Beveiliging en privacy voor profielen voor externe verbinding in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
Dit onderwerp wordt behandeld in de handleiding Activa en naleving in System Center 2012 Configuration Manager en in de handleiding Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).
Notitie
De informatie in dit onderwerp is alleen van toepassing op versies van System Center 2012 R2 Configuration Manager.
Dit onderwerp bevat informatie over beveiliging en privacy voor externe verbindingsprofielen in System Center 2012 Configuration Manager.
Aanbevolen procedures voor beveiliging voor profielen voor externe verbindingen
Gebruik de volgende best practices voor beveiliging wanneer u externe verbindingsprofielen beheert voor clients.
Aanbevolen beveiligingsprocedure |
Meer informatie |
|---|---|
Geef handmatig de gebruikersaffiniteit met apparaat op in plaats van gebruikers toe te staan hun primaire apparaat te identificeren. Zorg daarnaast dat op gebruik gebaseerde configuratie niet is ingeschakeld. |
Specificeer altijd handmatig de gebruikersaffiniteit apparaat, omdat u Sta alle primaire gebruikers van de werkcomputer toe om extern te verbinden moet inschakelen vóór u een extern verbindingsprofiel kunt implementeren. Beschouw de informatie die verzameld wordt van gebruikers of van het apparaat niet als gezaghebbend. Indien u externe verbindingsprofielen implementeert en een vertrouwde gebruiker met beheerrechten geen gebruikersaffiniteit apparaat opgeeft, kunnen niet-bevoegde gebruikers hogere bevoegdheden krijgen en dan in staat zijn om met computers te verbinden. Notitie Indien u gebruikers-gebaseerde configuratie gebruikt, wordt deze informatie verzameld via statusmeldingen waarvoor Configuration Manager geen beveiliging voorziet. Gebruik, om te helpen deze bedreiging af te zwakken, Server Message Block (SMB) ondertekening of Internet protocolbeveiliging (IPsec) tussen clientcomputers en het beheerpunt. |
Beperk lokale beheerrechten op de siteservercomputer. |
Een gebruiker die lokale beheerrechten heeft op de siteserver kan handmatig leden toevoegen aan de Remote PC Connect beveiligingsgroep die Configuration Manager automatisch maakt en onderhoudt. Dit kan een verhoging van bevoegdheden veroorzaken omdat leden die toegevoegd worden tot deze groep Extern bureaubladmachtigingen krijgen. |
Privacy-informatie voor profielen voor externe verbindingen
Indien een gebruiker een verbinding initieert naar een computer van het bedrijfsportaal, wordt een bestand met een .rdp- of .wsrdp-extensie gedownload, die de apparaatsnaam en de naam van de gatewayserver van het extern bureaublad bevat, die vereist is om de sessie met het extern bureaublad te initiëren. De bestandsextensie hangt af van het besturingssysteem van het apparaat. De Windows® 7- en Windows 8-besturingssystemen gebruiken bijvoorbeeld een .rdp-bestand en Windows 8.1 gebruikt een .wsrdp-bestand.
De gebruiker kan kiezen om het .rdp-bestand te openen of op te slaan. Indien de gebruiker kiest om het .rdp-bestand te openen, kan het bestand worden opgeslagen in de cache voor de webbrowser, afhankelijk van de retentie-instellingen die geconfigureerd zijn voor de browser. Indien de gebruiker kiest om het bestand te bewaren, wordt het bestand niet opgeslagen in de browser-cache. Het bestand wordt opgeslagen, tenzij de gebruiker het handmatig verwijdert.
Het bestand .wsrdp wordt gedownload en automatisch lokaal opgeslagen. Dit bestand wordt overschreven de volgende keer dat de gebruiker een sessie met een extern bureaublad uitvoert.
Hou rekening met uw privacy-vereisten, voordat u profielen voor externe verbindingen configureert.