Segurança e privacidade para o controle remoto no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Observação |
---|
Este tópico é exibido na nos guias Ativos e conformidade no System Center 2012 Configuration Manager e Segurança e privacidade no System Center 2012 Configuration Manager. |
Este tópico contém informações de segurança e privacidade para o controle remoto em System Center 2012 Configuration Manager.
Práticas recomendadas de segurança para controle remoto
Use as seguintes práticas recomendadas de segurança ao gerenciar computadores cliente usando o controle remoto.
Prática recomendada de segurança |
Mais informações |
||
---|---|---|---|
Quando você se conectar a um computador remoto, não continue se NTLM em vez da autenticação Kerberos é usado. |
Quando Gerenciador de Configurações detecta que a sessão de controle remoto é autenticada usando NTLM, em vez de Kerberos, você verá um prompt que avisa que a identidade do computador remoto não pode ser verificada.Não continue com a sessão de controle remoto.A autenticação NTLM é um protocolo de autenticação mais fraco que o Kerberos e vulnerável a reprodução e representação. |
||
Não habilite compartilhamento no Visualizador de controle remoto da área de transferência. |
A área de transferência oferece suporte a objetos, como arquivos executáveis e de texto e pode ser usada pelo usuário no computador host durante a sessão de controle remoto para executar um programa no computador de origem. |
||
Não digite senhas para contas com privilégios ao administrar remotamente um computador. |
Software que observa a entrada do teclado pode capturar a senha.Ou, se o programa que está sendo executado no computador cliente não é o programa que pressupõe que o usuário controle remoto, o programa pode estar capturando a senha.Quando contas e senhas são necessárias, o usuário final deve inseri-los. |
||
Bloquear o teclado e mouse durante uma sessão de controle remoto. |
Se Gerenciador de Configurações detecta que a conexão de controle remoto é encerrada, Gerenciador de Configurações bloqueia automaticamente o teclado e mouse para que um usuário não pode assumir o controle da sessão aberta controle remoto.No entanto, essa detecção não pode ocorrer imediatamente e não ocorrerá se o serviço de controle remoto é finalizado. Selecione a ação bloqueio remoto teclado e Mouse no controle remoto de ConfigMgr janela. |
||
Não permitem aos usuários definir configurações de controle remoto no Centro de Software. |
Não habilite a configuração do cliente os usuários podem alterar as configurações de política ou notificação no Centro de Software para ajudar a impedir que os usuários que estão sendo spied em.
|
||
Habilitar o domínio perfil do Firewall do Windows. |
Habilitar a configuração do cliente Habilitar o controle remoto em perfis de exceção de Firewall de clientes e, em seguida, selecione o domínio Firewall do Windows para os computadores da intranet. |
||
Se você fizer logoff durante uma sessão de controle remoto e o log como um usuário diferente, certifique-se de que você faça logoff antes de desconectar a sessão de controle remoto. |
Se você não fizer o logoff nesse cenário, a sessão permanece aberta. |
||
Não dê aos usuários direitos de administrador local. |
Quando você concede aos usuários direitos de administrador local, eles poderá assumir a sua sessão de controle remoto ou comprometer suas credenciais. |
||
Use a política de grupo ou Gerenciador de Configurações para definir configurações de assistência remota, mas não ambos. |
Você pode usar Gerenciador de Configurações e diretiva de grupo para fazer alterações de configuração para as configurações de assistência remota.Quando a diretiva de grupo é atualizada no cliente, por padrão, ela otimiza o processo alterando apenas as diretivas que foram alteradas no servidor.Gerenciador de Configurações Altera as configurações na diretiva de segurança local pode não ser substituída, a menos que a atualização de diretiva de grupo é forçada. Configuração de diretiva nos dois locais pode levar a resultados inconsistentes.Escolha um dos seguintes métodos para definir as configurações de assistência remota. |
||
Habilitar a configuração do cliente solicitar ao usuário permissão de controle remoto. |
Embora haja maneiras de contornar essa configuração que do cliente solicita ao usuário para confirmar uma sessão de controle remoto, habilitar essa configuração reduzir a probabilidade de usuários que está sendo spied após enquanto estiver trabalhando em tarefas confidenciais. Além disso, instrua os usuários para verificar o nome da conta que é exibido durante a sessão de controle remoto e desconectar a sessão se suspeitam de a conta não é autorizada. |
||
Limite a lista de visualizadores permitidos. |
Direitos de administrador local não são necessários para um usuário poder usar o controle remoto. |
Problemas de segurança para controle remoto
Gerenciando computadores cliente usando o controle remoto tem os seguintes problemas de segurança:
Não considere as mensagens de auditoria de controle remoto para ser confiável.
Se você inicia uma sessão de controle remoto e, em seguida, faça logon usando credenciais alternativas, a conta original envia as mensagens de auditoria, e não a conta usada as credenciais alternativas.
As mensagens de auditoria não são enviadas se você copia os arquivos binários para o controle remoto em vez de instala o Gerenciador de Configurações console e, em seguida, execute o controle remoto no prompt de comando.
Informações de privacidade para controle remoto
Controle remoto lhe permite exibir sessões ativas em Gerenciador de Configurações computadores cliente e exibir as informações armazenadas nesses computadores.Por padrão, o controle remoto não está habilitado.
Embora você possa configurar o controle remoto para fornecer aviso e obter o consentimento do usuário antes de inicia uma sessão de controle remoto, ele também pode monitorar os usuários sem sua permissão ou conhecimento.Você pode configurar o nível de acesso somente para exibição para que nada pode ser alterado no controle remoto ou controle total.A conta de administrador a conexão é exibida na sessão de controle remoto, para ajudar os usuários a identificar quem está se conectando ao seu computador.
Por padrão, Gerenciador de Configurações concede permissões de controle remoto do grupo de administradores locais.
Antes de configurar o controle remoto, considere os requisitos de privacidade.