• Home

  • Documents

  • Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles...
8
Vous pouvez héberger votre serveur Jamf sur différents systèmes d’exploitation : macOS, Windows et Linux. Vous devrez vérifier que le serveur Jamf et toutes les technologies associées, comme le système d’exploitation du serveur, Java, Apache Tomcat et MySQL sont à jour et conformes à vos normes de sécurité internes. Ce document fournit des recommandations pour garder votre serveur Jamf et son infrastructure sous-jacente à jour et sécurisés. Sécuriser votre serveur Jamf Pour voir comment Jamf Pro peut encourager l’apprentissage personnalisé dans votre environnement, rendez-vous sur: www.jamf.com/fr LIVRE BLANC

Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise

Embed Size (px)

Citation preview

Page 1: Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise

Vous pouvez héberger votre serveur Jamf sur différents systèmes d’exploitation : macOS, Windows et Linux.

Vous devrez vérifier que le serveur Jamf et toutes les technologies associées, comme le système d’exploitation du serveur, Java, Apache Tomcat et MySQL sont à jour et conformes à vos normes de sécurité internes. Ce document fournit des recommandations pour garder votre serveur Jamf et son infrastructure sous-jacente à jour et sécurisés.

Sécuriser votre serveur Jamf

Pour voir comment Jamf Pro peut encourager l’apprentissage personnalisé

dans votre environnement, rendez-vous sur: www.jamf.com/fr

LIVRE BLANC

Page 2: Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise

CONTENU:

Serveur OS

Vous pouvez héberger le serveur Jamf sur tous les serveurs respectant les normes spécifiées dans la rubrique « Requirements » (Conditions requises) du Guide de l’administrateur Jamf Pro (http://www.jamf.com/resources/casper-suiteadministrators- guide/) ou dans la Configuration système requise pour Jamf Pro (http://www.jamf.com/resources/casper-suite-systemrequirements/). Cependant, vous devrez suivre plusieurs étapes supplémentaires si vous souhaitez sécuriser davantage le système d’exploitation de votre serveur. Les étapes que vous aurez à suivre dépendront du système d’exploitation que vous avez choisi: • Désactiver l’accès des invités • Désactiver l’ouverture de session automatique • Supprimer les comptes de service facultatifs • Supprimer ou réinitialiser tous les mots de passe par défaut • Limiter les privilèges des comptes au minimum requis • Limiter les processus au minimum requis • Contrôler les ports et les services réseaux disponibles

Java

Le serveur Jamf et les technologies sous-jacentes (Apache Tomcat) s’appuient sur le JDK (Java Development Kit) accompagné des extensions JCE (Java Cryptography Extensions) de force illimitée. Il est recommandé d’exécuter la version la plus récente du JDK compatible avec votre système d’exploitation: Article de la base de connaissances de Jamf Nation —https://jamf.com/jamf-nation/articles/28/installing-java-and-mysql

• Faire la mise à jour vers la version la plus récente du JDK, avec les fichiers JCE de force illimitée (peut nécessiter une installation manuelle))

Serveur Jamf

SERVEUR JAMF Serveur OS

Java Apache Tomcat

MySQL Serveur JAmf

DISTRIBUTION DE CONTENU Partages de fichier

Scripts

APPAREILS GÉRÉS Appareils macOS

FileVault 2

Page 3: Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise

Apache Tomcat

Apache Tomcat est un serveur web open source dont le développement et la maintenance sont assurés par Apache Software Foundation, et qui permet d’exécuter le serveur Jamf. Les recommandations suivantes vous aideront à vérifier qu’il est bien à jour et sécurisé: La plupart des recommandations relatives à Tomcat proviennent de OWASP : https://www.owasp.org/index.php/Securing_tomcat

• Modifier le fichier server.xml

• Utiliser le protocole HTTPS uniquement, désactiver HTTP: comment <!-- --> non-SSL HTTP connector on port 8080/9006: • Configurer un chiffrement fort : utiliser les chiffrements du connecteur SSL sur le port 8443 :

Article de la base de connaissances de Jamf Nation —https://www.jamf.com/jamf-nation/articles/384/configuring- suppported-ciphers-for-tomcat-https-connections

Recommandations OWASP (listées ci-dessous)—https://www.owasp.org/index.php/Securing_tomcat#Encryption

<!-- <Connector URIEncoding=”UTF-8” executor=”tomcatThreadPool” port=“9006” protocol=”HTTP/1.1” connectionTimeout=”20000” maxPostSize=”8388608” redirectPort=”8443” /> -->

<Connector URIEncoding=”UTF-8” executor=”tomcatThreadPool” port=”8443” protocol=”HTTP/1.1” SSLEnabled=”true” ...

ciphers=”TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ... >

Page 4: Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise

• Configurer des protocoles SSL activés : utiliser ‘sslEnabledProtocols’ dans le connecteur SSL sur le port 8443 L’attribut “sslEnabledProtocols” peut également nécessiter « SSLv2Hello » pour être utilisé avec certains

outils de ligne de commande et de création de scripts — comme les versions plus anciennes de cURL. « SSLv3 » pourra être nécessaire pour l’utilisation avec JDS version 9.6 ou antérieure, mais sera aussi vulnérable à POODLE. Le protocole à privilégier est « TLSv1.2 », mais « TLSv1 » et/ou « TLSv1.1 » pourra être requis pour la prise en charge de navigateurs et de systèmes d’exploitation plus anciens.

• Autoriser la journalisation des accès : Supprimer les marques de commentaire ou ajouter Valve className=“org.apache.catalina.valves.AccessLogValve”:

• Modifier le connecteur pour empêcher la chaîne de version du serveur d’apparaître dans les en-têtes

de réponse : ‘server=”Apache”’ dans les définitions de connecteur:

• Actualiser ServerInfo.properties pour empêcher la divulgation de la version du serveur: CATALINA_HOME/server/lib/catalina.jarorg/apache/catalina/util/ServerInfo.properties

• Remplacer la page d’erreur par défaut pour empêcher la divulgation de la version (web.xml)

• Certificat SSL valide — émetteur, nom commun, expiration

• Si nécessaire, modifier web.xml pour limiter les servlets d’application web spécifiques

<Connector URIEncoding=”UTF-8” executor=”tomcatThreadPool” port=”8443” protocol=”HTTP/1.1” SSLEnabled=”true” ... sslProtocol=”TLSv1.2” sslEnabledProtocols=”TLSv1.2,TLSv1.1,TLSv1” ... >

<Connector URIEncoding=”UTF-8” executor=”tomcatThreadPool” port=”8443” protocol=”HTTP/1.1” SSLEnabled=”true” ... server=”Apache” ... >

<Valve className=”org.apache.catalina.valves.AccessLogValve” directory=”logs” prefix=”localhost_access_log.” suffix=”.txt” pattern=”%h %l %u %t &quot;%r&quot; %s %b” resolveHosts=”false”/>

Page 5: Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise

MySQL

MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise MySQL comme base de données de back-end assurant le stockage et la maintenance des données du système. Il s’agit d’une technologie complémentaire dont vous devrez toujours veiller à ce qu’elle soit à jour et sécurisée. Vous trouverez ci-dessous des recommandations à cet effet:

• S’il est disponible, exécuter le script ‘mysql_secure_installation’ inclus dans MySQL:

• Si ‘mysql_secure_installation’n’est pas accessible, suivre les étapes ci-dessous : • Définir un mot de passe pour l’utilisateur MySQL ‘root’ • Supprimer tous les privilèges de l’utilisateur anonyme • Supprimer la base de données de test et tous les privilèges associés

• Modifier les identifiants de l’utilisateur MySQL jamfsoftware dans les valeurs par défaut (jamfsoftware/jamfsw03) et limiter les privilèges au minimum requis:

Remarque: Si le mot de passe de la base de données est supprimé du fichier de configuration, il devra être saisi manuellement au démarrage de l’application web du serveur Jamf, y compris pour tous les nœuds individuels dans les environnements mis en cluster.

• Planifier des sauvegardes de la base de données:

Article de la base de connaissances de Jamf Nation—https://www.jamf.com/jamf-nation/articles/126/backing-up-the-database

macOS: /usr/local/mysql/bin/mysql_secure_installation

Ubuntu: /usr/bin/mysql_secure_installation

Windows (included as part of the MySQL Installer for Windows MSI; requires Perl to run separately or after installation): perl C:\Program Files\MySQL\MySQL Server x.x\bin\mysql_secure_installation.pl

## For stand-alone web application or master node in clustered environments: GRANT INSERT, SELECT, UPDATE, DELETE, CREATE, DROP, ALTER, INDEX, LOCK TABLES ON <database>.* TO ‘<username>’@’<hostname>’ IDENTIFIED BY ‘<password>’;

## For child node in clustered environments: GRANT INSERT, SELECT, UPDATE, DELETE, LOCK TABLES ON <database>.* TO ‘<username>’@’<hostname>’ IDENTIFIED BY ‘<password>’;

## To view connections from cluster nodes with different MySQL users: GRANT PROCESS ON *.* TO ‘<username>’@’<hostname>’ IDENTIFIED BY ‘<password>’;

Page 6: Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise

• Ne pas enregistrer les identifiants dans le fichier DataBase.xml — supprimer la clé <DataBasePassword> ou définir une valeur vide :

Réglages du serveur Jamf

Le serveur Jamf dispose de réglages de sécurité supplémentaires que vous pouvez activer pour garantir un niveau de sécurité maximal pour votre console de gestion. Prenez en compte les recommandations suivantes pour définir les réglages de la console de votre serveur Jamf:

• Configurer une règle de mot de passe pour les comptes utilisateur du serveur Jamf : Réglages > Réglages système > Groupes et comptes utilisateur du serveur Jamf > Règle de mot de passe • Exigences liées au mot de passe : longueur minimum, durée de validité minimum/maximum, historique, complexité • Verrouillage du compte • Réinitialisation du mot de passe : autoriser les utilisateurs à réinitialiser • Privilèges minimum requis pour tous les comptes et groupes • Activer la journalisation de la gestion des modifications (automatiquement activée pour les instances Jamf): Réglages > Réglages système > Gestion des modifications • Planifier le vidage des fichiers journaux à intervalles réguliers : Réglages > Réglages système > Vidage des fichiers journaux • Activer l’authentification par certificat : Ordinateurs > Réglages de gestion > Sécurité • Activer la vérification du certificat SSL (s’assurer que le serveur SSL possède un certificat de serveur web valide avant d’activer cette option) : Ordinateurs > Réglages de gestion > Sécurité • Exiger l’authentification de l’utilisateur pour Self Service : Ordinateurs > Réglages de gestion > Self Service

Partages de fichier

Le serveur Jamf vous permet de distribuer du contenu aux ordinateurs clients. De ce fait, vous devrez réfléchir à la manière dont vous allez sécuriser la distribution de vos contenus. Suivez les recommandations ci-après :

• Utiliser le protocole HTTPS, désactiver HTTP • Configurer l’authentification pour les téléchargements — identifiants utilisateur ou certificat • Exiger le certificat client/la validation mutuelle SSL lorsque cela est possible • Séparer les comptes de service pour les privilèges de lecture seule et de lecture/écriture

<!-- NOTE: Default values included for reference only, recommend changing in production environments --> <DataBase> ... <DataBaseName>jamfsoftware</DataBaseName> <DataBaseUser>jamfsoftware</DataBaseUser> <DataBasePassword></DataBasePassword ... </DataBase>

Distribution de contenu

Page 7: Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise

Scripts

Les scripts personnalisés ou pré-conçus constituent un moyen courant d’exécuter des commandes sur macOS. De plus, ils peuvent être facilement ajoutés à une règle applicable au sein du serveur Jamf. Prenez en compte les éléments suivants lors de l’utilisation de scripts :

• Ne pas ajouter d’identifiants de compte codés en dur pour les administrateurs du serveur Jamf ou les administrateurs locaux

Appareils macOS

En plus de garantir la sécurité de l’environnement de votre serveur Jamf, vous allez devoir prendre en compte la manière dont les Mac clients interagissent avec le serveur Jamf. Envisagez l’application des réglages suivants pour vos Mac clients afin de sécuriser votre environnement:

• S’enrôler auprès d’un environnement sécurisé, avec un utilisateur de confiance • Accès limité au SSH • Masquer le compte de gestion SSH • Générer des mots de passe aléatoires à intervalles réguliers pour les comptes de gestion SSH (tous les 30/60/90 jours, etc.) • Contrôler l’accès à distance avec SSH, ARD et/ou VNC FileVault 2

Vous pouvez utiliser le chiffrement complet du disque FileVault (FileVault 2) pour empêcher l’accès aux documents et aux autres données enregistrées sur les disques de démarrage des terminaux gérés. Le serveur Jamf peut vous aider à simplifier les processus essentiels via la création de rapports, la gestion et la correction des réglages de configuration de FileVault 2 pour les terminaux gérés. Suivez les conseils ci-dessous pour exploiter au mieux cette fonctionnalité:

Documents techniques Jamf—http://www.jamf.com/resources/administering-filevault-2-on-os-x-yosemite-with-the-casper-suite-version-9-6-or-later/

• Activer un compte de gestion SSH ou utiliser des clés de secours individuelles pour simplifier les processus de mise en conformité FileVault 2 (émettre de nouvelles clés individuelles /institutionnelles, ajouter/supprimer des utilisateurs)

• Les clés de secours institutionnelles peuvent être utilisées pour déverrouiller et déchiffrer des partitions chiffrées avec FileVault 2, mais pas dans le cadre des processus de mise en conformité

• Utiliser des configurations de chiffrement de disque pour gérer et déployer les réglages de FileVault 2 directement depuis le serveur Jamf. Voir les rubriques « Managing Disk Encryption Configurations » (Gérer les configurations de chiffrement de disque), « Deploying Disk Encryption Configurations » (Déployer des configurations de chiffrement de disque) et « Issuing a New FileVault 2 Recovery Key » (Émettre une nouvelle clé de secours FileVault 2) du Guide de l’administrateur Jamf Pro

• Utiliser les Profils de configuration macOS pour gérer et déployer des réglages sur la version 10.9 ou ultérieure. Voir la rubrique « macOS Configuration Profiles » (Profils de configuration macOS) du Guide de l’administrateur Jamf Pro.

Appareils gérés

Page 8: Sécuriser votre serveur Jamf MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf utilise

Conclusion

La sécurité est, et sera toujours, un élément essentiel à la réussite d’une entreprise. Chez Jamf, nous comprenons mieux que personne qu’il est primordial pour les entreprises de mettre en place des outils efficaces pour protéger la confidentialité des employés, sécuriser les ressources et les appareils, et aussi être en mesure d’intégrer des outils tiers afin de mettre à disposition un écosystème de sécurité complet.

www.jamf.com

© copyright 2018 Jamf. Tous droits réservés.

Pour savoir comment sécuriser vos appareils, consultez notre page consacrée à la sécurité interne : jamf.com/fr/produits/jamf-pro/securite/

Et si vous souhaitez vous assurer dès maintenant que vos appareils sont

sécurisés, demandez à recevoir votre version d’essai gratuite de Jamf Pro.

https://www.jamf.com/fr/produits/jamf-pro/securite/
https://www.jamf.com/fr/demander-une-version-dessai/

Serveur ris

Serveur ris

Education
CLIENT/SERVEUR. Partie 1 : Présentation du modèle client-serveur CLIENT/SERVEUR

CLIENT/SERVEUR. Partie 1 : Présentation du modèle client-serveur CLIENT/SERVEUR

Documents
Gestion des appareils Apple - Jamf · 2018. 2. 7. · confidentialité est garantie par un certificat sécurisé fourni par Apple. Le serveur Apple maintient alors une connexion constante

Gestion des appareils Apple - Jamf · 2018. 2. 7. · confidentialité est garantie par un certificat sécurisé fourni par Apple. Le serveur Apple maintient alors une connexion constante

Documents
Serveur Web (2)

Serveur Web (2)

Documents
Easycom serveur · Easycom serveur Easycom serveur Easycom serveur est la partie AS/400 commune à tous les produits Easycom. Il s‘agit du cœur des produits middleware tels qu‘

Easycom serveur · Easycom serveur Easycom serveur Easycom serveur est la partie AS/400 commune à tous les produits Easycom. Il s‘agit du cœur des produits middleware tels qu‘

Documents
Administration ubuntu-serveur-installation-ftp-serveur

Administration ubuntu-serveur-installation-ftp-serveur

Engineering
Sauvegarde et restauration du serveur AD et serveur … ET RESTAURATION DU SERVEUR AD ET SERVEUR D’IMPRESSION 10 Sauvegarde Windows Server utilise le Service VSS (Volume Shadow Copy

Sauvegarde et restauration du serveur AD et serveur … ET RESTAURATION DU SERVEUR AD ET SERVEUR D’IMPRESSION 10 Sauvegarde Windows Server utilise le Service VSS (Volume Shadow Copy

Documents
Déploiement Linux - pulsonic.free.frpulsonic.free.fr/Installation_Radome/Serveur d... · Serveur d’application WebDev Linux Version 12 Serveur d’application - 12-1- 1207 Visitez

Déploiement Linux - pulsonic.free.frpulsonic.free.fr/Installation_Radome/Serveur d... · Serveur d’application WebDev Linux Version 12 Serveur d’application - 12-1- 1207 Visitez

Documents
Gestion moderne des appareils: Cohabitation Mac et Windows · PERFORMANTE POUR APPLE Jamf Pro de Jamf est conçu spécifiquement pour la plateforme Apple. Ainsi, le service informatique

Gestion moderne des appareils: Cohabitation Mac et Windows · PERFORMANTE POUR APPLE Jamf Pro de Jamf est conçu spécifiquement pour la plateforme Apple. Ainsi, le service informatique

Documents
SERVEUR MICROSOFT

SERVEUR MICROSOFT

Documents
Administration Ubuntu Serveur Installation Dhcp Serveur

Administration Ubuntu Serveur Installation Dhcp Serveur

Documents
Conception Serveur Vod

Conception Serveur Vod

Documents
CI Serveur

CI Serveur

Documents
Serveur Sous Linux

Serveur Sous Linux

Documents
serveur samba ubuntu.pdf

serveur samba ubuntu.pdf

Documents
Serveur dhcp

Serveur dhcp

Documents
cours serveur

cours serveur

Documents
Report Serveur

Report Serveur

Documents
LE SUPPLÉMENT - ANSSI€¦ · SERVEUR Mainframe, serveur lame, serveur rack. MOYEN D’ADMINISTRATION Poste d’administration, serveur outils d’administration, bastion. ÉQUIPEMENT

LE SUPPLÉMENT - ANSSI€¦ · SERVEUR Mainframe, serveur lame, serveur rack. MOYEN D’ADMINISTRATION Poste d’administration, serveur outils d’administration, bastion. ÉQUIPEMENT

Documents
Serveur d'impression multifonction et multiprotocole ...€¦ · Présentation .....123 Comment choisir le serveur d'impression (TCP/IP).....123 Modification des paramètres du serveur

Serveur d'impression multifonction et multiprotocole ...€¦ · Présentation .....123 Comment choisir le serveur d'impression (TCP/IP).....123 Modification des paramètres du serveur

Documents
Serveur d’applications JEE

Serveur d’applications JEE

Documents
OPTIONS Prestations assurées Étendue des prestations

OPTIONS Prestations assurées Étendue des prestations

Documents
Fiche descriptive - ServiceNow · application ServiceNow via le portail de services. Publiez des articles de la ... JAMF, Extrahop, Solarwinds, Intune, Bigfix, Istio, DataDog sont

Fiche descriptive - ServiceNow · application ServiceNow via le portail de services. Publiez des articles de la ... JAMF, Extrahop, Solarwinds, Intune, Bigfix, Istio, DataDog sont

Documents
Le serveur. Il y a un serveur. Le serveur travaille au restaurant Poulet Fou

Le serveur. Il y a un serveur. Le serveur travaille au restaurant Poulet Fou

Documents
Serveur WSUS

Serveur WSUS

Documents
Serveur Zabbix

Serveur Zabbix

Technology
Architecture Client Serveur

Architecture Client Serveur

Documents
Installation du Petit Serveur Didapages (PSD) sur un serveur local

Installation du Petit Serveur Didapages (PSD) sur un serveur local

Documents
Serveur DNS

Serveur DNS

Documents
Administration Débian Serveur Installation Mail Serveur Bernier Francois

Administration Débian Serveur Installation Mail Serveur Bernier Francois

Documents