Sicherheit und Datenschutz für die Remotesteuerung in Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Hinweis |
---|
Dieses Thema erscheint in den Handbüchern Assets and Compliance in System Center 2012 Configuration Manager (Bestand und Kompatibilität in System Center 2012 Configuration Manager) und Sicherheit und Datenschutz für System Center 2012 Configuration Manager. |
Dieses Thema enthält Sicherheits- und Datenschutzinformationen zur Remotesteuerung in System Center 2012 Configuration Manager.
Bewährte Sicherheitsmethoden für die Remotesteuerung
Wenden Sie die folgenden bewährten Sicherheitsmethoden an, wenn Sie Clientcomputer mithilfe von Remotesteuerung verwalten:
Bewährte Sicherheitsmethode |
Weitere Informationen |
||
---|---|---|---|
Wenn Sie eine Verbindung zu einem Remotecomputer herstellen, fahren Sie nicht wenn NTLM statt Kerberos-Authentifizierung verwendet wird. |
Wenn Configuration Manager feststellt, dass die Remotesteuerungssitzung mithilfe von NTLM statt Kerberos authentifiziert wird, die Sie sehen, dass eine Aufforderung, die darauf hinweist, dass die Identität des Remotecomputers nicht überprüft werden kann.Setzen Sie die Remotesteuerungssitzung nicht fort.Das NTLM-Authentifizierungsprotokoll ist schwächer als Kerberos und anfällig für Replay sowie Identitätsvortäuschung. |
||
Aktivieren Sie die Freigabe der Zwischenablage im Remotesteuerungsclient-Agent nicht. |
Die Zwischenablage unterstützt Objekte, z. B. ausführbare Dateien und Text und könnte verwendet werden durch den Benutzer auf dem Hostcomputer während der Remotesteuerungssitzung Ausführen eines Programms auf dem ursprünglichen Computer. |
||
Geben Sie Kennwörter für privilegierte Konten bei der Remoteverwaltung eines Computers. |
Eine Software, die Tastatureingaben überwacht, kann das Kennwort möglicherweise ermitteln.Oder, wenn das Programm, das auf dem Clientcomputer ausgeführt wird, nicht das Programm, das der Remotesteuerung Benutzer annimmt ist, das Programm möglicherweise werden Erfassen des Kennworts.Sind Konten und Kennwörter erforderlich, sollte der Endbenutzer diese eingeben. |
||
Sperren Sie während einer Remotesteuerungssitzung Tastatur und Maus. |
Wenn von Configuration Manager erkannt wird, dass die Remotesteuerungsverbindung beendet wurde, werden Tastatur und Maus automatisch von Configuration Manager gesperrt, sodass kein Benutzer die offene Remotesteuerungssitzung übernehmen kann.Diese Erkennung wird jedoch möglicherweise nicht sofort ausgeführt und nicht ausgeführt, wenn der Remotesteuerungsdienst beendet wird. Wählen Sie die Aktion Remotetastatur und -maus sperren im Fenster ConfigMgr-Remotesteuerung aus. |
||
Lassen Sie nicht Benutzer Remotesteuerungseinstellungen im Software Center zu konfigurieren. |
Aktivieren Sie nicht die Clienteinstellung Benutzer können Richtlinien- oder Benachrichtigungseinstellungen im Softwarecenter ändern, um zu vermeiden, dass Benutzer ausspioniert werden können.
|
||
Aktivieren der Domäne Windows-Firewall-Profil. |
Aktivieren Sie die Clienteinstellung Remotesteuerung auf Clients aktivieren - Firewallausnahmeprofile und wählen Sie die Windows-Firewall Domäne für die Computer im Intranet. |
||
Wenn Sie während einer Remotesteuerungssitzung und Protokolldateien auf als anderer Benutzer abmelden, stellen Sie sicher, dass Sie sich abmelden, bevor Sie die Remotesteuerungssitzung beendet. |
Wenn Sie sich nicht wie beschrieben abmelden, bleibt die Sitzung geöffnet. |
||
Geben Sie keine Benutzern lokale Administratorrechte verfügt. |
Wenn Sie Benutzern lokale Administratorrechte gewähren, könnten sie Ihre Remotesteuerungssitzung übernehmen oder Ihre Anmeldeinformationen gefährden. |
||
Verwenden der Gruppenrichtlinie oder Configuration Manager zum Konfigurieren von Remoteunterstützungseinstellungen, aber nicht beide. |
Sie können Configuration Manager oder Gruppenrichtlinien verwenden, um Konfigurationsänderungen an den Remoteunterstützungseinstellungen vorzunehmen.Gruppenrichtlinien auf dem Client aktualisiert wird, wird standardmäßig wird den Prozess optimiert, ändern Sie nur die Richtlinien, die auf dem Server geändert wurden.Configuration Manager Ändert die Einstellungen in der lokalen Sicherheitsrichtlinie, die nicht überschrieben werden kann, es sei denn, die Aktualisierung der Gruppenrichtlinie erzwungen wird. Das Festlegen der Richtlinien an beiden Orten kann jedoch zu inkonsistenten Ergebnissen führen.Wählen Sie eine dieser Methoden aus, um die Remoteunterstützungseinstellungen zu konfigurieren. |
||
Aktivieren Sie die Clienteinstellung Benutzererlaubnis zu Remotesteuerung. |
Auch wenn es Möglichkeiten gibt, diese Clienteinstellung zu umgehen, die den Benutzer auffordert, die Remotesteuerungssitzung zu bestätigen, aktivieren Sie die Einstellung dennoch, um die Risiken zu reduzieren, dass Benutzer bei der Arbeit an vertraulichen Aufgaben ausgespäht werden. Halten Sie zusätzlich die Benutzer dazu an, den Kontennamen zu überprüfen, der während der Remotesteuerungssitzung angezeigt wird, und die Verbindung zu trennen, wenn sie den Verdacht haben, dass das Konto nicht autorisiert ist. |
||
Begrenzen Sie die Liste der zugelassenen Viewer. |
Benutzer benötigen keine lokalen Administratorrechte, um die Remotesteuerung zu verwenden. |
Sicherheitsprobleme bei der Remotesteuerung
Das Verwalten von Clientcomputern mit der Remotesteuerung birgt folgende Sicherheitsprobleme:
Audit-Nachrichten zuverlässig Remotesteuerung nicht berücksichtigt.
Wenn Sie eine Remotesteuerungssitzung beginnen und dann unter Verwendung alternativer Anmeldeinformationen anmelden, sendet das ursprüngliche Konto Audit-Nachrichten, nicht das Konto, das die alternativen Anmeldeinformationen verwendet.
Audit-Nachrichten werden nicht gesendet, wenn Sie die Binärdateien für die Remotesteuerung zu kopieren, anstatt Installieren der Configuration Manager -Konsole, und führen Sie die Remotesteuerung in der Befehlszeile.
Datenschutzinformationen zur Remotesteuerung
Remotesteuerung können Sie die aktive Sitzungen anzeigen Configuration Manager -Clientcomputern und möglicherweise auf diesen Computern gespeicherten Informationen anzeigen.Remotesteuerung ist standardmäßig nicht aktiviert.
Sie können die Remotesteuerung so konfigurieren, dass Benutzer vor Beginn einer Remotesteuerungssitzung eine deutliche Ankündigung erhalten und zustimmen können. Es ist allerdings auch möglich, Benutzer ohne deren Erlaubnis oder Wissen zu überwachen.Sie können die Zugriffsstufe "Nur anzeigen" konfigurieren, sodass per Remotesteuerung nichts verändert werden kann, oder "Vollzugriff".Während der Remotesteuerungssitzung wird das Konto des Administrators angezeigt, der die Verbindung herstellt, damit die Benutzer erkennen können, wer eine Verbindung mit ihrem Computer herstellt.
In der Standardeinstellung von Configuration Manager werden der lokalen Administratorgruppe Remotesteuerungsberechtigungen gewährt.
Berücksichtigen Sie beim Konfigurieren der Remotesteuerung Ihre Datenschutzanforderungen.