Quatre fichiers que vous devez supprimer de l'environnement de Configuration Manager

Dana Epp (@DanaEpp) a récemment fait une présentation fascinante sur les vulnérabilités auxquelles fait face Configuration Manager, des menaces extérieures quotidiennes aux défis auxquels sont confrontés les administrateurs ConfigMgr et les administrateurs Microsoft Deployment Toolkit (MDT) pour bloquer ces menaces.

À tout le moins, Dana vous recommande fortement de supprimer quatre fichiers spécifiques de tous vos ordinateurs afin de rendre votre environnement plus sécurisé.

Avez-vous besoin de plus de conviction? Prenez le fichier C:\sysprep.inf. Vous ne le savez peut-être pas, mais il contient les informations de mot de passe de l'administrateur local sous forme de texte clair. Avec cette pièce d'intelligence, un hacker peut accéder à tous les postes de travail ! Si c'est tout ce dont un pirate informatique a besoin pour s'implanter dans votre environnement, combien de temps faudra-t-il avant qu'il n'ait le nom d'utilisateur et le mot de passe d'un compte d'administrateur de domaine ?

Les quatre fichiers qui doivent être supprimés sont :

C:\sysprep.inf
C:\sysprep\sysprep.xml
%windir%\Panther\Unattend\Unattend.xml
%windir%\Panther\Unattend.xml

Vous trouverez ci-dessous un exemple de fichier sysprep.inf.

J'encouragerai tous mes clients à suivre les conseils de Dana, et j'ai accepté d'aider Dana à faire passer le mot en écrivant cet article de blog. Si vous souhaitez plus d'informations, vous pouvez consulter son plan de présentation sur le Site Web de TÂCHE.

Gardez à l'esprit que ce processus implique un certain nombre d'étapes, je vais donc diviser cette série en cinq articles de blog.

Commençons par trouver ces ordinateurs problématiques.

Dans la console ConfigMgr 2012, nous allons créer un élément de configuration (CI) pour chacun des quatre fichiers afin de les détecter sur n'importe quel poste de travail. Bien que ces étapes soient écrites pour ConfigMgr 2012, elles sont fondamentalement les mêmes pour ConfigMgr 2007.

Je vais montrer le processus pour sysprep.inf, puis vous devrez répéter vous-même ces étapes pour les trois fichiers restants.

1. Dans la console ConfigMgr 2012, accédez à Actifs et conformité | Aperçu | Paramètres de conformité | Éléments de configuration, puis cliquez sur Créer un élément de configuration dans la barre d'outils.

2. Saisissez un Nom pour l'élément de configuration, puis cliquez sur Prochain.

Noter: N'oubliez pas ce nom car nous en aurons besoin dans mon prochain article de blog sur la façon de créer la ligne de base de configuration.

3. Cliquez sur Prochain.

4. Cliquez sur Nouvelle.

5. Dans le Nom champ entrez le définition d'un nom convivial. Dans mon exemple, j'ai utilisé le nom du fichier, sysprep.inf afin d'aider au dépannage ultérieur.

Changer la Type de réglage à Système de fichiers.

Entrer le Chemin au fichier. C:\

Entrer le Nom de fichier. sysprep.inf

Noter: Si vous recherchez le fichier sur cet écran, une règle de conformité sera automatiquement créée. Si une règle de conformité est créée, vous devrez toujours ajuster cette règle à l'étape suivante.