Biztonság és adatvédelem a System Center Configuration Manager TávvezérlésSecurity and privacy for remote control in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ez a témakör a biztonsági és adatvédelmi tudnivalókat a System Center 2012 Configuration Manager Távvezérlés tartalmazza.This topic contains security and privacy information for remote control in System Center 2012 Configuration Manager.

A távvezérléshez kapcsolódó ajánlott biztonsági eljárásokSecurity best practices for remote control

Az ügyfélszámítógépek távvezérlés segítségével való kezelésekor alkalmazza a következő bevált biztonsági gyakorlatokat.Use the following security best practices when you manage client computers by using remote control.

Bevált biztonsági gyakorlatSecurity best practice További információMore information
Ne folytassa a távoli számítógéphez való csatlakozást, ha Kerberos-hitelesítés helyett NTLM használatos.When you connect to a remote computer, do not continue if NTLM instead of Kerberos authentication is used. Ha a Configuration Manager azt észleli, hogy a távvezérlési munkamenet hitelesítése Kerberos helyett NTLM használatával, akkor egy megjelenő figyelmezteti, hogy a távoli számítógép identitása nem ellenőrizhető.When Configuration Manager detects that the remote control session is authenticated by using NTLM instead of Kerberos, you see a prompt that warns you that the identity of the remote computer cannot be verified. Ne folytassa a távvezérlési munkamenetet.Do not continue with the remote control session. Az NTLM-hitelesítés gyengébb hitelesítési protokoll, mint a Kerberos, és sebezhető az ismétlési és megszemélyesítési támadásokkal szemben.NTLM authentication is a weaker authentication protocol than Kerberos and is vulnerable to replay and impersonation.
Ne engedélyezze a vágólap megosztását a távvezérlés megjelenítőjében.Do not enable Clipboard sharing in the remote control viewer. A vágólap támogatja az olyan objektumokat, mint például a végrehajtható és a szövegfájlok, és ezáltal a gazdagép felhasználója a távvezérlési munkamenet során a forrásszámítógépen futtathat programokat.The Clipboard supports objects such as executable files and text and could be used by the user on the host computer during the remote control session to run a program on the originating computer.
Ne adja meg kiemelt jogosultságokkal rendelkező fiókok jelszavát, amikor a számítógép távoli felügyelet alatt áll.Do not enter passwords for privileged accounts when remotely administering a computer. Előfordulhat ugyanis, hogy egy, a billentyűzetbemenetet figyelő szoftver rögzíti a jelszót.Software that observes keyboard input could capture the password. Amennyiben az ügyfélszámítógépen futó program nem az, amit a távvezérlés felhasználója feltételez, szintúgy előfordulhat, hogy a program rögzíti a jelszót.Or, if the program that is being run on the client computer is not the program that the remote control user assumes, the program might be capturing the password. Szükség esetén a végfelhasználónak kell megadnia a fiókokat és a jelszavakat.When accounts and passwords are required, the end user should enter them.
Zárolja a billentyűzetet és az egeret a távvezérlési munkamenet során.Lock the keyboard and mouse during a remote control session. Ha a Configuration Manager azt észleli, hogy a távvezérlési kapcsolat megszakadt, a Configuration Manager automatikusan zárolja a billentyűzet és egér annak, hogy egy felhasználó ne vehesse át a távvezérlési munkamenet irányítását.If Configuration Manager detects that the remote control connection is terminated, Configuration Manager automatically locks the keyboard and mouse so that a user cannot take control of the open remote control session. Előfordulhat azonban, hogy az észlelés nem történik meg azonnal, vagy – a távvezérlési szolgáltatás megszakadása esetén – akár egyáltalán nem.However, this detection might not occur immediately and does not occur if the remote control service is terminated.

Válassza a Távoli billentyűzet és egér használatának zárolása műveletet a ConfigMgr távvezérlés ablakban.Select the action Lock Remote Keyboard and Mouse in the ConfigMgr Remote Control window.
Ne engedje meg, hogy a felhasználók a Szoftverközpontban letilthassák a távvezérlés beállításait.Do not let users configure remote control settings in Software Center. A felhasználók utáni kémkedés megelőzése érdekében ne engedélyezze A felhasználók megváltoztathatják a házirend vagy az értesítés beállításait a szoftverközpontban ügyfélbeállítást.Do not enable the client setting Users can change policy or notification settings in Software Center to help prevent users from being spied on.

Ez a beállítás akkor a számítógép nem a bejelentkezett felhasználó számára.This setting is for the computer, not for the logged-on user.
Engedélyezze a Windows tűzfal Tartomány profilját.Enable the Domain Windows Firewall profile. Engedélyezze az Ügyfelek távvezérlésének engedélyezése tűzfalkivételt , majd válassza a Tartomány Windows tűzfalprofilt az intranetes számítógépekhez.Enable the client setting Enable remote control on clients Firewall exception profiles and then select the Domain Windows Firewall for intranet computers.
Ha egy távvezérlési munkamenet során kijelentkezik, majd egy másik felhasználóként jelentkezik be, a távvezérlési munkamenet leválasztása előtt győződjön meg arról, hogy valóban kijelentkezett.If you log off during a remote control session and log on as a different user, ensure that you log off before you disconnect the remote control session. Abban az esetben, ha nem jelentkezik ki, a munkamenet nyitva marad.If you do not log off in this scenario, the session remains open.
Ne adjon helyi rendszergazdai jogosultságot a felhasználóknak.Do not give users local administrator rights. Amikor a felhasználók számára helyi rendszergazdai jogosultságokat ad meg, előfordulhat, hogy azok át tudják venni a távvezérlési munkamenetet, vagy veszélyeztethetik hitelesítő adatainak biztonságát.When you give users local administrator rights, they might be able to take over your remote control session or compromise your credentials.
Csoportházirend vagy a Configuration Manager segítségével konfigurálhatja a távsegítségre vonatkozó beállítások, de soha sem egyszerre mindkettőre.Use either Group Policy or Configuration Manager to configure Remote Assistance settings, but not both. A Configuration Manager és a csoportházirend segítségével a távsegítségre vonatkozó beállítások konfigurációs módosításokat.You can use Configuration Manager and Group Policy to make configuration changes to the Remote Assistance settings. Ha a csoportházirend frissül az ügyfélszámítógépen, alapértelmezés szerint csak azon házirendek módosításával optimalizálja a folyamatot, amelyek megváltoztak a kiszolgálón.When Group Policy is refreshed on the client, by default, it optimizes the process by changing only the policies that have changed on the server. A Configuration Manager módosítja a helyi biztonsági házirendet, amely előfordulhat, hogy nem írható felül, kivéve, ha a csoportházirend-frissítés kényszeríti a beállításait.Configuration Manager changes the settings in the local security policy, which might not be overwritten unless the Group Policy update is forced.

A házirend mindkét helyen történő beállítása inkonzisztens eredményhez vezethet.Setting policy in both places might lead to inconsistent results. Válassza ezen módszerek egyikét a távsegítségre vonatkozó beállítások konfigurálásához.Choose one of these methods to configure your Remote Assistance settings.
Engedélyezze az Adatkérés a felhasználónak a távvezérlés engedélyezéséhezügyfélbeállítást.Enable the client setting Prompt user for Remote Control permission. Bár vannak lehetőségek az ügyfélbeállítás megkerülésére, amely a távvezérlési munkamenetek megerősítésére kéri a felhasználót, a beállítás engedélyezése csökkenti annak esélyét, hogy bizalmas jellegű feladatok végzése közben kémkedjenek a felhasználók után.Although there are ways around this client setting that prompts a user to confirm a remote control session, enable this setting to reduce the chance of users being spied upon while working on confidential tasks.

Ezenfelül figyelmeztesse a felhasználókat arra, hogy ellenőrizzék a távvezérlési munkamenet során megjelenített fióknevet, és válasszák le a munkamenetet, ha azt gyanítják, hogy a fiók nem engedélyezett.In addition, educate users to verify the account name that is displayed during the remote control session and disconnect the session if they suspect that the account is unauthorized.
Korlátozza a feljogosított megjelenítők listáját.Limit the Permitted Viewers list. A távvezérlés használatához a felhasználónak nincs szüksége helyi rendszergazdai jogosultságokra.Local administrator rights are not required for a user to be able to use remote control.

A távvezérlés biztonsági problémáiSecurity issues for remote control

Az ügyfélszámítógépek távvezérlés használatával való kezelése a következő biztonsági problémákat veti fel:Managing client computers by using remote control has the following security issues:

  • A távvezérlés naplózási üzenetei nem tekinthetők megbízhatónak.Do not consider remote control audit messages to be reliable.

    Ha elindít egy távvezérlési munkamenetet, majd alternatív hitelesítő adatok használatával bejelentkezik, a naplózási üzeneteket az eredeti fiók küldi, nem pedig az alternatív hitelesítő adatokat használó fiók.If you start a remote control session and then log on by using alternative credentials, the original account sends the audit messages, not the account that used the alternative credentials.

    Ha a távvezérlés a bináris fájlok másolása helyett, és a Configuration Manager konzol telepítése, majd futtassa a parancsot a parancssorba távvezérlés naplózási üzenetek nem kap.Audit messages are not sent if you copy the binary files for remote control rather than install the Configuration Manager console, and then run remote control at the command prompt.

A távvezérléssel kapcsolatos adatvédelmi információkPrivacy information for remote control

Távvezérlés lehetővé teszi a Configuration Manager ügyfélszámítógépeken aktív munkamenetek megtekintését és azokon a számítógépeken tárolt összes adatot megtekintheti.Remote control lets you view active sessions on Configuration Manager client computers and potentially view any information stored on those computers. A távvezérlés alapértelmezés szerint nincs engedélyezve.By default, remote control is not enabled.

Bár a távvezérlést konfigurálhatja egy jól látható, a felhasználó beleegyezését kérő figyelmeztetés megjelenítésére a távvezérlési munkamenet kezdete előtt, engedélyük és tudomásuk nélkül is figyelheti a felhasználókat.Although you can configure remote control to provide prominent notice and get consent from a user before a remote control session begins, it can also monitor users without their permission or awareness. Beállíthatja a Csak megtekintés hozzáférési szintet (ekkor semmi sem módosítható a távvezérlésben), illetve a Teljes hozzáférés szintet is.You can configure View Only access level so that nothing can be changed on the remote control, or Full Control. A távvezérlési munkamenetben megjelenik a csatlakozó rendszergazda fiókja, hogy a felhasználók azonosíthassák, hogy ki csatlakozik a számítógépükhöz.The account of the connecting administrator is displayed in the remote control session, to help users identify who is connecting to their computer.

Alapértelmezés szerint a Configuration Manager engedélyt ad a helyi Rendszergazdák csoport távvezérlés.By default, Configuration Manager grants the local Administrators group Remote Control permissions.

A távvezérlés konfigurálása előtt gondolja át az adatvédelmi követelményeit.Before you configure remote control, consider your privacy requirements.