Безопасность и конфиденциальность удаленного управления в Configuration Manager
Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Примечание |
|---|
Этот раздел отображается в следующей документации: в руководстве Активы и соответствие в System Center 2012 Configuration Manager и в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager. |
Этот раздел содержит сведения о безопасности и конфиденциальности функции удаленного управления в System Center 2012 Configuration Manager.
Рекомендации по обеспечению безопасности для удаленного управления
Примите во внимание следующие рекомендации по обеспечению безопасности при управлении клиентскими компьютерами с помощью функции удаленного управления.
Рекомендация по безопасности |
Дополнительные сведения |
||
|---|---|---|---|
При подключении к удаленному компьютеру, не следует продолжать при использовании NTLM вместо проверки подлинности Kerberos. |
Когда Configuration Manager обнаруживает, что сеанс удаленного управления проходит проверку подлинности с помощью NTLM вместо Kerberos, выводится приглашение, предупреждающее о том, что не удается проверить подлинность удаленного компьютера.Не продолжайте сеанс удаленного управления.Протокол проверки подлинности NTLM не так надежен, как Kerberos и подвержен таким уязвимостям, как повтор и олицетворение. |
||
Не включайте совместное использование буфера в средстве просмотра удаленного управления. |
Буфер обмена поддерживает объекты, такие как исполняемые файлы и текст и может использоваться пользователем на главном компьютере во время сеанса удаленного управления для запуска программы на исходном компьютере. |
||
Не вводите пароли для привилегированных учетных записей при администрировании удаленного компьютера. |
Программное обеспечение, отслеживающее ввод с клавиатуры, может записать пароль.Или, если программа, которая выполняется на клиентском компьютере не программы, удаленного управления пользователем, программа может записать пароль.Когда требуется вводить учетные записи и пароли, это должен делать конечный пользователь. |
||
Заблокировать клавиатуру и мышь во время сеанса удаленного управления. |
Когда Configuration Manager обнаруживает разрыв подключения удаленного управления, Configuration Manager автоматически блокирует клавиатуру и мышь так, чтобы пользователь не мог воспользоваться открытым сеансом удаленного управления.Тем не менее обнаружение могут не выполняться немедленно и не возникает, если прерывается работа службы удаленного управления. В окне Удаленное управление Configuration Manager выберите действие Заблокировать удаленную клавиатуру и мышь. |
||
Запретить пользователям настраивать параметры удаленного управления в центре программного обеспечения. |
Не включайте параметр клиента В центре программного обеспечения пользователи могут изменять политику или параметры уведомления, чтобы предотвратить угрозу слежения за пользователями.
|
||
Включить домена профиль брандмауэра Windows. |
Включите параметр клиента Включить удаленное управление на клиентах Профили исключений брандмауэра, затем выберите профиль брандмауэра Windows Домен для компьютеров интрасети. |
||
Если вы отключите во время сеанса удаленного управления и журналов от имени другого пользователя, убедитесь, выйдите из системы, прежде чем разрывать сеанс удаленного управления. |
Если не выполнить выход в такой ситуации, сеанс останется открытым. |
||
Не предоставляйте пользователям права локального администратора. |
Если предоставить пользователям права локального администратора, они смогут перехватить сеанс удаленного управления или нарушить конфиденциальность ваших учетных данных |
||
Используйте групповую политику или Configuration Manager для настройки параметров удаленного помощника, но не оба. |
Configuration Manager и групповую политику можно использовать для внесения изменений конфигурации в параметры удаленного помощника.При обновлении групповой политики на стороне клиента по умолчанию, этот процесс оптимизируется путем изменения политик, которые были изменены на сервере.Configuration Manager Изменяет параметры в локальной политике безопасности, которой не могут быть перезаписаны, если не будет выполнено принудительное обновление групповой политики. Настройка политики в обоих средствах может привести к непредсказуемым результатам.Выберите один из указанных ниже способов настройки параметров удаленного помощника. |
||
Включение параметра клиента запрашивать разрешение удаленного управления. |
Несмотря на наличие возможности обойти этот параметр клиента, подразумевающий запрос подтверждения сеанса удаленного управления пользователем, рекомендуется включить его, чтобы предотвратить слежку за пользователями, выполняющими конфиденциальные задачи. Кроме того, необходимо объяснить пользователям необходимость проверки имени учетной записи, отображаемого во время сеансов удаленного управления, и отключения сеанса при появлении подозрения в несанкционированном доступе. |
||
Ограничение списка разрешенных наблюдателей. |
Для того чтобы использовать удаленное управление, пользователю не нужны права локального администратора. |
Проблемы безопасности удаленного управления
С управлением клиентскими компьютерами с помощью удаленного управления связаны перечисленные ниже проблемы безопасности.
Не рекомендуется на надежность сообщений аудита удаленного управления.
Если запуск сеанса удаленного управления, а затем снова войдите, используя альтернативные учетные данные, исходной учетной записи отправляет сообщения аудита не, использовать альтернативные учетные данные учетной записи.
Сообщения аудита не отправляются, если вы копируете двоичные файлы для удаленного управления вместо установки Configuration Manager консоли, а затем выполните удаленное управление в командной строке.
Сведения о конфиденциальности удаленного управления
Удаленное управление позволяет просматривать активные сеансы на Configuration Manager клиентских компьютеров и просматривать данные, хранимые на этих компьютерах.По умолчанию удаленное управление не включено.
Хотя при настройке соответствующих параметров эта функция должна явно уведомлять пользователя об открытии сеанса удаленного управления и запрашивать его согласие, она также позволяет отслеживать действия пользователей без их согласия или ведома.Можно настроить уровень доступа "Только просмотр", чтобы запретить внесение изменений во время удаленного управления, или выбрать уровень "Полный доступ".Учетная запись подключающегося администратора отображается во время сеанса удаленного управления, чтобы пользователи знали, кто подключается к их компьютерам.
По умолчанию Configuration Manager предоставляет разрешения удаленного управления локальной группе администраторов.
Перед настройкой удаленного управления учтите требования к конфиденциальности.