Segurança e privacidade para perfis de ligação remota no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteNota

As informações deste tópico aplicam-se apenas às versões do System Center 2012 R2 Configuration Manager.

Este tópico contém informações de segurança e privacidade para perfis de ligação remota no System Center 2012 Configuration Manager.

Utilize os seguintes procedimentos recomendados de segurança ao gerir perfis de ligação remota para clientes.

Procedimento recomendado de segurança

Mais informações

Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir que os utilizadores identifiquem o respetivo dispositivo primário. Além disso, não ative a configuração baseada na utilização.

Como é necessário ativar a opção Permitir a todos os utilizadores primários do computador de trabalho ligar de forma remota para poder implementar um perfil de ligação remota, especifique sempre manualmente a afinidade dispositivo/utilizador. Não considere autoritativas as informações recolhidas junto dos utilizadores ou do dispositivo. Se implementar perfis de ligação remota e um utilizador administrativo fidedigno não especificar a afinidade dispositivo/utilizador, os utilizadores não autorizados poderão obter privilégios elevados, sendo capazes de estabelecer ligação remota aos computadores.

System_CAPS_noteNota

Se ativar a configuração baseada na utilização, estas informações serão obtidas através de mensagens de estado, que não são protegidas pelo Gestor de configuração. Para ajudar a atenuar esta ameaça, utilize a assinatura de Bloco de Mensagem de Servidor (SMB) ou o protocolo IPsec (Internet Protocol Security) entre os computadores cliente e o ponto de gestão.

Restrinja os direitos administrativos locais no computador do servidor de site.

Um utilizador que possua direitos administrativos locais no servidor de site poderá adicionar manualmente membros ao grupo de segurança Ligação ao PC Remoto, criado e mantido automaticamente pelo Gestor de configuração. Isto poderá provocar uma elevação de privilégios, uma vez que os membros que são adicionados a este grupo recebem permissões de Ambiente de Trabalho Remoto.

Se um utilizador iniciar uma ligação a um computador de trabalho a partir do portal da empresa, será transferido um ficheiro com extensão .rdp ou .wsrdp, contendo o nome do dispositivo e o nome do Servidor de Gateway de Ambiente de Trabalho Remoto necessário para iniciar a sessão do Ambiente de Trabalho Remoto. A extensão do ficheiro depende do sistema operativo do dispositivo. Por exemplo, os sistemas operativos Windows® 7 e Windows 8 utilizam um ficheiro .rdp e o Windows 8.1 utiliza um ficheiro .wsrdp.

O utilizador poderá optar por abrir ou guardar o ficheiro .rdp. Se o utilizador optar por abrir o ficheiro .rdp, o ficheiro poderá ser armazenado na cache do browser, conforme as definições de retenção configuradas no browser. Se o utilizador optar por guardar o ficheiro, o ficheiro não será armazenado na cache do browser. O ficheiro será guardado até que o utilizador o elimine manualmente.

O ficheiro .wsrdp é transferido e guardado localmente, de forma automática. O ficheiro será substituído da próxima vez que o utilizador executar uma sessão de Ambiente de Trabalho Remoto.

Antes de configurar os perfis de ligação remota, considere os requisitos de privacidade.

Mostrar: