La protection d’accès réseau

Il s’agit d’une extension du protocole DHCP permettant d’interdire l’accès au réseau à un poste dont les correctifs ne seraient pas à jour.

Une fois activé, ce service est sollicité par un serveur 2008 DHCP pour analyser si le poste est ou non à jour. S’il ne l’est pas, Windows lui envoie un ordre de renouvellement immédiat de bail IP. Au renouvellement, le poste se voit relégué dans un VLAN sur lequel les seules ressources accessibles sont celles permettant de se mettre à jour. Une fois les correctifs appliqués, une nouvelle évaluation autorise le poste désormais sain à accéder aux ressources réseau.

Bien entendu, qui dit VLAN, dit soin particulier dans la configuration et documentation méticuleuse.

A noter, l’intégration de DCM et de NAP permet de piloter l’exclusion de postes non conformes à certaines catégories de CI (tous les types de CI ne sont pas éligibles).

Prises de main à distance

Remote Desktop

La prise de main à distance permet depuis la console d’Administration ConfigMgr un accès centralisé et à distance sur l’ensemble des postes sous périmètre de la solution. Elle nécessite la mise en place de certains pré-requis techniques, notamment d’un point de vue réseau (ouverture de ports, modifications de la configuration des éléments réseau, …).

Fonctionnement de la prise de main à distance

Une fois mise en œuvre, la prise de main à distance offre des outils de contrôle à distance, d’ouverture de session à distance que ce soit pour les systèmes d’exploitation clients ou serveurs.

Il est nécessaire d’identifier les différentes stratégies de prise de main à distance qui varient souvent

–    En fonction des rôles de poste (poste en libre-service ou poste d’un utilisateur)
–    Des législations nationales
–    Selon que le poste est en VPN ou non (DirectAccess simplifiera cet aspect)
Ce service n’a aucune incidence sur les volumétries mais impacte fortement le réseau

(une session représente environ 20Kb/s mais surtout des ports sont nécessaires). La version ConfigMgr12 voit le retour (attendu) du Ctrl-Alt-Del qu’il est désormais de nouveau possible d’envoyer en session distante depuis le serveur.

AMT vPRO

Les versions de BIOS embarquant la technologie vPro d’Intel permettent la prise de main à distance d’un BIOS, que la machine soit allumée ou éteinte. Cela implique une configuration particulière (échange de clefs au préalable) et la libre circulation de flux réseau spécifiques.

Rapports

Configuration Manager présente plus de 300 rapports par défaut. Il est possible de créer des rapports spécifiques présentant des informations non présentes dans ces premiers rapports, ou les agrégeant d’une façon particulière. Ces rapports sont au format SQL Reporting Services.

Il est nécessaire de déterminer quels groupes doivent avoir accès aux rapports, et sur quels périmètres ceux-ci doivent porter. Cela détermine à la fois la situation des points de rapport et l’organisation des collections et des droits. SQL RS apporte la possibilité de s’abonner à un rapport, et donc de le recevoir par exemple au format PDF dans sa boîte mail chaque lundi matin.