远程操作员要远程管理的设备上必须安装“远程管理”服务。该服务会在受管设备引导时自动启动。如果远程操作员启动了受管设备上的远程会话,则只有操作员已获得在受管设备上执行远程操作的授权,该服务才会启动远程会话。
受管设备上的“远程管理”服务会使用以下鉴定模式,以防未经授权的用户访问受管设备:
在基于权限的鉴定中,系统会为远程操作员指派权限,以在受管设备上起动远程会话。默认情况下,无论本地用户或 ZENworks 用户是否已登录设备,ZENworks 管理员和超级管理员均有权在所有受管设备上执行远程操作。
如果尚无用户登录受管设备,或登录受管设备的用户未登录 ZENworks,则远程操作员无需任何排它权限即可在受管设备上执行远程会话。但如果有 ZENworks 用户登录受管设备,则远程操作员需要排它的“远程管理”权限方可在受管设备上执行远程操作。因为基于权限的鉴定安全可靠,所以强烈建议您使用此模式。
设备上需要安装 ZENworks Adaptive Agent 才能使用基于权限的鉴定。在设备上只安装“远程管理”服务是不够的。
在独立模式下或从命令行起动远程管理操作时,不支持此鉴定模式。
在基于口令的鉴定中,系统会提示远程操作员输入口令,以起动受管设备上的远程会话。
口令鉴定模式有以下两种类型:
ZENworks 口令: 此为基于“安全远程密码” (SRP) 协议(6a 版)的口令模式。ZENworks 口令的最大长度为 255 个字符。
VNC 口令: 此为传统的 VNC 口令鉴定模式。VNC 口令的最大长度为 8 个字符。此口令模式有内在缺陷,即仅在与开源组件交互操作时才可使用。
如果您要使用基于口令的鉴定,强烈建议使用 ZENworks 口令模式,因为这种模式比 VNC 口令模式更为安全可靠。
这些口令模式可以通过下列模式运行:
会话模式: 通过此模式设置的口令仅对当前会话有效。受管设备上的用户必须在远程会话开始时设置口令,然后再通过电话等带外方式将该口令传送给远程操作员。起动受管设备的远程会话后,远程操作员须在随之显示的会话口令对话框中输入正确的口令。如果远程操作员在对话框显示后的两分钟内未输入正确的口令,出于安全考虑会关闭会话。如果您要使用基于口令的鉴定,强烈建议您采用这种鉴定模式,因为该口令仅对当前会话有效且不会保存于受管设备上。
持续模式: 在这种模式下,如果在“远程管理”策略的安全性设置中选择了选项,管理员便可通过“远程管理”策略设置口令,或者受管设备用户可通过 ZENworks 图标设置口令。
如果受管设备用户和策略都设置了口令,则用户设置的口令优先于策略中配置的口令。
管理员可禁止受管设备用户设置口令,甚至可以重设置用户设置的口令,这样便可确保鉴定期间始终使用策略中配置的口令。有关重设置由受管设备用户设置的口令的详细信息,请参见部分 2.5.3, 使用 ZENworks 控制中心清除远程管理口令。