Як заблокувати TeamViewer для більш безпечного віддаленого доступу
TeamViewer - це відмінна безкоштовна програма, незалежно від того, чи хочете ви отримати доступ до комп'ютера здалеку або допомогти друзям і родичам зі своїм комп'ютером. Але його налаштування за замовчуванням є надзвичайно небезпечними, натомість сприяють простоті використання. Ось як заблокувати TeamViewer, щоб ви могли використовувати його функції, не відкриваючи себе до атаки.
Проблема з TeamViewer
Ще в 2016 році через TeamViewer з'явилася нестача комп'ютерів. І тільки зараз, у грудні 2017 року, TeamViewer був змушений видати аварійне виправлення для серйозної уразливості програми. Навіть коли немає ніяких яскравих дірок у безпеці або поширених атак, користувачеві TeamViewer дуже легко мати свій комп'ютер, якщо вони не мають правильних налаштувань. І якщо ви подивитеся на звіти минулих компрометованих машин, більшість жертв використовували незабезпечені налаштування.
Типово, TeamViewer не є особливо безпечним додатком. Це сприяє зручності у використанні завдяки труднодоступним процедурам безпеки. Це корисно, коли ви намагаєтеся допомогти своєму батькові вирішити проблеми з комп'ютером з усієї країни: ви можете змусити його завантажити один файл, запустити цей файл, дати йому простий цифровий ідентифікатор комп'ютера та пароль, і бум, Ви контролюєте його комп'ютер і вирішуєте кризу. Але залишивши TeamViewer у такому простому режимі першого запуску (який дійсно слід використовувати тільки в такому простому стані для тих, хто відмовився від надзвичайних ситуацій), просто вимагає проблем.
Проте TeamViewer має безліч опцій безпеки, у яких можна вмикати та налаштовувати, і дуже легко перейти від незахищеного досвіду TeamViewer до дуже забезпечити безпечний досвід TeamViewer лише невеликим майстром.
Однак, перш ніж продовжити, є кілька речей, які ми хотіли б мати на увазі під час читання підручника. По-перше, не кожна людина повинна включати кожний варіант, який ми пропонуємо. Необхідно збалансувати ваші потреби та робочий процес з внесеними змінами безпеки - ви не хочете, наприклад, увімкнути функцію, яка вимагає від користувача на комп'ютері прийняти вхідний запит TeamViewer, якщо ви використовуєте TeamViewer для підключення на свій власний комп'ютер.
По-друге, якщо TeamViewer встановлено на вашому комп'ютері через вашу роботу, компанію технічної підтримки, яку ви найняли, або родич, який допомагає усунути неполадки та підтримувати ваш комп'ютер, радимо вам прочитати цю статтю (і потенційно скористатися перевагами) деяких порад), а також проконсультуватися з особою, відповідальною за ваш досвід TeamViewer.
Основні практики безпеки
Перш ніж потрапити в грубі налаштування TeamViewer, давайте поговоримо про кілька основних методів безпеки (які, відверто кажучи, застосовуються практично до будь-якої програми, а не тільки до TeamViewer).
Вийдіть з TeamViewer і запустіть програму тільки тоді, коли це потрібно
Наша перша пропозиція - це негайна дія, яку потрібно виконати і загальну пропозицію для майбутнього використання. По-перше, компроміси часто є наслідком поганої практики безпеки, ми зараз зробимо одну річ: тимчасово закрийте TeamViewer та оновіть його, і, поки програма вимкнена, ми збираємося оновити безпеку вашого Обліковий запис TeamViewer через веб-сторінку компанії. (Детальніше про це у наступному розділі.)
Як загальний майбутній розгляд, запускати лише програму TeamViewer, коли вона вам потрібна. Таким чином, навіть якщо в програмі є вразливість (подібно до того, що було виявлено і виправлено), ви не будете в такій же небезпеці. Програма, яка не запущена, не може створити проблем для вас. Хоча ми розуміємо, що деякі люди зберігають TeamViewer 24 години на добу 7 днів на тиждень як частину їхнього робочого процесу, і якщо вам абсолютно потрібно, то добре. Але якщо ви використовуєте його лише зрідка у вашому домі, або ви один з людей, які лише включають його, щоб іноді виправляти комп'ютер родича, то не залишайте його працювати весь день, кожен день. Це єдиний найкращий спосіб уникнути надання людині доступу до вашої машини.
Маючи це на увазі, вимкніть програму TeamViewer, якщо вона зараз працює, перш ніж перейти до наступних кроків.
Створіть сильний пароль
Після вимкнення програми TeamViewer настав час увійти до свого облікового запису TeamViewer на сторінці https://login.teamviewer.com. Якщо ви використовуєте TeamViewer без облікового запису, ми настійно рекомендуємо зареєструватися для безкоштовного облікового запису, оскільки це набагато безпечніше. Мало того, що багато порад з безпеки, які ми будемо висвітлювати в ході цього підручника, покладаються на функції, доступні лише власникам облікових записів, але ви не можете скористатися нещодавно розгорнутим позаштатним обліковим записом. моніторинг і довірені пристрої - без облікового запису.
Після входу в систему клацніть своє ім'я у верхньому правому куті екрана, а потім виберіть "Редагувати профіль" у спадному меню..
Ви будете знаходитися в розділі "Загальні" меню "Налаштування профілю". Існує два розділи, які безпосередньо цікавлять нас: посилання "Змінити пароль" і аутентифікацію з двома факторами (яку ми отримаємо в даний момент). Виберіть "Змінити пароль".
Введіть поточний пароль і замініть його на довгий, новий пароль. Підтвердьте пароль, а потім виберіть "Змінити пароль". Потрібно замалювати свої навички створення надійних паролів? Ми вас охопили.
Увімкнути двофакторну аутентифікацію
Перш ніж приступити, треба щось робити сильно підкреслити. Увімкнення двофакторної аутентифікації на вашому обліковому записі TeamViewer підвищує безпеку облікових даних для входу до облікового запису TeamViewer. Це не, за замовчуванням застосовуйте систему з двома факторами до фактичного клієнта. Ви можете встановити дуже надійний пароль на вашому обліковому записі TeamViewer і включити двофакторну аутентифікацію, але якщо ви залишите пароль клієнта встановленим за замовчуванням 4-значний цифровий пароль, то двофакторна автентифікація нічого не допоможе захистити вас.
Дуже важливо, щоб ви завершили весь навчальний посібник тут і (як ми продемонструємо в наступних розділах) або встановили дуже надійний пароль на вашому клієнті TeamViewer або, ще краще, заблокуйте свого клієнта до вашого облікового запису (таким чином, блокуючи його на два фактори аутентифікація).
Після того як ви зміните пароль, ви, як це було зроблено на попередньому кроці, ви автоматично вийдете з облікового запису TeamViewer. Увійдіть знову та поверніться до того самого місця в меню Профіль> Загальне. Виберіть посилання "Активувати" поруч із пунктом "Двофакторна аутентифікація".
Якщо ви не знайомі з двофакторною аутентифікацією, ви можете прочитати її тут. Коротше кажучи, двофакторна аутентифікація додає ще один рівень ідентифікації до процесу входу (замість адреси електронної пошти та пароля потрібна електронна пошта, пароль і унікальний код, створений програмою автентифікації на мобільному телефоні). TeamViewer підтримує декілька аутентифікаторів, зокрема Google Authenticator (iOS / Android) і Authy (iOS / Android). Знайдіть хвилинку, щоб встановити одну з вищезазначених програм, якщо ви ще не використовуєте її.
Після вибору "Активувати", ви побачите це маленьке меню, що описує двофакторну аутентифікацію. Натисніть "Почати активацію".
На цьому етапі ви побачите екран, як показано нижче, з великим чорним QR-кодом у центрі. Відкрийте свій автентифікатор за вибором, натисніть кнопку, щоб додати нову послугу, і скануйте QR-код.
Якщо з деяких причин сканування не працює, ви завжди можете натиснути посилання "ввести секретний ключ вручну" і ввести його замість сканування. Після успішного додавання до автентифікатора натисніть "Далі".
Перевірте код захисту для TeamViewer у програмі автентифікації та введіть його зараз. Натисніть "Активувати" для підтвердження.
На останньому етапі надрукуйте код аварійного відновлення. Зберігайте цей код у безпечному місці. Якщо ви втратите доступ до свого автентифікатора, це єдиний спосіб ви зможете видалити двофакторну аутентифікацію.
На даний момент ми зараз робимо з веб-сайтом. Після друку коду екстреної допомоги ви можете вийти з сайту.
Оновлення TeamViewer
Якщо ви запускаєте TeamViewer нечасто, або якщо автоматичне оновлення вимкнено десь уздовж лінії, можливо, ви не запускаєте найновішу версію. Інсталяційний файл TeamViewer дійсно невеликий, тому тривіально захопити найсвіжішу копію і запустити її, щоб переконатися, що ваша програма TeamViewer є актуальною до того, як ми навіть відкриємо її знову.
Тут можна завантажити оновлену версію програми для настільних ПК. Запустіть програму та виберіть інсталяцію "Basic" (для запобігання інсталяції TeamViewer як служби Windows), а потім запустіть TeamViewer і увійдіть до програми за допомогою нового пароля.
Відразу після входу вам буде запропоновано ввести код захисту з коду безпеки з двома факторами. Зверніться до програми автентифікації та введіть її зараз.
Щоб виконати додаткову безпеку, після завершення процесу входу можна вибрати "Довідка"> "Перевірити наявність нової версії" на панелі інструментів, щоб підтвердити, що ви використовуєте найновіший номер версії.
Заблокуйте параметри безпеки TeamViewer
На даний момент, ви вже випередили гру, просто замінивши свій пароль новою і сильнішою і включивши двофакторну аутентифікацію. Хоча це забезпечує захист вашого облікового запису TeamViewer в цілому, однак, нам все одно доведеться трохи попрацювати в самій програмі TeamViewer.
Ми хочемо підкреслити те, що ми виділили на початку навчального посібника: налаштування та параметри, які ви вибрали, сильно залежать від того, як ви використовуєте TeamViewer. Якщо ви налаштовуєте TeamViewer як спосіб віддаленого доступу до власного комп'ютера, коли ви перебуваєте далеко від дому, тоді ви будете робити різні рішення, ніж якщо ви встановлюєте клієнт TeamViewer на комп'ютері ваших літніх батьків. Ми заохочуємо вас забезпечити максимальну кількість налаштувань, без можливості зменшити корисність TeamViewer до того, що це більше перешкод, ніж допомога.
Щоб розпочати роботу, перейдіть у меню Додаткові параметри> Параметри.
Усі зміни налаштувань, які ми зробимо, знаходяться в меню параметрів розширення. Щоб зменшити плутанину, ми працюватимемо по меню опцій, підменю за підменю.
Загальні положення: немає автоматичного запуску та призначення облікового запису
Щоб почати, виберіть вкладку "Загальні" у лівій навігаційній панелі.
Тут потрібно встановити дві великі налаштування. По-перше, ви хочете підтвердити, що "Запуск TeamViewer з Windows" не перевіряється, якщо у вас є a дуже нагальною причиною для цього. Якщо ви - постачальник технічної підтримки, вам дійсно не потрібно мати TeamViewer починати з Windows. З іншого боку, якщо приймач технічної підтримки не може впоратися з тим, щоб запустити TeamViewer, коли вони дзвонять вам, це може бути необхідним злом, щоб увімкнути цю настройку на своїй машині, але, як ми вже говорили, краще запустити TeamViewer, коли ви його активно використовуєте, а це означає, що ви зніміть цей прапорець.
Внизу ви знайдете розділ з назвою "Присвоєння облікового запису". Натисніть кнопку "Призначити обліковому запису" та призначте свій комп'ютер певному обліковому запису TeamViewer. Якщо це ваш персональний комп'ютер, до якого тільки ви хочете отримати доступ, тоді потрібно призначити комп'ютер обліковому запису. Якщо цей комп’ютер належить особі, якій ви часто допомагаєте, потрібно призначити для нього комп'ютер ваш рахунок.
Ми не можемо переоцінити те, що це підвищення безпеки. Якщо в обліковому записі ввімкнено надійний пароль і двофакторну аутентифікацію, це означає, що замість слабкого випадкового пароля за замовчуванням клієнт TeamViewer створює кожну сесію, будь-хто, хто намагається отримати доступ до віддаленого комп'ютера, знадобиться ваш логін, ваш надійний пароль, і доступ до вашого автентифікатора.
Безпека: немає легкого доступу, сильних паролів і білих списків
Наша наступна зупинка - секція безпеки. Виберіть "Безпека" на панелі ліворуч.
Тут ви можете зробити певний вибір щодо доступу до паролів і доступу до Windows. По-перше, ми маємо розділ «Особистий пароль». Тут ви можете встановити персональний пароль для цього клієнта TeamViewer (для віддаленого доступу), і ви можете надати "легкий доступ" (в якому перелічений обліковий запис не повинен вводити пароль для доступу до машини, доки вони входять до системи TeamViewer обліковий запис).
Деякі люди вважають за краще вручну встановити дуже надійний пароль для своєї машини (замість того, щоб покладатися на випадково створені, які TeamViewer використовує за замовчуванням). Поки ви встановите дуже надійний пароль, і скористайтеся функцією "Білий список", до якої ми зможемо в даний момент, це безпечний варіант. Проте, без білого списку персональний пароль відкриває ще один вектор атаки, оскільки комусь буде потрібний лише ваш ідентифікатор TeamViewer і пароль для доступу до машини - їм навіть не потрібен маркер з двома факторами автентифікації..
Ми відмовлятимемо вас від використання функції "легкого доступу", якщо ви не маєте дуже надійного пароля на вашому обліковому записі TeamViewer, а також увімкнули двофакторну аутентифікацію, оскільки це усуває необхідність вручну або випадково згенерованого пароля для доступу до машини (якщо ви ввійшли до облікового запису TeamViewer). Знову ж таки, вам потрібно збалансувати проблеми безпеки з простотою використання.
Якщо ви дотримуєтеся випадково згенерованих паролів (в яких кінцевий користувач, як і ваша мама, повинен кожного разу давати вам пароль), ми рекомендуємо вам перейти від слабшої довжини пароля за умовчанням до "Дуже безпечний (10 символів) ) ”. Крім того, цю функцію можна вимкнути, якщо на попередньому кроці ви вибрали надійний пароль для ручного керування.
У розділі "Правила для підключення до цього комп'ютера" можна вказати дві речі: облікові дані для входу в Windows і чорний / білий список. Ми настійно рекомендуємо залишити опцію "Вхід в Windows" як "Тепер Дозволяє". Якщо ввімкнути це налаштування, TeamViewer прийме реєстраційні дані, які дійсні на комп'ютері, як дійсний код доступу для програми. Якщо користувач на комп'ютері має слабкий пароль, це дуже проблематично, і краще залишити його вимкненим.
Нарешті, ви безумовно потрібно встановити білий список для комп'ютера. Натисніть кнопку "Налаштувати" поруч із записом "Чорний і білий список".
Виберіть "Дозволити доступ лише для наступних партнерів", а потім натисніть "Додати". Вам буде запропонований список контактів TeamViewer, з яких ви зможете обрати. Типово, ви єдина людина зі списку контактів. Якщо ви тільки використовуєте TeamViewer для доступу до власних машин, то це ідеально, ви можете просто додати білий список і назвати його хорошим.
Якщо ви налаштовуєте комп'ютер для родича, вам потрібно додати себе як контакт до свого облікового запису TeamViewer, якщо ви хочете використовувати функцію "Білий список". Ви можете зробити це, закривши меню параметрів, повернувшись до головного вікна TeamViewer, і натиснувши на маленьку піктограму зі стрілкою поруч з їхнім ім'ям у правому нижньому куті екрана (це розширює список Комп'ютери та контакти). Натисніть "Додати контакт" у нижній частині списку, щоб додати себе як контакт.
Якщо вам потрібно додати ще когось (як, скажімо, брат, який також допомагає з комп'ютером мами й тата), тепер настав час зробити це.
Як тільки додаткові люди, якщо потрібно, знаходяться у списку контактів, ви можете просто повернутися до попереднього меню, вибрати “Додати”, а потім вибрати всі облікові записи TeamViewer, які ви хочете додати до білого списку. Натисніть "OK" для підтвердження.
Додаткові параметри: Гранульований контроль функціональності віддаленого доступу
Якщо ви настільки налаштовані на двофакторну аутентифікацію, використовуючи міцні паролі, встановлюючи білий список, ви перебуваєте у відмінному стані, і вам не потрібно буде робити більше розширеної настройки. Проте меню розширених налаштувань пропонує дуже детальний контроль над аспектами досвіду TeamViewer, які дозволяють як захистити власні комп'ютери, так і комп'ютери, яким ви допомагаєте, як від зовнішнього втручання (так і помилки користувача)..
Щоб отримати доступ до додаткових налаштувань, перейдіть на вкладку "Додатково" з панелі навігації ліворуч.
Попередження про те, що ви дійсно повинні прочитати посібник перед внесенням будь-яких змін. Це правда. Ви повинні обов'язково прочитати посібник, якщо ви плануєте обманювати з будь-якими налаштуваннями, які ми спеціально не проходимо через вас. Нездатність читати документацію - це шлях до смутку.
Щоб отримати доступ до додаткових параметрів, натисніть кнопку "Показати додаткові параметри". існує багато відбувається тут, але нас цікавить лише один окремий розділ розширеного меню "Додаткові налаштування підключень до цього комп'ютера".
Тут ви знайдете запис для "Access Control", який за замовчуванням встановлено на "Повний доступ". Замість того, щоб залишати його встановленим на "Повний доступ", ми настійно рекомендуємо вам вибрати "Власні налаштування" з випадаючого меню.
Після вибору пункту «Власні налаштування» натисніть кнопку «Налаштувати» безпосередньо під полем.
Тут ви знайдете широкий спектр дозволів для вашого сеансу віддаленого доступу, які можна налаштувати як "дозволити", "після підтвердження" або "заперечувати". Налаштування цих налаштувань високо Залежно від ваших потреб, а налаштування, які ми маємо у наведеному вище знімку екрана, просто показують різні стани, в яких можуть бути введені записи.
Якщо, наприклад, ви налаштовуєте комп'ютер у вашій домашній мережі для легкого віддаленого доступу, було б нерозумно перемикати "Підключення та перегляд мого екрану" до "Після підтвердження", тому що вам доведеться тягти весь шлях вниз на сервер підвалу, щоб вручну підтвердити віддалений доступ. І в той момент, кому потрібний віддалений доступ ... Ви вже стоїте там.
З іншого боку, якщо у вас є друг, член сім'ї, для клієнта, який турбується про приватність і про те, що ви можете просто випадково підключитися до свого комп'ютера без попередження, тоді увімкнення "Після підтвердження" дозволяє сказати "Подивіться" Таким чином, я можу підключитися до комп'ютера, щоб допомогти вам, якщо ви явно клацнете OK і дозволите його. "
Індивідуальні перемикачі Access Control детально описані на сторінці 72 керівництва TeamViewer 11 (PDF), але ми виділимо тут налаштування, які, як правило, повинні бути переключені на "Після підтвердження" майже за будь-яких обставин:
- Передача файлів: Встановіть цей параметр на "Після підтвердження" для віддалених комп'ютерів, які ви обслуговуєте. Навіщо надавати зловмисникові простий спосіб завантажити податкові декларації ваших батьків або завантажити щось на їхню машину?
- Встановіть підключення VPN до цього комп'ютера: Рідко виникає потреба у створенні віртуальної мережі між комп'ютерами, і якщо у вас є справді вагома причина, щоб утримати це, вам слід вимкнути її з метою безпеки. Встановіть цей параметр на "Відхилено".
- Керуйте локальним TeamViewer: Якщо ви налаштовуєте це на машині родича, ви хочете встановити його на "Після підтвердження", якщо вам дійсно потрібно зробити деякі віддалені зміни клієнту TeamViewer по дорозі. Якщо ви налаштовуєте його на вашому власному комп'ютері, вам слід встановити його на "Відхилено". Як часто вам буде потрібно дистанційно підключатися до власної машини і робити великі зміни в TeamViewer?
- Передача файлу за допомогою поля файлу: Так само, як і в налаштуваннях файлів передачі, цей параметр має бути встановлено на "Після підтвердження". Якщо будь-які файли залишають віддалений комп'ютер, хтось повинен це підтверджувати.
На додаток до інших заходів безпеки, які ми вжили, ці додаткові запобіжні заходи гарантують, що якщо хтось отримає доступ до TeamViewer, вони не зможуть переносити файли або переносити шкідливе програмне забезпечення на машину.
Наша наступна зупинка важлива, якщо ви використовуєте випадково згенеровані паролі, щоб зберегти безпеку віддаленого комп'ютера. Під секцією Контроль доступу є запис з позначкою «Випадковий пароль після кожного сеансу». У випадаючому меню виберіть "Generate new", щоб створити новий випадковий пароль кожного разу, коли хтось намагається підключитися до TeamViewer.
Знову ж таки, як і всі інші варіанти, налаштуйте цей параметр так, щоб він відповідав сценарію, у якому ви використовуєте TeamViewer. Якщо читати довгий і випадковий пароль по телефону не є життєздатним для людини, якій ви допомагаєте, тоді скористайтеся опцією "сильний пароль", який ми розглянули на вкладці "Безпека", раніше в навчальному посібнику.
Нарешті, якщо ви налаштували віддалений комп'ютер з обмеженим обліковим записом користувача (розумний вибір, якщо ви налаштували комп'ютер для невідповідних нетехнологічним розумним користувачам), ви можете прокрутити до параметрів “TeamViewer” і перевірити “Зміни” потрібні права адміністратора на цьому комп’ютері ".
Це гарантує, що тільки хтось з комп'ютера з адміністративним доступом (будь то ви або дорослий у віддаленому домі), матиме змогу вносити зміни до налаштувань TeamViewer. Крім того (або альтернативно), ви також можете встановити пароль безпосередньо в програмі TeamViewer за допомогою пункту "Захистити параметри паролем".
Для Wary: TeamViewer Альтернативи
Ми не особисто поспішаємо відмовитися від TeamViewer, але якщо ви відчули компроміс у налаштуванні TeamViewer, ми повністю розуміємо, якщо ви зацікавлені в спробі альтернативної програми віддаленого робочого столу. Нижче наведено кілька альтернативних програм:
- Віддалений робочий стіл Windows: Доступно для Windows і macOS (як клієнт для доступу до машин Windows). Це безкоштовна і досить проста у встановленні, але має велике обмеження: користувачі будь-якої версії Windows можуть підключатися до інших комп'ютерів Windows за допомогою віддаленого робочого столу, але домашні видання Windows не можуть розміщувати з'єднання. Довідку щодо налаштування Windows Remote Desktop див. Тут.
- Splashtop: Безкоштовно для особистого користування, якщо ви просто використовуєте його через локальну мережу, але $ 16,99 на рік для "Anywhere Access Pack", що дозволяє реальний віддалений доступ. Настільні клієнти доступні для Windows, MacOS та Ubuntu Linux. Splashtop пропонує подібний досвід для TeamViewer, включаючи управління віддаленим робочим столом, передачу файлів і так далі.
- Віддалене керування Chrome: Відносно нова пропозиція від Google, Chrome Remote Desktop - це безкоштовне розширення для браузера Chrome, яке встановлює безпечне з'єднання на віддаленому робочому столі між веб-переглядачем Chrome і віддаленим комп'ютером. Це поперечна платформа і працює там, де працює Chrome. Великий недолік полягає в тому, що він має більш обмежений набір функцій, і якщо система, яку ви намагаєтеся виправити, має проблеми з веб-браузером, вам знадобиться альтернативний спосіб доступу до віддаленого робочого столу..
Ми запропонували тут три альтернативи через їхню схожу легкість у використанні та тверді записи треків, не тому, що вони за своєю суттю кращі, ніж TeamViewer або захищені від потенційних експлуатацій. Як завжди, зважте ваші параметри ретельно і застосовуйте ті ж принципи, про які ми говорили щодо TeamViewer - залиште інструмент виключеним, коли він не використовується, використовуйте сильні паролі, тощо - при використанні альтернативного рішення віддаленого робочого столу.
Хоча налаштування TeamViewer настільки інтенсивно, як і ми тільки що зробили До речі чим більше роботи, ніж просто запуску програми в стандартному стані, давайте будемо реальними тут. Ваші дані та безпека (а також дані та безпека людей, яким ви допомагаєте з TeamViewer) варто. Коли на ваших руках є десятки варіантів безпеки, як ми продемонстрували, не існує виправдання для запуску TeamViewer без облікового запису користувача, відсутність двофакторної автентифікації та слабкий пароль..