sccm2012

Dana Epp a récemment donné une présentation sur les vulnérabilités de Configuration Manager face à des menaces extérieures et sur les défis auxquels sont confrontés les administrateurs ConfigMgr et Microsoft Deployment Toolkit (MDT) pour bloquer ces menaces.


Dana recommande fortement au minimum de supprimer quatre fichiers spécifiques de l’ensemble de vos ordinateurs afin de rendre votre environnement plus sûr.
Prenez par exemple le fichier C: sysprep.inf,  il contient les informations de mot de passe de l’administrateur local en clair.
Les quatre fichiers qui doivent être supprimées pour Dana sont:

  • C:\sysprep.inf
  • C:\sysprepsysprep.xml
  • % Windir%\Panther\Unattend\Unattend.xml
  • % Windir%\Panther\Unattend.xml

Ci-dessous un exemple de fichier sysprep.inf que vous pourriez trouver sur vos postes.
sccm_ficdang1
Voici une solution, parmi d’autres, pour régler le problème.
Commençons par trouver les ordinateurs contenant ces fichiers.
Dans la console ConfigMgr 2012, nous allons créer un Configuration Item (CI) pour chacun des quatre fichiers afin de les détecter sur toutes les stations de travail.  Bien que ces étapes soient écrites pour ConfigMgr 2012, elles sont fondamentalement les mêmes pour ConfigMgr 2007.
Je vais vous montrer le processus pour le fichier sysprep.inf que vous devrez répéter pour les trois fichiers restants.
sccm_ficdang2
Dans la console ConfigMgr 2012, aller dans : « Assets and Compliance\ Overview\Compliance Settings\Configuration Items », puis cliquez sur « Create Configuration Item » dans la barre d’outil.
sccm_ficdang3
Entrez un nom, puis cliquez sur Suivant.
Vous aurez besoins de ce nom pour créer la « Configuration Baseline »

sccm_ficdang4
Cliquez sur Suivant.
sccm_ficdang5
Cliquez sur Nouveau.
sccm_ficdang6
Dans le champ Nom, entrez un nom convivial.  Pour mon exemple, j’ai utilisé le nom du fichier, sysprep.inf pour simplifier la résolution de problème.
Modifier « Setting type » à « File system ».
Entrez le « Path » vers le fichier C:\
Entrez le nom du fichier. Sysprep.inf
sccm_ficdang7
Cliquez sur New ou Edit.
sccm_ficdang8
Définissez le nom de la règle. Exemple : sysprep.inf must NOT exist
Modifier « Rule type » à « Existential ».
Sélectionnez « File must not exist on client devices ».
Changez « Noncompliance severity for reports » à « Critical », puis cliquez sur OK à deux reprises pour revenir à l’Assistant
sccm_ficdang9
Cliquez sur Résumé.
sccm_ficdang10
Cliquez sur Suivant
sccm_ficdang11
Cliquez sur Fermer.
Répétez les étapes ci-dessus afin de créer trois autres « Configuration Items » pour chacun des fichiers restants à être supprimés.

  • C:\sysprepsysprep.xml
  • %Windir%\Panther\Unattend\Unattend.xml
  • %\Windir%\Panther\Unattend.xml

Voir l’article original de Garth Jones : ICI