Seguridad y privacidad para perfiles de conexión remota en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Este tema aparece recogido en las guías Activos y compatibilidad en System Center 2012 Configuration Manager y Seguridad y privacidad en System Center 2012 Configuration Manager.
Nota
La información de este tema sólo se aplica a las versiones System Center 2012 R2 Configuration Manager.
Este tema contiene información de seguridad y privacidad para los perfiles de conexión remota en System Center 2012 Configuration Manager.
Procedimientos recomendados de seguridad para los perfiles de conexión remota
Utilice los siguientes procedimientos recomendados de seguridad para administrar los perfiles de conexión remota para los clientes.
Práctica recomendada de seguridad |
Más información |
|---|---|
Especifique manualmente la afinidad de dispositivo del usuario en lugar de permitir a los usuarios identificar su dispositivo primario. Además, no habilite la configuración basada en el uso. |
Como debe habilitar Permitir a todos los usuarios principales del equipo de trabajo conectarse remotamente para poder implementar un perfil de conexión remota, especifique siempre manualmente la afinidad de su dispositivo de usuario. No considere información de autoridad aquélla recopilada de usuarios o del dispositivo. Si implementa perfiles de conexión remota y un usuario administrativo confiable no especifica la afinidad de dispositivo de usuario, es posible que usuarios no autorizados reciban privilegios elevados y que, como resultado, puedan conectarse remotamente a equipos. Nota Si habilita la configuración basada en el uso, esta información se recopila a través de mensajes de estado que no están protegidos por Configuration Manager. Para mitigar esta amenaza, utilice la firma de bloque de mensajes del servidor (SMB) o el protocolo de seguridad de Internet (IPsec) entre los equipos cliente y el punto de administración. |
Restringir los derechos de administración locales en el equipo del servidor de sitio. |
Un usuario con derechos administrativos locales en el servidor de sitio puede agregar manualmente miembros al grupo de seguridad de conexión a equipos remotos que Configuration Manager crea y mantiene automáticamente. Esto podría causar una elevación de privilegios, ya que los miembros que se agregan a este grupo reciben permisos de Escritorio remoto. |
Información de privacidad de los perfiles de conexión remota
Si un usuario inicia una conexión para trabajar en un equipo del portal de la compañía, se descarga un archivo con la extensión .rdp o .wsrdp que contiene el nombre de dispositivo y el nombre de servidor de puerta de enlace del Escritorio remoto que se necesita para iniciar la sesión de Escritorio remoto. La extensión del archivo depende del sistema operativo del dispositivo. Por ejemplo, los sistemas operativos Windows® 7 y Windows 8 usan un archivo .rdp y, Windows 8.1 usa un archivo .wsrdp.
El usuario puede abrir o guardar el archivo .rdp. Si el usuario elige abrir el archivo .rdp, es posible que el archivo se almacene en la memoria caché del explorador web, en función de la configuración de retención del explorador. Si el usuario decide guardar el archivo, no se almacena en la memoria caché del explorador. El archivo se guarda hasta que el usuario lo elimina manualmente.
El archivo .wsrdp se descarga y se guarda automáticamente de forma local. El archivo se sobrescribirá la próxima vez que el usuario ejecute una sesión de Escritorio remoto.
Antes de configurar los perfiles de conexión remota, tenga en cuenta sus requisitos de privacidad.