40
AMBIENT INTELLIGENCE tech days 2015 # mstechdays techdays.microsoft.fr

Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Embed Size (px)

Citation preview

Page 1: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

AMBIENT INTELLIGENCE

tech days•

2015

#mstechdays techdays.microsoft.fr

Page 2: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Retour d'expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Stéphane PAPP (Microsoft)

Charles BOUDRY (Microsoft)

@stephanepapp

Page 3: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Principes généraux

Comment déléguer ?

Quelles sont les bonnes pratiques à suivre?

Sécurité et ConfigMgr 2012 R2

Page 4: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Principes généraux

Nécessité des privilèges

Principes fondamentaux

Corolaire de la délégation

Page 5: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Installation poussée de l’agent ConfigMgr

Installation d’un logiciel

Distribution d’un système d’exploitation

Gestion de la conformité

À travers quelques exemples

Sécurité et ConfigMgr 2012 R2

Page 6: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

« Un ordinateur sécurisé est un ordinateur éteint ! Et encore… » Bill GATES

Une chaîne dépend du maillon le plus faible !

Sécurité et ConfigMgr 2012 R2

Page 7: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

ConfigMgr contribue à gérer la sécurité

Security Development Lifecycle (SDL)

Partenariat gagnant-gagnant

Sécurité et ConfigMgr 2012 R2

Page 8: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Délégation

Bonnes pratiques

Qui contrôle ConfigMgr, contrôle le parc géré par ConfigMgr

Sécurité et ConfigMgr 2012 R2

Page 9: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Réinstallation accidentelle de serveurs

Suppression d’objets dans la console

Erreurs de déploiement / packaging

Perte de la clé de recouvrement de BitLocker

Utilisation malveillante

Toute ressemblance avec des événements… n’est pas une coïncidence

Sécurité et ConfigMgr 2012 R2

Page 10: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Changements des principes fondamentaux

Segmenter pour mieux contrôler

Sécurité et ConfigMgr 2012 R2

Page 11: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Comment déléguer ?

Role Based Administration

Outils

Page 12: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Rôles de sécurité prédéfinis

Groupes d’utilisateurs

Étendues de sécurité (Scopes) / Regroupements (Collections)

Matrix of Role-Based Administration Permissions for ConfigMgr 2012

Visibilité dans la console

Role Based Administration

Sécurité et ConfigMgr 2012 R2

Page 13: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Groupes

RBA Viewer

Sécurité et ConfigMgr 2012 R2

Page 14: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2

Page 15: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Exemple d’utilisation : changer le comportement de l’interface

http://blogs.msdn.com/b/spapp/archive/2013/06/22/configmgr-2012-lancer-l-explorateur-de-ressources-sur-un-double-clic.aspx

Autre exemple : Faire disparaître tous les espaces de travail sauf Ressources et Conformité ou ne conserver que Propriétés ou Explorateur de ressources sur un clic droit sur un client

Sécurité par obscurité

Sécurité et ConfigMgr 2012 R2

Page 16: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2

Page 17: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Rapports http://blogs.technet.com/b/configmgrdogs/archive/2014/07/14/creating

-custom-rbac-enabled-reports-in-configmgr-2012-r2.aspx

http://blogs.technet.com/b/smartinez/archive/2013/11/28/how-to-

create-a-rba-capable-report-for-configmgr-r2.aspx

Dossiers

ConfigMgr 2012 R2

Sécurité et ConfigMgr 2012 R2

Page 18: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Bonnes pratiques

Réseau / OS / IIS / AD / SQL

ConfigMgr

Page 19: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Modèles de sécurisation

Pare-feu local

Internet Information Server (IIS)

Sécurité et ConfigMgr 2012 R2

Page 20: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

SQL Server

Active Directory

DNS

Sécurité et ConfigMgr 2012 R2

Page 21: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Ne pas remonter d’informations confidentielles ou privée !

Limiter la taille des fichiers MIF

Ne pas collecter les NoIdMIF

À bas les cadences infernales !

Inventaire

Sécurité et ConfigMgr 2012 R2

Page 22: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Ne pas distribuer sur la collection All Systems

Compte d’accès réseau

Compte pour joindre le domaine

Compte administrateur local

Distribution de Système d’exploitation ou OSD

Sécurité et ConfigMgr 2012 R2

Page 23: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Droits de créer des packages/applications versus droits de déployer

Distribution sous Local System

Contenu distribué

Distribution de logiciels

Sécurité et ConfigMgr 2012 R2

Page 24: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Groupe WSUS Administrators

Compte pour la synchronisation via le proxy

Site Web personnalisé

Gestion des mises à jour

Sécurité et ConfigMgr 2012 R2

Page 25: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Élévation de privilège

Prise de main à distance

Sécurité et ConfigMgr 2012 R2

Page 26: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Signature de code

PowerShell et Set-ExecutionPolicy

Scripts de remédiation

Gestion de conformité

Sécurité et ConfigMgr 2012 R2

Page 27: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Accès sécurisé à la clé de recouvrement de BitLocker

MBAM

Sécurité et ConfigMgr 2012 R2

Page 28: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

tech.days 2015#mstechdays

Suivi de la délégation et audits

Remettre en conditions opérationnelles une infrastructure ConfigMgr

Sécurité et ConfigMgr 2012 R2

Page 29: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Page 30: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Page 31: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

© 2015 Microsoft Corporation. All rights reserved.

tech days•

2015

#mstechdays techdays.microsoft.fr

Page 32: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Matrix of Role-Based Administration

Permissions for ConfigMgr 2012

http://gallery.technet.microsoft.c

om/Matrix-of-Role-Based-d6318b96

Page 33: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

* Nouveau avec ConfigMgr 2012 R2 35

Page 34: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Audit Security (Sécurité de l’audit)*

Control AMT (Contrôler AMT)

Create (Créer)

Delete (Suprimer)

Delete Resource (Supprimer la resource)

Deploy AntiMalware Policies (Déployer des strategies anti-programmes malveillants)

Deploy Applications (Déployer des applications)

Deploy Client Settings (Déployer des paramètres client)

Deploy Configuration Items (Déployer des éléments de configuration)

Deploy Firewall Policies (Déployer des strategies de pare-feu)

Deploy Packages (Déployer des packages)

Deploy Software Updates (Déployer des misesà jour logicielles)

Deploy Task Sequences (Déployer des sequences de tâches)

Enforce Security

Manage Folder (Modifier un dossier)

Modify (Modifier)

Modify Client Status Alert (Modifier l’alerterelative à l’état du client)

Modify Collection Setting (Modifier les paramètres de regroupement)

Modify Folder (Modifier un dossier)

Modify Resource (Modifier la resource)

Move Object (Déplacer un objet)

Provision AMT (Préparer AMT)

Read (Lecture)

Read Resource (Lire la resource)

Remote Control (Contrôle à distance)

View Collected File (Afficher le fichier collecté)

* Sic ! 36

Page 35: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Abonnements aux alertes

Stratégies anti-programme malveillant

Applications

Images de démarrage

Groupes de limites

Éléments de configuration

Paramètres client personnalisés

Points de distribution et groupes de points de distribution

Packages de pilotes

Conditions globales

Tâches de migration

Images du système d'exploitation

Packages d'installation du système d'exploitation

Packages

Requêtes

Sites

Règles de contrôle de logiciel

Groupes de mises à jour logicielles

Packages de mises à jour logicielles

Packages de séquence de tâches

Éléments et packages des paramètres du périphérique Windows CE

37

Page 36: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Forêts Active Directory*

Utilisateurs administratifs

Alertes

Limites

Associations d'ordinateurs

Paramètres client par défaut*

Modèles de déploiement

Pilotes de périphériques

Connecteur Exchange Server*

Mappages de site à site

de migration

Profil d'inscription de périphérique mobile

Rôles de sécurité

Étendues de sécurité

Adresses de site*

Rôles système de site*

Titres des logiciels

Mises à jour logicielles

Messages d'état

Affinités des périphériques d'utilisateur

38

Page 37: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Alert subscription (Read, Modify, Delete, Set Security Scope, Create)

Alerts (Read, Modify, Delete, Create, Run Reports, Modify Reports)

Antimalware Policy (Read, Modify, Delete, Create, Read Default, Modify Default, Run Report, Modify Reports)

Application (Read, Modify, Delete, Set Security Scope, Create, Approve, Manage Folder Item, Manage Folder, Run Report, Modify Report)

Boot Image Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)

Boundaries (Read, Modify, Delete, Create)

Boundary Group (Read, Modify, Delete, Set Security Scope, Create, AssociateSiteSystem)

Client Agent Setting (Read, Modify, Delete, Set Security Scope, Create)

Cloud Subscription (Read, Modify, Delete, Set Security Scope, Create)

Collection (Read, Modify, Delete, Remote Control, Modify Resource, Delete Resource, Create, View Collected File, Read Resource, Manage Folder Item, Deploy Packages, Audit Security, Deploy Client Settings, Manage Folder, Enforce Security, Deploy AntiMalware Policies, Deploy Applications, Modify Collection Setting, Deploy Configuration Items, Deploy Task Sequences, Control AMT, Provision AMT, Deploy Software Updates, Deploy Firewall Policies, Modify Client Status Alert)

39

Page 38: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Computer Association (Read, Delete, Create, Manage Folder Item, Manage Folder, Recover User State, Run Report, Modify Report)

Configuration Item (Read, Modify, Delete, Set security scope, Create, Manage Folder Item, Manage Folder, Network Access, Run Reports, Modify Reports)

Configuration Policy (Read, Modify, Delete, Set Security Scope, Create)

Deployment Templates (Read, Modify, Delete, Create)

Device Drivers (Read, Modify, Delete, Create, Manage Folder Item, Manage Folder, Network Access, Run Reports, Modify Reports)

Distribution Point (Read, Copy to Distribution Point, Set Security Scope)

Distribution Point Group (Read, Modify, Delete, Copy to Distribution Point , Set Security Scope, Create, Associate)

Drivers Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder

Item, Manage Folder)

Firewall Settings (Read, Author Policy, Run Report)

Global Condition (Read, Modify, Delete, Set Security Scope, Create)

Inventory Reports (Read, Modify, Delete, Create, Run Report)

Migration Job (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, ManageMigrationJob, Run Report, Modify Report)

40

Page 39: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Migration Site-to-Site Mappings (Read, Modify, Delete, Create, Specify Source Hierarchy)

Mobile Device Enrollment Profiles (Read, Modify, Delete, Create)

Operating System Image (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)

Operating System Installation Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder)

Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder, Run Report, Modify Report)

Query (Read, Modify, Delete, Set Security Scope, Create, Manage

Folder Item, Manage Folder)

Security Roles (Read, Modify, Delete, Create)

Security Scopes (Read, Modify, Delete, Create)

Settings for user data and profile management (Read, Author Policy, Run Report)

Sideload Key (Read, Modify, Delete, Create, Run Report, Modify Report)

Site (Read, Modify, Delete, Set Security Scope, Create, Meter Site, Manage Status Filters, Modify CH Settings, Import Machine, Read CH Settings, Modify Connector Policy, Manage OSD Certificate, Run Report, Modify Report)

41

Page 40: Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2

Software Metering Rule (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder , Run Report, Modify Report)

Software Title (Modify, Manage AI, View AI)

Software Update Group (Read, Modify, Delete, Set Security Scope, Create)

Software Update Package (Read, Modify, Delete, Delete, Set Security Scope, Create)

Software Update (Read, Modify, Delete, Create, Manage Folder Item, Manage Folder, Network Access, Run Report, Modify Report)

Status Messages (Read, Modify, Delete, Create, Run Report, Modify Report)

Task Sequence Package (Read, Modify, Delete, Set Security Scope, Create, Manage Folder Item, Manage Folder, Create Task Sequence Media, Run Report, Modify Report)

User Device Affinities (Read, Modify, Delete, Create, Run Report, Modify

Report)

Users (Read, Modify, Remove, Add, Run report, Modify Report)

Virtual Environment (Read, Modify, Delete, Set Security Scope, Create)

Windows CE Device Setting Item (Read, Modify, Delete, Set Security Scope, Create, Run Report, Modify Report)

Windows CE Device Setting Package (Read, Modify, Delete, Set Security Scope, Create)

Windows Firewall Policy (Read, Modify, Delete, Set Security Scope, Create)

42