Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Относится к Configuration Manager (Current Branch)
В этом разделе содержатся сведения о безопасности и конфиденциальности для удаленного управления в Configuration Manager.
Рекомендации по обеспечению безопасности для удаленного управления
При управлении клиентскими компьютерами с помощью удаленного управления используйте следующие рекомендации по обеспечению безопасности.
| Рекомендации по обеспечению безопасности | Дополнительная информация |
|---|---|
| При подключении к удаленному компьютеру не продолжайте работу, если используется проверка подлинности NTLM вместо Kerberos. | Когда Configuration Manager обнаруживает, что сеанс удаленного управления проходит проверку подлинности с помощью NTLM вместо Kerberos, появится запрос, предупреждающий о том, что удостоверение удаленного компьютера не может быть проверено. Не продолжайте сеанс удаленного управления. Проверка подлинности NTLM является более слабым протоколом проверки подлинности, чем Kerberos, и уязвима для воспроизведения и олицетворения. |
| Не включайте общий доступ к буферу обмена в средстве просмотра удаленного управления. | Буфер обмена поддерживает такие объекты, как исполняемые файлы и текст, и может использоваться пользователем на хост-компьютере во время сеанса удаленного управления для запуска программы на исходном компьютере. |
| Не вводите пароли для привилегированных учетных записей при удаленном администрировании компьютера. | Программное обеспечение, которое отслеживает ввод с клавиатуры, может зафиксировать пароль. Или, если программа, выполняемая на клиентском компьютере, не является программой, которую предполагает пользователь удаленного управления, программа может записывать пароль. Если требуются учетные записи и пароли, пользователь должен ввести их. |
| Блокировка клавиатуры и мыши во время сеанса удаленного управления. | Если Configuration Manager обнаруживает, что подключение удаленного управления прервано, Configuration Manager автоматически блокирует клавиатуру и мышь, чтобы пользователь не может управлять открытым сеансом удаленного управления. Однако это обнаружение может происходить не сразу и не происходит, если служба удаленного управления завершена. Выберите действие Блокировка удаленной клавиатуры и мыши в окне ConfigMgr удаленного управления. |
| Не разрешайте пользователям настраивать параметры удаленного управления в Центре программного обеспечения. | Не включайте параметр клиента Пользователи могут изменять параметры политики или уведомлений в Центре программного обеспечения , чтобы предотвратить отслеживание пользователей. Если один пользователь изменит его, он может разрешить удаленное просмотр другого пользователя на том же компьютере. Этот параметр предназначен для компьютера, а не для вошедшего в систему пользователя. |
| Включите профиль брандмауэра Windows для домена . | Включите параметр клиента Включить удаленное управление для клиентов Профили исключений брандмауэра , а затем выберите доменНый брандмауэр Windows для компьютеров интрасети. |
| При выходе из сеанса удаленного управления и входе в систему от имени другого пользователя убедитесь, что вы выйдите из системы перед отключением сеанса удаленного управления. | Если в этом сценарии не выйти из системы, сеанс остается открытым. |
| Не предоставляйте пользователям права локального администратора. | Если предоставить пользователям права локального администратора, они могут перехватить сеанс удаленного управления или скомпрометировать учетные данные. |
| Используйте групповая политика или Configuration Manager для настройки параметров удаленного помощника, но не и того, и другого. | Для изменения конфигурации параметров удаленного помощника можно использовать Configuration Manager и групповая политика. При обновлении групповая политика на клиенте по умолчанию он оптимизирует процесс, изменяя только те политики, которые были изменены на сервере. Configuration Manager изменяет параметры локальной политики безопасности, которые не могут быть перезаписаны, если не будет принудительно обновлено групповая политика. Установка политики в обоих местах может привести к несогласованным результатам. Выберите один из этих методов для настройки параметров удаленного помощника. |
| Включите параметр клиента Запрашивать у пользователя разрешение удаленного управления. | Хотя существуют способы обойти этот параметр клиента, которые запрашивают у пользователя подтверждение сеанса удаленного управления, включите этот параметр, чтобы снизить вероятность того, что пользователи будут шпионить при работе с конфиденциальными задачами. Кроме того, попросите пользователей проверить имя учетной записи, отображаемое во время сеанса удаленного управления, и отключить сеанс, если они подозревают, что учетная запись не авторизована. |
| Ограничьте список разрешенных средств просмотра. | Чтобы пользователь мог использовать удаленное управление, не требуются права локального администратора. |
Проблемы с безопасностью при удаленном управлении
Управление клиентскими компьютерами с помощью удаленного управления приводит к следующим проблемам безопасности:
Не следует считать сообщения аудита удаленного управления надежными.
Если вы запускаете сеанс удаленного управления, а затем входите в систему с помощью альтернативных учетных данных, исходная учетная запись отправляет сообщения аудита, а не учетная запись, которая использовала альтернативные учетные данные.
Сообщения аудита не отправляются, если вы копируете двоичные файлы для удаленного управления, а не устанавливаете консоль Configuration Manager, а затем запускаете удаленное управление в командной строке.
Сведения о конфиденциальности для удаленного управления
Удаленное управление позволяет просматривать активные сеансы на Configuration Manager клиентских компьютерах и, возможно, просматривать любую информацию, хранящуюся на этих компьютерах. По умолчанию удаленное управление не включено.
Хотя вы можете настроить удаленное управление для предоставления заметного уведомления и получения согласия от пользователя перед началом сеанса удаленного управления, он также может отслеживать пользователей без их разрешения или осведомленности. Уровень доступа "Только просмотр" можно настроить так, чтобы на удаленном элементе управления или в режиме полного доступа ничего не изменялось. Учетная запись администратора подключения отображается в сеансе удаленного управления, чтобы помочь пользователям определить, кто подключается к их компьютеру.
По умолчанию Configuration Manager предоставляет локальной группе администраторов разрешения удаленного управления.
Прежде чем настраивать удаленное управление, ознакомьтесь с требованиями к конфиденциальности.