Skip to main content
Jamf Nation, hosted by Jamf, is a knowledgeable community of Apple-focused admins and Jamf users. Join us in person at the ninth annual Jamf Nation User Conference (JNUC) this November for three days of learning, laughter and IT love.

Recommandations de sécurité Jamf Pro

Présentation

Ce document détaille les réglages de sécurité à privilégier pour les serveurs Jamf Pro hébergés dans le cloud Jamf ou sur site. Vous devez vérifier que le serveur Jamf Pro et les technologies associées (notamment le système d’exploitation du serveur, Java, Apache Tomcat et MySQL) sont conformes à vos propres normes de sécurité internes. Ce document fournit des recommandations de base pour garder votre serveur Jamf et son infrastructure sous-jacente à jour et sécurisés.

Réglages généraux

Réglages du serveur Jamf Pro

Pour que votre serveur soit le plus sécurisé possible, vous pouvez activer les réglages de sécurité suivants dans Jamf Pro :

  • Configurer une règle de mot de passe pour les comptes utilisateur du serveur Jamf Pro Pour plus d’informations, reportez-vous à la section « Configuring the Password Policy » (« Configurer une règle de mot de passe ») de la page Jamf Pro User Accounts and Groups (Groupes et comptes utilisateur Jamf Pro) dans le Guide de l’administrateur Jamf Pro.
  • Activer les privilèges minimum requis Activez les privilèges minimum requis par votre organisation pour tous les groupes et comptes utilisateur. Pour plus d’informations, reportez-vous à la section « Creating a Jamf Pro User Account » (« Créer un compte utilisateur Jamf Pro ») de la page Jamf Pro User Accounts and Groups (Groupes et comptes utilisateur Jamf Pro) dans le Guide de l’administrateur Jamf Pro.
  • Configurer la gestion des modifications pour consigner les modifications Consignez les modifications dans Jamf Pro en configurant les réglages de gestion des modifications (automatiquement activée pour les instances du cloud Jamf). Pour plus d’informations, reportez-vous à la section « Viewing Change Management Logs in Jamf Pro » (« Afficher les journaux de gestion des modifications ») de la page Change Management (Gestion des modifications) dans le Guide de l’administrateur Jamf Pro.
  • Planifier le vidage des fichiers journaux à intervalles réguliers Pour plus d’informations, reportez-vous à la section « Scheduling Log Flushing » (« Planifier le vidage des fichiers journaux ») de la page Flushing Logs (Vidage des fichiers journaux) dans le Guide de l’administrateur Jamf Pro.
  • Activer l’authentification par certificat et configurer la vérification du certificat SSL Vérifiez que le serveur Jamf Pro possède un certificat de serveur web valide avant d’activer cette option. Pour plus d’informations, reportez-vous à la page Security Settings (Réglages de sécurité) dans le Guide de l’administrateur Jamf Pro et à l’article de la base de connaissances Safely Configuring SSL Certificate Verification (Configurer la vérification du certificat SSL en toute sécurité).
  • Exiger l’authentification de l’utilisateur pour Self Service Pour plus d’informations, reportez-vous à la page Jamf Self Service for macOS User Login Settings (Réglages de l’authentification de l’utilisateur Self Service pour macOS) dans le Guide de l’administrateur Jamf Pro.
  • Exiger l’authentification des utilisateurs lorsqu’ils s’enrôlent via un enrôlement MDM automatisé Demandez aux utilisateurs de s’authentifier pendant la configuration de leur ordinateur ou appareil mobile s’ils enrôlent ce dernier via l’inscription des appareils d’Apple (anciennement, le DEP) à l’aide d’un enrôlement PreStage dans Jamf Pro. Pour plus d’informations, reportez-vous aux pages Computer PreStage Enrollments (Enrôlement PreStage des ordinateurs) et Mobile Device PreStage Enrollments (Enrôlement PreStage des appareils mobiles) dans le Guide de l’administrateur Jamf Pro.

Distribution de contenu

Points de distribution cloud

Jamf Cloud Distribution Service (JCDS)
Si votre serveur Jamf Pro est hébergé dans le cloud Jamf et que vous avez souscrit un abonnement, vous pouvez utiliser le service de distribution cloud de Jamf (JCDS) comme point de distribution cloud.

Amazon CloudFront
Vous pouvez utiliser Amazon CloudFront pour distribuer du contenu à l’aide d’URL signées. Pour plus d’informations, reportez-vous à la documentation Amazon suivante : https://docs.aws.amazon.com/fr_fr/AmazonCloudFront/latest/DeveloperGuide/private-content-signed-urls.html

Akamai
Utiliser Akamai avec la protection d’autorisation par jetons activée est aussi une option sécurisée de distribution de contenu en réseau. Pour plus d’informations sur l’utilisation d’autorisation par jetons dans Akamai, reportez-vous à la documentation Akamai suivante : https://learn.akamai.com/en-us/webhelp/media-services-on-demand/stream-packaging-user-guide/GUID-4EB9C226-4B31-4BBD-B545-1CAB8917E3D1.html

Pour plus d’informations sur la configuration, les tests et la duplication des points de distribution cloud, reportez-vous à la page Cloud Distribution Point (Point de distribution cloud) du Guide de l’administrateur Jamf Pro.

Point de distribution de partage de fichiers

Si vous ne pouvez pas utiliser le JCDS ou que vous avez configuré votre propre point de distribution de partage de fichiers, le serveur Jamf Pro vous autorise à distribuer du contenu aux ordinateurs et appareils gérés. Tenez compte des recommandations suivantes pour sécuriser la distribution de vos contenus :

Partage de fichiers (aller dans Réglages > Infrastructure serveur > Points de distribution de partage de fichiers > sélectionner le point de distribution > onglet Partage de fichiers) :

  • Envisager d’utiliser un port non standard pour votre serveur (pour plus d’informations sur les ports standard, reportez-vous à l’article de la Base de connaissances Ports réseau utilisés par Jamf Pro.)
  • Séparer les comptes de service pour les privilèges de lecture/écriture et de lecture seule

Téléchargements HTTP (aller dans Réglages > Infrastructure serveur > Points de distribution de partage de fichiers > sélectionner le point de distribution > onglet HTTP/HTTPS) :

  • Activer HTTP en cochant la case Utiliser les téléchargements HTTP.
  • Activer SSL (Secure Sockets Layer) en cochant la case Utiliser SSL
  • Exiger une authentification pour le téléchargement des fichiers en sélectionnant « Nom d’utilisateur et mot de passe » dans le menu contextuel Type d’authentification

Pour plus d’informations, reportez-vous à la page File Share Distribution Points (Points de distribution de partage de fichiers) dans le Guide de l’administrateur Jamf Pro.

Appareils gérés

Ordinateurs macOS

Il est recommandé de suivre les recommandations ci-après pour sécuriser vos ordinateurs macOS :

  • Renforcer la sécurité des mots de passe de comptes en cochant la case Générer aléatoirement un nouveau mot de passe pour une règle d’ordinateur et en configurant la fréquence de réinitialisation du mot de passe pour la règle de mot de passe
  • Configurer la complexité du mot de passe pour les comptes utilisateur locaux en déployant l’entité (payload) Code dans un profil de configuration d’ordinateur
  • Exiger le chiffrement FileVault 2 (pour plus d’informations, reportez-vous à la page Deploying Disk Encryption Configurations (Déployer des configurations de chiffrement de disque) dans le Guide de l’administrateur Jamf Pro.)
  • Configurer l’accès conditionnel (pour plus d’informations, reportez-vous à la page Microsoft Intune Integration (Intégration de Microsoft Intune) dans le Guide de l’administrateur Jamf Pro.)

Appareils iOS

Il est recommandé de suivre les recommandations ci-après pour sécuriser vos appareils iOS :

  • Configurer la complexité du mot de passe pour les comptes utilisateur locaux en déployant l’entité (payload) Code dans un profil de configuration d’appareil mobile
  • S’assurer que la case App gérée dès que possible est cochée lorsque vous distribuez des apps de façon à sécuriser les données

Règles et rapports en matière de correctifs

Il est important de mettre vos apps à jour avec les derniers correctifs de sécurité. Pour plus d’informations, reportez-vous aux pages Patch Policies (Règles de correctifs) et Patch Reporting (Rapports de correctifs) dans le Guide de l’administrateur Jamf Pro.

Scripts

Les scripts personnalisés ou préconstruits constituent un moyen courant d’exécuter des commandes sur ordinateur, et ils peuvent être exécutés à l’aide d’une règle. Évitez les identifiants de compte codés en dur pour les administrateurs du serveur Jamf Pro dans les scripts.

Réglages spécifiques aux serveurs sur site

Système d’exploitation du serveur

Vous pouvez héberger Jamf Pro sur tous les serveurs respectant les exigences indiquées à la page Configuration système requise pour Jamf Pro des notes de version de Jamf Pro. Remarque : s’il est possible d’installer Jamf Pro sur n’importe quel serveur remplissant les exigences minimales, les programmes d’installation Jamf Pro pour Mac, Linux et Windows présentent des exigences supplémentaires. Pour plus d’informations, reportez-vous au Guide d’installation et de configuration Jamf Pro pour votre plateforme.

Pour sécuriser encore davantage le système d’exploitation du serveur, tenez compte des recommandations suivantes en matière de réglages système :

  • Désactiver l’accès des invités
  • Désactiver l’ouverture de session automatique
  • Supprimer les comptes de service facultatifs
  • Supprimer ou réinitialiser tous les mots de passe par défaut
  • Limiter les privilèges des comptes au minimum requis
  • Limiter les processus au minimum requis
  • Contrôler les ports et les services réseau disponibles

Java

Le serveur Jamf Pro et les technologies sous-jacentes (Apache Tomcat) s’appuient sur le JDK (Java Development Kit) doté d’une cryptographie à puissance illimitée. Pour plus d’informations sur l’installation de Java, reportez-vous à l’article de la Base de connaissances Installer Java et MySQL pour Jamf Pro 10.14.0 ou version ultérieure

Apache Tomcat

Apache Tomcat est un serveur web open source dont le développement et la maintenance sont assurés par Apache Software Foundation et qui permet d’exécuter l’app web Jamf Pro. Pour plus d’informations sur la sécurisation d’Apache Tomcat, reportez-vous à l’article d’OWASP (Open Web Application Security Project) : https://www.owasp.org/index.php/Securing_tomcat

Les recommandations suivantes, dont certaines sont mises en œuvre par défaut par les programmes d’installation Jamf Pro, vous aideront à vérifier qu’Apache Tomcat est bien à jour et sécurisé.
Remarque : il est recommandé de créer une sauvegarde du server.xml fichier avant de faire des modifications.

Modifier le fichier server.xml

Modifiez le server.xml fichier comme suit :

  • Utiliser uniquement HTTPS et désactiver HTTP Modifiez le fichier server.xml en désactivant HTTP.
<!--
<Connector URIEncoding="UTF-8" executor="tomcatThreadPool" port="9006" protocol="HTTP/1.1"
connectionTimeout="20000" maxPostSize="8388608" redirectPort="8443" />
-->
  • Configurer un chiffrement fort Pour plus d’informations sur les chiffrements à remplacer, reportez-vous à l’article de la Base de connaissances Configuring Supported Ciphers for Tomcat HTTPS Connections (Configurer les chiffrements compatibles pour les connexions HTTPS sous Tomcat). Pour configurer le chiffrement, suivez les recommandations ci-après, tirées de l’article d’OWASP : https://www.owasp.org/index.php/Securing_tomcat#Encryption
  • Configurer des protocoles SSL activés Pour plus d’informations sur la configuration de protocoles SSL activés, reportez-vous à l’article de la Base de connaissances Mitigating the SSL v3.0 POODLE Vulnerability (Réduire la vulnérabilité de SSL v3.0 à POODLE).
  • Autoriser la journalisation des accès Pour utiliser la valve de journal d’accès par défaut, supprimez les marques de commentaire ou définissez le Valve className sur “org.apache.catalina.valves.AccessLogValve”. Vous pouvez utiliser les valeurs par défaut ou configurer les valeurs d’attribut pattern en utilisant la documentation Apache Tomcat suivante : https://tomcat.apache.org/tomcat-8.5-doc/config/valve.html#Extended_Access_Log_Valve
  • Modifier le connecteur pour empêcher la divulgation de la version de Tomcat Pour empêcher que la version de Tomcat n’apparaisse dans les en-têtes de réponse HTTP, supprimez server="Apache Tomcat" du connecteur.

Modifier le fichier ServerInfo.properties pour empêcher la divulgation de la version du serveur

Pour empêcher la divulgation de la version du serveur, modifiez le fichier ServerInfo.properties en vous basant sur les recommandations fournies à la section « Valves » de la documentation d’Apache Tomcat : https://tomcat.apache.org/tomcat-8.0-doc/security-howto.html#Valves

Remplacer la page d’erreur par défaut pour empêcher la divulgation de la version (web.xml)

Pour remplacer la page d’erreur par défaut, modifiez le fichier web.xml en suivant les recommandations fournies dans la documentation d’OWASP : https://www.owasp.org/index.php/Securing_tomcat

Activer la validation du certificat SSL

Utilisez l’émetteur, le nom alternatif de l’objet (SAN) et la date d’expiration pour la validation. Pour plus d’informations sur la configuration de la validation du certificat SSL, reportez-vous à l’article de la Base de connaissances Safely Configuring SSL Certificate Verification (Configurer la vérification du certificat SSL en toute sécurité).

(Facultatif) Modifier web.xml pour limiter les servlets d’application web spécifiques

Modifiez le web.xml pour limiter les servlets d’application web spécifiques en changeant leur comportement ou en les supprimant du fichier.

MySQL

MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf Pro utilise MySQL comme base de données de back-end pour le stockage et la maintenance des données du système. Veillez toujours à ce que MySQL soit à jour et sécurisé en suivant les recommandations ci-après.

Exécuter le script mysql_secure_installation par défaut

Si mysql_secure_installation est disponible, l’exécuter vous permet d’améliorer la sécurité de votre installation MySQL en définissant un mot de passe pour les comptes root et en supprimant certains comptes, la base test et les privilèges d’accès. Utilisez le tableau suivant pour déterminer le chemin d’accès au fichier mysql_secure_installation pour votre système d’exploitation.

Système d’exploitation Chemin d’accès
macOS /usr/local/mysql/bin/mysql_secure_installation
Ubuntu /usr/bin/mysql_secure_installation
Windows perl C:\Program Files\MySQL\MySQL Server x.x\bin\mysql_secure_installation.pl
Remarque : Perl est nécessaire pour exécuter mysql_secure_installation séparément ou pour l’exécuter après l’installation.

Si mysql_secure_installation n’est pas disponible, procédez comme suit :

  • Définissez un mot de passe pour les comptes root
  • Supprimez tous les privilèges des comptes utilisateur anonymes
  • Supprimez la base de données test et tous les privilèges associés

Créez un nom de base de données unique et un utilisateur MySQL unique avec un mot de passe sécurisé

Pour plus d’informations sur la modification du nom de la base de données et du mot de passe utilisateur root MySQL, reportez-vous à l’article de la Base de connaissances Creating the Jamf Pro Database (Créer la base de données Jamf Pro). Remarque : pour renforcer la sécurité, utilisez un nom de base de données unique et un mot de passe utilisateur MySQL root différents de ceux utilisés en exemples dans l’article de la Base de connaissances.

Limiter les privilèges au minimum requis

Si vous souhaitez restreindre davantage l’accès à MySQL, vous pouvez créer des comptes utilisateur distincts avec des privilèges limités. Pour plus d’informations, consultez les pages web suivantes :

Voici une liste des privilèges MySQL requis pour différents types d’environnements :

  • Pour une application web autonome ou le nœud maître dans des environnements en cluster :
    INSERT, SELECT, UPDATE, DELETE, CREATE, DROP, ALTER, INDEX, LOCK TABLES
  • Pour un nœud enfant dans des environnements en cluster :
    INSERT, SELECT, UPDATE, DELETE, DROP, LOCK TABLES
  • Pour afficher les connexions des nœuds en cluster avec différents utilisateurs MySQL :
    PROCESS
    Remarque : Le privilège PROCESS nécessite l’utilisation de « *.* ».

Par exemple, vous pouvez exécuter des commandes en utilisant la syntaxe générale suivante :

GRANT <privileges> ON <database> TO <user>;

Planifier des sauvegardes de la base de données

Pour plus d’informations, reportez-vous à l’article de la Base de connaissances Sauvegarde de la base de données à l’aide des outils du serveur Jamf Pro.

Supprimer la clé <DataBasePassword> ou définir une valeur vide

Si le mot de passe de la base de données est supprimé du fichier de configuration, il devra être saisi manuellement au démarrage de l’application web du serveur Jamf Pro. Dans un environnement en cluster, le mot de passe doit être saisi manuellement pour chaque nœud individuel.
Remarque : les valeurs par défaut sont incluses à titre de référence uniquement. Utilisez des valeurs uniques dans les environnements de production.

<DataBase>
...
<DataBaseName>jamfsoftware</DataBaseName>
<DataBaseUser>jamfsoftware</DataBaseUser>
<DataBasePassword></DataBasePassword>
...
</DataBase>

Informations supplémentaires

Pour des informations supplémentaires sur la sécurisation de votre serveur Jamf Pro, reportez-vous aux articles suivants de la Base de connaissances :

Like Comment