Hardening SCCM, Configuration Tips

Posteo a continuación una lista de consejos a la hora de administrar configuration manager para una administración responsable y más segura.

  • Las cuentas usuarios NAA (Network access Account), CPA (Client push account) y NDJA (Network domain join account) no necesitan ser Domain admins.
  • Únicamente dar los privilegios adecuados a los distintos administradores de SCCM y no otorgar “Full administrator” a todos los usuarios.
  • NAA (Network access Account) y CPA (Client push account) no necesitan tener privilegios para añadir máquinas al dominio.
  • NAA (Network access Account) y CPA (Client push account) no necesitan tener privilegios para loguearse localmente en una máquina.
  • Si desconoces lo que es un CAS (Central administration site) seguramente es porque no lo necesitas.

  • No creéis Boundaries innecesarios ya que podéis incurrir en problemas desplegando o distribuyendo contenido a miles de Km en lugar de hacerlo con sites secundarios.
  • No os conforméis con el boundary “AD Forest discovery” porque cargará todo el directorio activo sin conocimiento de la topología de red o su geolocalización. Quizás se mejor compartir el contenido or SMB en lugar de HTTP/HTTPS.
  • No es necesario comprobar en AD cada pocos minutos si hay usuarios/PCs o cambios nuevos. Espaciar el tiempo de consulta para no saturar. En lugar de hacer consultas completas se debe usar consultas de tipo “Delta”.
  • No es necesario del mismo modo, que se hagan consultas para actualizar las colecciones cada 10 minutos. Ni siquiere pensar en full updates cada poco. Si consultamos en varias colecciones, hasta que no acaba la consulta no empieza con la siguiente, se llama Single-Threaded. Si consultamos continuamente o cada poca frecuencia las colecciones, es posible que nunca termine de hacer el ciclo a tiempo y no muestre correctamente la información esperada.
  • No uséis “All systems” por defecto para limitar colecciones para todas las colecciones, porque lo ralentiza todo, granularizad.
  • No habilitéis hardware inventory para todas las clases. No es necesario saber qué tipo de PCMCIA tiene un PC en nuestra empresa, activad solo las estrictamente necesarias.
  • No habilitéis los ciclos de consulta de HW cada 15 minutos, cada hora o cada día… Cada cuánto cambiamos el HW en los equipos de la empresa? probablemente cada dos meses o 4 sea más que necesario…
  • Si habilitáis SW inventory, no olvidéis de configurar escaneos.
  • No hagáis escaneos de SW cada 15 minutos, quizás una vez al día sea más que suficiente o cada dos.
  • Evitar software metering para todo. Controlar el uso de software de lo que realmente necesitáis saber.
  • Mantén actualizadas las versiones de los clientes de SCCM, cuando se hace el upgrade de una versión, hay una versión nueva para los clientes, asegúrate de desplegarala.
  • Usad WMI repair script como última alternativa, ya que SCCM puede verlo como un cliente nuevo, asíque lanzará todos los inventariados definidos y demás acciones…
  • Mantened siempre actualizado vuestro SCCM, SQL y el OS en el que está sentado.
  • Nunca editéis la base de datos manualmente. Haced consultas contra las vistas y no las tablas directemente.
  • Desplegad imágenes de sistemas operativos lo más actualizadas posibles así evitaréis saturaciones en los procesos de actualización.
  • Cread una única Task sequence con todas las variaciones de HW en lugar de una Task sequence por modelo.

CarlosM

Leave a Reply

Your email address will not be published. Required fields are marked *

6 + 4 =