Dana Epp a récemment donné une présentation sur les vulnérabilités de Configuration Manager face à des menaces extérieures et sur les défis auxquels sont confrontés les administrateurs ConfigMgr et Microsoft Deployment Toolkit (MDT) pour bloquer ces menaces.
Dana recommande fortement au minimum de supprimer quatre fichiers spécifiques de l’ensemble de vos ordinateurs afin de rendre votre environnement plus sûr.
Prenez par exemple le fichier C: sysprep.inf, il contient les informations de mot de passe de l’administrateur local en clair.
Les quatre fichiers qui doivent être supprimées pour Dana sont:
- C:\sysprep.inf
- C:\sysprepsysprep.xml
- % Windir%\Panther\Unattend\Unattend.xml
- % Windir%\Panther\Unattend.xml
Ci-dessous un exemple de fichier sysprep.inf que vous pourriez trouver sur vos postes.
Voici une solution, parmi d’autres, pour régler le problème.
Commençons par trouver les ordinateurs contenant ces fichiers.
Dans la console ConfigMgr 2012, nous allons créer un Configuration Item (CI) pour chacun des quatre fichiers afin de les détecter sur toutes les stations de travail. Bien que ces étapes soient écrites pour ConfigMgr 2012, elles sont fondamentalement les mêmes pour ConfigMgr 2007.
Je vais vous montrer le processus pour le fichier sysprep.inf que vous devrez répéter pour les trois fichiers restants.
Dans la console ConfigMgr 2012, aller dans : « Assets and Compliance\ Overview\Compliance Settings\Configuration Items », puis cliquez sur « Create Configuration Item » dans la barre d’outil.
Entrez un nom, puis cliquez sur Suivant.
Vous aurez besoins de ce nom pour créer la « Configuration Baseline »
Cliquez sur Suivant.
Cliquez sur Nouveau.
Dans le champ Nom, entrez un nom convivial. Pour mon exemple, j’ai utilisé le nom du fichier, sysprep.inf pour simplifier la résolution de problème.
Modifier « Setting type » à « File system ».
Entrez le « Path » vers le fichier C:\
Entrez le nom du fichier. Sysprep.inf
Cliquez sur New ou Edit.
Définissez le nom de la règle. Exemple : sysprep.inf must NOT exist
Modifier « Rule type » à « Existential ».
Sélectionnez « File must not exist on client devices ».
Changez « Noncompliance severity for reports » à « Critical », puis cliquez sur OK à deux reprises pour revenir à l’Assistant
Cliquez sur Résumé.
Cliquez sur Suivant
Cliquez sur Fermer.
Répétez les étapes ci-dessus afin de créer trois autres « Configuration Items » pour chacun des fichiers restants à être supprimés.
- C:\sysprepsysprep.xml
- %Windir%\Panther\Unattend\Unattend.xml
- %\Windir%\Panther\Unattend.xml
Voir l’article original de Garth Jones : ICI