Segurança e privacidade para o controlo remoto no System Center Configuration ManagerSecurity and privacy for remote control in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Este tópico contém informações de privacidade para controlo remoto no System Center 2012 Configuration Manager e de segurança.This topic contains security and privacy information for remote control in System Center 2012 Configuration Manager.

Melhores práticas de segurança para controlo remoto Security best practices for remote control

Utilize as melhores práticas de segurança seguintes quando gerir computadores cliente utilizando o controlo remoto.Use the following security best practices when you manage client computers by using remote control.

Procedimento recomendado de segurançaSecurity best practice Mais informaçõesMore information
Quando ligar a um computador remoto, não continue se for utilizada a autenticação NTLM em vez de Kerberos.When you connect to a remote computer, do not continue if NTLM instead of Kerberos authentication is used. Quando Configuration Manager detetar que a sessão de controlo remoto efetuar a autenticação utilizando NTLM em vez de Kerberos, verá uma linha de comandos que alerta-o de que não é possível verificar a identidade do computador remoto.When Configuration Manager detects that the remote control session is authenticated by using NTLM instead of Kerberos, you see a prompt that warns you that the identity of the remote computer cannot be verified. Não continue a sessão de controlo remoto.Do not continue with the remote control session. A autenticação NTLM é um protocolo de autenticação mais fraco que Kerberos e é vulnerável a repetição e representação.NTLM authentication is a weaker authentication protocol than Kerberos and is vulnerable to replay and impersonation.
Não ative a partilha da Área de Transferência no visualizador de controlo remoto.Do not enable Clipboard sharing in the remote control viewer. A Área de Transferência suporta objetos, como ficheiros executáveis e texto, e pode ser utilizada pelo utilizador no computador anfitrião durante a sessão de controlo remoto para executar um programa no computador de origem.The Clipboard supports objects such as executable files and text and could be used by the user on the host computer during the remote control session to run a program on the originating computer.
Não introduza palavras-passe para contas com privilégios quando administrar remotamente um computador.Do not enter passwords for privileged accounts when remotely administering a computer. É possível que software que observe a introdução por teclado capture a palavra-passe.Software that observes keyboard input could capture the password. Em alternativa, se o programa que está a ser executado no computador cliente não for o programa que o utilizador do controlo remoto assume, o programa pode estar a capturar a palavra-passe.Or, if the program that is being run on the client computer is not the program that the remote control user assumes, the program might be capturing the password. Quando forem necessárias contas e palavras-passe, o utilizador final deve introduzi-las.When accounts and passwords are required, the end user should enter them.
Bloqueie o teclado e o rato durante uma sessão de controlo remoto.Lock the keyboard and mouse during a remote control session. Se o Configuration Manager detetar que a ligação de controlo remoto foi terminada, o Configuration Manager bloqueia automaticamente o teclado e rato para que um utilizador não pode assumir o controlo da sessão de controlo remoto abrir.If Configuration Manager detects that the remote control connection is terminated, Configuration Manager automatically locks the keyboard and mouse so that a user cannot take control of the open remote control session. No entanto, esta deteção pode não ocorrer imediatamente e não ocorre se o serviço de controlo remoto for terminado.However, this detection might not occur immediately and does not occur if the remote control service is terminated.

Selecione a ação Bloquear Teclado e Rato Remotos na janela Controlo Remoto do ConfigMgr .Select the action Lock Remote Keyboard and Mouse in the ConfigMgr Remote Control window.
Não permita aos utilizadores configurar as definições de controlo remoto no Centro de Software.Do not let users configure remote control settings in Software Center. Não ative a definição de cliente Os utilizadores podem alterar as definições de notificação ou da política no Centro de Software para ajudar a impedir que os utilizadores sejam espiados.Do not enable the client setting Users can change policy or notification settings in Software Center to help prevent users from being spied on.

Esta definição destina-se o computador, não para o utilizador com sessão iniciada.This setting is for the computer, not for the logged-on user.
Ative o perfil da Firewall do Windows Domínio .Enable the Domain Windows Firewall profile. Ative a definição de cliente Ativar controlo remoto nos perfis de exceção de Firewall de clientes e, em seguida, selecione a Firewall do Windows Domínio para computadores de intranet.Enable the client setting Enable remote control on clients Firewall exception profiles and then select the Domain Windows Firewall for intranet computers.
Se terminar a sessão durante uma sessão de controlo remoto e iniciar sessão como um utilizador diferente, certifique-se de que termina a sessão antes de desligar a sessão de controlo remoto.If you log off during a remote control session and log on as a different user, ensure that you log off before you disconnect the remote control session. Se não terminar a sessão neste cenário, a sessão permanece aberta.If you do not log off in this scenario, the session remains open.
Não conceda direitos de administrador local aos utilizadores.Do not give users local administrator rights. Quando conceder direitos de administrador local aos utilizadores, estes poderão assumir o controlo da sua sessão de controlo remoto ou comprometer as suas credenciais.When you give users local administrator rights, they might be able to take over your remote control session or compromise your credentials.
Utilize a política de grupo ou do Configuration Manager para configurar definições da assistência remota, mas não ambos.Use either Group Policy or Configuration Manager to configure Remote Assistance settings, but not both. Pode utilizar o Configuration Manager e a política de grupo para efetuar alterações de configuração para as definições da assistência remota.You can use Configuration Manager and Group Policy to make configuration changes to the Remote Assistance settings. Quando a Política de Grupo é atualizada no cliente, por predefinição, otimiza o processo ao alterar apenas as políticas que foram alteradas no servidor.When Group Policy is refreshed on the client, by default, it optimizes the process by changing only the policies that have changed on the server. O Configuration Manager alterará as definições na política de segurança local, não podendo ser substituídas, a menos que a atualização de política de grupo é forçada.Configuration Manager changes the settings in the local security policy, which might not be overwritten unless the Group Policy update is forced.

A definição da política em ambos os locais pode originar resultados inconsistentes.Setting policy in both places might lead to inconsistent results. Escolha um dos seguintes métodos para configurar as definições de Assistência Remota.Choose one of these methods to configure your Remote Assistance settings.
Ative a definição de cliente Solicitar ao utilizador permissão do Controlo Remoto.Enable the client setting Prompt user for Remote Control permission. Embora existam formas desta definição de cliente solicitar a um utilizador para confirmar uma sessão de controlo remoto, ative esta definição para reduzir a probabilidade de os utilizadores serem espiados enquanto estão a trabalhar em tarefas confidenciais.Although there are ways around this client setting that prompts a user to confirm a remote control session, enable this setting to reduce the chance of users being spied upon while working on confidential tasks.

Além disso, informe os utilizadores para verificarem o nome da conta apresentado durante a sessão de controlo remoto e desligarem a sessão se suspeitarem que a conta não está autorizada.In addition, educate users to verify the account name that is displayed during the remote control session and disconnect the session if they suspect that the account is unauthorized.
Limite a lista de Visualizadores Permitidos.Limit the Permitted Viewers list. Não são necessários direitos de administrador local para um utilizador poder utilizar o controlo remoto.Local administrator rights are not required for a user to be able to use remote control.

Problemas de segurança do controlo remotoSecurity issues for remote control

A gestão de computadores cliente utilizando o controlo remoto tem os seguintes problemas de segurança:Managing client computers by using remote control has the following security issues:

  • Não considere as mensagens de auditoria do controlo remoto fiáveis.Do not consider remote control audit messages to be reliable.

    Se iniciar uma sessão de controlo remoto e, em seguida, iniciar sessão utilizando credenciais alternativas, a conta original envia as mensagens de auditoria e não a conta que utilizou as credenciais alternativas.If you start a remote control session and then log on by using alternative credentials, the original account sends the audit messages, not the account that used the alternative credentials.

    As mensagens de auditoria não são enviadas se copiar os ficheiros binários para controlo remoto em vez de instalar a consola do Configuration Manager e, em seguida, execute o controlo remoto a linha de comandos.Audit messages are not sent if you copy the binary files for remote control rather than install the Configuration Manager console, and then run remote control at the command prompt.

Informações de privacidade do controlo remoto Privacy information for remote control

Controlo remoto permite-lhe ver sessões ativas nos computadores de cliente do Configuration Manager e potencialmente ver todas as informações armazenadas nesses computadores.Remote control lets you view active sessions on Configuration Manager client computers and potentially view any information stored on those computers. Por predefinição, o controlo remoto não está ativado.By default, remote control is not enabled.

Embora possa configurar o controlo remoto para fornecer avisos evidentes e obter consentimento de um utilizador antes do início da sessão de controlo remoto, também pode monitorizar os utilizadores sem a sua permissão ou conhecimento.Although you can configure remote control to provide prominent notice and get consent from a user before a remote control session begins, it can also monitor users without their permission or awareness. Pode configurar o nível de acesso Ver Apenas para que nada possa ser alterado no controlo remoto, ou Controlo Total.You can configure View Only access level so that nothing can be changed on the remote control, or Full Control. A conta do administrador de ligação é apresentada na sessão de controlo remoto, para ajudar os utilizadores a identificar quem está a ligar ao respetivo computador.The account of the connecting administrator is displayed in the remote control session, to help users identify who is connecting to their computer.

Por predefinição, o Configuration Manager concede local de administradores permissões de controlo remoto do grupo.By default, Configuration Manager grants the local Administrators group Remote Control permissions.

Antes de configurar o controlo remoto, considere os requisitos de privacidade.Before you configure remote control, consider your privacy requirements.