Protezione e Privacy per il controllo remoto in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

In questo argomento contiene informazioni sulla privacy e sicurezza per il controllo remoto in System Center 2012 Configuration Manager.

Procedure ottimali di protezione per il controllo remoto

Utilizzare le seguenti procedure ottimali di protezione per gestire i computer client utilizzando il controllo remoto.

Procedura di sicurezza consigliata

Altre informazioni

Quando ci si connette a un computer remoto, non continuare se viene utilizzata l'autenticazione NTLM anziché l'autenticazione Kerberos.

Quando Configuration Manager rileva che la sessione di controllo remoto viene autenticata tramite NTLM anziché Kerberos, viene visualizzato un prompt in cui si segnala che l'identità del computer remoto non può essere verificata.Non proseguire con la sessione di controllo remoto.L'autenticazione NTLM è un protocollo di autenticazione più vulnerabile rispetto a Kerberos ed è vulnerabile a riproduzione e la rappresentazione.

Non abilitare la condivisione nel controllo remoto Visualizzatore degli Appunti.

Appunti supporta oggetti quali file eseguibili e di testo e potrebbero essere utilizzato dall'utente nel computer host durante la sessione di controllo remoto per eseguire un programma nel computer di origine.

Non immettere le password per account con privilegi per l'amministrazione in remoto un computer.

Software che osserva l'input da tastiera potrebbe acquisire la password.In alternativa, se il programma in esecuzione nel computer client non è il programma che si presuppone che l'utente di controllo remoto, il programma stia acquisendo la password.Quando sono necessari account e password, l'utente finale deve immettere li.

Bloccare la tastiera e mouse durante una sessione di controllo remoto.

Se Configuration Manager rileva che la connessione controllo remoto è terminata, Configuration Manager Blocca automaticamente la tastiera e mouse, in modo che un utente non può assumere il controllo della sessione di controllo remoto aperto.Tuttavia, il rilevamento potrebbe non verificarsi immediatamente e non si verifica se il servizio di controllo remoto è terminato.

Selezionare l'azione blocco remoto di tastiera e Mouse nel controllo remoto di ConfigMgr finestra.

Non consentire agli utenti di configurare le impostazioni di controllo remoto in Software Center.

Non abilitare l'impostazione client gli utenti possono modificare le impostazioni di criteri o notifiche in Software Center per impedire che gli utenti da controllare in.

Nota

Questa impostazione è per il computer e non l'utente connesso.

Abilitare il dominio profilo di Windows Firewall.

Abilitare l'impostazione client Abilita controllo remoto su profili delle eccezioni Firewall client e quindi selezionare il dominio Windows Firewall per i computer della intranet.

Se si esegue la disconnessione durante una sessione di controllo remoto e di log come utente diverso, verificare che si esegue la disconnessione prima di disconnettere la sessione di controllo remoto.

Se si non esegue la disconnessione in questo scenario, la sessione rimane aperta.

Non assegnare agli utenti diritti di amministratore locale.

Quando si concedono agli utenti diritti di amministratore locale, potrebbero essere in grado di assumere la sessione di controllo remoto o compromettere le credenziali.

Utilizzare uno dei due criteri di gruppo o Configuration Manager per configurare le impostazioni di assistenza remota, ma non entrambi.

È possibile utilizzare Configuration Manager e criteri di gruppo per apportare modifiche alla configurazione per le impostazioni di assistenza remota.Quando i criteri di gruppo vengono aggiornati sul client, per impostazione predefinita, la procedura viene ottimizzata modificando solo i criteri che sono stati modificati nel server.Configuration Manager Modifica le impostazioni di criteri di protezione locali, potrebbe non essere sovrascritto a meno che non viene forzato l'aggiornamento di criteri di gruppo.

Impostazione dei criteri in entrambe le posizioni potrebbe causare risultati incoerenti.Scegliere uno dei metodi seguenti per configurare le impostazioni di assistenza remota.

Abilitare l'impostazione client richiesta all'utente l'autorizzazione di controllo remoto.

Sebbene siano disponibili modi attorno a questa impostazione che client richieda all'utente di confermare una sessione di controllo remoto, attivare questa impostazione per ridurre la possibilità degli utenti mentre si lavora su attività riservate da controllare.

Inoltre, informare gli utenti per verificare il nome dell'account che viene visualizzato durante la sessione di controllo remoto e disconnettere la sessione, se si sospetta che l'account non autorizzato.

Limitare l'elenco dei visualizzatori autorizzati.

Diritti di amministratore locale non sono necessari per un utente sia in grado di utilizzare il controllo remoto.

Problemi di sicurezza per il controllo remoto

Gestione dei computer client utilizzando il controllo remoto presenta i seguenti problemi di protezione:

  • Non considerare affidabile i messaggi di controllo di controllo remoto.

    Se si avvia una sessione di controllo remoto e quindi accedere con credenziali alternative, l'account originale invia i messaggi di controllo, non l'account utilizzare credenziali alternative.

    I messaggi di controllo non vengono inviati se si copiano i file binari per il controllo remoto anziché installare il Configuration Manager console e quindi eseguire il controllo remoto il prompt dei comandi.

Informazioni sulla privacy per il controllo remoto

Controllo remoto consente di visualizzare le sessioni attive in Configuration Manager computer client e visualizzare tutte le informazioni memorizzate in tali computer.Per impostazione predefinita, il controllo remoto non è abilitato.

Sebbene sia possibile configurare il controllo remoto per fornire preavviso e ottenere il consenso da un utente prima di inizia una sessione di controllo remoto, inoltre possibile monitorare utenti senza le autorizzazioni o riconoscimento.È possibile configurare il livello di accesso di sola visualizzazione in modo che non è possibile modificare il controllo remoto o controllo completo.L'account dell'amministratore di connessione viene visualizzato nella sessione di controllo remoto, per identificare gli utenti che si connettono al proprio computer.

Per impostazione predefinita, Configuration Manager concede autorizzazioni controllo remoto del gruppo Administrators locale.

Prima di configurare il controllo remoto, prendere in considerazione i requisiti sulla privacy.