Zabezpečení a ochrana osobních údajů pro vzdálené řízení v produktu Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Toto téma se zobrazuje v příručka Prostředky a kompatibilita v nástroji System Center 2012 Configuration Manager a v příručce Zabezpečení a ochrana soukromí pro aplikaci System Center 2012 Configuration Manager.
Toto téma obsahuje informace o zabezpečení a ochrana osobních údajů pro vzdálené řízení v System Center 2012 Configuration Manager.
Doporučené postupy zabezpečení pro vzdálené řízení
Použijte následující doporučené postupy zabezpečení při správě klientských počítačů pomocí vzdáleného řízení.
Doporučené zabezpečení |
Další informace |
|---|---|
Při připojování ke vzdálenému počítači není pokračovat, pokud je použit protokol NTLM namísto ověřování pomocí protokolu Kerberos. |
Když Configuration Manager zjistí, že relace vzdáleného řízení ověřen pomocí protokolu NTLM namísto protokolu Kerberos, zobrazí výzvu, která vás upozorní, že nelze ověřit identitu vzdáleného počítače.Pokračovat s relací vzdálené řízení.Ověřování NTLM je slabším ověřovacím protokolem než Kerberos a je citlivé na opětovné přehrání a zosobnění. |
Sdílení v prohlížeči dálkové ovládání schránky není povolen. |
Schránky podporuje objekty, jako jsou spustitelné soubory a text a by bylo možné použít uživatelem v hostitelském počítači během relace vzdálené řízení spuštění programu na zdrojovém počítači. |
Nezadávejte hesla k privilegovaným účtům, když vzdálenou správu počítače. |
Software, který zachovává vstup z klávesnice by mohly zachytit heslo.Nebo pokud program, který je spuštěn v klientském počítači není program, který předpokládá uživatele vzdálené řízení, program může zachycení hesla.Pokud účty a hesla je vyžadována, koncový uživatel by měl vkládejte. |
Zamkněte klávesnice a myši během relace vzdálené řízení. |
Pokud Configuration Manager zjistí, že připojení vzdáleného řízení bylo ukončeno, Configuration Manager automaticky uzamkne klávesnice a myši, aby uživatel nemůže provést kontrolu nad relace otevřené vzdáleného řízení.Toto zjišťování však nemusí dojít okamžitě a nedojde-li služba vzdáleného řízení ukončena. Vyberte akci, uzamčení vzdáleného klávesnice a myši v ConfigMgr dálkové ovládání okna. |
Není uživatelům konfigurovat nastavení vzdáleného řízení v centru softwaru. |
Nepovolujte nastavení klienta Uživatelé mohou změnit nastavení zásad nebo oznámení v centru softwaru pomoci zabránit probíhá spied na uživatele. Poznámka Toto nastavení je pro počítač a není uživatel přihlášen. |
Povolit domény profil brány Firewall systému Windows. |
Povolit nastavení klienta Povolit vzdálené řízení v profilech výjimku brány Firewall klientů a potom vyberte domény brány Windows Firewall pro intranetové počítače. |
Pokud se odhlásíte během relace vzdáleného řízení a protokol jako jiný uživatel, ujistěte se, dříve než se odpojíte relaci vzdáleného řízení odhlášení uživatele. |
Pokud není odhlásíte v této situaci, zůstane otevřené relace. |
Není uživatelům práva místního správce. |
Když uživatelé dáte práva místního správce, pravděpodobně moci převzít relace vzdálené řízení nebo ohrozit vaše pověření. |
Použít buď zásady skupiny nebo Configuration Manager ke konfiguraci nastavení vzdálené pomoci, ne však obojí. |
Můžete použít Configuration Manager a k provedení změn konfigurace vzdálené pomoci nastavení zásad skupiny.Při aktualizaci zásad skupiny v klientském počítači, ve výchozím nastavení optimalizuje proces změnou pouze zásady, které se změnily na serveru.Configuration Manager Změní nastavení v místní zásady zabezpečení, které nemusí přepsány, pokud nebude nucené aktualizace zásad skupiny. Nastavení zásad na obou místech může vést k nekonzistentní výsledky.Vyberte jednu z těchto metod můžete konfigurovat nastavení funkce Vzdálená pomoc. |
Povolit nastavení klienta Vyzvat uživatele pro oprávnění vzdálené řízení. |
Přestože způsoby kolem tohoto klienta nastavení, které vyzve uživatele k potvrzení relace vzdáleného řízení, povolení tohoto nastavení snížit pravděpodobnost, že uživatelé se spied při při práci na důvěrné úlohy. Kromě toho uživatele ověřte název účtu, který se zobrazí během relace vzdálené řízení poučit a v případě jejich předpokládat, že účet neoprávněným odpojit relace. |
Omezte seznam prohlížeče povoleny. |
Práva místního správce nejsou vyžadována pro uživatele, aby mohli používat dálkové ovládání. |
Potíže se zabezpečením vzdáleného řízení
Správa klientských počítačů pomocí vzdáleného řízení má následující otázky zabezpečení:
Nebere v úvahu mají být spolehlivé dálkové ovládání audit zprávy.
Je-li spustit relaci vzdálené řízení a přihlaste se pomocí alternativní pověření, původní účet odešle zprávy o auditu, není účet, který používá alternativní pověření.
Nejsou odesílány zprávy o auditu, pokud binární soubory pro vzdálené řízení zkopírujte namísto nainstalovat Configuration Manager konzoly, a potom spusťte vzdáleného řízení na příkazovém řádku.
Informace o ochraně osobních údajů pro vzdálené řízení
Vzdálené řízení umožňuje zobrazení aktivních relací na Configuration Manager klientských počítačů a potenciálně zobrazení jakékoli informace uložené v těchto počítačích.Vzdálené řízení není ve výchozím nastavení povoleno.
Přestože je možné nakonfigurovat dálkové ovládání pro účely poskytování viditelného oznámení a získat souhlas od uživatele před zahájením relace vzdáleného řízení, můžete také sledovat uživatele bez jejich oprávnění a sledování.Zobrazit pouze úroveň přístupu můžete nakonfigurovat tak, aby na vzdálené řízení nebo úplné řízení nelze změnit žádnou.Účet správce připojujícího se zobrazí v relace vzdáleného řízení pomáhají uživatelům určit, který se připojuje k počítači.
Ve výchozím Configuration Manager uděluje oprávnění vzdáleného řízení skupiny místní správci.
Před zahájením konfigurace vzdáleného řízení, zvažte požadavky vaší o ochraně osobních údajů.