ePolicy Orchestrator (ePO) prend en charge l’utilisation d’un programme d’installation de package unique pour faciliter le déploiement de MA. Cette package est distincte des mécanismes de déploiement ePO standard. Elle est destinée à faciliter agent installation à l’aide de scripts de connexion ou d’autres processus automatisés.
Etant donné que le programme d’installation de MA requiert un niveau de privilège plus élevé que la plupart des utilisateurs connectés, le fichier binaire du programme d’installation doit disposer d’un moyen d’élever son niveau de privilège. Pour contourner cette limitation, vous pouvez incorporer des informations d’identification dans le programme d’installation binaire package. Les informations d’identification incorporées permettent au fichier binaire d’installer le logiciel avec succès.
IMPORTANT : Etant donné qu’un programme d’installation package créé à cette fin a des informations d’identification incorporées, son accès doit être sévèrement restreint. Utilisez des packages de programme d’installation avec des informations d’identification incorporées uniquement dans des situations spécifiques où une autre méthode de déploiement n’est pas disponible.
Si vous devez utiliser un package de programme d’installation avec des informations d’identification incorporées, mettez en œuvre les précautions de sécurité suivantes :
- Utiliser un compte non-administrateur
Créez un compte avec accès uniquement au groupe administrateurs locaux sur les clients concernés. Il est conseillé d’utiliser un autre compte que celui que vous utilisez habituellement pour les opérations.
- Modifier vos mots de passe souvent
Lorsque vous modifiez votre mot de passe, il invalide les fichiers binaires en attente avec des informations d’identification incorporées.
Il est conseillé de modifier ce mot de passe et de créer un nouveau fichier binaire de distribution. Vous devez réaliser cette action au moins une fois par semaine.
- Désactiver le compte lorsqu’il n’est pas en cours d’utilisation
Si vous effectuez un déploiement sur plusieurs systèmes par lots, pensez à désactiver le compte lorsqu’aucun déploiement n’est effectué. La désactivation du compte empêche l’utilisation des informations d’identification.
- Limiter l’accès du compte
Le compte du programme d’installation requiert uniquement des droits d’administrateur local sur les systèmes clients. Il mustn’t dispose de droits d’accès aux serveurs de clés tels que :
- Active Directory maître
- Serveurs de fichiers
- Serveurs d’impression
- N’utilisez pas cette méthode sur les actifs clés
Dans la mesure du possible, n’utilisez pas d’informations d’identification incorporées sur les actifs du serveur de clés package. Un administrateur peut installer le package directement sur le système.
- Activer les journaux de audit de sécurité
Activez et surveillez l’utilisation de ce compte. Si le compte est utilisé correctement, il n’affiche qu’une seule connexion aux clients prévus au moment du déploiement. Enquêtez immédiatement sur les autres tentatives d’accès de ce compte.