远程控制配置管理器中的安全和隐私
适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
注意 |
---|
本主题出现在资产和 System Center 2012 Configuration Manager 中的符合性 指南和 System Center 2012 Configuration Manager 的安全性和隐私 指南中。 |
本主题包含有关中的远程控制的安全和隐私信息 System Center 2012 Configuration Manager。
远程控制的最佳安全方案
当使用远程控制来管理客户端计算机时使用下列最佳安全方案。
最佳安全方案 |
更多信息 |
||
---|---|---|---|
当连接到远程计算机时,不会继续如果使用 NTLM 而不是 Kerberos 身份验证。 |
当 配置管理器 检测到使用 NTLM 而不 Kerberos 身份验证的远程控制会话时,您看到一条提示,警告您无法验证远程计算机的标识。不要继续远程控制会话。NTLM 身份验证是一种较弱的身份验证协议比 Kerberos 和容易受到重播和模拟。 |
||
不要启用剪贴板共享在远程控制查看器中。 |
剪贴板支持对象 (例如可执行文件和文本并且无法由主机计算机上的用户在远程控制会话期间在发起计算机上运行程序。 |
||
远程管理计算机时,不要对特权帐户输入密码。 |
监视键盘输入的软件可能捕获到该密码。或者,如果客户端计算机正在运行的程序不是远程控制用户假定的程序,该程序就可能会捕获密码。当要求输入帐户和密码时,应由最终用户输入。 |
||
在远程控制会话过程中锁定键盘和鼠标。 |
如果 配置管理器 检测到远程控制连接终止 配置管理器 自动锁定键盘和鼠标,以便用户不能充分打开远程控制会话的控制权。但是,此检测可能不会立即出现并且不会发生如果终止远程控制服务。 选择的操作 锁定远程键盘和鼠标 中 ConfigMgr 远程控制 窗口。 |
||
不要让用户在软件中心中配置远程控制设置。 |
不能将客户端设置 用户可以更改在软件中心的策略或通知设置 以帮助防止用户被窥探。
|
||
启用 域 Windows 防火墙配置文件。 |
启用客户端设置 客户端防火墙例外配置文件上启用远程控制 ,然后选择 域 intranet 计算机的 Windows 防火墙。 |
||
如果您注销期间远程控制会话和日志以不同用户身份,请确保您注销之前断开远程控制会话的连接。 |
如果您没有在此方案中注销,则会话将保持打开状态。 |
||
不允许用户本地管理员权限。 |
当你向用户提供本地管理员权限时,他们可能能够接管远程控制会话或危害您的凭据。 |
||
使用组策略或 配置管理器 若要配置远程协助设置,但不是能同时。 |
您可以使用 配置管理器 和组策略以对远程协助设置进行配置更改。默认情况下,客户端上刷新组策略时它来优化该过程通过更改仅在服务器已更改的策略。配置管理器 更改在本地安全策略中,除非强制组策略更新可能不会覆盖的设置。 在这两个位置中设置策略可能导致不一致的结果。选择这些方法之一来配置远程协助设置。 |
||
启用客户端设置 提示用户进行远程控制权限。 |
尽管有方法可以解决此客户端设置,将提示用户确认远程控制会话,请启用此设置来减少用户在处理机密任务时被窥探的可能性。 此外,培训用户以验证显示在远程控制会话期间的帐户名和断开会话连接如果它们怀疑未经授权的帐户。 |
||
允许的查看者列表限制。 |
本地管理员权限并不需要的用户将无法使用远程控制。 |
远程控制的安全问题
使用远程控制来管理客户端计算机具有以下安全问题:
不考虑远程控制是可靠的审核消息。
如果启动远程控制会话,然后通过使用替代凭据登录原始帐户发送的审核消息,而不使用备用凭据的帐户。
如果您需要将复制为远程控制的二进制文件而不是安装不会发送审核消息 配置管理器 控制台中,并在命令提示符下运行远程控制。
远程控制的隐私信息
远程控制允许您查看上的活动会话 配置管理器 客户端计算机也可能可以查看存储在这些计算机上的任何信息。默认情况下,不启用远程控制。
尽管您可以配置远程控制来提供显要通知并获得用户同意的情况下远程控制会话开始之前,它还可以监视没有用户同意或识别的用户。您可以配置仅查看访问级别,以便可以在远程控制或完全控制更改执行任何操作。连接的管理员的帐户将显示在远程控制会话,以帮助用户识别谁连接到其计算机。
默认情况下, 配置管理器 授予本地管理员组的远程控制权限。
配置远程控制之前,请考虑您的隐私要求。