原文标题: The Windows Remote Assistance feature: Friend or foe?
原文作者: Brien Posey
译文出自:云子可信官方论坛
本文永久链接:https://bbs.cloudtrust.com.cn/thread-460-1-1.html
译者:云子可信汉化组
Windows中的远程协助功能使桌面支持更加容易,但这可能会造成麻烦,并削弱企业安全性。本文将提供一些组策略的设置方案,教您如何限制访问。
一些组织已经将Windows远程桌面作为技术支持的一种有价值的工具,但是因为其特性还存在一些安方面的问题。考虑到对Windows远程桌面的不同看法,是否能确定这个技术是敌是友?
我很想把Windows远程桌面归为讨厌的东西,原因很简单,就像我认识的所有其他IT专业人士一样,我的朋友和家人都把我当作他们的个人技术支持热线。我可以为这些人提供远程帮助这件事只会增加我接到的支持电话的数量。然而,撇开个人偏见不谈,从企业支持的角度来看,我不认为这个特性本身有什么不好。
那么,那些告诉我Windows远程桌面在他们的组织中造成的问题的人呢?我听说过企业用户绕过帮助台,从甚至可能不在同一家公司工作的朋友那里寻求远程桌面帮助的故事。这些故事很少有皆大欢喜的结局。敏感数据可以通过远程协助会话公开,而自称计算机专家的好心朋友可能会让简单的问题变得更糟。
但仔细看看这些轶事就会发现,Windows远程桌面本身并不是问题:问题在于Windows没有得到适当的保护,允许用户从帮助台以外的来源寻求帮助。因此,“助手”可能会对公司桌面造成严重破坏。
为了避免这些问题,请遵循微软推荐的远程桌面安全最佳方案。当然要以防止滥用Windows远程桌面系统的方式配置它。
使用组策略限制访问
尽管Microsoft没有提供许多配置Windows远程桌面的选项,但是您可以使用一些组策略设置,以在组织中使用它。这些组策略设置都可以在计算机上的组策略编辑器中找到----配置|管理模板|系统|远程辅助。
第一种策略设置是只允许Vista或更高版本的连接。本质上,早期此设置旨在通过阻止Windows XP用户使用Windows远程桌面来提高安全性。微软之所以提供这种功能,是因为Windows XP版本的这项功能使用了相对较弱的加密。但是请注意,此设置不影响由即时消息传递联系人发起的远程桌面连接。基于主动提供的帮助也不受影响,下文将进一步详细讨论。
第二种策略设置是打开会话日志记录。顾名思义,它允许计算机保存远程桌面相关活动的日志。在远程桌面会话期间执行的实际任务不会被记录,但是Windows会跟踪已建立的任何远程桌面会话。
第三种策略设置与安全性无关:优化减少带宽的设置,旨在通过在远程桌面会话期间禁用Windows背景或减少颜色深度等操作来节省网络带宽。
您可以设置自定义警告提示,在用户请求帮助之前或在用户接受与其计算机的连接之前显示警告,在警告中清楚地指出关于如何使用远程桌面的公司策略以及违反该策略需要承担的后果。
第四种策略设置是被请求的远程桌面的设置,它指的是用户通过远程桌面会话请求帮助的情况。您可以阻止用户请求帮助,允许用户通过远程桌面接收帮助,或者允许远程会话,其中帮助程序只能查看(但不能与之交互)远程桌面。
第五种策略设置是提供远程桌面的设置。此设置控制用户没有特别请求的远程桌面会话。您不仅可以启用或禁用不请自来的远程桌面帮助还可以编制一个允许提供非请求帮助的用户列表。
因为你可用的Windows远程桌面帮助的选项是有限的。如果你的目标是防止用户从朋友或家人那里获得未经授权的“帮助”,除非你使用其他更安全的远程桌面管控软件,否则你最好的选择是防止请求远程桌面帮助。这样,用户就不允许发送远程桌面帮助的邀请。
云子可信终端管理可降低电脑维护成本,保证企业 IT 安全。支持企业内网远程和异地外网远程;支持网页端远程和主控客户端远程 2 种远程方式;可选择远程控制模式,进行静默远程,无需被控端确认;远程会话帧率高达 60 fps,提供优质的远程桌面体验。
云子可信远程桌面软件
,
