Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Configuration Manager (Current Branch)
Dieses Thema enthält Sicherheits- und Datenschutzinformationen für die Remotesteuerung in Configuration Manager.
Bewährte Sicherheitsmethoden für die Remotesteuerung
Verwenden Sie die folgenden bewährten Sicherheitsmethoden, wenn Sie Clientcomputer mithilfe der Remotesteuerung verwalten.
| Bewährte Sicherheitsmethode | Weitere Informationen |
|---|---|
| Wenn Sie eine Verbindung mit einem Remotecomputer herstellen, fahren Sie nicht fort, wenn ntlm anstelle der Kerberos-Authentifizierung verwendet wird. | Wenn Configuration Manager erkennt, dass die Remotesteuerungssitzung mithilfe von NTLM anstelle von Kerberos authentifiziert wird, wird eine Eingabeaufforderung angezeigt, die Sie warnt, dass die Identität des Remotecomputers nicht überprüft werden kann. Fahren Sie nicht mit der Remotesteuerungssitzung fort. Die NTLM-Authentifizierung ist ein schwächeres Authentifizierungsprotokoll als Kerberos und anfällig für Wiedergabe und Identitätswechsel. |
| Aktivieren Sie die Freigabe der Zwischenablage nicht im Remotesteuerungs-Viewer. | Die Zwischenablage unterstützt Objekte wie ausführbare Dateien und Text und kann vom Benutzer auf dem Hostcomputer während der Remotesteuerungssitzung verwendet werden, um ein Programm auf dem Ursprungscomputer auszuführen. |
| Geben Sie bei der Remoteverwaltung eines Computers keine Kennwörter für privilegierte Konten ein. | Software, die tastatureingaben beobachtet, könnte das Kennwort erfassen. Oder wenn das Programm, das auf dem Clientcomputer ausgeführt wird, nicht das Programm ist, das der Remotesteuerungsbenutzer annimmt, erfasst das Programm möglicherweise das Kennwort. Wenn Konten und Kennwörter erforderlich sind, sollte der Endbenutzer diese eingeben. |
| Sperren Sie die Tastatur und Maus während einer Remotesteuerungssitzung. | Wenn Configuration Manager erkennt, dass die Remotesteuerungsverbindung beendet wurde, sperrt Configuration Manager automatisch die Tastatur und maus, sodass ein Benutzer nicht die Kontrolle über die geöffnete Remotesteuerungssitzung übernehmen kann. Diese Erkennung erfolgt jedoch möglicherweise nicht sofort und nicht, wenn der Remotesteuerungsdienst beendet wird. Wählen Sie im Fenster ConfigMgr Remotesteuerung die Aktion Remotetastaturen und Maus sperren aus. |
| Benutzer dürfen keine Remotesteuerungseinstellungen im Softwarecenter konfigurieren. | Aktivieren Sie nicht die Clienteinstellung Benutzer können Richtlinien- oder Benachrichtigungseinstellungen im Softwarecenter ändern , um zu verhindern, dass Benutzer ausspioniert werden. Wenn ein Benutzer sie ändert, kann ein anderer Benutzer auf demselben Computer remote angezeigt werden. Diese Einstellung gilt für den Computer, nicht für den angemeldeten Benutzer. |
| Aktivieren Sie das Profil der Windows-Firewall-Domäne . | Aktivieren Sie die Clienteinstellung Remotesteuerung auf Clients aktivieren Firewall-Ausnahmeprofile , und wählen Sie dann die Domäne Windows-Firewall für Intranetcomputer aus. |
| Wenn Sie sich während einer Remotesteuerungssitzung abmelden und sich als anderer Benutzer anmelden, stellen Sie sicher, dass Sie sich abmelden, bevor Sie die Remotesteuerungssitzung trennen. | Wenn Sie sich in diesem Szenario nicht abmelden, bleibt die Sitzung geöffnet. |
| Erteilen Sie Benutzern keine lokalen Administratorrechte. | Wenn Sie Benutzern lokale Administratorrechte erteilen, können sie möglicherweise Ihre Remotesteuerungssitzung übernehmen oder Ihre Anmeldeinformationen kompromittieren. |
| Verwenden Sie entweder Gruppenrichtlinie oder Configuration Manager, um Remoteunterstützungseinstellungen zu konfigurieren, aber nicht beides. | Sie können Configuration Manager und Gruppenrichtlinie verwenden, um Konfigurationsänderungen an den Remoteunterstützungseinstellungen vorzunehmen. Wenn Gruppenrichtlinie auf dem Client aktualisiert wird, wird der Prozess standardmäßig optimiert, indem nur die Richtlinien geändert werden, die auf dem Server geändert wurden. Configuration Manager die Einstellungen in der lokalen Sicherheitsrichtlinie ändern, die möglicherweise nicht überschrieben werden, es sei denn, das Gruppenrichtlinie Update wird erzwungen. Das Festlegen der Richtlinie an beiden Stellen kann zu inkonsistenten Ergebnissen führen. Wählen Sie eine dieser Methoden aus, um Ihre Remoteunterstützungseinstellungen zu konfigurieren. |
| Aktivieren Sie die Clienteinstellung Benutzer zur Remotesteuerungsberechtigung auffordern. | Obwohl es Möglichkeiten gibt, diese Clienteinstellung zu umgehen, die einen Benutzer auffordert, eine Remotesteuerungssitzung zu bestätigen, aktivieren Sie diese Einstellung, um die Wahrscheinlichkeit zu verringern, dass Benutzer während der Arbeit an vertraulichen Aufgaben ausspioniert werden. Informieren Sie darüber hinaus Die Benutzer, den Kontonamen zu überprüfen, der während der Remotesteuerungssitzung angezeigt wird, und trennen Sie die Sitzung, wenn sie vermuten, dass das Konto nicht autorisiert ist. |
| Schränken Sie die Liste zulässiger Viewer ein. | Lokale Administratorrechte sind nicht erforderlich, damit ein Benutzer die Remotesteuerung verwenden kann. |
Sicherheitsprobleme bei der Remotesteuerung
Das Verwalten von Clientcomputern mithilfe der Remotesteuerung hat die folgenden Sicherheitsprobleme:
Betrachten Sie Remotesteuerungsüberwachungsmeldungen nicht als zuverlässig.
Wenn Sie eine Remotesteuerungssitzung starten und sich dann mit alternativen Anmeldeinformationen anmelden, sendet das ursprüngliche Konto die Überwachungsnachrichten, nicht das Konto, das die alternativen Anmeldeinformationen verwendet hat.
Überwachungsmeldungen werden nicht gesendet, wenn Sie die Binärdateien für die Remotesteuerung kopieren, anstatt die Configuration Manager-Konsole zu installieren, und dann die Remotesteuerung an der Eingabeaufforderung ausführen.
Datenschutzinformationen für die Remotesteuerung
Mit der Remotesteuerung können Sie aktive Sitzungen auf Configuration Manager Clientcomputern und potenziell alle auf diesen Computern gespeicherten Informationen anzeigen. Standardmäßig ist die Remotesteuerung nicht aktiviert.
Sie können die Remotesteuerung zwar so konfigurieren, dass sie einen prominenten Hinweis liefert und die Zustimmung eines Benutzers einzuholen, bevor eine Remotesteuerungssitzung beginnt, aber sie kann auch Benutzer ohne deren Erlaubnis oder Bewusstsein überwachen. Sie können die Zugriffsebene "Nur anzeigen" so konfigurieren, dass an der Remotesteuerung oder der Vollzugriff nichts geändert werden kann. Das Konto des Verbindungsadministrators wird in der Remotesteuerungssitzung angezeigt, damit Benutzer erkennen können, wer eine Verbindung mit ihrem Computer herstellt.
Standardmäßig gewährt Configuration Manager der lokalen Administratorgruppe Remotesteuerungsberechtigungen.
Berücksichtigen Sie vor dem Konfigurieren der Remotesteuerung Ihre Datenschutzanforderungen.