Sécurité et confidentialité pour les profils de connexion à distance dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notes
Cette rubrique apparaît dans les guides Biens et compatibilité dans System Center 2012 Configuration Manager et Sécurité et confidentialité pour System Center 2012 Configuration Manager.
Notes
Les informations de cette rubrique s'appliquent seulement aux versions System Center 2012 R2 Configuration Manager.
Cette rubrique contient des informations de sécurité et de confidentialité pour les profils de connexion à distance dans System Center 2012 Configuration Manager.
Meilleures pratiques de sécurité pour les profils de connexion à distance
Utilisez les meilleures pratiques de sécurité suivantes lors de la gestion des profils de connexion à distance pour les clients.
Meilleure pratique de sécurité |
Plus d'informations |
|---|---|
Spécifiez manuellement l'affinité entre utilisateur et appareil au lieu de permettre aux utilisateurs d'identifier leur appareil principal. En outre, n'activez pas la configuration basée sur l'utilisation. |
Étant donné que vous devez activer Autoriser tous les utilisateurs principaux de l'ordinateur professionnel à se connecter à distance avant de pouvoir déployer un profil de connexion à distance, spécifiez toujours manuellement l'affinité entre utilisateur et appareil. Ne considérez pas les informations collectées à partir d'utilisateurs ou de l'appareil comme faisant autorité. Si vous déployez des profils de connexion à distance alors que l'affinité entre utilisateur et appareil n'est pas spécifiée par un utilisateur administratif approuvé, des utilisateurs non autorisés peuvent recevoir des privilèges élevés et être en mesure de se connecter à distance aux ordinateurs. Notes Si vous n'autorisez pas la configuration basée sur l'utilisation, ces informations sont collectées à l'aide de messages d'état non sécurisés par Configuration Manager. Pour réduire l'étendue de cette menace, utilisez la signature SMB (Server Message Block) ou IPsec (Internet Protocol security) entre les ordinateurs clients et le point de gestion. |
Limiter les droits d'administrateur local sur l'ordinateur du serveur de site. |
Un utilisateur disposant de droits d'administrateur local sur le serveur de site peut ajouter manuellement des membres au groupe de sécurité Connexion de PC à distance, qui est créé et géré automatiquement par Configuration Manager. Cela peut provoquer une élévation des privilèges dans la mesure où les membres qui sont ajoutés à ce groupe bénéficient d'autorisations Bureau à distance. |
Informations de confidentialité pour les profils de connexion à distance
Si un utilisateur établit une connexion vers un ordinateur professionnel à partir du portail d'entreprise, un fichier comportant l'extension .rdp ou .wsrdp est téléchargé. Il contient le nom de l'appareil et le nom du serveur de passerelle Bureau à distance qui est requis pour ouvrir la session Bureau à distance. L'extension de fichier varie selon le système d'exploitation de l'appareil. Par exemple, les systèmes d'exploitation Windows® 7 et Windows 8 utilisent un fichier .rdp et Windows 8.1 utilise un fichier .wsrdp.
L'utilisateur peut choisir d'ouvrir ou d'enregistrer le fichier .rdp. Si l'utilisateur choisit d'ouvrir le fichier .rdp, celui-ci peut être stocké dans le cache du navigateur Web, selon les paramètres de rétention configurés pour le navigateur. Si l'utilisateur choisit d'enregistrer le fichier, le fichier n'est pas stocké dans le cache du navigateur. Le fichier est enregistré jusqu'à ce que l'utilisateur le supprime manuellement.
Le fichier .wsrdp est téléchargé et automatiquement enregistré localement. La prochaine fois que l'utilisateur exécutera une session Bureau à distance, le fichier sera écrasé.
Avant de configurer les profils de connexion à distance, analysez vos besoins en matière de confidentialité.