Zabezpieczenia i prywatność zdalnego sterowania w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Uwaga
Ten temat występuje w — przewodniki Zasoby i zgodność w programie System Center 2012 Configuration Manager oraz Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.
Ten temat zawiera informacje o zabezpieczeniach i zasady zachowania poufności dla zdalnego sterowania w System Center 2012 Configuration Manager.
Najważniejsze wskazówki dotyczące zabezpieczeń dla zdalnego sterowania
Użyj następujących najlepszych rozwiązań zabezpieczeń podczas zarządzania komputerami klienckimi przy użyciu zdalnego sterowania.
Najlepsze rozwiązanie w zakresie zabezpieczeń |
Więcej informacji |
|---|---|
Podczas łączenia się z komputerem zdalnym nie Kontynuuj Jeśli używana jest NTLM zamiast uwierzytelniania Kerberos. |
Gdy Menedżer konfiguracji wykryje, że sesji zdalnego sterowania jest uwierzytelniana za pomocą protokołu NTLM zamiast protokołu Kerberos, zobacz wiersz, który ostrzega o tym, że nie można zweryfikować tożsamości komputera zdalnego.Nie wykonuj sesji zdalnego sterowania.Uwierzytelnianie NTLM słabszego protokół uwierzytelniania niż Kerberos i ataki powtórzeń i personifikacji. |
Udostępnianie w podglądzie zdalne sterowanie Schowka nie zostaną włączone. |
Schowka obsługuje obiekty, takie jak pliki wykonywalne i tekst i może posłużyć przez użytkownika na hoście sesji zdalnego sterowania do uruchomienia programu na komputerze źródłowym. |
Nie wpisuj hasła do kont uprzywilejowanych podczas zdalne administrowanie komputerem. |
Oprogramowanie, które przestrzega klawiatury można przechwycić hasło.Lub, jeśli program, który jest uruchamiany na komputerze klienta nie jest program, w którym przyjęto użytkownika zdalnego sterowania, program może przechwytywać hasła.W przypadku konta i hasła są wymagane, użytkownik końcowy należy wprowadzić je. |
Blokowanie klawiatury oraz myszy podczas sesji zdalnego sterowania. |
Jeśli Menedżer konfiguracji wykryje, że połączenia zdalnego sterowania zostało zakończone, Menedżer konfiguracji automatycznie blokuje klawiatury oraz myszy, tak aby użytkownik nie można przejąć kontrolę nad sesji open zdalnego sterowania.Jednak wykrywanie nie może wystąpić od razu i nie występuje w przypadku usługi zdalnego sterowania zostaje zakończone. Wybierz akcję blokady zdalnego klawiatury oraz myszy w programu ConfigMgr zdalnego sterowania okna. |
Zezwala użytkownikom na konfigurowanie ustawień zdalnego sterowania w Centrum oprogramowania. |
Nie zostanie włączone ustawienie klienta Użytkownicy mogą zmieniać ustawienia zasad lub powiadomień w Centrum oprogramowania zapobiega on szpiegowały na użytkowników. Uwaga To ustawienie jest dla komputera i nie zalogowanego użytkownika. |
Włącz domeny profilu zapory systemu Windows. |
Włącz ustawienie klienta włączyć zdalne sterowanie na profile wyjątek zapory klientów a następnie wybierz domeny zapory systemu Windows dla komputerów w intranecie. |
Jeśli wylogowywania podczas sesji zdalnego sterowania i dziennika jako inny użytkownik, upewnij się, że wylogowywania przed rozłączeniem sesji zdalnego sterowania. |
Jeśli nie wylogować w tym scenariuszu, pozostanie otwarte. |
Nie ma użytkowników prawa administratora lokalnego. |
Daje użytkownikom prawa administratora lokalnego, mogą one przejęcie sesji zdalnego sterowania lub naruszyć swoje poświadczenia. |
Użyj tych zasad grupy lub Menedżer konfiguracji można skonfigurować ustawienia pomocy zdalnej, ale nie oba jednocześnie. |
Można użyć Menedżer konfiguracji i zasady grupy zmian konfiguracji ustawienia pomocy zdalnej.Po odświeżeniu zasad grupy z poziomu klienta, domyślnie zoptymalizować proces zmieniając zasady, które zostały zmienione na serwerze.Menedżer konfiguracji Zmienia ustawienia w zasadach zabezpieczeń lokalnych nie mogą być zastępowane, chyba że zostaje wymuszone aktualizacji zasad grupy. Ustawienia zasad w obu miejscach może prowadzić do niezgodne wyniki.Wybierz jedną z tych metod można skonfigurować ustawienia pomocy zdalnej. |
Włącz ustawienie klienta Monituj użytkownika o uprawnienia zdalnego sterowania. |
Chociaż sposobów wokół tego ustawienia o klienta monituje użytkownika do potwierdzenia sesji zdalnego sterowania, włącz to ustawienie zmniejszyć prawdopodobieństwo użytkowników jest szpiegowały po podczas pracy nad zadaniami poufne. Ponadto nauczyć użytkowników, aby zweryfikować nazwę konta, które są wyświetlane podczas sesji zdalnego sterowania i rozłączenie sesji, jeśli podejrzewasz, że konto jest nieautoryzowany. |
Ograniczenie listy dozwolone przeglądarki. |
Prawa administratora lokalnego nie są wymagane dla użytkownika można było używać zdalnego sterowania. |
Problemy zabezpieczeń dla zdalnego sterowania
Zarządzanie komputerami klientów przy użyciu zdalnego sterowania zawiera następujące zagadnienia dotyczące zabezpieczeń:
Nie należy wziąć pod uwagę komunikaty inspekcji zdalnego sterowania wiarygodne.
Jeśli rozpocząć sesję zdalnego sterowania, a następnie zaloguj się przy użyciu poświadczeń alternatywnych oryginalnego konta wysyła komunikaty inspekcji, nie używane alternatywne poświadczenia konta.
Komunikaty inspekcji nie są wysyłane, jeśli skopiuj pliki binarne zdalnego sterowania zamiast zainstalować Menedżer konfiguracji konsoli, a następnie uruchom zdalne sterowanie w wierszu polecenia.
Zasady zachowania poufności informacji dla zdalnego sterowania
Zdalne sterowanie umożliwia wyświetlanie aktywnych sesji na Menedżer konfiguracji komputerów klienckich i przeglądać wszystkie informacje przechowywane na tych komputerach.Zdalne sterowanie nie jest włączone domyślnie.
Chociaż można skonfigurować zdalne sterowanie do udostępniania wyraźną uwagę i uzyskanie zgody użytkownika przed rozpoczęciem sesji zdalnego sterowania, można również monitorować użytkowników bez ich zgody lub świadomości.Wyświetl tylko poziom dostępu można skonfigurować tak, aby nic nie można zmienić na zdalne sterowanie lub pełnej kontroli.Konto administratora nawiązującego połączenie zostanie wyświetlona w sesji zdalnego sterowania, aby pomóc użytkownikom w identyfikacji, który nawiązuje połączenie z jego komputerze.
Domyślnie Menedżer konfiguracji udziela uprawnienia zdalnego sterowania grupy administratorów lokalnych.
Przed skonfigurowaniem zdalnego sterowania, należy wziąć pod uwagę określone wymagania zasady zachowania poufności.