Sécuriser le dépôt de certificat SSL et private key sur un poste client

Bonjour à tous, je dois déployer des agents de supervision (Zabbix) sur des machines clientes. Je souhaitais savoir comment sécuriser mon certificat et sa clé privé.

Comme indiqué ci-dessous sur chaque agent je vais configurer l'utilisation d'un certificat, je vais donc devoir "importer" sur mes machines un certificat et sa clef privé.

Comment puis-je verrouiller l'accès à ce dossier "zabbix" qui va contenir mon certificat et la clef privé ? Je suis sur un domaine, je pensais le vérouiller via NTFS pour ne laisser l'accès, le hic étant que certain utilisateur sont administrateur de leur machine ils ont donc la possibilité de modifier les droits NTFS des dossiers présents sur leur machines.

Si quelqu'un a deja déployé des agents Zabbix avec encryption via certificat et qu'il a trouvé une solution à cela je serai preneur

Cordialement

AgentClient.conf

Code:

---

1 2 3 4 5 6 7

TLSConnect=cert TLSAccept=cert TLSCAFile=c:\zabbix\zabbix_ca_file TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSCertFile=c:\zabbix\zabbix_agentd.crt TLSKeyFile=c:\zabbix\zabbix_agentd.key

---

PS: pour SSL sur le ndd, pas de soucis je suis passé par l'autorité de certification microsoft, pour les agents le soucis c'est que je dois déclarer dans le fichier de configuration de mon agent l'emplacement du certificat et de se private key d'ou ma question comment verrouiller l'accès à ce répertoire, actuellement si je supprime les droits lors d'une tentative de connexion, le status d'administrateur local de la machine permet à un utilisateur d'accéder à ce répertoire


J'ai fais le teste d'accorder les droits en modification pour un administrateur de domaine (ainsi que devenir proprietaire du dossier) et de refuser l'accès à "tout le monde", l'utilisateur peut toujours modifier le proprietaire et s'accorder à nouveaux les droits pour consulter, modifier les fichiers du dossier

Pour résumer un peut ma question ci-dessous qui peut paraître un peut brouillon :

Quels sont les droits à appliquer afin d’empêcher un utilisateur de domaine faisant partie du groupe "Administrateurs" (Local) d'une machine de consulter,modifier, exécuter des fichiers dans un dossier ?

Car après plusieurs essais, il est toujours possible pour un utilisateur de se déclarer "proprietaire" du dossier et ainsi récupérer un accès complet au dossier en question.
Je commence à me demander si cela est possible .... :)