Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
-
Upload
microsoft-decideurs-it -
Category
Technology
-
view
89 -
download
2
Transcript of Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr
Retour d'expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Stéphane PAPP (Microsoft)
Charles BOUDRY (Microsoft)
@stephanepapp
tech.days 2015#mstechdays
Principes généraux
Comment déléguer ?
Quelles sont les bonnes pratiques à suivre?
Sécurité et ConfigMgr 2012 R2
Principes généraux
Nécessité des privilèges
Principes fondamentaux
Corolaire de la délégation
tech.days 2015#mstechdays
Installation poussée de l’agent ConfigMgr
Installation d’un logiciel
Distribution d’un système d’exploitation
Gestion de la conformité
À travers quelques exemples
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
« Un ordinateur sécurisé est un ordinateur éteint ! Et encore… » Bill GATES
Une chaîne dépend du maillon le plus faible !
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
ConfigMgr contribue à gérer la sécurité
Security Development Lifecycle (SDL)
Partenariat gagnant-gagnant
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Délégation
Bonnes pratiques
Qui contrôle ConfigMgr, contrôle le parc géré par ConfigMgr
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Réinstallation accidentelle de serveurs
Suppression d’objets dans la console
Erreurs de déploiement / packaging
Perte de la clé de recouvrement de BitLocker
Utilisation malveillante
Toute ressemblance avec des événements… n’est pas une coïncidence
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Changements des principes fondamentaux
Segmenter pour mieux contrôler
Sécurité et ConfigMgr 2012 R2
Comment déléguer ?
Role Based Administration
Outils
tech.days 2015#mstechdays
Rôles de sécurité prédéfinis
Groupes d’utilisateurs
Étendues de sécurité (Scopes) / Regroupements (Collections)
Matrix of Role-Based Administration Permissions for ConfigMgr 2012
Visibilité dans la console
Role Based Administration
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Groupes
RBA Viewer
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Exemple d’utilisation : changer le comportement de l’interface
http://blogs.msdn.com/b/spapp/archive/2013/06/22/configmgr-2012-lancer-l-explorateur-de-ressources-sur-un-double-clic.aspx
Autre exemple : Faire disparaître tous les espaces de travail sauf Ressources et Conformité ou ne conserver que Propriétés ou Explorateur de ressources sur un clic droit sur un client
Sécurité par obscurité
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Rapports http://blogs.technet.com/b/configmgrdogs/archive/2014/07/14/creating
-custom-rbac-enabled-reports-in-configmgr-2012-r2.aspx
http://blogs.technet.com/b/smartinez/archive/2013/11/28/how-to-
create-a-rba-capable-report-for-configmgr-r2.aspx
Dossiers
ConfigMgr 2012 R2
Sécurité et ConfigMgr 2012 R2
Bonnes pratiques
Réseau / OS / IIS / AD / SQL
ConfigMgr
tech.days 2015#mstechdays
Modèles de sécurisation
Pare-feu local
Internet Information Server (IIS)
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
SQL Server
Active Directory
DNS
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Ne pas remonter d’informations confidentielles ou privée !
Limiter la taille des fichiers MIF
Ne pas collecter les NoIdMIF
À bas les cadences infernales !
Inventaire
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Ne pas distribuer sur la collection All Systems
Compte d’accès réseau
Compte pour joindre le domaine
Compte administrateur local
Distribution de Système d’exploitation ou OSD
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Droits de créer des packages/applications versus droits de déployer
Distribution sous Local System
Contenu distribué
Distribution de logiciels
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Groupe WSUS Administrators
Compte pour la synchronisation via le proxy
Site Web personnalisé
Gestion des mises à jour
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Élévation de privilège
Prise de main à distance
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Signature de code
PowerShell et Set-ExecutionPolicy
Scripts de remédiation
Gestion de conformité
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Accès sécurisé à la clé de recouvrement de BitLocker
MBAM
Sécurité et ConfigMgr 2012 R2
tech.days 2015#mstechdays
Suivi de la délégation et audits
Remettre en conditions opérationnelles une infrastructure ConfigMgr
Sécurité et ConfigMgr 2012 R2
© 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr
Matrix of Role-Based Administration
Permissions for ConfigMgr 2012
http://gallery.technet.microsoft.c
om/Matrix-of-Role-Based-d6318b96
* Nouveau avec ConfigMgr 2012 R2 35
Audit Security (Sécurité de l’audit)*
Control AMT (Contrôler AMT)
Create (Créer)
Delete (Suprimer)
Delete Resource (Supprimer la resource)
Deploy AntiMalware Policies (Déployer des strategies anti-programmes malveillants)
Deploy Applications (Déployer des applications)
Deploy Client Settings (Déployer des paramètres client)
Deploy Configuration Items (Déployer des éléments de configuration)
Deploy Firewall Policies (Déployer des strategies de pare-feu)
Deploy Packages (Déployer des packages)
Deploy Software Updates (Déployer des misesà jour logicielles)
Deploy Task Sequences (Déployer des sequences de tâches)
Enforce Security
Manage Folder (Modifier un dossier)
Modify (Modifier)
Modify Client Status Alert (Modifier l’alerterelative à l’état du client)
Modify Collection Setting (Modifier les paramètres de regroupement)
Modify Folder (Modifier un dossier)
Modify Resource (Modifier la resource)
Move Object (Déplacer un objet)
Provision AMT (Préparer AMT)
Read (Lecture)
Read Resource (Lire la resource)
Remote Control (Contrôle à distance)
View Collected File (Afficher le fichier collecté)
* Sic ! 36
Abonnements aux alertes
Stratégies anti-programme malveillant
Applications
Images de démarrage
Groupes de limites
Éléments de configuration
Paramètres client personnalisés
Points de distribution et groupes de points de distribution
Packages de pilotes
Conditions globales
Tâches de migration
Images du système d'exploitation
Packages d'installation du système d'exploitation
Packages
Requêtes
Sites
Règles de contrôle de logiciel
Groupes de mises à jour logicielles
Packages de mises à jour logicielles
Packages de séquence de tâches
Éléments et packages des paramètres du périphérique Windows CE
37
Forêts Active Directory*
Utilisateurs administratifs
Alertes
Limites
Associations d'ordinateurs
Paramètres client par défaut*
Modèles de déploiement
Pilotes de périphériques
Connecteur Exchange Server*
Mappages de site à site
de migration
Profil d'inscription de périphérique mobile
Rôles de sécurité
Étendues de sécurité
Adresses de site*
Rôles système de site*
Titres des logiciels
Mises à jour logicielles
Messages d'état
Affinités des périphériques d'utilisateur
38
Alert subscription (Read, Modify, Delete, Set Security Scope, Create)
Alerts (Read, Modify, Delete, Create, Run Reports, Modify Reports)
Antimalware Policy (Read, Modify, Delete, Create, Read Default, Modify Default, Run Report, Modify Reports)
Application (Read, Modify, Delete, Set Security Scope, Create, Approve, Manage Folder Item, Manage Folder, Run Report, Modify Report)
Boot Image Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)
Boundaries (Read, Modify, Delete, Create)
Boundary Group (Read, Modify, Delete, Set Security Scope, Create, AssociateSiteSystem)
Client Agent Setting (Read, Modify, Delete, Set Security Scope, Create)
Cloud Subscription (Read, Modify, Delete, Set Security Scope, Create)
Collection (Read, Modify, Delete, Remote Control, Modify Resource, Delete Resource, Create, View Collected File, Read Resource, Manage Folder Item, Deploy Packages, Audit Security, Deploy Client Settings, Manage Folder, Enforce Security, Deploy AntiMalware Policies, Deploy Applications, Modify Collection Setting, Deploy Configuration Items, Deploy Task Sequences, Control AMT, Provision AMT, Deploy Software Updates, Deploy Firewall Policies, Modify Client Status Alert)
39
Computer Association (Read, Delete, Create, Manage Folder Item, Manage Folder, Recover User State, Run Report, Modify Report)
Configuration Item (Read, Modify, Delete, Set security scope, Create, Manage Folder Item, Manage Folder, Network Access, Run Reports, Modify Reports)
Configuration Policy (Read, Modify, Delete, Set Security Scope, Create)
Deployment Templates (Read, Modify, Delete, Create)
Device Drivers (Read, Modify, Delete, Create, Manage Folder Item, Manage Folder, Network Access, Run Reports, Modify Reports)
Distribution Point (Read, Copy to Distribution Point, Set Security Scope)
Distribution Point Group (Read, Modify, Delete, Copy to Distribution Point , Set Security Scope, Create, Associate)
Drivers Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder
Item, Manage Folder)
Firewall Settings (Read, Author Policy, Run Report)
Global Condition (Read, Modify, Delete, Set Security Scope, Create)
Inventory Reports (Read, Modify, Delete, Create, Run Report)
Migration Job (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, ManageMigrationJob, Run Report, Modify Report)
40
Migration Site-to-Site Mappings (Read, Modify, Delete, Create, Specify Source Hierarchy)
Mobile Device Enrollment Profiles (Read, Modify, Delete, Create)
Operating System Image (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)
Operating System Installation Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)
Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder, Run Report, Modify Report)
Query (Read, Modify, Delete, Set Security Scope, Create, Manage
Folder Item, Manage Folder)
Security Roles (Read, Modify, Delete, Create)
Security Scopes (Read, Modify, Delete, Create)
Settings for user data and profile management (Read, Author Policy, Run Report)
Sideload Key (Read, Modify, Delete, Create, Run Report, Modify Report)
Site (Read, Modify, Delete, Set Security Scope, Create, Meter Site, Manage Status Filters, Modify CH Settings, Import Machine, Read CH Settings, Modify Connector Policy, Manage OSD Certificate, Run Report, Modify Report)
41
Software Metering Rule (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder , Run Report, Modify Report)
Software Title (Modify, Manage AI, View AI)
Software Update Group (Read, Modify, Delete, Set Security Scope, Create)
Software Update Package (Read, Modify, Delete, Delete, Set Security Scope, Create)
Software Update (Read, Modify, Delete, Create, Manage Folder Item, Manage Folder, Network Access, Run Report, Modify Report)
Status Messages (Read, Modify, Delete, Create, Run Report, Modify Report)
Task Sequence Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder, Create Task Sequence Media, Run Report, Modify Report)
User Device Affinities (Read, Modify, Delete, Create, Run Report, Modify
Report)
Users (Read, Modify, Remove, Add, Run report, Modify Report)
Virtual Environment (Read, Modify, Delete, Set Security Scope, Create)
Windows CE Device Setting Item (Read, Modify, Delete, Set Security Scope, Create, Run Report, Modify Report)
Windows CE Device Setting Package (Read, Modify, Delete, Set Security Scope, Create)
Windows Firewall Policy (Read, Modify, Delete, Set Security Scope, Create)
42