Configuration Manager中遠端控制的安全性和隱私權

適用於：Configuration Manager (目前的分支)

本主題包含Configuration Manager中遠端控制的安全性和隱私權資訊。

遠端控制的安全性最佳做法

當您使用遠端控制管理用戶端電腦時，請使用下列安全性最佳做法。

安全性最佳做法	其他相關資訊
當您連線到遠端電腦時，如果使用 NTLM 而非 Kerberos 驗證，請勿繼續。	當Configuration Manager偵測到遠端控制會話已使用 NTLM 而非 Kerberos 進行驗證時，您會看到提示，警告您無法驗證遠端電腦的身分識別。 請勿繼續進行遠端控制會話。 NTLM 驗證是比 Kerberos 更弱的驗證通訊協定，容易受到重新執行和模擬的影響。
請勿在遠端控制檢視器中啟用剪貼簿共用。	剪貼簿支援可執行檔和文字等物件，而且在遠端控制會話期間，主機電腦上的使用者可以使用這些物件在原始電腦上執行程式。
遠端系統管理電腦時，請勿輸入特殊許可權帳戶的密碼。	觀察鍵盤輸入的軟體可以擷取密碼。 或者，如果正在用戶端電腦上執行的程式不是遠端控制使用者所假設的程式，則程式可能會擷取密碼。 需要帳戶和密碼時，使用者應該輸入它們。
在遠端控制會話期間鎖定鍵盤和滑鼠。	如果Configuration Manager偵測到遠端控制連線已終止，Configuration Manager會自動鎖定鍵盤和滑鼠，讓使用者無法控制開啟的遠端控制會話。 不過，此偵測可能不會立即發生，而且如果遠端控制服務終止，就不會發生此偵測。 在 [ConfigMgr 遠端控制] 視窗中，選取 [鎖定遠端鍵盤和滑鼠] 動作。
請勿讓使用者在軟體中心設定遠端控制設定。	請勿啟用用戶端設定 使用者可以在軟體中心變更原則或通知設定 ，以協助防止使用者遭到入侵。 如果一位使用者變更它，它可以允許從遠端檢視相同電腦上的不同使用者。 此設定適用于電腦，不適用於登入的使用者。
啟用 網域 Windows 防火牆設定檔。	啟用用戶端設定 [在用戶端啟用遠端控制防火牆例外狀況設定檔] ，然後選取內部網路電腦的 [ 網域 Windows 防火牆]。
如果您在遠端控制會話期間登出，並以不同的使用者身分登入，請務必先登出再中斷遠端控制會話的連線。	如果您未在此案例中登出，會話會保持開啟狀態。
請勿授與使用者本機系統管理員許可權。	當您為使用者提供本機系統管理員許可權時，他們或許能夠接管您的遠端控制會話，或入侵您的認證。
使用群組原則或Configuration Manager來設定遠端協助設定，但不能同時使用兩者。	您可以使用Configuration Manager和群組原則對遠端協助設定進行組態變更。 在用戶端上重新整理群組原則時，預設只會變更伺服器上已變更的原則，以優化程式。 Configuration Manager變更本機安全性原則中的設定，除非強制進行群組原則更新，否則可能不會覆寫這些設定。 在這兩個地方設定原則可能會導致不一致的結果。 選擇其中一個方法來設定遠端協助設定。
啟用用戶端設定 提示使用者提供遠端控制許可權。	雖然此用戶端設定有一些方法會提示使用者確認遠端控制會話，但啟用此設定可降低使用者在處理機密工作時遭到撤銷的機會。 此外，請教育使用者確認遠端控制會話期間顯示的帳戶名稱，並在懷疑帳戶未經授權時中斷會話連線。
限制 [允許的檢視者] 清單。	使用者不需要本機系統管理員許可權，就能使用遠端控制。

遠端控制的安全性問題

使用遠端控制管理用戶端電腦有下列安全性問題：

• 請勿將遠端控制稽核訊息視為可靠。

  如果您啟動遠端控制會話，然後使用替代認證登入，原始帳戶會傳送稽核訊息，而不是使用替代認證的帳戶。

  如果您複製遠端控制的二進位檔案，而不是安裝Configuration Manager主控台，然後在命令提示字元執行遠端控制，則不會傳送稽核訊息。

遠端控制的隱私權資訊

遠端控制可讓您檢視Configuration Manager用戶端電腦上的作用中會話，並可能檢視這些電腦上儲存的任何資訊。 預設不會啟用遠端控制。

雖然您可以將遠端控制設定為在遠端控制會話開始之前提供醒目通知並取得使用者的同意，但是它也可以在沒有使用者許可權或認知的情況下監視使用者。 您可以設定 [僅檢視] 存取層級，以便在遠端控制或完全控制上不變更任何專案。 連線系統管理員的帳戶會顯示在遠端控制會話中，以協助使用者識別連線到其電腦的人員。

根據預設，Configuration Manager授與本機 Administrators 群組遠端控制許可權。

設定遠端控制之前，請考慮您的隱私權需求。