Configuration Manager 中的遠端連線設定檔安全性和隱私權

 

適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意事項

本主題中的資訊僅適用於 System Center 2012 R2 Configuration Manager 版本。

本主題包含 System Center 2012 Configuration Manager 中遠端連線設定檔的安全性與隱私權資訊。

當您管理用戶端的遠端連線設定檔時,可使用下列安全性最佳作法。

安全性最佳作法

詳細資訊

手動指定使用者裝置親和性,而不是讓使用者識別自己的主要裝置。 此外,請勿啟用基於使用方式的設定。

由於您必須先啟用 [允許工作電腦的所有主要使用者從遠端連線],才能部署遠端連線設定檔,所以請一律手動指定使用者裝置親和性。 請勿將由使用者或裝置收集到的資訊視為已授權。 如果您部署遠端連線設定檔,而且信任的系統管理使用者未指定使用者裝置親和性,未授權的使用者可能會獲得較高的權限,因而能夠從遠端連線到電腦。

System_CAPS_note注意事項

如果您啟用基於使用方式的設定,則此資訊會透過 Configuration Manager 未提供安全保護的狀態訊息進行收集。 若要降低此威脅,請在用戶端電腦和管理點之間使用伺服器訊息區 (SMB) 簽署或網際網路通訊協定安全性 (IPsec)。

限制網站伺服器電腦上的本機系統管理權限。

網站伺服器上具有本機系統管理權限的使用者可以手動新增成員至 Configuration Manager 自動建立及維護的遠端電腦連線安全性群組。 這可能會導致權限的提升,因為新增至此群組的成員會獲得遠端桌面權限。

如果使用者從公司入口網站起始與工作電腦的連線,便會下載副檔名為 .rdp 或 .wsrdp 的檔案,其中含有裝置名稱以及起始遠端桌面工作階段所需的遠端桌面閘道伺服器名稱。 檔案副檔名視裝置的作業系統而定。 例如,Windows® 7 和 Windows 8 作業系統使用 .rdp 檔案,而 Windows 8.1 則使用 .wsrdp 檔案。

使用者可以選擇開啟或儲存 .rdp 檔案。 如果使用者選擇開啟 .rdp 檔案,視瀏覽器所設定的保留設定而定,檔案可能會儲存在網頁瀏覽器的快取中。 如果使用者選擇儲存檔案,則檔案不會儲存在瀏覽器快取中。 檔案將會儲存到使用者手動將它刪除為止。

.wsrdp 檔案會從本機下載並且自動儲存於本機。 此檔案會在使用者下次執行遠端桌面工作階段時覆寫。

設定遠端連線設定檔之前,請考慮您的隱私權需求。

顯示: