Segurança e privacidade para o controle remoto no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
![]() |
---|
Este tópico é exibido na nos guias Ativos e conformidade no System Center 2012 Configuration Manager e Segurança e privacidade no System Center 2012 Configuration Manager. |
Este tópico contém informações de segurança e privacidade para o controle remoto em System Center 2012 Configuration Manager.
Práticas recomendadas de segurança para controle remoto
Use as seguintes práticas recomendadas de segurança ao gerenciar computadores cliente usando o controle remoto.
Prática recomendada de segurança |
Mais informações |
||
---|---|---|---|
Quando você se conectar a um computador remoto, não continue se NTLM em vez da autenticação Kerberos é usado. |
Quando Gerenciador de Configurações detecta que a sessão de controle remoto é autenticada usando NTLM, em vez de Kerberos, você verá um prompt que avisa que a identidade do computador remoto não pode ser verificada.Não continue com a sessão de controle remoto.A autenticação NTLM é um protocolo de autenticação mais fraco que o Kerberos e vulnerável a reprodução e representação. |
||
Não habilite compartilhamento no Visualizador de controle remoto da área de transferência. |
A área de transferência oferece suporte a objetos, como arquivos executáveis e de texto e pode ser usada pelo usuário no computador host durante a sessão de controle remoto para executar um programa no computador de origem. |
||
Não digite senhas para contas com privilégios ao administrar remotamente um computador. |
Software que observa a entrada do teclado pode capturar a senha.Ou, se o programa que está sendo executado no computador cliente não é o programa que pressupõe que o usuário controle remoto, o programa pode estar capturando a senha.Quando contas e senhas são necessárias, o usuário final deve inseri-los. |
||
Bloquear o teclado e mouse durante uma sessão de controle remoto. |
Se Gerenciador de Configurações detecta que a conexão de controle remoto é encerrada, Gerenciador de Configurações bloqueia automaticamente o teclado e mouse para que um usuário não pode assumir o controle da sessão aberta controle remoto.No entanto, essa detecção não pode ocorrer imediatamente e não ocorrerá se o serviço de controle remoto é finalizado. Selecione a ação bloqueio remoto teclado e Mouse no controle remoto de ConfigMgr janela. |
||
Não permitem aos usuários definir configurações de controle remoto no Centro de Software. |
Não habilite a configuração do cliente os usuários podem alterar as configurações de política ou notificação no Centro de Software para ajudar a impedir que os usuários que estão sendo spied em.
|
||
Habilitar o domínio perfil do Firewall do Windows. |
Habilitar a configuração do cliente Habilitar o controle remoto em perfis de exceção de Firewall de clientes e, em seguida, selecione o domínio Firewall do Windows para os computadores da intranet. |
||
Se você fizer logoff durante uma sessão de controle remoto e o log como um usuário diferente, certifique-se de que você faça logoff antes de desconectar a sessão de controle remoto. |
Se você não fizer o logoff nesse cenário, a sessão permanece aberta. |
||
Não dê aos usuários direitos de administrador local. |
Quando você concede aos usuários direitos de administrador local, eles poderá assumir a sua sessão de controle remoto ou comprometer suas credenciais. |
||
Use a política de grupo ou Gerenciador de Configurações para definir configurações de assistência remota, mas não ambos. |
Você pode usar Gerenciador de Configurações e diretiva de grupo para fazer alterações de configuração para as configurações de assistência remota.Quando a diretiva de grupo é atualizada no cliente, por padrão, ela otimiza o processo alterando apenas as diretivas que foram alteradas no servidor.Gerenciador de Configurações Altera as configurações na diretiva de segurança local pode não ser substituída, a menos que a atualização de diretiva de grupo é forçada. Configuração de diretiva nos dois locais pode levar a resultados inconsistentes.Escolha um dos seguintes métodos para definir as configurações de assistência remota. |
||
Habilitar a configuração do cliente solicitar ao usuário permissão de controle remoto. |
Embora haja maneiras de contornar essa configuração que do cliente solicita ao usuário para confirmar uma sessão de controle remoto, habilitar essa configuração reduzir a probabilidade de usuários que está sendo spied após enquanto estiver trabalhando em tarefas confidenciais. Além disso, instrua os usuários para verificar o nome da conta que é exibido durante a sessão de controle remoto e desconectar a sessão se suspeitam de a conta não é autorizada. |
||
Limite a lista de visualizadores permitidos. |
Direitos de administrador local não são necessários para um usuário poder usar o controle remoto. |
Problemas de segurança para controle remoto
Gerenciando computadores cliente usando o controle remoto tem os seguintes problemas de segurança:
Não considere as mensagens de auditoria de controle remoto para ser confiável.
Se você inicia uma sessão de controle remoto e, em seguida, faça logon usando credenciais alternativas, a conta original envia as mensagens de auditoria, e não a conta usada as credenciais alternativas.
As mensagens de auditoria não são enviadas se você copia os arquivos binários para o controle remoto em vez de instala o Gerenciador de Configurações console e, em seguida, execute o controle remoto no prompt de comando.
Informações de privacidade para controle remoto
Controle remoto lhe permite exibir sessões ativas em Gerenciador de Configurações computadores cliente e exibir as informações armazenadas nesses computadores.Por padrão, o controle remoto não está habilitado.
Embora você possa configurar o controle remoto para fornecer aviso e obter o consentimento do usuário antes de inicia uma sessão de controle remoto, ele também pode monitorar os usuários sem sua permissão ou conhecimento.Você pode configurar o nível de acesso somente para exibição para que nada pode ser alterado no controle remoto ou controle total.A conta de administrador a conexão é exibida na sessão de controle remoto, para ajudar os usuários a identificar quem está se conectando ao seu computador.
Por padrão, Gerenciador de Configurações concede permissões de controle remoto do grupo de administradores locais.
Antes de configurar o controle remoto, considere os requisitos de privacidade.