MOB212 Sécurité et ConfigMgr 2012 R2

En retour d'expérience des interventions du support réactif, mais aussi proactif chez nos clients, nous vous proposons une session sur la sécurité dans ConfigMgr 2012 R2. D’un côté, nous abordons comment ConfigMgr contribue à la mise en œuvre d’une meilleure protection. De l’autre, nous vous proposons de faire le tour des bonnes pratiques dans l’architecture de ConfigMgr 2012 R2 et la mise en œuvre de la délégation, notamment, afin d’éviter des crises potentielles.

SecurityConfigMgr
1.0x

MOB212 Sécurité et ConfigMgr 2012 R2

Created 3 years ago

Duration 0:35:25
lesson view count 96
En retour d'expérience des interventions du support réactif, mais aussi proactif chez nos clients, nous vous proposons une session sur la sécurité dans ConfigMgr 2012 R2. D’un côté, nous abordons comment ConfigMgr contribue à la mise en œuvre d’une meilleure protection. De l’autre, nous vous proposons de faire le tour des bonnes pratiques dans l’architecture de ConfigMgr 2012 R2 et la mise en œuvre de la délégation, notamment, afin d’éviter des crises potentielles.
Select the file type you wish to download
Slide Content
  1. Retour d'expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

    Slide 2 - Retour d'expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

    • Stéphane PAPP (Microsoft)
    • Charles BOUDRY (Microsoft)
    • @stephanepapp
  2. Agenda

    Slide 3 - Agenda

    • Principes généraux
    • Comment déléguer ?
    • Quelles sont les bonnes pratiques à suivre?
    • Sécurité et ConfigMgr 2012 R2
  3. Principes généraux

    Slide 4 - Principes généraux

    • Nécessité des privilèges
    • Principes fondamentaux
    • Corolaire de la délégation
  4. Nécessité des privilèges élevés

    Slide 5 - Nécessité des privilèges élevés

    • Installation poussée de l’agent ConfigMgr
    • Installation d’un logiciel
    • Distribution d’un système d’exploitation
    • Gestion de la conformité
    • À travers quelques exemples
    • Sécurité et ConfigMgr 2012 R2
  5. Principes fondamentaux

    Slide 6 - Principes fondamentaux

    • « Un ordinateur sécurisé est un ordinateur éteint ! Et encore… » Bill GATES
    • Une chaîne dépend du maillon le plus faible !
    • Sécurité et ConfigMgr 2012 R2
  6. Discussion avec un RSSI

    Slide 7 - Discussion avec un RSSI

    • ConfigMgr contribue à gérer la sécurité
    • Au-delà de la gestion des mises à jour de sécurité…
    • Security Development Lifecycle (SDL)
    • Issue de l’initiative Trustworthy Computing
    • Partenariat gagnant-gagnant
    • Sécurité et ConfigMgr 2012 R2
  7. Corolaires

    Slide 8 - Corolaires

    • Délégation
    • Administrateur de ConfigMgr ≠ Administrateur du parc
    • Bonnes pratiques
    • Sécuriser les briques sur lesquelles repose ConfigMgr
    • Qui contrôle ConfigMgr, contrôle le parc géré par ConfigMgr
    • Sécurité et ConfigMgr 2012 R2
  8. Les plus grands risques avec ConfigMgr

    Slide 9 - Les plus grands risques avec ConfigMgr

    • Réinstallation accidentelle de serveurs
    • Suppression d’objets dans la console
    • Erreurs de déploiement / packaging
    • Perte de la clé de recouvrement de BitLocker
    • Utilisation malveillante
    • Toute ressemblance avec des événements… n’est pas une coïncidence
    • Sécurité et ConfigMgr 2012 R2
  9. Évolutions dans la délégation

    Slide 10 - Évolutions dans la délégation

    • Changements des principes fondamentaux
    • Une hiérarchie simplifiée avec ConfigMgr 2012
    • Segmenter pour mieux contrôler
    • Restreindre les périmètres d’administration pour éviter les mauvaises manipulations
    • Sécurité et ConfigMgr 2012 R2
  10. Comment déléguer ?

    Slide 11 - Comment déléguer ?

    • Role Based Administration
    • Outils
  11. RBA

    Slide 12 - RBA

    • Rôles de sécurité prédéfinis
    • Groupes d’utilisateurs
    • Étendues de sécurité (Scopes) / Regroupements (Collections)
    • Matrix of Role-Based Administration Permissions for ConfigMgr 2012
    • Visibilité dans la console
    • Role Based Administration
    • Sécurité et ConfigMgr 2012 R2
  12. Création du rôle Exploitant (exemple)

    Slide 13 - Création du rôle Exploitant (exemple)

    • Rôles de sécurité (Security Roles)
    • Ajout / Modification / Suppression :
    • des paquets et applications
    • des collections
    • des déploiements
    • des requêtes
    • Droits en lecture sur les autres objets
    • Étendues de sécurité (Security Scope)
    • Default
    • Regroupements (Collections)
    • Périmètre géographique de son agence
    • 13
    • Sécurité et ConfigMgr 2012 R2
  13. Comment déléguer ?

    Slide 14 - Comment déléguer ?

    • Groupes
    • RBA Viewer
    • Sécurité et ConfigMgr 2012 R2
  14. RBAViewer

    Slide 15 - RBAViewer

    • Sécurité et ConfigMgr 2012 R2
  15. AdminUI.ConsoleBuilder.exe

    Slide 16 - AdminUI.ConsoleBuilder.exe

    • Exemple d’utilisation : changer le comportement de l’interface
    • Cf. http://blogs.msdn.com/b/spapp/archive/2013/06/22/configmgr-2012-lancer-l-explorateur-de-ressources-sur-un-double-clic.aspx
    • Autre exemple : Faire disparaître tous les espaces de travail sauf Ressources et Conformité ou ne conserver que Propriétés ou Explorateur de ressources sur un clic droit sur un client
    • Sécurité par obscurité
    • Sécurité et ConfigMgr 2012 R2
  16. ConsoleBuilder

    Slide 17 - ConsoleBuilder

    • Sécurité et ConfigMgr 2012 R2
  17. Nouveautés et limites

    Slide 18 - Nouveautés et limites

    • Rapports 
    • http://blogs.technet.com/b/configmgrdogs/archive/2014/07/14/creating-custom-rbac-enabled-reports-in-configmgr-2012-r2.aspx
    • http://blogs.technet.com/b/smartinez/archive/2013/11/28/how-to-create-a-rba-capable-report-for-configmgr-r2.aspx
    • Dossiers 
    • ConfigMgr 2012 R2
    • Sécurité et ConfigMgr 2012 R2
  18. Bonnes pratiques

    Slide 19 - Bonnes pratiques

    • Réseau / OS / IIS / AD / SQL
    • ConfigMgr
  19. Bonnes pratiques : Système d’exploitation

    Slide 20 - Bonnes pratiques : Système d’exploitation

    • Modèles de sécurisation
    • Pare-feu local
    • Internet Information Server (IIS)
    • Sécurité et ConfigMgr 2012 R2
  20. Bonnes pratiques : Autres composants

    Slide 21 - Bonnes pratiques : Autres composants

    • SQL Server
    • Active Directory
    • DNS
    • Sécurité et ConfigMgr 2012 R2
  21. Bonnes pratiques : ConfigMgr

    Slide 22 - Bonnes pratiques : ConfigMgr

    • Ne pas remonter d’informations confidentielles ou privée !
    • Limiter la taille des fichiers MIF
    • Ne pas collecter les NoIdMIF
    • À bas les cadences infernales !
    • Inventaire
    • Sécurité et ConfigMgr 2012 R2
  22. Bonnes pratiques : ConfigMgr

    Slide 23 - Bonnes pratiques : ConfigMgr

    • Ne pas distribuer sur la collection All Systems
    • Compte d’accès réseau
    • Compte pour joindre le domaine
    • Compte administrateur local
    • Distribution de Système d’exploitation ou OSD
    • Sécurité et ConfigMgr 2012 R2
  23. Bonnes pratiques : ConfigMgr

    Slide 24 - Bonnes pratiques : ConfigMgr

    • Droits de créer des packages/applications versus droits de déployer
    • Distribution sous Local System
    • Contenu distribué
    • Distribution de logiciels
    • Sécurité et ConfigMgr 2012 R2
  24. Bonnes pratiques : ConfigMgr

    Slide 25 - Bonnes pratiques : ConfigMgr

    • Groupe WSUS Administrators
    • Compte pour la synchronisation via le proxy
    • Site Web personnalisé
    • Gestion des mises à jour
    • Sécurité et ConfigMgr 2012 R2
  25. Bonnes pratiques : ConfigMgr

    Slide 26 - Bonnes pratiques : ConfigMgr

    • Élévation de privilège
    • Prise de main à distance
    • Sécurité et ConfigMgr 2012 R2
  26. Bonnes pratiques : ConfigMgr

    Slide 27 - Bonnes pratiques : ConfigMgr

    • Signature de code
    • PowerShell et Set-ExecutionPolicy
    • Scripts de remédiation
    • Gestion de conformité
    • Sécurité et ConfigMgr 2012 R2
  27. PowerShell Set-ExecutionPolicy

    Slide 28 - PowerShell Set-ExecutionPolicy

    • Sécurité et ConfigMgr 2012 R2
  28. Bonnes pratiques : ConfigMgr

    Slide 29 - Bonnes pratiques : ConfigMgr

    • Accès sécurisé à la clé de recouvrement de BitLocker
    • MBAM
    • Sécurité et ConfigMgr 2012 R2
  29. Et s’il se passe quelque chose…

    Slide 30 - Et s’il se passe quelque chose…

    • Suivi de la délégation et audits
    • Remettre en conditions opérationnelles une infrastructure ConfigMgr
    • Sécurité et ConfigMgr 2012 R2
  30. Restons en contact

    Slide 31 - Restons en contact

    • microsoftvirtualacademy.com
    • technet.microsoft.com
    • http://blogs.msdn.com/b/spapp
    • @stephanepapp
  31. Et n’oubliez pas de noter la session !

    Slide 32 - Et n’oubliez pas de noter la session !

    • Merci
  32. Références

    Slide 34 - Références

    • Matrix of Role-Based Administration Permissions for ConfigMgr 2012
    • http://gallery.technet.microsoft.com/Matrix-of-Role-Based-d6318b96
  33. Types de rôles de sécurité

    Slide 35 - Types de rôles de sécurité

    • 14 Rôles intégrés
    • Administrateur complet
    • Administrateur d’application
    • Administrateur de la sécurité
    • Administrateur d’infrastructure
    • Administrateur d’opérations
    • Analyste en lecture seule
    • Auteur d’application
    • Gestionnaire de biens
    • Gestionnaire de déploiement d’application
    • Gestionnaire de déploiement de système d’exploitation
    • Gestionnaire de paramètres de compatibilité
    • Gestionnaire des mises à jour logicielles
    • Gestionnaire Endpoint Protection
    • Opérateur d’outils à distance
    • 16 Built-in roles
    • Full Administrator
    • Application Administrator
    • Security Administrator
    • Infrastructure Administrator
    • Operations Administrator
    • Read-only Analyst
    • Application Author
    • Asset Manager
    • Application Deployment Manager
    • Operating System Deployment Manager
    • Compliance Settings Manager
    • Software Update Manager
    • Endpoint Protection Manager
    • Remote Tools Operator
    • Discovery Operator*
    • Company Resource Access Manager*
    • * Nouveau avec ConfigMgr 2012 R2
    • 35
  34. Autorisations spécifiques : exemple des regroupements

    Slide 36 - Autorisations spécifiques : exemple des regroupements

    • Audit Security (Sécurité de l’audit)*
    • Control AMT (Contrôler AMT)
    • Create (Créer)
    • Delete (Suprimer)
    • Delete Resource (Supprimer la resource)
    • Deploy AntiMalware Policies (Déployer des strategies anti-programmes malveillants)
    • Deploy Applications (Déployer des applications)
    • Deploy Client Settings (Déployer des paramètres client)
    • Deploy Configuration Items (Déployer des éléments de configuration)
    • Deploy Firewall Policies (Déployer des strategies de pare-feu)
    • Deploy Packages (Déployer des packages)
    • Deploy Software Updates (Déployer des mises à jour logicielles)
    • Deploy Task Sequences (Déployer des sequences de tâches)
    • Enforce Security
    • Manage Folder (Modifier un dossier)
    • Modify (Modifier)
    • Modify Client Status Alert (Modifier l’alerte relative à l’état du client)
    • Modify Collection Setting (Modifier les paramètres de regroupement)
    • Modify Folder (Modifier un dossier)
    • Modify Resource (Modifier la resource)
    • Move Object (Déplacer un objet)
    • Provision AMT (Préparer AMT)
    • Read (Lecture)
    • Read Resource (Lire la resource)
    • Remote Control (Contrôle à distance)
    • View Collected File (Afficher le fichier collecté)
    • * Sic !
    • 36
  35. Objets des étendues de sécurité (security scope)

    Slide 37 - Objets des étendues de sécurité (security scope)

    • Abonnements aux alertes
    • Stratégies anti-programme malveillant
    • Applications
    • Images de démarrage
    • Groupes de limites
    • Éléments de configuration
    • Paramètres client personnalisés
    • Points de distribution et groupes de points de distribution
    • Packages de pilotes
    • Conditions globales
    • Tâches de migration
    • Images du système d'exploitation
    • Packages d'installation du système d'exploitation
    • Packages
    • Requêtes
    • Sites
    • Règles de contrôle de logiciel
    • Groupes de mises à jour logicielles
    • Packages de mises à jour logicielles
    • Packages de séquence de tâches
    • Éléments et packages des paramètres du périphérique Windows CE
    • 37
  36. Type d’objets non soumis aux étendues

    Slide 38 - Type d’objets non soumis aux étendues

    • Forêts Active Directory*
    • Utilisateurs administratifs
    • Alertes
    • Limites
    • Associations d'ordinateurs
    • Paramètres client par défaut*
    • Modèles de déploiement
    • Pilotes de périphériques
    • Connecteur Exchange Server*
    • Mappages de site à site de migration
    • Profil d'inscription de périphérique mobile
    • Rôles de sécurité
    • Étendues de sécurité
    • Adresses de site*
    • Rôles système de site*
    • Titres des logiciels
    • Mises à jour logicielles
    • Messages d'état
    • Affinités des périphériques d'utilisateur
    • 38
  37. Autorisations spécifiques (1/4)

    Slide 39 - Autorisations spécifiques (1/4)

    • Alert subscription (Read, Modify, Delete, Set Security Scope, Create)
    • Alerts (Read, Modify, Delete, Create, Run Reports, Modify Reports)
    • Antimalware Policy (Read, Modify, Delete, Create, Read Default, Modify Default, Run Report, Modify Reports)
    • Application (Read, Modify, Delete, Set Security Scope, Create, Approve, Manage Folder Item, Manage Folder, Run Report, Modify Report)
    • Boot Image Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)
    • Boundaries (Read, Modify, Delete, Create)
    • Boundary Group (Read, Modify, Delete, Set Security Scope, Create, AssociateSiteSystem)
    • Client Agent Setting (Read, Modify, Delete, Set Security Scope, Create)
    • Cloud Subscription (Read, Modify, Delete, Set Security Scope, Create)
    • Collection (Read, Modify, Delete, Remote Control, Modify Resource, Delete Resource, Create, View Collected File, Read Resource, Manage Folder Item, Deploy Packages, Audit Security, Deploy Client Settings, Manage Folder, Enforce Security, Deploy AntiMalware Policies, Deploy Applications, Modify Collection Setting, Deploy Configuration Items, Deploy Task Sequences, Control AMT, Provision AMT, Deploy Software Updates, Deploy Firewall Policies, Modify Client Status Alert)
    • 39
  38. Autorisations spécifiques (2/4)

    Slide 40 - Autorisations spécifiques (2/4)

    • Computer Association (Read, Delete, Create, Manage Folder Item, Manage Folder, Recover User State, Run Report, Modify Report)
    • Configuration Item (Read, Modify, Delete, Set security scope, Create, Manage Folder Item, Manage Folder, Network Access, Run Reports, Modify Reports)
    • Configuration Policy (Read, Modify, Delete, Set Security Scope, Create)
    • Deployment Templates (Read, Modify, Delete, Create)
    • Device Drivers (Read, Modify, Delete, Create, Manage Folder Item, Manage Folder, Network Access, Run Reports, Modify Reports)
    • Distribution Point (Read, Copy to Distribution Point, Set Security Scope)
    • Distribution Point Group (Read, Modify, Delete, Copy to Distribution Point , Set Security Scope, Create, Associate)
    • Drivers Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)
    • Firewall Settings (Read, Author Policy, Run Report)
    • Global Condition (Read, Modify, Delete, Set Security Scope, Create)
    • Inventory Reports (Read, Modify, Delete, Create, Run Report)
    • Migration Job (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, ManageMigrationJob, Run Report, Modify Report)
    • 40
  39. Autorisations spécifiques (3/4)

    Slide 41 - Autorisations spécifiques (3/4)

    • Migration Site-to-Site Mappings (Read, Modify, Delete, Create, Specify Source Hierarchy)
    • Mobile Device Enrollment Profiles (Read, Modify, Delete, Create)
    • Operating System Image (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)
    • Operating System Installation Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)
    • Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder, Run Report, Modify Report)
    • Query (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)
    • Security Roles (Read, Modify, Delete, Create)
    • Security Scopes (Read, Modify, Delete, Create)
    • Settings for user data and profile management (Read, Author Policy, Run Report)
    • Sideload Key (Read, Modify, Delete, Create, Run Report, Modify Report)
    • Site (Read, Modify, Delete, Set Security Scope, Create, Meter Site, Manage Status Filters, Modify CH Settings, Import Machine, Read CH Settings, Modify Connector Policy, Manage OSD Certificate, Run Report, Modify Report)
    • 41
  40. Autorisations spécifiques (4/4)

    Slide 42 - Autorisations spécifiques (4/4)

    • Software Metering Rule (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder , Run Report, Modify Report)
    • Software Title (Modify, Manage AI, View AI)
    • Software Update Group (Read, Modify, Delete, Set Security Scope, Create)
    • Software Update Package (Read, Modify, Delete, Delete, Set Security Scope, Create)
    • Software Update (Read, Modify, Delete, Create, Manage Folder Item, Manage Folder, Network Access, Run Report, Modify Report)
    • Status Messages (Read, Modify, Delete, Create, Run Report, Modify Report)
    • Task Sequence Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder, Create Task Sequence Media, Run Report, Modify Report)
    • User Device Affinities (Read, Modify, Delete, Create, Run Report, Modify Report)
    • Users (Read, Modify, Remove, Add, Run report, Modify Report)
    • Virtual Environment (Read, Modify, Delete, Set Security Scope, Create)
    • Windows CE Device Setting Item (Read, Modify, Delete, Set Security Scope, Create, Run Report, Modify Report)
    • Windows CE Device Setting Package (Read, Modify, Delete, Set Security Scope, Create)
    • Windows Firewall Policy (Read, Modify, Delete, Set Security Scope, Create)
    • 42