El servicio de gestión remota debe estar instalado en un dispositivo para que el operador remoto pueda gestionar ese dispositivo de forma remota. El servicio se inicia automáticamente cuando se arranca el dispositivo gestionado. Cuando un operador remoto inicia una sesión remota en el dispositivo gestionado, el servicio sólo inicia la sesión remota si el operador remoto está autorizado a realizar operaciones remotas en el dispositivo gestionado.
Para evitar el acceso sin autorización al dispositivo gestionado, el servicio de gestión remota del dispositivo gestionado utiliza los siguientes métodos de autenticación:
En la autenticación basada en derechos, los derechos se asignan al operador remoto para que lance una sesión remota en el dispositivo gestionado. Por defecto, el administrador de ZENworks y el superadministrador tienen derechos para realizar operaciones remotas en todos los dispositivos gestionados, independientemente de si el usuario local o el usuario de ZENworks han entrado o no al dispositivo.
El operador remoto no necesitará ningún derecho exclusivo para realizar una sesión remota en el dispositivo gestionado si ningún usuario ha entrado en el dispositivo gestionado o si alguno ha entrado en el dispositivo gestionado pero no en ZENworks. Sin embargo, el operador remoto necesitará derechos de gestión remota exclusivos para realizar la operación remota en el dispositivo gestionado si algún usuario de ZENworks ha entrado en el dispositivo. Se recomienda encarecidamente utilizar la autenticación basada en derechos, ya que es segura.
El uso de la autenticación basada en derechos requiere que el agente de ZENworks esté instalado en el dispositivo. No basta con instalar únicamente el servicio de gestión remota en el dispositivo.
Este modo de autenticación no se admite si se lanza la operación de gestión remota en el modo independiente o desde la línea de comandos.
En la autenticación basada en contraseñas, se pide al operador remoto que introduzca una contraseña para lanzar la sesión remota en el dispositivo gestionado.
Los dos tipos de esquemas de autenticación mediante contraseñas que se usan son:
Contraseña de ZENworks: este esquema está basado en el protocolo de contraseña remota segura (SRP, versión 6a). La longitud máxima de las contraseñas de ZENworks es de 255 caracteres.
Contraseña de VNC: se trata del esquema de autenticación de contraseña de VNC tradicional. La longitud máxima de las contraseñas de VNC es de 8 caracteres. El esquema de contraseña es intrínsecamente débil y sólo se proporciona para que funcione con los componentes de código abierto.
Si se utiliza la autenticación basada en contraseña, se recomienda encarecidamente utilizar el esquema de contraseña de ZENworks, ya que es más seguro y ofrece más protección que el esquema de contraseña de VNC.
Los esquemas de contraseñas funcionan en los modos siguientes:
Modo de sesión: las contraseñas definidas en este modo sólo son válidas para la sesión en curso. El usuario del dispositivo gestionado debe definir una contraseña al iniciar la sesión remota y comunicarla al operador remoto por un medio independiente, como el teléfono. Cuando se inicia una sesión remota con el dispositivo gestionado, el operador remoto debe introducir la contraseña correcta en el recuadro de diálogo de la contraseña de la sesión que se muestra. Si no lo hace en los dos minutos posteriores a que se muestre el recuadro de diálogo, la sesión se cerrará por motivos de seguridad. Si se utiliza la autenticación basada en contraseñas, se recomienda encarecidamente que se utilice este modo de autenticación, ya que la contraseña sólo es válida durante la sesión en curso y no se guarda en el dispositivo gestionado.
Modo persistente: en este modo, la contraseña la puede definir el administrador mediante la directiva de gestión remota o el usuario del dispositivo gestionado mediante el icono de ZENworks si la opción está seleccionada en los valores de seguridad de la directiva de gestión remota.
Si la contraseña se define tanto por el usuario del dispositivo gestionado como en la directiva, la definida por el usuario tendrá prioridad.
El administrador puede impedir que el usuario del dispositivo gestionado pueda definir la contraseña, o incluso restablecer la contraseña definida por el usuario para garantizar que la contraseña configurada en la directiva se aplique siempre durante la autenticación. Para obtener más información sobre el restablecimiento de la contraseña por parte del usuario del dispositivo gestionado, consulte la Sección 2.5.3, Eliminación de la contraseña de gestión remota mediante el Centro de control de ZENworks.