Sécurité d'agents et certificats approuvés
Endpoint Manager utilise un modèle d'authentification basé sur les certificats. Les agents de périphérique s'authentifient auprès de serveurs principaux autorisés, ce qui empêche ceux non autorisés d'accéder aux clients. Chaque serveur principal possède un certificat et une clé privée uniques, créés par le programme d'installation de Endpoint Manager lorsque vous installez pour la première fois le serveur principal ou le serveur de consolidation.
Voici les fichiers de clé privée et de certificat :
- <keyname>.key : Le fichier .key est la clé privée pour le serveur principal et réside uniquement sur ce dernier. Si cette clé est compromise, les communications entre le serveur principal et le périphérique ne seront pas sécurisées. Gardez cette clé en lieu sûr. Par exemple, n'utilisez pas l'e-mail pour la déplacer.
- <keyname>.crt : Le fichier .crt contient la clé publique pour le serveur principal. Le fichier .crt est une version lisible de la clé publique, que vous pouvez afficher pour en savoir plus sur cette clé.
- <hash>.0 : Le fichier .0 est un fichier de certificat de confiance dont le contenu est identique à celui du fichier .crt. Toutefois, il reçoit un nom qui permet à l'ordinateur de trouver rapidement le fichier de certificat dans un répertoire contenant plusieurs certificats différents. Le nom est un hachage (somme de contrôle) des informations d'objet du certificat. Pour déterminer le nom du fichier de hachage pour un certificat donné, affichez le fichier <keyname>.crt. Ce fichier contient une section [LDMS] de fichier .ini. La paire hachage=valeur indique la valeur <hash>.
Une autre méthode d'obtention de la valeur de hachage consiste à utiliser l'application openssl, stockée dans le dossier \Program Files\LANDesk\Shared Files\Keys. Elle permet d'afficher la valeur de hachage associée à un certificat en utilisant la ligne de commande suivante :
openssl.exe x509 -in <keyname>.crt -hash -noout
Toutes les clés sont stockées dans le répertoire \Programmes\LANDesk\Shared Files\Keys du serveur principal. La clé publique <hash>.0 est également stockée dans le dossier ldlogon et doit s'y trouver par défaut. <keyname> est le nom de certificat que vous avez fourni pour configurer Endpoint Manager. Pendant l'installation, il est utile de fournir un nom de clé descriptif, comme le nom du serveur principal (ou même son nom entièrement qualifié), comme nom de clé (par exemple : ldcore ou ldcore.org.com). Ceci devrait simplifier l'identification du fichier de certificat/clé privée dans un environnement multiserveur.
Il est recommandé de sauvegarder le contenu du dossier de clés du serveur principal à un endroit sûr et sécurisé. Si, pour une raison quelconque, vous devez réinstaller ou remplacer le serveur principal, la gestion de ses périphériques est impossible si vous n'ajoutez pas les certificats du serveur principal d'origine au nouveau.
Certificats de périphérique géré
L'une des nouveautés de Ivanti® Endpoint Manager 2016 est un nouveau modèle de sécurité basée sur un certificat client, destiné aux périphériques Windows. Lorsque ce modèle de sécurité est actif, seuls les périphériques dotés de certificats valides peuvent décrypter les données sécurisées du serveur principal. Depuis la version 2020, ce modèle de sécurité est activé par défaut.
Sur les périphériques gérés, les certificats sont stockés dans le dossier suivant :
- C:\Program Files (x86)\LANDesk\Shared Files\cbaroot\broker
Il y a trois fichiers :
- broker.key : Clé privée. Doit être protégé. Seuls les administrateurs ont des droits sur ce fichier.
- broker.csr : Demande de signature de certificat envoyée au serveur principal pour signature.
- broker.crt : Clé publique au format de certificat X509.