Sécurité et confidentialité pour le contrôle à distance dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notes
Cette rubrique s'affiche dans le guide Biens et compatibilité dans System Center 2012 Configuration Manager et dans le guide Sécurité et confidentialité pour System Center 2012 Configuration Manager.
Cette rubrique contient des informations de sécurité et de confidentialité pour le contrôle à distance dans System Center 2012 Configuration Manager.
Meilleures pratiques de sécurité pour le contrôle à distance
Utilisez les meilleures pratiques de sécurité suivantes lorsque vous gérez des ordinateurs client à l'aide du contrôle à distance.
Meilleure pratique de sécurité |
Plus d'informations |
---|---|
Lorsque vous vous connectez à un ordinateur distant, ne continuez pas si NTLM au lieu de l'authentification Kerberos est utilisé. |
Lorsque Configuration Manager détecte que la session de contrôle à distance est authentifiée en utilisant NTLM au lieu de Kerberos, une invite apparaît pour vous avertir que l'identité de l'ordinateur distant ne peut pas être vérifiée.Ne poursuivez pas la session de contrôle à distance.L'authentification NTLM est un protocole d'authentification plus faible que Kerberos et elle est vulnérable à la relecture et à l'emprunt d'identité. |
N'activez pas le partage dans la visionneuse de contrôle à distance du Presse-papiers. |
Le Presse-papiers prend en charge des objets tels que les fichiers exécutables et de texte et pourrait être utilisé par l'utilisateur sur l'ordinateur hôte pendant la session de contrôle à distance pour exécuter un programme sur l'ordinateur d'origine. |
N'entrez pas les mots de passe des comptes privilégiés lors de l'administration à distance d'un ordinateur. |
Des logiciels qui observent les saisies clavier peuvent intercepter le mot de passe.Ou, si le programme est en cours d'exécution sur l'ordinateur client n'est pas le programme suppose que l'utilisateur du contrôle à distance, le programme peut capturer le mot de passe.Lorsque des comptes et des mots de passe sont demandés, ils doivent être saisis par l'utilisateur final. |
Verrouiller le clavier et souris pendant une session de contrôle à distance. |
Si Configuration Manager détecte que la connexion de contrôle à distance est terminée, Configuration Manager verrouille automatiquement le clavier et la souris afin qu'aucun utilisateur ne puisse prendre le contrôle de la session de contrôle à distance ouverte.Toutefois, cette détection ne peut pas se produire immédiatement et ne se produit pas si le service de contrôle à distance est terminé. Sélectionnez l'action Verrouiller le clavier distant et la souris dans la fenêtre Contrôle à distance ConfigMgr. |
Ne laissez pas les utilisateurs configurer les paramètres de contrôle à distance dans le centre logiciel. |
N'activez pas le paramètre client Les utilisateurs peuvent modifier les paramètres de stratégie ou de notification dans le Centre logiciel pour empêcher l'espionnage des utilisateurs. Notes Ce paramètre est pour l'ordinateur et non par l'utilisateur connecté. |
Activer la domaine profil du pare-feu Windows. |
Activez le paramètre client Activer le contrôle à distance sur les profils d'exception de pare-feu clients, puis sélectionnez le pare-feu Windows Domaine pour les ordinateurs de l'intranet. |
Si vous vous déconnectez pendant une session de contrôle à distance et le journal comme un utilisateur différent, assurez-vous que vous fermez la session avant de déconnecter la session de contrôle à distance. |
Si vous ne fermez pas la session selon ce scénario, la session reste ouverte. |
Ne donnez pas aux utilisateurs des droits d'administrateur local. |
Lorsque vous accordez aux utilisateurs des droits d'administrateur local, ils peuvent reprendre votre session de contrôle à distance ou compromettre vos informations d'identification. |
Utiliser une stratégie de groupe ou Configuration Manager pour configurer les paramètres de l'Assistance à distance, mais pas les deux. |
Vous pouvez utiliser Configuration Manager et la stratégie de groupe pour modifier la configuration des paramètres d'assistance à distance.Lors de la stratégie de groupe est actualisée sur le client, par défaut, il optimise le processus en modifiant uniquement les stratégies qui ont été modifiés sur le serveur.Configuration Manager Modifie les paramètres de la stratégie de sécurité locale, qui ne peuvent pas être remplacés, sauf si la mise à jour de stratégie de groupe est forcé. Définir la stratégie aux deux emplacements peut provoquer des incohérences.Choisissez l'une des méthodes ci-dessous pour configurer vos paramètres d'assistance à distance. |
Activez le paramètre client invite l'utilisateur à l'autorisation de contrôle à distance. |
Bien qu'il soit possible de contourner ce paramètre client qui invite un utilisateur à confirmer une session de contrôle à distance, activez ce paramètre afin de réduire le risque d'espionnage des utilisateurs lorsqu'ils travaillent sur des tâches confidentielles. En outre, apprenez aux utilisateurs à vérifier le nom du compte qui est affiché pendant la session de contrôle à distance et à fermer la session s'ils pensent que le compte n'est pas autorisé. |
Limiter la liste observateurs autorisés. |
Des droits d'administrateur local ne sont pas nécessaires à l'utilisation du contrôle à distance par un utilisateur. |
Problèmes de sécurité pour le contrôle à distance
La gestion d'ordinateurs client à l'aide du contrôle à distance présente les problèmes de sécurité suivants :
Ne considérez pas les messages d'audit de contrôle à distance de fiabilité.
Si vous démarrez une session de contrôle à distance, puis connectez-vous à l'aide d'autres informations d'identification du compte d'origine envoie les messages d'audit, et non le compte qui a utilisé les informations d'identification alternatives.
Messages d'audit ne sont pas envoyés si vous copiez les fichiers binaires pour le contrôle à distance au lieu d'installez le Configuration Manager de la console, puis exécutez le contrôle à distance à l'invite de commandes.
Informations de confidentialité pour le contrôle à distance
Contrôle à distance vous permet d'afficher les sessions actives sur Configuration Manager les ordinateurs clients et de consulter des informations stockées sur ces ordinateurs.Par défaut, contrôle à distance n'est pas activée.
Bien que vous puissiez le configurer pour envoyer des avis importants et obtenir le consentement d'un utilisateur avant le début d'une session de contrôle à distance, il peut également surveiller les utilisateurs sans qu'ils le veuillent ou le sachent.Vous pouvez configurer le niveau d'accès Afficher uniquement, de sorte que rien ne puisse être modifié sur le contrôle à distance ou le contrôle intégral.Le compte de l'administrateur de connexion s'affiche dans la session de contrôle à distance pour aider les utilisateurs à savoir qui se connecte à leur ordinateur.
Par défaut, Configuration Manager accorde au groupe Administrateurs local des autorisations de contrôle à distance.
Avant de configurer le contrôle à distance, analysez vos besoins en matière de confidentialité.