctionnalité d'authentification client, vous pouvez configurer deux autres méthodes de sélection :

  • Une correspondance partielle des chaînes pour les valeurs Nom d'objet du certificat du client. Cette correspondance ne tient pas compte de la casse et convient parfaitement si vous utilisez le nom de domaine complet (FQDN) d’un ordinateur dans le champ Objet et souhaitez que la sélection du certificat soit basée sur le suffixe de domaine, par exemple contoso.com. Vous pouvez néanmoins utiliser cette méthode de sélection pour identifier une chaîne de caractères séquentiels dans le Nom d'objet du certificat qui différencie le certificat des autres dans le magasin de certificats du client.

    System_CAPS_noteRemarque

    Vous ne pouvez pas utiliser la correspondance partielle des chaînes avec l'Autre nom de l'objet comme paramètre de site. Bien que vous puissiez spécifier une correspondance partielle des chaînes pour l'Autre nom de l'objet à l'aide de CCMSetup, il sera écrasé par les propriétés du site dans les scénarios suivants :

    • Les clients récupèrent les informations de site qui sont publiées dans les services de domaine Active Directory.

    • Les clients sont installés à l'aide de la poussée du client.

    Utilisez une correspondance partielle des chaînes dans l'Autre nom de l'objet uniquement lorsque vous installez des clients manuellement et lorsqu'ils ne récupèrent pas les informations de site à partir des services de domaine Active Directory. Par exemple, ces conditions s'appliquent aux clients qui utilisent Internet uniquement.

  • Une correspondance pour les valeurs d'attribut Nom d'objet ou Autre nom de l'objet du certificat du client. Cette correspondance tient compte de la casse et convient parfaitement si vous utilisez un nom unique X500 ou des identificateurs d'objet équivalents (OID) conformément à la norme RFC 3280 et souhaitez que la sélection du certificat soit fondée sur les valeurs d'attribut. Vous pouvez spécifier uniquement les attributs et leurs valeurs s'ils doivent identifier de manière unique ou valider le certificat et le différencier des autres certificats du magasin de certificats.

Le tableau suivant indique les valeurs d'attribut que Configuration Manager prend en charge pour les critères de sélection de certificat.

Attribut d'OID

Attribut de nom unique

Définition de l'attribut

0.9.2342.19200300.100.1.25

DC

Composant de domaine

1.2.840.113549.1.9.1

E ou E-mail

Adresse de messagerie

2.5.4.3

CN

Nom commun

2.5.4.4

SN

Nom d'objet

2.5.4.5

SERIALNUMBER

Numéro de série

2.5.4.6

C

Code du pays

2.5.4.7

L

Localité

2.5.4.8

S ou ST

Nom de département/province

2.5.4.9

STREET

Adresse

2.5.4.10

O

Nom de l'organisation

2.5.4.11

OU

Unité d'organisation

2.5.4.12

T ou Title

Titre

2.5.4.42

G ou GN ou GivenName

Prénom

2.5.4.43

I ou Initials

Initiales

2.5.29.17

(aucune valeur)

Autre nom de l'objet

Si plusieurs certificats appropriés sont détectés après application des critères de sélection, vous pouvez remplacer la configuration par défaut pour sélectionner le certificat dont la période de validité est la plus longue et spécifier au contraire qu'aucun certificat n'est sélectionné. Dans ce scénario, le client ne sera pas en mesure de communiquer avec les systèmes de site IIS à l'aide d'un certificat PKI. Le client transmet un message d'erreur au point d'état de secours qui lui est attribué pour vous prévenir de l'échec de sélection du certificat et vous permettre de modifier ou d'affiner vos critères de sélection de certificat. Le comportement du client dépend ensuite de l'emplacement de la connexion qui a échoué, à savoir sur HTTPS ou HTTP :

  • Si la connexion qui a échoué était sur HTTPS : le client tente d’établir une connexion sur HTTP et utilise le certificat de client auto-signé.

  • Si la connexion qui a échoué était sur HTTP : le client tente d’établir une autre connexion sur HTTP à l’aide du certificat de client auto-signé.

Pour identifier facilement un certificat de client unique PKI, vous pouvez également spécifier un magasin personnalisé, autre que le magasin par défaut de Personnel dans l'Ordinateur. Toutefois, vous devez créer ce magasin indépendamment de Configuration Manager et être en mesure de déployer des certificats sur ce magasin personnalisé et de les renouveler avant l'expiration de la période de validité.

Pour plus d'informations sur la façon de configurer les paramètres des certificats clients, voir la section Configurer les paramètres de certificat client PKI dans la rubrique Configurer la sécurité dans System Center Configuration Manager.

Les options de configuration flexibles de Configuration Manager vous permettent d'effectuer progressivement la transition des clients et du site pour utiliser des certificats PKI afin de contribuer à sécuriser les points de terminaison des clients. Les certificats PKI fournissent une meilleure sécurité et permettent aux clients d'être gérés lorsqu'ils sont sur Internet.

Étant donné le nombre d'options de configuration et les choix dans Configuration Manager, il n'existe aucun moyen simple d'effectuer la transition d'un site afin que tous les clients utilisent des connexions HTTPS. Toutefois, vous pouvez suivre ces étapes comme guide :

  1. Installer le site Configuration Manager et configurez-le de sorte que les systèmes de site acceptent les connexions client via HTTP et HTTPS.

  2. Configurez l'onglet Communication de l'ordinateur client dans les propriétés du site, de sorte que les Paramètres du système de site soient HTTP ou HTTPS et cochez la case Utiliser le certificat client PKI (fonctionnalité d'authentification client) si possible. Configurez tous les autres paramètres dont vous avez besoin à partir de cet onglet. Pour plus d’informations, consultez la section Configurer les paramètres de certificat client PKI dans la rubrique Configurer la sécurité dans System Center Configuration Manager.

  3. Pilotez un déploiement PKI pour les certificats clients. Pour obtenir un exemple de déploiement, consultez la section Déploiement du certificat client pour les ordinateurs Windows dans la rubrique Exemple de déploiement étape par étape des certificats PKI pour System Center Configuration Manager : autorité de certification Windows Server 2008.

  4. Installez des clients à l'aide de la méthode d'installation poussée du client. Pour plus d'informations, voir la section Comment installer des clients Configuration Manager à l'aide de l'installation poussée du client dans la rubrique Comment déployer des clients sur des ordinateurs Windows dans System Center Configuration Manager.

  5. Surveillez le déploiement et l'état des clients à l'aide des rapports et des informations dans la console Configuration Manager.

  6. Déterminez combien de clients utilisent un certificat client PKI en affichant la colonne Certificat client dans l'espace de travail Biens et conformité, nœud Appareils.

    Vous pouvez également déployer l'Configuration Manageroutil d'évaluation d'analyse HTTPS (cmHttpsReadiness.exe) sur les ordinateurs et utiliser les rapports pour afficher le nombre d'ordinateurs capables d'utiliser un certificat client PKI avec Configuration Manager.

    System_CAPS_noteRemarque

    Lorsque le client Configuration Manager est installé sur des ordinateurs clients, l'outil cmHttpsReadiness.exe est installé dans le dossier %windir%\CCM. Lorsque vous exécutez cet outil sur des clients, vous pouvez spécifier les options suivantes :

    • /Store:<nom>

    • /Issuers:<liste>

    • /Criteria:<critères>

    • /SelectFirstCert

    Ces options mappent aux propriétés Client.msi CCMCERTSTORE, CCMCERTISSUERS, CCMCERTSEL et CCMFIRSTCERT, respectivement. Pour plus d'informations sur ces options, voir À propos des propriétés d’installation du client dans System Center Configuration Manager.

  7. Lorsque vous êtes certain qu'un nombre suffisant de clients utilisent avec succès leur certificat client PKI pour l'authentification sur HTTP, procédez comme suit :

    1. Déployez un certificat de serveur Web PKI sur un serveur de membre qui exécutera un point de gestion supplémentaires pour le site et configurez ce certificat dans IIS. Pour plus d’informations, consultez la section Déploiement du certificat de serveur Web pour les systèmes de site qui exécutent IIS dans la rubrique Exemple de déploiement étape par étape des certificats PKI pour System Center Configuration Manager : autorité de certification Windows Server 2008.

    2. Installez le rôle de point de gestion sur ce serveur et configurez l'option Connexions clients dans les propriétés du point de gestion pour HTTPS.

  8. Contrôlez et vérifiez que les clients qui possèdent un certificat PKI utilisent le nouveau point de gestion à l'aide du protocole HTTPS. Pour vérifier cela, vous pouvez utiliser le processus d'enregistrement du journal d'IIS ou les compteurs de performance.

  9. Reconfigurez d'autres rôles de système de site pour utiliser les connexions de clients HTTPS. Si vous souhaitez gérer des clients sur Internet, assurez-vous que les systèmes de site disposent d'un nom de domaine complet Internet et configurez des points de distribution et des points de gestion individuels pour accepter les connexions de clients à partir d'Internet.

    System_CAPS_importantImportant

    Avant de configurer des rôles de système de site pour accepter les connexions à partir d'Internet, consultez les informations de planification et les conditions préalables pour la gestion des clients basés sur Internet. Pour plus d’informations, voir Communications entre points de terminaison dans System Center Configuration Manager.

  10. Déployez le certificat PKI pour les clients et les systèmes de site qui exécutent IIS et configurez les rôles de système de site pour les connexions de client HTTPS et les connexions Internet, au besoin.

  11. Pour une sécurité maximale : quand vous êtes certain que tous les clients utilisent un certificat client PKI pour l’authentification et le chiffrement, modifiez les propriétés de site pour utiliser HTTPS uniquement.

Lorsque vous suivez ce plan pour introduire progressivement des certificats PKI, tout d'abord pour l'authentification uniquement sur HTTP, puis pour l'authentification et le chiffrement sur HTTPS, vous réduisez le risque que les clients ne soient plus gérés. En outre, vous bénéficierez de la sécurité maximale prise en charge par Configuration Manager.

La clé racine approuvée Configuration Manager fournit un mécanisme pour les clients Configuration Manager afin de vérifier que les systèmes de site appartiennent à leur hiérarchie. Chaque serveur de site génère une clé d'échange de site pour communiquer avec d'autres sites. La clé d'échange du site de niveau supérieur dans la hiérarchie est appelée clé racine approuvée.

La fonctionnalité de la clé racine approuvée dans Configuration Manager s'apparente à un certificat racine dans une infrastructure de clé publique en ce sens que tout ce qui est signé par la clé privée de la clé racine approuvée est également approuvé dans le reste de la hiérarchie. Par exemple, en signant le certificat du point de gestion avec la paire clé privée/clé racine approuvée, et en effectuant une copie de la paire clé publique/clé racine approuvée qui leur est accessible, les clients peuvent distinguer les points de gestion qui se trouvent dans leur hiérarchie des points de gestion qui ne sont pas dans leur hiérarchie. Les clients utilisent WMI pour stocker une copie de la clé racine approuvée dans l'espace de noms root\ccm\locationservices.

Les clients peuvent récupérer automatiquement la copie publique de la clé racine approuvée selon deux mécanismes :

  • Le schéma Active Directory est étendu pour Configuration Manager, le site est publié sur les services de domaine Active Directory et les clients peuvent récupérer ces informations de site à partir d'un serveur de catalogue global.

  • Les clients sont installés à l'aide de la poussée du client.

Si les clients ne peuvent pas récupérer la clé racine approuvée selon l'un de ces mécanismes, ils font confiance à la clé racine approuvée qui est fournie par le premier point de gestion avec lequel ils communiquent. Dans ce scénario, un client peut être redirigé vers le point de gestion d'un pirate informatique où il recevrait la stratégie à partir du point de gestion non autorisé. Cela ne peut être que l'œuvre d'un pirate chevronné et ne peut se produire qu'au cours d'une période limitée, avant que le client ne récupère la clé racine approuvée à partir d'un point de gestion valide. Toutefois, pour réduire le risque d'un acte de piraterie consistant à réacheminer les clients vers un point de gestion factice, mettez en service anticipé la clé racine approuvée sur les clients.

Pour mettre en service anticipé et vérifier la clé racine approuvée pour un client Configuration Manager, procédez comme suit :

  • Mettez en service anticipé un client à l'aide de la clé racine approuvée avec un fichier.

  • Mettez en service anticipé un client à l'aide de la clé racine approuvée sans utiliser un fichier.

  • Vérifiez la clé racine approuvée sur un client.

System_CAPS_noteRemarque

Il n'est pas nécessaire de mettre en service anticipé un client à l'aide de la clé racine approuvée s'il peut l'obtenir à partir des services de domaine Active Directory ou s'il est installé à l'aide la poussée du client. En outre, il n'est pas nécessaire de mettre en service anticipé des clients lorsqu'ils utilisent la communication HTTPS pour les points de gestion car l'approbation est établie à l'aide des certificats PKI.

Vous pouvez supprimer la clé racine approuvée d'un client à l'aide de la propriété Client.msi RESETKEYINFORMATION = TRUE avec CCMSetup.exe. Pour remplacer la clé racine approuvée, réinstallez le client avec la nouvelle clé racine approuvée, par exemple en utilisant l'installation push du client ou en spécifiant la propriété Client.msi SMSPublicRootKey à l'aide de CCMSetup.exe.

Pour mettre en service anticipé un client avec la clé racine approuvée à l'aide d'un fichier

  1. Dans un éditeur de texte, ouvrez le fichier <répertoire_Configuration_Manager>\bin\mobileclient.tcf.

  2. Recherchez l'entrée SMSPublicRootKey=, copiez la clé à partir de cette ligne et fermez le fichier sans effectuer aucune modification.

  3. Créez un nouveau fichier texte et collez les informations de clé que vous avez copiées à partir du fichier mobileclient.tcf.

  4. Enregistrez le fichier et placez-le à un endroit accessible par tous les ordinateurs, même s'il est sécurisé pour empêcher toute falsification.

  5. Installez le client à l’aide de n’importe quelle méthode d’installation qui accepte les propriétés Client.msi et spécifiez la propriété Client.msi SMSROOTKEYPATH=<chemin_complet_et_nom_de_fichier>.

    System_CAPS_importantImportant

    Quand vous spécifiez la clé racine approuvée pour renforcer la sécurité lors de l’installation du client, vous devez également spécifier le code de site en utilisant la propriété Client.msi SMSSITECODE=<site code>.

Pour mettre en service anticipé un client avec la clé racine approuvée sans utiliser de fichier

  1. Dans un éditeur de texte, ouvrez le fichier <répertoire_Configuration_Manager>\bin\mobileclient.tcf.

  2. Recherchez l'entrée SMSPublicRootKey=, notez la clé à partir de cette ligne ou copiez-la dans le Presse-papiers, puis fermez le fichier sans effectuer aucune modification.

  3. Installez le client selon n’importe quelle méthode d’installation qui accepte les propriétés Client.msi et spécifiez la propriété Client.msi SMSPublicRootKey=<clé>, où <clé> est la chaîne que vous avez copiée à partir de mobileclient.tcf.

    System_CAPS_importantImportant

    Quand vous spécifiez la clé racine approuvée pour renforcer la sécurité lors de l’installation du client, vous devez également spécifier le code de site en utilisant la propriété Client.msi SMSSITECODE=<site code>.

Pour vérifier la clé racine approuvée sur un client

  1. Dans le menu Démarrer, cliquez sur Exécuter, puis tapez Wbemtest.

  2. Dans la boîte de dialogue Testeur WMI, cliquez sur Connecter.

  3. Dans la boîte de dialogue Connecter, dans la zone Espace de noms, tapez root\ccm\locationservices, puis cliquez sur Connecter.

  4. Dans la boîte de dialogue Testeur WMI dans la section IWbemServices, cliquez sur Énumérer les Classes.

  5. Dans la boîte de dialogue Informations de la superclasse, sélectionnez Récursive, puis cliquez sur OK.

  6. Dans la fenêtre Résultats d’interrogation, accédez à la fin de la liste, puis double-cliquez sur TrustedRootKey ().

  7. Dans la boîte de dialogue Éditeur d'objets pour TrustedRootKey, cliquez sur Instances.

  8. Dans la nouvelle fenêtre Résultats d’interrogation qui affiche les instances de TrustedRootKey, double-cliquez sur TrustedRootKey=@

  9. Dans la boîte de dialogue Éditeur d'objets pour TrustedRootKey=@, dans la section Propriétés, accédez à TrustedRootKey CIM_STRING. La chaîne dans la colonne droite correspond à la clé racine approuvée. Vérifiez qu'elle correspond à la valeur SMSPublicRootKey dans le fichier <répertoire_Configuration_Manager>\bin\mobileclient.tcf.

Lorsque vous utilisez des certificats PKI pour toutes les communications client, vous n'avez pas à planifier la signature et le chiffrement pour contribuer à sécuriser les communications de données client. Toutefois, si vous configurez des systèmes de site qui exécutent IIS pour autoriser les connexions client HTTP, vous devez décider comment sécuriser la communication client pour le site.

Pour contribuer à protéger les données que les clients envoient aux points de gestion, vous pouvez exiger qu'elles soient signées. En outre, vous pouvez exiger que toutes les données signées provenant de clients qui utilisent le protocole HTTP soient signées à l'aide de l'algorithme SHA-256. Bien qu'il s'agisse d'un paramètre plus sécurisé, n'activez cette option que si tous les clients prennent en charge SHA-256. De nombreux systèmes d'exploitation offrent une prise en charge native de SHA-256, mais les systèmes d'exploitation plus anciens peuvent nécessiter une mise à jour ou un correctif logiciel. Par exemple, les ordinateurs qui exécutent Windows Server 2003 SP2 doivent installer un correctif qui est référencé dans l'article 938397 de la Base de connaissances Microsoft.

Bien que la signature contribue à protéger les données de la falsification, le chiffrement permet de protéger les données contre la divulgation d'informations. Vous pouvez activer le chiffrement 3DES pour les données d'inventaire et les messages d'état que les clients envoient aux points de gestion dans le site. Il n'est pas nécessaire d'installer des mises à jour sur des clients pour prendre en charge cette option, mais tenez compte de l'utilisation supplémentaire du processeur qui sera requise sur les clients et le point de gestion pour procéder au chiffrement et au déchiffrement.

Pour plus d'informations sur la façon de configurer les paramètres de signature et de chiffrement, voir la section Configurer la signature et le chiffrement dans la rubrique Configurer la sécurité dans System Center Configuration Manager.

Afficher: