AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr
Retour d'expérience sur la mise
en place de la délégation de
ConfigMgr 2012 R2
Stéphane PAPP (Microsoft)
Charles BOUDRY (M...
tech.days 2015#mstechdays
Principes généraux
Comment déléguer ?
Quelles sont les bonnes pratiques à suivre?
Sécurité et Co...
Principes généraux
Nécessité des privilèges
Principes fondamentaux
Corolaire de la délégation
tech.days 2015#mstechdays
Installation poussée de l’agent ConfigMgr
Installation d’un logiciel
Distribution d’un système d...
tech.days 2015#mstechdays
« Un ordinateur sécurisé est un ordinateur éteint ! Et encore… » Bill GATES
Une chaîne dépend du...
tech.days 2015#mstechdays
ConfigMgr contribue à gérer la sécurité
Security Development Lifecycle (SDL)
Partenariat gagnant...
tech.days 2015#mstechdays
Délégation
Bonnes pratiques
Qui contrôle ConfigMgr, contrôle le parc géré par ConfigMgr
Sécurité...
tech.days 2015#mstechdays
Réinstallation accidentelle de serveurs
Suppression d’objets dans la console
Erreurs de déploiem...
tech.days 2015#mstechdays
Changements des principes fondamentaux
Segmenter pour mieux contrôler
Sécurité et ConfigMgr 2012...
Comment déléguer ?
Role Based Administration
Outils
tech.days 2015#mstechdays
Rôles de sécurité prédéfinis
Groupes d’utilisateurs
Étendues de sécurité (Scopes) / Regroupement...
tech.days 2015#mstechdays
Groupes
RBA Viewer
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Exemple d’utilisation : changer le comportement de
l’interface
http://blogs.msdn.com/b/spapp/arc...
tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Rapports 
http://blogs.technet.com/b/configmgrdogs/archive/2014/07/14/creating
-custom-rbac-ena...
Bonnes pratiques
Réseau / OS / IIS / AD / SQL
ConfigMgr
tech.days 2015#mstechdays
Modèles de sécurisation
Pare-feu local
Internet Information Server (IIS)
Sécurité et ConfigMgr 2...
tech.days 2015#mstechdays
SQL Server
Active Directory
DNS
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Ne pas remonter d’informations confidentielles ou
privée !
Limiter la taille des fichiers MIF
Ne...
tech.days 2015#mstechdays
Ne pas distribuer sur la collection All Systems
Compte d’accès réseau
Compte pour joindre le dom...
tech.days 2015#mstechdays
Droits de créer des packages/applications versus
droits de déployer
Distribution sous Local Syst...
tech.days 2015#mstechdays
Groupe WSUS Administrators
Compte pour la synchronisation via le proxy
Site Web personnalisé
Ges...
tech.days 2015#mstechdays
Élévation de privilège
Prise de main à distance
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Signature de code
PowerShell et Set-ExecutionPolicy
Scripts de remédiation
Gestion de conformité...
tech.days 2015#mstechdays
Accès sécurisé à la clé de recouvrement de BitLocker
MBAM
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Suivi de la délégation et audits
Remettre en conditions opérationnelles une
infrastructure Confi...
© 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr
Matrix of Role-Based Administration
Permissions for ConfigMgr 2012
http://gallery.technet.microsoft.c
om/Matrix-of-Role-Ba...
* Nouveau avec ConfigMgr 2012 R2
35
Audit Security (Sécurité de l’audit)*
Control AMT (Contrôler AMT)
Create (Créer)
Delete (Suprimer)
Delete Resource (Suppri...
 Abonnements aux alertes
 Stratégies anti-programme
malveillant
 Applications
 Images de démarrage
 Groupes de limite...
 Forêts Active Directory*
 Utilisateurs administratifs
 Alertes
 Limites
 Associations
d'ordinateurs
 Paramètres cli...
 Alert subscription (Read, Modify, Delete,
Set Security Scope, Create)
 Alerts (Read, Modify, Delete, Create, Run
Report...
 Computer Association (Read, Delete,
Create, Manage Folder Item, Manage
Folder, Recover User State, Run Report,
Modify Re...
 Migration Site-to-Site Mappings
(Read, Modify, Delete, Create,
Specify Source Hierarchy)
 Mobile Device Enrollment Prof...
 Software Metering Rule (Read, Modify,
Delete, Set Security Scope, Create,
Manage Folder Item, Manage Folder ,
Run Report...
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Prochain SlideShare
Chargement dans…5
×

Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

457 vues

Publié le

En retour d'expérience des interventions du support réactif, mais aussi proactif chez nos clients, nous vous proposons une session sur la sécurité dans ConfigMgr 2012 R2. D’un côté, nous abordons comment ConfigMgr contribue à la mise en œuvre d’une meilleure protection. De l’autre, nous vous proposons de faire le tour des bonnes pratiques dans l’architecture de ConfigMgr 2012 R2 et la mise en œuvre de la délégation, notamment, afin d’éviter des crises potentielles.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
457
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
19
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

  1. 1. AMBIENT INTELLIGENCE tech days• 2015 #mstechdays techdays.microsoft.fr
  2. 2. Retour d'expérience sur la mise en place de la délégation de ConfigMgr 2012 R2 Stéphane PAPP (Microsoft) Charles BOUDRY (Microsoft) @stephanepapp
  3. 3. tech.days 2015#mstechdays Principes généraux Comment déléguer ? Quelles sont les bonnes pratiques à suivre? Sécurité et ConfigMgr 2012 R2
  4. 4. Principes généraux Nécessité des privilèges Principes fondamentaux Corolaire de la délégation
  5. 5. tech.days 2015#mstechdays Installation poussée de l’agent ConfigMgr Installation d’un logiciel Distribution d’un système d’exploitation Gestion de la conformité À travers quelques exemples Sécurité et ConfigMgr 2012 R2
  6. 6. tech.days 2015#mstechdays « Un ordinateur sécurisé est un ordinateur éteint ! Et encore… » Bill GATES Une chaîne dépend du maillon le plus faible ! Sécurité et ConfigMgr 2012 R2
  7. 7. tech.days 2015#mstechdays ConfigMgr contribue à gérer la sécurité Security Development Lifecycle (SDL) Partenariat gagnant-gagnant Sécurité et ConfigMgr 2012 R2
  8. 8. tech.days 2015#mstechdays Délégation Bonnes pratiques Qui contrôle ConfigMgr, contrôle le parc géré par ConfigMgr Sécurité et ConfigMgr 2012 R2
  9. 9. tech.days 2015#mstechdays Réinstallation accidentelle de serveurs Suppression d’objets dans la console Erreurs de déploiement / packaging Perte de la clé de recouvrement de BitLocker Utilisation malveillante Toute ressemblance avec des événements… n’est pas une coïncidence Sécurité et ConfigMgr 2012 R2
  10. 10. tech.days 2015#mstechdays Changements des principes fondamentaux Segmenter pour mieux contrôler Sécurité et ConfigMgr 2012 R2
  11. 11. Comment déléguer ? Role Based Administration Outils
  12. 12. tech.days 2015#mstechdays Rôles de sécurité prédéfinis Groupes d’utilisateurs Étendues de sécurité (Scopes) / Regroupements (Collections) Matrix of Role-Based Administration Permissions for ConfigMgr 2012 Visibilité dans la console Role Based Administration Sécurité et ConfigMgr 2012 R2
  13. 13. tech.days 2015#mstechdays Groupes RBA Viewer Sécurité et ConfigMgr 2012 R2
  14. 14. tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2
  15. 15. tech.days 2015#mstechdays Exemple d’utilisation : changer le comportement de l’interface http://blogs.msdn.com/b/spapp/archive/2013/06/22/configmgr- 2012-lancer-l-explorateur-de-ressources-sur-un-double-clic.aspx Autre exemple : Faire disparaître tous les espaces de travail sauf Ressources et Conformité ou ne conserver que Propriétés ou Explorateur de ressources sur un clic droit sur un client Sécurité par obscurité Sécurité et ConfigMgr 2012 R2
  16. 16. tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2
  17. 17. tech.days 2015#mstechdays Rapports  http://blogs.technet.com/b/configmgrdogs/archive/2014/07/14/creating -custom-rbac-enabled-reports-in-configmgr-2012-r2.aspx http://blogs.technet.com/b/smartinez/archive/2013/11/28/how-to- create-a-rba-capable-report-for-configmgr-r2.aspx Dossiers  ConfigMgr 2012 R2 Sécurité et ConfigMgr 2012 R2
  18. 18. Bonnes pratiques Réseau / OS / IIS / AD / SQL ConfigMgr
  19. 19. tech.days 2015#mstechdays Modèles de sécurisation Pare-feu local Internet Information Server (IIS) Sécurité et ConfigMgr 2012 R2
  20. 20. tech.days 2015#mstechdays SQL Server Active Directory DNS Sécurité et ConfigMgr 2012 R2
  21. 21. tech.days 2015#mstechdays Ne pas remonter d’informations confidentielles ou privée ! Limiter la taille des fichiers MIF Ne pas collecter les NoIdMIF À bas les cadences infernales ! Inventaire Sécurité et ConfigMgr 2012 R2
  22. 22. tech.days 2015#mstechdays Ne pas distribuer sur la collection All Systems Compte d’accès réseau Compte pour joindre le domaine Compte administrateur local Distribution de Système d’exploitation ou OSD Sécurité et ConfigMgr 2012 R2
  23. 23. tech.days 2015#mstechdays Droits de créer des packages/applications versus droits de déployer Distribution sous Local System Contenu distribué Distribution de logiciels Sécurité et ConfigMgr 2012 R2
  24. 24. tech.days 2015#mstechdays Groupe WSUS Administrators Compte pour la synchronisation via le proxy Site Web personnalisé Gestion des mises à jour Sécurité et ConfigMgr 2012 R2
  25. 25. tech.days 2015#mstechdays Élévation de privilège Prise de main à distance Sécurité et ConfigMgr 2012 R2
  26. 26. tech.days 2015#mstechdays Signature de code PowerShell et Set-ExecutionPolicy Scripts de remédiation Gestion de conformité Sécurité et ConfigMgr 2012 R2
  27. 27. tech.days 2015#mstechdays Accès sécurisé à la clé de recouvrement de BitLocker MBAM Sécurité et ConfigMgr 2012 R2
  28. 28. tech.days 2015#mstechdays Suivi de la délégation et audits Remettre en conditions opérationnelles une infrastructure ConfigMgr Sécurité et ConfigMgr 2012 R2
  29. 29. © 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr
  30. 30. Matrix of Role-Based Administration Permissions for ConfigMgr 2012 http://gallery.technet.microsoft.c om/Matrix-of-Role-Based-d6318b96
  31. 31. * Nouveau avec ConfigMgr 2012 R2 35
  32. 32. Audit Security (Sécurité de l’audit)* Control AMT (Contrôler AMT) Create (Créer) Delete (Suprimer) Delete Resource (Supprimer la resource) Deploy AntiMalware Policies (Déployer des strategies anti-programmes malveillants) Deploy Applications (Déployer des applications) Deploy Client Settings (Déployer des paramètres client) Deploy Configuration Items (Déployer des éléments de configuration) Deploy Firewall Policies (Déployer des strategies de pare-feu) Deploy Packages (Déployer des packages) Deploy Software Updates (Déployer des mises à jour logicielles) Deploy Task Sequences (Déployer des sequences de tâches) Enforce Security Manage Folder (Modifier un dossier) Modify (Modifier) Modify Client Status Alert (Modifier l’alerte relative à l’état du client) Modify Collection Setting (Modifier les paramètres de regroupement) Modify Folder (Modifier un dossier) Modify Resource (Modifier la resource) Move Object (Déplacer un objet) Provision AMT (Préparer AMT) Read (Lecture) Read Resource (Lire la resource) Remote Control (Contrôle à distance) View Collected File (Afficher le fichier collecté) * Sic ! 36
  33. 33.  Abonnements aux alertes  Stratégies anti-programme malveillant  Applications  Images de démarrage  Groupes de limites  Éléments de configuration  Paramètres client personnalisés  Points de distribution et groupes de points de distribution  Packages de pilotes  Conditions globales  Tâches de migration  Images du système d'exploitation  Packages d'installation du système d'exploitation  Packages  Requêtes  Sites  Règles de contrôle de logiciel  Groupes de mises à jour logicielles  Packages de mises à jour logicielles  Packages de séquence de tâches  Éléments et packages des paramètres du périphérique Windows CE 37
  34. 34.  Forêts Active Directory*  Utilisateurs administratifs  Alertes  Limites  Associations d'ordinateurs  Paramètres client par défaut*  Modèles de déploiement  Pilotes de périphériques  Connecteur Exchange Server*  Mappages de site à site de migration  Profil d'inscription de périphérique mobile  Rôles de sécurité  Étendues de sécurité  Adresses de site*  Rôles système de site*  Titres des logiciels  Mises à jour logicielles  Messages d'état  Affinités des périphériques d'utilisateur 38
  35. 35.  Alert subscription (Read, Modify, Delete, Set Security Scope, Create)  Alerts (Read, Modify, Delete, Create, Run Reports, Modify Reports)  Antimalware Policy (Read, Modify, Delete, Create, Read Default, Modify Default, Run Report, Modify Reports)  Application (Read, Modify, Delete, Set Security Scope, Create, Approve, Manage Folder Item, Manage Folder, Run Report, Modify Report)  Boot Image Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)  Boundaries (Read, Modify, Delete, Create)  Boundary Group (Read, Modify, Delete, Set Security Scope, Create, AssociateSiteSystem)  Client Agent Setting (Read, Modify, Delete, Set Security Scope, Create)  Cloud Subscription (Read, Modify, Delete, Set Security Scope, Create)  Collection (Read, Modify, Delete, Remote Control, Modify Resource, Delete Resource, Create, View Collected File, Read Resource, Manage Folder Item, Deploy Packages, Audit Security, Deploy Client Settings, Manage Folder, Enforce Security, Deploy AntiMalware Policies, Deploy Applications, Modify Collection Setting, Deploy Configuration Items, Deploy Task Sequences, Control AMT, Provision AMT, Deploy Software Updates, Deploy Firewall Policies, Modify Client Status Alert) 39
  36. 36.  Computer Association (Read, Delete, Create, Manage Folder Item, Manage Folder, Recover User State, Run Report, Modify Report)  Configuration Item (Read, Modify, Delete, Set security scope, Create, Manage Folder Item, Manage Folder, Network Access, Run Reports, Modify Reports)  Configuration Policy (Read, Modify, Delete, Set Security Scope, Create)  Deployment Templates (Read, Modify, Delete, Create)  Device Drivers (Read, Modify, Delete, Create, Manage Folder Item, Manage Folder, Network Access, Run Reports, Modify Reports)  Distribution Point (Read, Copy to Distribution Point, Set Security Scope)  Distribution Point Group (Read, Modify, Delete, Copy to Distribution Point , Set Security Scope, Create, Associate)  Drivers Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)  Firewall Settings (Read, Author Policy, Run Report)  Global Condition (Read, Modify, Delete, Set Security Scope, Create)  Inventory Reports (Read, Modify, Delete, Create, Run Report)  Migration Job (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, ManageMigrationJob, Run Report, Modify Report) 40
  37. 37.  Migration Site-to-Site Mappings (Read, Modify, Delete, Create, Specify Source Hierarchy)  Mobile Device Enrollment Profiles (Read, Modify, Delete, Create)  Operating System Image (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)  Operating System Installation Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)  Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder, Run Report, Modify Report)  Query (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)  Security Roles (Read, Modify, Delete, Create)  Security Scopes (Read, Modify, Delete, Create)  Settings for user data and profile management (Read, Author Policy, Run Report)  Sideload Key (Read, Modify, Delete, Create, Run Report, Modify Report)  Site (Read, Modify, Delete, Set Security Scope, Create, Meter Site, Manage Status Filters, Modify CH Settings, Import Machine, Read CH Settings, Modify Connector Policy, Manage OSD Certificate, Run Report, Modify Report) 41
  38. 38.  Software Metering Rule (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder , Run Report, Modify Report)  Software Title (Modify, Manage AI, View AI)  Software Update Group (Read, Modify, Delete, Set Security Scope, Create)  Software Update Package (Read, Modify, Delete, Delete, Set Security Scope, Create)  Software Update (Read, Modify, Delete, Create, Manage Folder Item, Manage Folder, Network Access, Run Report, Modify Report)  Status Messages (Read, Modify, Delete, Create, Run Report, Modify Report)  Task Sequence Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder, Create Task Sequence Media, Run Report, Modify Report)  User Device Affinities (Read, Modify, Delete, Create, Run Report, Modify Report)  Users (Read, Modify, Remove, Add, Run report, Modify Report)  Virtual Environment (Read, Modify, Delete, Set Security Scope, Create)  Windows CE Device Setting Item (Read, Modify, Delete, Set Security Scope, Create, Run Report, Modify Report)  Windows CE Device Setting Package (Read, Modify, Delete, Set Security Scope, Create)  Windows Firewall Policy (Read, Modify, Delete, Set Security Scope, Create) 42

×