本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

遠端控制 Configuration Manager 中的安全性與隱私權

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

本主題包含在遠端控制的安全性和隱私權資訊 System Center 2012 Configuration Manager。

當您使用遠端控制管理用戶端電腦使用下列安全性最佳作法。

安全性最佳作法

詳細資訊

當您連接到遠端電腦時,不要繼續如果使用 NTLM 而非 Kerberos 驗證。

當 Configuration Manager 偵測到透過 NTLM 取代 Kerberos 來驗證遠端控制工作階段,請參閱會警告您無法驗證遠端電腦的識別身分的提示。請繼續進行遠端控制工作階段。NTLM 驗證是較弱的驗證通訊協定比 Kerberos 和很容易重新執行和模擬。

不會啟用遠端控制檢視器中共用的剪貼簿。

剪貼簿支援可執行檔和文字的物件並無法供主機電腦上的使用者在遠端控制工作階段期間在原始電腦上執行程式。

從遠端管理電腦時請勿高權限帳戶輸入密碼。

會遵守鍵盤輸入可以捕捉到密碼的軟體。或程式如果用戶端電腦正在執行的程式不會假設遠端控制使用者的程式,可能會擷取密碼。需要帳戶和密碼時,使用者應該輸入它們。

在遠端控制工作階段期間鎖定鍵盤和滑鼠。

如果 Configuration Manager 偵測到的終止遠端控制連線 Configuration Manager 會自動鎖定鍵盤和滑鼠,讓使用者不能開啟遠端控制工作階段的控制權。不過,這項偵測可能不會立即發生而且不會發生在終止遠端控制服務。

選取的動作 鎖定遠端鍵盤及滑鼠ConfigMgr 遙控器 視窗。

不要讓使用者在軟體中心內設定遠端控制設定。

請勿啟用用戶端設定 使用者可以變更在軟體中心內的原則或通知設定 來協助防止使用者在所監視。

System_CAPS_note注意事項

此設定適用於電腦而不登入的使用者。

啟用 網域 Windows 防火牆設定檔。

啟用用戶端設定 用戶端防火牆例外狀況的設定檔上啟用遠端控制 然後選取 網域 內部網路電腦的 Windows 防火牆。

如果您遠端控制工作階段和記錄檔期間以登入不同的使用者,請確定您登出之前中斷連線的遠端控制工作階段。

如果您不要登在這個案例中,工作階段維持開啟狀態。

不會提供使用者本機系統管理員權限。

當您授與使用者本機系統管理員權限時,他們可能可以接管您的遠端控制工作階段或危害您的認證。

使用群組原則或 Configuration Manager 來設定遠端協助設定但不是能兩者並存。

您可以使用 Configuration Manager 和群組原則來對遠端協助設定進行組態變更。群組原則重新整理在用戶端,根據預設,它藉由變更伺服器已變更的原則最佳化程序。Configuration Manager 變更在本機安全性原則中,可能不會覆寫除非強制群組原則更新的設定。

在這兩個位置中設定原則可能會導致不一致的結果。選擇其中一種方法來設定遠端協助設定。

啟用用戶端設定 遠端控制] 權限提示使用者

雖然有方法可以避免設定此用戶端會提示使用者確認遠端控制工作階段、 啟用此設定以減少使用者在處理機密工作正在監視的機會。

此外,教育使用者來驗證遠端控制工作階段期間顯示的帳戶名稱以及它們懷疑帳戶是未經授權就中斷工作階段。

限制允許的檢視器清單。

本機系統管理員權限並不需要讓使用者能夠使用遠端控制。

使用遠端控制來管理用戶端電腦具有下列的安全性問題:

  • 不會考慮遠端控制是可靠的稽核訊息。

    如果您啟動遠端控制工作階段,然後使用替代認證登入的原始帳戶會傳送稽核訊息,而不是使用替代認證的帳戶。

    如果您複製遠端控制的二進位檔案而非安裝不會傳送稽核訊息 Configuration Manager 主控台,然後再執行在命令提示字元中的 [遠端控制。

遠端控制可讓您檢視使用中工作階段上 Configuration Manager 用戶端電腦和潛在檢視儲存在這些電腦上的任何資訊。預設不啟用遠端控制。

雖然您可以設定遠端控制來提供顯著的聲明並從使用者取得同意遠端控制工作階段開始之前,它也可以監視沒有其權限或認知的使用者。您可以僅檢視的存取層級設定可在遠端控制 」 或 「 完全控制變更執行任何動作。要協助使用者識別使用者連線到電腦的遠端控制工作階段中會顯示連接的系統管理員的帳戶。

根據預設, Configuration Manager 授與本機系統管理員群組的遠端控制權限。

設定遠端控制之前,請考慮您隱私權的需求。

顯示: