Protezione e privacy per i profili di connessione remota in Configuration Manager
Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Questo argomento viene visualizzato nella guida Risorse e conformità a System Center 2012 Configuration Manager e nella guida Protezione e privacy per System Center 2012 Configuration Manager.
Nota
Le informazioni contenute in questo argomento si applicano solo alle versioni di System Center 2012 R2 Configuration Manager.
Questo argomento contiene informazioni sulla privacy e sulla protezione per i profili di connessione remota in System Center 2012 Configuration Manager.
Procedure ottimali di protezione per i profili di connessione remota
Usare le seguenti procedure ottimali di protezione quando si gestiscono i profili di connessione remota per i client.
Procedura di sicurezza consigliata |
Altre informazioni |
|---|---|
Specificare manualmente l'affinità utente dispositivo invece di consentire agli utenti di identificare il dispositivo principale. Inoltre, non abilitare la configurazione basata sulle statistiche di utilizzo. |
Dal momento che è necessario abilitare Consenti a tutti gli utenti primari del computer aziendale di connettersi in remoto prima di poter distribuire un profilo di connessione remota, occorre sempre specificare manualmente l'affinità utente dispositivo. Non considerare autorevoli le informazioni raccolte dagli utenti o dal dispositivo. Se si distribuiscono profili di connessione remota e l'affinità utente dispositivo non è specificata da un utente amministratore attendibile, utenti non autorizzati potrebbero ricevere privilegi elevati ed essere in grado di connettersi in remoto ai computer. Nota Se si abilita la configurazione basata sulle statistiche di utilizzo, queste informazioni vengono raccolte usando messaggi di stato per cui Configuration Manager non fornisce protezione. Per attenuare questa minaccia, usare la firma Server Message Block (SMB) o Internet Protocol security (IPsec) tra computer client e punto di gestione. |
Limitare i diritti amministrativi locali sul computer del server del sito. |
Un utente con diritti amministrativi locali sul server del sito può aggiungere manualmente membri al gruppo di protezione relativo alla connessione del PC remoto che Configuration Manager crea e mantiene automaticamente. Ciò potrebbe causare un'elevazione di privilegi perché i membri che vengono aggiunti a questo gruppo ricevono le autorizzazioni di Desktop remoto. |
Informazioni sulla privacy per i profili di connessione remota
Se un utente avvia una connessione a un computer aziendale dal portale dell'azienda, viene scaricato un file con estensione .rdp o .wsrdp contenente il nome del dispositivo e il nome del server Gateway Desktop remoto richiesto per avviare la sessione Desktop remoto. L'estensione del file dipende dal sistema operativo del dispositivo. Ad esempio, i sistemi operativi Windows® 7 e Windows 8 usano un file .rdp e Windows 8.1 usa un file .wsrdp.
L'utente può scegliere di aprire o salvare il file .rdp. Se l'utente sceglie di aprire il file .rdp, tale file potrebbe essere archiviato nella cache del browser Web in base alle impostazioni di conservazione configurate per il browser. Se l'utente sceglie di salvare il file, il file non viene archiviato nella cache del browser. Il file viene salvato fino a quando l'utente non lo elimina manualmente.
Il file .wsrdp viene scaricato e salvato automaticamente in locale. Tale file viene sovrascritto alla successiva esecuzione di una sessione di Desktop remoto.
Prima di configurare i profili di connessione remota, considerare i requisiti sulla privacy.