Segurança e privacidade para controlo remoto no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Este tópico aparece em o manual Recursos e conformidade no System Center 2012 Configuration Manager e no manual Segurança e Privacidade no System Center 2012 Configuration Manager.
Este tópico contém informações de segurança e privacidade para controlo remoto no System Center 2012 Configuration Manager.
Segurança melhores práticas para controlo remoto
Utilize as seguintes práticas recomendadas de segurança ao gerir computadores cliente utilizando o controlo remoto.
Procedimento recomendado de segurança |
Mais informações |
|---|---|
Quando se liga a um computador remoto, não continue se NTLM em vez de autenticação Kerberos é utilizado. |
Quando Gestor de configuração deteta que a sessão de controlo remoto é autenticada utilizando NTLM em vez de Kerberos, vir um pedido que avisa-o de que não é possível verificar a identidade do computador remoto.Não continue com a sessão de controlo remoto.Autenticação de NTLM é um protocolo de autenticação weaker que Kerberos e está vulnerável a reprodução e representação. |
Não permita a partilha no Visualizador controlo remoto de área de transferência. |
A área de transferência suporta objetos, tais como ficheiros executáveis e texto e pode ser utilizada pelo utilizador no computador anfitrião durante a sessão de controlo remoto para executar um programa no computador de origem. |
Não introduza palavras-passe para contas com privilégios quando administrar remotamente um computador. |
Software que observes teclado pode capturar a palavra-passe.Ou, se o programa que está a ser executado no computador cliente não for o programa que assume que o utilizador de controlo remoto, o programa poderá ser capturar a palavra-passe.Quando são necessárias contas e palavras-passe, deve introduzir o utilizador final-los. |
Bloquear o teclado e rato durante uma sessão de controlo remoto. |
Se Gestor de configuração deteta que a ligação de controlo remoto está terminada, Gestor de configuração bloqueia automaticamente o teclado e rato para que um utilizador não pode assumir o controlo da sessão abrir controlo remoto.No entanto, esta deteção pode não ocorrer imediatamente e não ocorre se o serviço de controlo remoto está terminado. Selecione a ação Bloquear remoto teclado e rato no controlo remoto do ConfigMgr janela. |
Não permitir que os utilizadores a configurar definições de controlo remoto no Centro de Software. |
Não ativar o definição do cliente os utilizadores podem alterar as definições de política ou notificação no Centro de Software para ajudar a impedir que os utilizadores a ser spied no. Nota Esta definição é para o computador e não o utilizador com sessão iniciada-on. |
Ativar o domínio perfil de Firewall do Windows. |
Ativar o definição do cliente Ativar controlo remoto no perfis de exceção de Firewall de clientes e, em seguida, selecione o domínio Firewall do Windows para computadores de intranet. |
Se terminar a sessão durante uma sessão de controlo remoto e registo como um utilizador diferente, certifique-se de que terminar a sessão antes de se desligar a sessão de controlo remoto. |
Se não terminar a sessão neste cenário, a sessão permanece aberta. |
Não conceder a utilizadores direitos de administrador local. |
Quando conceder aos utilizadores direitos de administrador local, poderá ser possível sobrecarregar a sua sessão de controlo remoto ou comprometer as suas credenciais. |
Utilizar um dos política de grupo ou Gestor de configuração para configurar definições de assistência remota, mas não ambos. |
Pode utilizar Gestor de configuração e a política de grupo para fazer alterações de configuração para as definições de assistência remota.Quando a política de grupo é atualizada do cliente, por predefinição, o processo-optimizes alterando apenas as políticas que foram alteradas no servidor.Gestor de configuração altera as definições de política de segurança local, que não podem ser substituídos, a menos que a atualização de política de grupo é forçada. Definição de política em ambos os locais pode conduzir a resultados inconsistentes.Escolha um dos seguintes métodos para configurar as definições de assistência remota. |
Ativar o definição do cliente Perguntar ao utilizador permissão de controlo remoto. |
Embora existam formas do evitar esta definição que do cliente solicita-lhe um utilizador para confirmar uma sessão de controlo remoto, ative esta definição reduzir a possibilidade dos utilizadores a ser spied após enquanto está a trabalhar em tarefas confidenciais. Além disso, informar os utilizadores para verificar o nome de conta que é apresentado durante a sessão de controlo remoto e terminar a sessão se estes se suspeitar que a conta não tem autorização. |
Limite a lista de visualizadores permitido. |
Direitos de administrador local não são necessários para um utilizador poderá utilizar o controlo remoto. |
Problemas de segurança para controlo remoto
Gestão de computadores de cliente utilizando o controlo remoto tem os seguintes problemas de segurança:
Não considere mensagens de auditoria de controlo remoto fidedigno.
Se iniciar uma sessão de controlo remoto e, em seguida, inicie sessão utilizando as credenciais alternativas, a conta original envia as mensagens de auditoria, não a conta que utilizou as credenciais alternativas.
Mensagens de auditoria não são enviadas se que copie os ficheiros binários de controlo remoto em vez de instalar o Gestor de configuração consola e, em seguida, execute o controlo remoto na linha de comandos.
Informações de privacidade de controlo remoto
Controlo remoto permite-lhe ver sessões ativas no Gestor de configuração computadores cliente e potencialmente ver quaisquer informações armazenadas no respetivos computadores.Por predefinição, o controlo remoto não está ativado.
Embora pode configurar o controlo remoto para fornecer aviso evidentes e obtenha o consentimento do utilizador de um utilizador antes de uma sessão de controlo remoto começa, também-pode monitorizar os utilizadores sem as respetivas permissões ou deteção.Pode configurar o nível de acesso ver apenas para que nada pode ser alterado no controlo remoto ou controlo total.A conta de administrador a ligação é apresentada na sessão controlo remoto, para ajudar os utilizadores a identificar quem está a ligar ao respetivo computador.
Por predefinição, Gestor de configuração atribui o local de administradores permissões de controlo remoto de grupo.
Antes de configurar o controlo remoto, considere os requisitos de privacidade.