Seguridad y privacidad para el Control remoto en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Este tema aparece en la guía Activos y compatibilidad en System Center 2012 Configuration Manager y la guía Seguridad y privacidad en System Center 2012 Configuration Manager.
Este tema contiene información de seguridad y privacidad para el control remoto en System Center 2012 Configuration Manager.
Prácticas recomendadas de seguridad para el Control remoto
Utilice las siguientes prácticas recomendadas de seguridad al administrar los equipos cliente mediante el control remoto.
Práctica recomendada de seguridad |
Más información |
|---|---|
Cuando se conecta a un equipo remoto, no continúe si se utiliza NTLM en lugar de la autenticación Kerberos. |
Cuando Configuration Manager detecta que la sesión de control remoto se autentica mediante NTLM en lugar de Kerberos, verá un mensaje que advierte que no se puede comprobar la identidad del equipo remoto.No se puede continuar con la sesión de control remoto.La autenticación NTLM es un protocolo de autenticación más débil que Kerberos y es vulnerable a la reproducción y la suplantación. |
No habilite el uso compartido en el Visor de control remoto del Portapapeles. |
El Portapapeles admite objetos como archivos ejecutables y texto y podría usarse por el usuario en el equipo host durante la sesión de control remoto para ejecutar un programa en el equipo de origen. |
No introduzca contraseñas para cuentas con privilegios cuando administre de forma remota un equipo. |
Software que observa la entrada de teclado podría capturar la contraseña.O bien, si el programa que se está ejecutando en el equipo cliente no es el programa que adopta el usuario de control remoto, el programa podría estar capturando la contraseña.Cuando se requieren cuentas y contraseñas, el usuario final debe introducir ellos. |
Bloquear el teclado y mouse (ratón) durante una sesión de control remoto. |
Si Configuration Manager detecta que se termina la conexión de control remoto, Configuration Manager bloquea automáticamente el teclado y el mouse para que un usuario no puede tomar el control de la sesión de abrir el control remoto.Sin embargo, esta detección no puede producir inmediatamente y no se produce si el servicio de control remoto se termina. Seleccione la acción bloqueo remoto teclado y Mouse en el Control remoto de Configuration Manager ventana. |
No permita que los usuarios configurar el control remoto en el centro de Software. |
No habilite la configuración de cliente los usuarios pueden cambiar la configuración de directiva o una notificación en el centro de Software para ayudar a impedir que los usuarios se spied en. Nota Esta configuración es para el equipo y no el usuario que ha iniciado la sesión. |
Habilitar la dominio perfiles de Firewall de Windows. |
Habilitar la configuración de cliente Habilitar control remoto en perfiles de excepción de Firewall de clientes y, a continuación, seleccione la dominio Firewall de Windows para equipos de la intranet. |
Si cierra la sesión durante una sesión de control remoto y el registro como un usuario diferente, asegúrese de que cierre la sesión antes de desconectar la sesión de control remoto. |
Si no cierra la sesión en este escenario, la sesión permanece abierta. |
No conceda a los usuarios derechos de administrador local. |
Al proporcionar a los usuarios derechos de administrador local, puede asumir la sesión de control remoto o poner en peligro sus credenciales. |
Usar la directiva de grupo o Configuration Manager para configurar la configuración de asistencia remota, pero no ambos. |
Puede utilizar Configuration Manager y directiva de grupo para realizar cambios de configuración a la configuración de asistencia remota.Cuando se actualiza la directiva de grupo en el cliente, de forma predeterminada, optimiza el proceso cambiando únicamente las directivas que han cambiado en el servidor.Configuration Manager cambia la configuración de la directiva de seguridad local, que no se pueden sobrescribir a menos que se fuerza la actualización de directiva de grupo. Configuración de directiva en ambos sitios podría conducir a resultados incoherentes.Elija uno de estos métodos para configurar la asistencia remota. |
Habilitar la configuración de cliente solicita al usuario permiso de Control remoto. |
Aunque hay formas de este cliente que pide al usuario para confirmar una sesión de control remoto, habilite esta opción para reducir la posibilidad de que los usuarios se espiar mientras se trabaja en tareas confidenciales. Además, formar a los usuarios para comprobar el nombre de cuenta que se muestra durante la sesión de control remoto y desconectar la sesión si se sospecha que la cuenta no está autorizada. |
Limitar la lista de visores permitidos. |
Derechos de administrador local no son necesarios para un usuario poder usar el control remoto. |
Problemas de seguridad para el Control remoto
Administración de equipos cliente mediante el control remoto tiene los siguientes problemas de seguridad:
No se tienen en cuenta los mensajes de auditoría de control remoto para ser confiable.
Si inicia una sesión de control remoto y, a continuación, inicie sesión con credenciales alternativas, la cuenta original envía los mensajes de auditoría, no la cuenta que utiliza las credenciales alternativas.
No se envían los mensajes de auditoría si copia los archivos binarios para el control remoto en lugar de instalar la Configuration Manager de la consola y, a continuación, ejecutar el control remoto en el símbolo del sistema.
Información de privacidad para el Control remoto
Control remoto le permite ver las sesiones activas de Configuration Manager los equipos cliente y que puedan ver toda la información almacenada en dichos equipos.De forma predeterminada, no está habilitado el control remoto.
Aunque puede configurar el control remoto para proporcionar aviso destacado y obtener el consentimiento de un usuario antes de inicia una sesión de control remoto, también puede supervisar los usuarios sin su permiso o conocimiento.Nivel de acceso de sólo vista puede configurar para que se puede cambiar nada en el control remoto o Control total.La cuenta del Administrador de conexión se muestra en la sesión de control remoto, para ayudar a los usuarios a identificar quién se conecta a su equipo.
De forma predeterminada, Configuration Manager concede permisos de Control remoto del grupo de los administradores locales.
Antes de configurar el control remoto, tenga en cuenta los requisitos de privacidad.