Bezpieczeństwo i prywatność profili połączenia zdalnego w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Uwaga
Ten temat znajduje się w przewodniku Zasoby i zgodność w programie System Center 2012 Configuration Manager oraz przewodniku Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.
Uwaga
Informacje w tym temacie dotyczą tylko wersji programu System Center 2012 R2 Configuration Manager
Ten temat zawiera informacje o zabezpieczeniach i poufności profili połączenia zdalnego w programie System Center 2012 Configuration Manager.
Najlepsze rozwiązania dotyczące zabezpieczeń profili połączenia zdalnego
Podczas zarządzania profilami połączenia zdalnego klientów należy stosować poniższe najlepsze rozwiązania.
Najlepsze rozwiązanie w zakresie zabezpieczeń |
Więcej informacji |
|---|---|
Należy określić koligację urządzenia użytkownika zamiast zezwalać użytkownikom na identyfikację ich urządzenia podstawowego. Ponadto nie należy włączać konfiguracji opartej na użyciu. |
Ponieważ przed wdrożeniem profilu połączenia zdalnego konieczne jest włączenie opcji Zezwalaj na połączenie zdalne wszystkich głównych użytkowników komputera roboczego, należy zawsze ręcznie określić koligację urządzenia użytkownika. Nie należy traktować jako wiarygodnych informacji zebranych od użytkowników lub z urządzeń. Jeżeli po wdrożeniu profili połączenia zdalnego zaufany użytkownik administracyjny nie określi koligacji urządzenia użytkownika, nieautoryzowani użytkownicy mogą uzyskać podniesione uprawnienia, a następnie połączyć się zdalnie z komputerami. Uwaga W przypadku włączenia konfiguracji opartej na użyciu te informacje są zbierane za pomocą komunikatów stanu, które nie są zabezpieczane przez program Menedżer konfiguracji. Aby ułatwić uniknięcie tego zagrożenia, należy użyć podpisywania bloku komunikatów serwera (SMB) lub zabezpieczeń protokołu internetowego (IPsec) między komputerami klienckimi a punktem zarządzania. |
Należy ograniczyć lokalne prawa administracyjne na komputerze serwera lokacji. |
Użytkownik, który ma lokalne prawa administracyjne na serwerze lokacji, może ręcznie dodawać członków do grupy zabezpieczeń Połączenie zdalne z komputerem automatycznie tworzonej i obsługiwanej przez program Menedżer konfiguracji. Może to spowodować podniesienie uprawnień, ponieważ członkowie dodani do tej grupy uzyskują uprawnienia do funkcji Pulpit zdalny. |
Informacje dotyczące poufności profili połączenia zdalnego
Jeżeli użytkownik zainicjuje połączenie z komputerem roboczym z portalu firmy, pobierany jest plik z rozszerzeniem rdp lub wsrdp zawierający nazwę urządzenia i nazwę serwera bramy usług pulpitu zdalnego wymagane do zainicjowania sesji pulpitu zdalnego. Rozszerzenie pliku zależy od systemu operacyjnego urządzenia. Przykładowo w systemach operacyjnych Windows® 7 i Windows 8 używany jest plik rdp, a w systemie Windows 8.1 używany jest plik wsrdp.
Użytkownik może otworzyć lub zapisać plik rdp. W przypadku otwarcia pliku rdp może on zostać zapisany w pamięci podręcznej przeglądarki sieci Web, w zależności od ustawień przechowywania skonfigurowanych w przeglądarce. W przypadku zapisania pliku nie jest on przechowywany w pamięci podręcznej przeglądarki. Plik pozostaje zapisany do momentu ręcznego usunięcia go przez użytkownika.
Plik wsrdp jest pobierany i automatycznie zapisywany lokalnie. Jest on zastępowany przy następnym uruchomieniu przez użytkownika sesji pulpitu zdalnego.
Przed skonfigurowaniem profili połączenia zdalnego należy uwzględnić wymagania dotyczące poufności.