Beveiliging en Privacy voor extern beheer in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
Dit onderwerp wordt behandeld in de gids Activa en naleving in System Center 2012 Configuration Manager en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).
In dit onderwerp bevat informatie over de beveiliging en privacy voor extern beheer in System Center 2012 Configuration Manager.
Security Best Practices voor extern beheer
Gebruik de volgende aanbevolen procedures voor beveiliging wanneer u clientcomputers beheren via Extern beheer.
Aanbevolen beveiligingsprocedure |
Meer informatie |
|---|---|
Wanneer u verbinding met een externe computer maakt, ga niet verder als NTLM in plaats van Kerberos-verificatie wordt gebruikt. |
Wanneer Configuration Manager detecteert dat de externe beheersessie wordt geverifieerd door gebruikmaking van NTLM in plaats van Kerberos, ziet u dat u wordt gewaarschuwd dat de identiteit van de externe computer kan niet worden geverifieerd.Niet doorgaan met de sessie voor extern beheer.NTLM-verificatie is een zwakker verificatieprotocol dan Kerberos en blootgesteld aan replay en imitatie is. |
Klembord delen in de viewer afstandsbediening niet inschakelen |
Het Klembord ondersteunt objecten, zoals uitvoerbare bestanden en tekst en kan worden gebruikt door de gebruiker op de host tijdens de sessie voor extern beheer een programma uitvoeren op de oorspronkelijke computer. |
Geef geen wachtwoorden voor beschermde accounts wanneer een computer extern beheert. |
Software die neemt het wachtwoord voor invoer van het toetsenbord kan vastleggen.Of als het programma dat wordt uitgevoerd op de client niet het programma dat de gebruiker afstandsbediening neemt is, wordt het wachtwoord kan vastleggen.Als-accounts en -wachtwoorden nodig zijn, moet de gebruiker deze invoeren. |
Het toetsenbord- en muisgebeurtenissen vergrendelen tijdens een sessie voor extern beheer. |
Als Configuration Manager detecteert dat de verbinding voor extern beheer wordt beëindigd, Configuration Manager vergrendelt automatisch de toetsenbord- en muisgebeurtenissen zodat een gebruiker kan niet van de sessie open extern beheer overnemen.Deze detectie wordt echter niet onmiddellijk kan optreden en treedt niet op als de service extern beheer is beëindigd. Selecteer de actie vergrendelen externe toetsenbord- en muisgebeurtenissen in de Configuration Manager-afstandsbediening venster. |
Laat gebruikers extern beheer-instellingen configureren in het midden van de Software niet. |
Schakel niet in de client-instelling gebruikers kunnen beleid of melding instellingen wijzigen in Software Center om te voorkomen dat gebruikers worden bespioneren op. Notitie Deze instelling is voor de computer en niet de aangemelde gebruiker. |
Schakel de domein Windows Firewall-profiel. |
Inschakelen van de client-instelling extern beheer inschakelen op clients Firewall-uitzondering profielen en selecteer vervolgens de domein Windows Firewall voor intranetcomputers. |
Als u zich afmeldt tijdens een sessie voor extern beheer en het logboek op als een andere gebruiker, zorg ervoor dat u zich afmeldt voordat u de externe beheersessie verbreken. |
Als u niet in dit scenario zelf afmelden, blijft de sessie geopend. |
Geef gebruikers geen lokale beheerrechten toegekend. |
Wanneer u gebruikers lokale beheerdersrechten geeft, is het mogelijk dat ze kunnen uw sessie voor extern beheer overnemen of manipuleren van uw referenties. |
Gebruik een van beide Groepsbeleid of Configuration Manager te configureren instellingen voor hulp op afstand, maar niet beide. |
U kunt Configuration Manager en Groepsbeleid configuratiewijzigingen worden aangebracht in de instellingen voor hulp op afstand.Wanneer het groepsbeleid wordt vernieuwd op de client standaard, wordt het proces geoptimaliseerd door alleen de beleidsregels die op de server zijn gewijzigd.Configuration Manager de instellingen in het lokale beveiligingsbeleid, kunnen niet worden overschreven tenzij de update groepsbeleid verplicht is gewijzigd. Instellen van het beleid op beide plaatsen kan leiden tot inconsistente resultaten.Kies een van deze methoden om uw instellingen voor hulp op afstand te configureren. |
Inschakelen van de client-instelling gebruiker voor extern beheer toestemming vragen. |
Hoewel om deze client manieren-instelling die wordt gevraagd om een gebruiker een sessie voor extern beheer bevestigen, kunt u deze instelling te voorkomen dat gebruikers wordt bij bespioneren tijdens het werken met vertrouwelijke taken inschakelen. Bovendien gebruikers om te controleren of de accountnaam die tijdens de sessie voor extern beheer wordt weergegeven en de sessie verbreken als ze vermoedt dat het account is niet geautoriseerd. |
De lijst met toegestane gebruikers beperken. |
Lokale beheerdersrechten zijn niet vereist voor een gebruiker kan afstandsbediening gebruiken. |
Beveiligingsproblemen voor extern beheer
Client-computers beheren via Extern beheer heeft de volgende beveiligingsproblemen:
Geen rekening houden met afstandsbediening audit berichten betrouwbaar.
Als u een sessie voor extern beheer te starten en meld u aan met alternatieve referenties, stuurt de oorspronkelijke account de berichten audit, niet de account waarmee de alternatieve referenties.
Audit berichten niet verzonden als u de binaire bestanden voor extern beheer kopiëren plaats installeren de Configuration Manager console en voer afstandsbediening vanaf de opdrachtprompt.
Privacy-informatie voor extern beheer
Extern beheer kunt u bekijken van actieve sessies op Configuration Manager client-computers en het weergeven van de gegevens opgeslagen op deze computers mogelijk.Extern beheer is niet standaard ingeschakeld.
Hoewel kunt u extern beheer opvallende aankondiging en toestemming van een gebruiker ophalen voordat een sessie voor extern beheer wordt gestart, kan deze ook gebruikers zonder de toestemming of bewust volgen.U kunt alleen weergeven toegangsniveau configureren zodat er niets op de afstandsbediening of de volledige controle kan worden gewijzigd.Het account van de beheerder van de verbinding wordt weergegeven in de sessie extern beheer om gebruikers identificeren die wordt verbinding gemaakt met hun computer te helpen.
Standaard Configuration Manager lokale beheerders groep afstandsbediening machtigingen worden verleend.
Voordat u extern beheer configureren, overweeg dan de privacyvereisten van uw.