Säkerhet och sekretess för fjärrstyrning i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Det här avsnittet innehåller information om säkerhet och sekretess för fjärrstyrning i System Center 2012 Configuration Manager.

Metodtips för fjärrstyrning

Använd följande metodtips för säkerhet när du hanterar klientdatorer genom fjärrstyrning.

Regelverk för säkerhet

Mer information

När du ansluter till en fjärrdator Fortsätt inte om NTLM i stället för att Kerberos-autentisering används.

När Configuration Manager upptäcks att fjärrstyrningssessionen autentiseras med hjälp av NTLM i stället för Kerberos visas ett meddelande om att det inte går att verifiera identitet för fjärrdatorn.Fortsätt inte med fjärrstyrningssessionen.NTLM-autentisering är en svagare autentiseringsprotokollet än Kerberos och utsatt för repetition och personifiering.

Aktivera inte dela i fjärrstyrning viewer Urklipp.

Urklipp stöder objekt, till exempel körbara filer och text och kan användas av användaren på värddatorn under fjärrstyrningssessionen för att köra ett program på den ursprungliga datorn.

Kan inte ange lösenord för behöriga konton när du administrerar en dator från en annan dator.

Programvara som iakttar indata från tangentbordet kan samla in lösenordet.Eller, om det program som körs på klientdatorn inte är det program som användaren fjärrstyrning tar programmet kan hämta lösenordet.När konton och lösenord krävs ange slutanvändaren dem.

Låsa tangentbordet och musen under en session fjärrstyrning.

Om Configuration Manager identifierar att fjärrstyrning avbryts, Configuration Manager automatiskt låser tangentbordet och musen så att en användare inte kan ta kontroll över sessionen öppna fjärrstyrning.Den här identifieringen uppstå inte omedelbart och uppstår inte om fjärrstyrning tjänsten avslutas.

Välj åtgärd Lås Remote tangentbord och mus i den ConfigMgr fjärrstyrning fönstret.

Kan inte användare konfigurera inställningar för fjärrstyrning i programvaran Center.

Aktivera inte klienten anger kan användare ändra inställningar för princip- eller meddelande i programvaran Center för att hindra användare från att spionerade på.

System_CAPS_noteInformation

Den här inställningen är för datorn och inte den inloggade användaren.

Aktivera den domän Windows-brandväggen profil.

Aktivera klienten anger aktivera fjärrstyrning på klienter brandväggen undantag profiler och väljer sedan den domän Windows-brandväggen för intranätdatorer.

Om du loggar under en session Fjärrstyrning och logga in som en annan användare, kontrollera att logga ut innan du kopplar fjärrstyrningssessionen.

Om du inte loggar ut i det här fallet, fortfarande sessionen öppen.

Inte ge användare lokal administratörsbehörighet.

När du ger användarna lokal administratörsbehörighet kanske de kan överta fjärrstyrningssessionen eller skada dina autentiseringsuppgifter.

Använd antingen en grupprincip eller Configuration Manager att konfigurera inställningar för Fjärrhjälp, men inte båda.

Du kan använda Configuration Manager och grupprincipen att göra konfigurationsändringar inställningar för Fjärrhjälp.När en grupprincip uppdateras på klienten, som standard optimerar processen genom att du ändrar vilka principer som har ändrats på servern.Configuration Manager ändrar inställningarna i lokal säkerhetsprincip, som kan inte skrivas över om inte uppdateringen grupprinciper framtvingas.

Principen på båda platserna kan leda till inkonsekventa resultat.Välj ett av följande metoder för att konfigurera inställningar för Fjärrhjälp.

Aktivera klienten anger fråga användaren efter fjärrstyrning behörighet.

Även om det finns olika sätt runt klienten inställning som uppmanas användaren att bekräfta en session Fjärrstyrning, aktivera den här inställningen för att minska risken för användare som spionerade ska vidta när du arbetar på konfidentiella uppgifter.

Dessutom utbilda användare att kontrollera kontonamnet som visas under sessionen fjärrstyrning och koppla från sessionen om de misstänker att kontot är obehörig.

Begränsa listan över tillåtna visningsprogram.

Lokal administratörsbehörighet krävs inte för en användare ska kunna använda fjärrstyrning.

Säkerhetsfrågor för fjärrstyrning

Hantera klientdatorer genom fjärrstyrning har följande säkerhetsfrågor:

  • Anses inte fjärrstyrning audit meddelanden som tillförlitliga.

    Om du startar en session Fjärrstyrning och sedan logga in med alternativa autentiseringsuppgifter, skickar det ursprungliga kontot audit meddelanden, inte det konto som används för de alternativa autentiseringsuppgifterna.

    Granskningsmeddelanden skickas inte om du kopiera binärfiler för fjärrstyrning i stället installera den Configuration Manager konsolen och kör sedan fjärrstyrning i Kommandotolken.

Sekretessinformation för fjärrstyrning

Fjärrstyrning kan du visa aktiva sessioner på Configuration Manager klientdatorer och eventuellt visa all information som lagras på dessa datorer.Fjärrstyrning är inte aktiverad som standard.

Kan du konfigurera fjärrstyrning att ge besöker och hämta medgivande från en användare innan en session Fjärrstyrning börjar, men den kan också övervaka användare utan deras behörighet eller medvetenhet.Du kan konfigurera Visa endast åtkomstnivå så att ingenting som kan ändras på fjärrstyrning eller fullständig behörighet.Konto för anslutning administratör visas i sessionen fjärrstyrning, som hjälper användarna att identifiera som ansluter till sina datorer.

Som standard Configuration Manager ger lokala administratörer behörigheterna för fjärrstyrning.

Innan du konfigurerar fjärrstyrning tänka din sekretesskrav som finns.