Sécurité basée sur un certificat client

L'une des nouveautés de Ivanti® Endpoint Manager 2016 était un nouveau modèle de sécurité basée sur un certificat client, destiné aux périphériques Windows. Lorsque ce modèle de sécurité est actif, seuls les périphériques dotés de certificats valides peuvent décrypter les données sécurisées du serveur principal.

Dans la version 2020.1, ce modèle de sécurité est activé par défaut et le programme de configuration ne vous demande plus si vous souhaitez l'activer. Si vous mettez votre système à niveau vers la version 2020.1 ou supérieure, et que vous n'aviez pas activé la sécurité basée sur un certificat client dans la version précédente, vous devez appliquer la procédure de cette rubrique.

Si vous aviez activé la sécurité basée sur un certificat client dans la version 2016 ou supérieure, et que vous mettez votre système à niveau vers une version plus récente d'Endpoint Manager, vous n'avez pas besoin de suivre les instructions de cette rubrique.

Si Endpoint Manager version 2016 ou supérieure est la première installation d'Endpoint Manager dans votre environnement réseau, vous pouvez activer la sécurité basée sur un certificat client sans aucun problème, puisqu'aucun agent plus ancien n'est présent.

Si vous disposez de périphériques avec des agents de version plus ancienne et que vous activez la sécurité basée sur un certificat client, ces périphériques ne peuvent pas décrypter les données sécurisées du serveur principal et de nombreuses fonctions d'agent ne fonctionnent pas correctement.

Une fois la sécurité basée sur un certificat client activée, vous ne pouvez pas la désactiver.

Procédez comme suit pour activer la sécurité basée sur un certificat client

1.Évaluez les périphériques pour voir s'ils sont prêts et mettez à jour ceux qui exécutent des versions plus anciennes (9.x) de l'agent.

2.Approuvez les certificats client.

3.Activez la sécurité basée sur un certificat client sur le serveur principal.

4.Recryptez les mots de passe de composant du serveur principal que les clients utilisent.

5.(Si vous utilisez la synchronisation des serveurs principaux) : Copiez les nouvelles clés de cryptage vers les autres serveurs principaux.

Étape 1 : Assurez-vous que les périphériques Windows gérés sont prêts.

La boîte de dialogue Paramètres de sécurité (Configuration > Sécurité) inclut un graphique qui montre le taux de succès de l'authentification basée sur un certificat pour les périphériques gérés. Lorsque les périphériques gérés tentent d'établir une connexion sécurisée avec le serveur principal ou lorsque l'analyseur de sécurité (vulscan.exe) s'exécute, les résultats de la connexion sont enregistrés dans l'inventaire du périphérique. Cela se produit même si le nouveau modèle de sécurité n'est pas encore activé.

Les périphériques qui n'ont pas l'état Authentification réussie ne seront pas entièrement gérables après l'activation du nouveau modèle de sécurité. En général, ce sont les agents de périphérique plus anciens qui provoquent les autres états. N'activez pas le nouveau modèle de sécurité tant que tous les périphériques ne sont pas prêts à l'utiliser.

Le graphique de cette boîte de dialogue résume les résultats des tentatives de connexion :

  • Authentification réussie : Le périphérique comporte des agents version 2016, est connecté en mode sécurisé et est prêt pour le nouveau modèle de sécurité. Dans l'idéal, tous les périphériques devraient être dans cette liste.
  • Aucune info d'authentification : Le périphérique n'a pas tenté d'établir une connexion sécurisée ou l'analyseur de sécurité n'a pas encore transmis les résultats de la connexion au serveur principal. Notez que, si vous n'avez pas installé d'agents sur votre serveur principal, ce dernier s'affiche dans cette liste. C'est normal.
  • Échec de l'authentification : Le périphérique a tenté de s'authentifier mais n'y est pas parvenu pour une raison quelconque. Cela se produit généralement lorsque le périphérique n'a pas reçu d'approbation pour le certificat client (Configuration > Gérer l'accès des clients), comme l'indique la section suivante.
  • Les agents client doivent être mis à niveau : Le périphérique ne peut pas s'authentifier parce qu'il exécute d'anciens agents (9.x).

Double-cliquez sur les éléments du graphique pour afficher les périphériques associés dans la vue réseau. La requête générée dynamiquement pour l'élément sur lequel vous avez double-cliqué s'affiche sous Requête > Mes requêtes > Requêtes générées par le graphique. Vous pouvez utiliser cette vue pour cibler ou dépanner plus facilement des périphériques.

Des détails de connexion supplémentaires peuvent être disponibles dans l'inventaire du périphérique, sous Ivanti Management > Sécurité basée sur un certificat client > État d'authentification.

Étape 2 : Approuvez les certificats client.

L'installation de l'agent Endpoint Manager 2016 génère aussi automatiquement des certificats de sécurité client. Précédemment, c'est une opération que les administrateurs devaient réaliser manuellement après l'installation de l'agent. Lorsqu'un périphérique doté d'un certificat de sécurité communique pour la première fois avec le serveur principal, ce dernier ajoute une entrée « Non approuvé » pour ce périphérique dans l'onglet Gérer le certificat client de la boîte de dialogue Accès client. Les administrateurs peuvent alors approuver ou bloquer l'accès au serveur principal de ces certificats.

Si la sécurité basée sur un certificat client n'est pas activée, les périphériques non approuvés fonctionnent normalement, mais ils ne peuvent pas communiquer via un CSA (Cloud Services Appliance) tant qu'ils n'ont pas été approuvés.

Si la sécurité basée sur un certificat client est activée, les périphériques non approuvés ne peuvent pas décrypter les données sécurisées du serveur principal et de nombreuses fonctions d'agent ne fonctionnent pas correctement.

Lorsque vous approuvez le certificat d'un périphérique, le serveur principal ne reçoit pas immédiatement la mise à jour de l'état d'authentification de ce périphérique. Il faut que ce dernier exécute une analyse de sécurité, qui déclenche une nouvelle vérification de l'authentification.

Vous pouvez afficher le graphique État d'approbation du certificat pour en savoir plus sur l'avancement et l'état de l'approbation (Outils > Sécurité et conformité > Activités de sécurité).

Pour gérer l'approbation des certificats client

1.Cliquez sur Configuration > Gérer l'accès des clients.

2.Sélectionnez les périphériques non approuvés valides, puis cliquez sur Approuver la sélection.

3.Cliquez sur Fermer.

Étape 3 : Activez la sécurité basée sur un certificat client sur le serveur principal.

Si vous avez vérifié que votre environnement est prêt pour la sécurité basée sur un certificat client et que vous êtes prêt à l'activer, procédez comme suit.

Pour activer la sécurité basée sur un certificat client

1.Cliquez sur Configuration > Sécurité.

2.Affichez le graphique et lisez les avertissements. Vérifiez que vous les comprenez et que vous êtes prêt à effectuer la mise à niveau.

3.Cliquez sur le bouton radio Sécurité basée sur un certificat client pour l'activer.

4.Pour enregistrer les résultats de l'authentification et du décryptage, sélectionnez les options de votre choix.

5.Cliquez sur Enregistrer.

6.Lisez attentivement le contenu de la boîte de dialogue d'avertissement concernant les paramètres de sécurité.

7.Cliquez sur OK pour activer la sécurité basée sur un certificat client. Cliquez sur Annuler si vous n'êtes pas sûr d'être prêt. Une fois l'option activée, vous ne pouvez plus la désactiver.

Étape 4 : Recryptez les mots de passe de composant du serveur principal.

Lorsque vous activez l'authentification basée sur un certificat client, le serveur principal crée une nouvelle clé de cryptage unique, qui sert à crypter les nouvelles données. Les données restées inchangées depuis l'activation du nouveau modèle de sécurité restent cryptées avec l'ancienne méthode. Pour recrypter les mots de passe de composant serveur principal important partagés avec les périphériques gérés, changez-les après avoir activé le nouveau modèle de sécurité.

Pour mettre à jour les mots de passe de serveur préféré

1.Cliquez sur Outils > Distribution > Réplication de contenu/Serveurs préférés.

2.Dans les propriétés de chaque serveur préféré, changez le mot de passe.

Pour mettre à jour les références d'authentification stockées dans des paquets de logiciel

1.Cliquez sur Outils > Distribution > Paquets de distribution.

2.Dans la barre d'outils, cliquez sur Mise à jour globale des références d'authentification de paquet.

3.Entrez les valeurs Domaine\Utilisateur et Mot de passe.

4.Cliquez sur Mettre à jour.

Pour mettre à jour les mots de passe des agents de distribution et de correctifs

1.Cliquez sur Outils > Configuration > Paramètres d'agent.

2.Dans l'arborescence, cliquez sur Distribution et correctifs.

3.Modifiez les paramètres de chaque agent de distribution et de correctifs, puis ouvrez la page Informations MSI, et mettez à jour les références d'authentification MSI et Exécuter en tant que.

Étape 5 (Si vous utilisez la synchronisation des serveurs principaux) : Copiez les nouvelles clés de cryptage vers les autres serveurs principaux.

Si le serveur principal que vous configurez utilise la synchronisation des serveurs principaux, vous voyez s'afficher un avertissement supplémentaire signalant que vous devez copier les clés de cryptage vers ces autres serveurs principaux. Une fois les données cryptées avec les nouvelles clés de cryptage, les serveurs principaux cible ne peuvent plus décrypter ces données si vous n'effectuez pas l'opération ci-dessus.

Copiez les clés de cryptage .xml en mode sécurisé, de ce dossier vers le même dossier sur les serveurs principaux cible :

  • C:\Program Files\LANDesk\Shared Files\keys\Compatible

Comme il s'agit de clés de cryptage, manipulez-les avec précaution. Seul le serveur principal doit pouvoir y accéder.