Sécurité et confidentialité des mises à jour logicielles dans Configuration Manager
S’applique à : Configuration Manager (branche actuelle)
Cette rubrique contient des informations de sécurité et de confidentialité pour les mises à jour logicielles dans Configuration Manager.
Meilleures pratiques de sécurité pour les mises à jour logicielles
Utilisez les meilleures pratiques de sécurité suivantes lorsque vous déployez des mises à jour logicielles sur des clients :
Ne modifiez pas les autorisations par défaut sur les packages de mise à jour logicielle.
Par défaut, les packages de mise à jour logicielle sont définis pour permettre aux administrateurs et aux utilisateurs de disposer d’un accès en lecture . Si vous modifiez ces autorisations, cela peut permettre à un attaquant d’ajouter, de supprimer ou de supprimer des mises à jour logicielles.
Contrôler l’accès à l’emplacement de téléchargement des mises à jour logicielles.
Les comptes d’ordinateur pour le fournisseur SMS, le serveur de site et l’utilisateur administratif qui télécharge réellement les mises à jour logicielles vers l’emplacement de téléchargement nécessitent un accès en écriture à l’emplacement de téléchargement. Limitez l’accès à l’emplacement de téléchargement afin de réduire le risque que des attaquants falsifient les fichiers sources des mises à jour logicielles dans l’emplacement de téléchargement.
En outre, si vous utilisez un partage UNC pour l’emplacement de téléchargement, sécurisez le canal réseau à l’aide de la signature IPsec ou SMB pour empêcher la falsification des fichiers sources des mises à jour logicielles lorsqu’ils sont transférés sur le réseau.
Utilisez UTC pour évaluer les temps de déploiement.
Si vous utilisez l’heure locale au lieu de l’heure UTC, les utilisateurs peuvent potentiellement retarder l’installation des mises à jour logicielles en modifiant le fuseau horaire sur leurs ordinateurs
Activez SSL sur WSUS et suivez les meilleures pratiques pour sécuriser Windows Server Update Services (WSUS).
Identifiez et suivez les bonnes pratiques de sécurité pour la version de WSUS que vous utilisez avec Configuration Manager.
Pour plus d’informations sur l’activation de SSL, consultez le tutoriel Configurer un point de mise à jour logicielle pour utiliser TLS/SSL avec un certificat PKI.
Importante
Si vous configurez le point de mise à jour logicielle pour activer les communications SSL pour le serveur WSUS, vous devez configurer des racines virtuelles pour SSL sur le serveur WSUS.
Activez la vérification de la liste de révocation de certificats.
Par défaut, Configuration Manager n’case activée pas la liste de révocation de certificats (CRL) pour vérifier la signature sur les mises à jour logicielles avant qu’elles ne soient déployées sur les ordinateurs. La vérification de la liste de révocation de certificats chaque fois qu’un certificat est utilisé offre plus de sécurité par rapport à l’utilisation d’un certificat qui a été révoqué, mais elle introduit un délai de connexion et entraîne un traitement supplémentaire sur l’ordinateur exécutant la liste de révocation de certificats case activée.
Pour plus d’informations sur l’activation de la vérification des listes de révocation de certificats pour les mises à jour logicielles, consultez Guide pratique pour activer la vérification des listes de révocation de certificats pour les mises à jour logicielles.
Configurez WSUS pour utiliser un site web personnalisé.
Lorsque vous installez WSUS sur le point de mise à jour logicielle, vous avez la possibilité d’utiliser le site Web IIS par défaut existant ou de créer un site web WSUS personnalisé. Créez un site web personnalisé pour WSUS afin qu’IIS héberge les services WSUS dans un site web virtuel dédié au lieu de partager le même site web que celui utilisé par les autres systèmes de site Configuration Manager ou d’autres applications.
Pour plus d’informations, consultez Configurer WSUS pour utiliser un site web personnalisé.
Informations de confidentialité pour les mises à jour logicielles
Mises à jour logicielles analyse vos ordinateurs clients pour déterminer les mises à jour logicielles dont vous avez besoin, puis renvoie ces informations à la base de données du site. Pendant le processus des mises à jour logicielles, Configuration Manager peuvent transmettre des informations entre les clients et les serveurs qui identifient l’ordinateur et les comptes d’ouverture de session.
Configuration Manager conserve les informations d’état sur le processus de déploiement de logiciels. Les informations d’état ne sont pas chiffrées pendant la transmission ou le stockage. Les informations d’état sont stockées dans la base de données Configuration Manager et supprimées par les tâches de maintenance de la base de données. Aucune information d’état n’est envoyée à Microsoft.
L’utilisation de Configuration Manager mises à jour logicielles pour installer des mises à jour logicielles sur les ordinateurs clients peut être soumise aux termes du contrat de licence logiciel pour ces mises à jour, qui sont distincts des termes du contrat de licence logiciel pour Configuration Manager. Passez toujours en revue et acceptez les Conditions du contrat de licence logiciel avant d’installer les mises à jour logicielles à l’aide de Configuration Manager.
Configuration Manager n’implémente pas les mises à jour logicielles par défaut et nécessite plusieurs étapes de configuration avant la collecte des informations.
Avant de configurer les mises à jour logicielles, tenez compte de vos exigences en matière de confidentialité.