TeamViewer — отличная бесплатная программа, хотите ли вы получить доступ к вашему компьютеру издалека или помочь друзьям и родственникам с их компьютером . Но его настройки по умолчанию удивительно небезопасны, вместо этого предпочтение отдается простоте использования. Вот как заблокировать TeamViewer, чтобы вы могли использовать его функции, не открывая себя для атаки.
Проблема с TeamViewer
СВЯЗАННЫЕ: Лучшие инструменты для легкого выполнения удаленной технической поддержки
Еще в 2016 году было множество компьютеров, скомпрометированных через TeamViewer . И только сейчас, в декабре 2017 года, TeamViewer был вынужден выпустить экстренное исправление для серьезной уязвимости в программе. Тем не менее, даже когда нет явных пробелов в безопасности или широко распространенных атак, пользователю TeamViewer очень легко поставить под угрозу безопасность своего компьютера, если у него нет всех необходимых настроек по порядку. И если вы посмотрите на сообщения о прошлых скомпрометированных машинах, большинство жертв использовали незащищенную установку .
По умолчанию TeamViewer не является особо безопасным приложением. Это способствует простоте использования по сравнению с трудными для навигации процедурами безопасности. Это полезно, когда вы пытаетесь помочь своему отцу решить его компьютерные проблемы со всей страны: вы можете попросить его загрузить один файл, запустить этот файл, дать ему дать вам простой числовой идентификатор компьютера и пароль, и вы, бум , вы Управляешь своим компьютером и решаешь кризис. Но оставить TeamViewer в этом простом режиме первого запуска (который на самом деле должен использоваться только в таком простом состоянии для тех, кто не работает в чрезвычайных ситуациях) просто напрашивается на неприятности.
Однако TeamViewer имеет множество опций безопасности, которые можно включать и настраивать, и действительно легко перейти от небезопасного взаимодействия с TeamViewer к очень безопасному взаимодействию с TeamViewer с небольшими изменениями.
Однако, прежде чем мы продолжим, мы хотели бы помнить несколько вещей при чтении учебника. Во-первых, не каждому человеку нужно включать каждый предложенный нами вариант. Вам необходимо сбалансировать свои потребности и рабочий процесс с изменениями безопасности, которые вы вносите — например, вы не захотите включать функцию, которая требует от пользователя компьютера принимать входящий запрос TeamViewer, если вы используете TeamViewer для подключения на свой собственный компьютер без присмотра.
Во-вторых, если TeamViewer установлен на вашем компьютере благодаря вашей работе, нанятой вами службе технической поддержки или родственнику, который помогает в устранении неполадок и обслуживании вашего компьютера, мы рекомендуем вам прочитать эту статью (и, возможно, воспользоваться некоторых советов), но также проконсультируйтесь с лицом, ответственным за ваш опыт TeamViewer.
Основные практики безопасности
Прежде чем мы начнем разбираться с настройками TeamViewer, давайте поговорим о нескольких базовых методах безопасности (которые, честно говоря, применимы практически к любой программе, а не только к TeamViewer).
Выйдите из TeamViewer и запускайте его только тогда, когда вам это нужно
Наше первое предложение — это как немедленное действие, которое вам нужно предпринять, так и общее предложение для будущего использования. Во-первых, компромиссы часто являются результатом плохой практики безопасности, мы собираемся сделать одну вещь: временно отключить TeamViewer и обновить его, и, пока приложение выключено, мы собираемся обновить безопасность на вашем Учетная запись TeamViewer через веб-страницу компании. (Подробнее об этом в следующем разделе.)
В качестве общего будущего, запускайте приложение TeamViewer только тогда, когда вам это нужно . Таким образом, даже когда в программе есть уязвимость (например, обнаруженная и исправленная), вы не будете подвергаться такой большой опасности. Приложение, которое не работает, не доставит вам хлопот. Хотя мы понимаем, что некоторые люди поддерживают TeamViewer круглосуточно, как часть своего рабочего процесса, и, если вам абсолютно необходимо, хорошо. Но если вы используете его время от времени в своем доме, или вы один из тех, кто время от времени включает его для устранения неполадок компьютера родственника, то не оставляйте его включенным весь день, каждый день. Это единственный лучший способ избежать предоставления кому-либо доступа к вашей машине.
Имея это в виду, закройте ваше приложение TeamViewer, если оно в данный момент работает, прежде чем переходить к следующим шагам.
Создать надежный пароль
После закрытия приложения TeamViewer пора войти в свою учетную запись TeamViewer по адресу https://login.teamviewer.com . Если вы используете TeamViewer без учетной записи, мы настоятельно рекомендуем вам зарегистрировать бесплатную учетную запись, поскольку она намного безопаснее. Мало того, что многие из советов по безопасности, которые мы собираемся выделить в этом руководстве, основаны на функциях, доступных только владельцам аккаунтов, но вы не можете воспользоваться недавно внедренными закулисными функциями безопасности — аккаунтом. мониторинг и доверенные устройства — без учетной записи.
После входа нажмите свое имя в правом верхнем углу экрана и в раскрывающемся меню выберите «Редактировать профиль».
Вы окажетесь в разделе «Общие» меню «Настройки профиля». Здесь есть два раздела, которые нас непосредственно интересуют: ссылка «Сменить пароль» и двухфакторная аутентификация (о которой мы поговорим чуть позже). Выберите «Изменить пароль».
Введите свой текущий пароль и замените его длинным, надежным новым паролем. Подтвердите пароль и затем выберите «Изменить пароль». Нужно освежить свои сильные навыки создания пароля? Мы вас прикрыли .
Включить двухфакторную аутентификацию
Прежде чем мы продолжим, необходимо кое-что подчеркнуть. Включение двухфакторной аутентификации в вашей учетной записи TeamViewer повышает безопасность учетных данных для вашей учетной записи TeamViewer. По умолчанию он не применяет двухфакторную систему к фактическому клиенту. Вы можете установить очень надежный пароль в своей учетной записи TeamViewer и включить двухфакторную аутентификацию, но если вы оставите для пароля клиента установленный по умолчанию четырехзначный цифровой пароль, то двухфакторная аутентификация не сможет вас защитить.
Чрезвычайно важно, чтобы вы завершили весь учебник здесь и (как мы продемонстрируем в последующих разделах) либо установите очень надежный пароль на своем клиенте TeamViewer, либо, что еще лучше, заблокируйте свой клиент для своей учетной записи (таким образом, привязав его к двум факторам аутентификация).
После изменения пароля вы, как и на предыдущем шаге, автоматически выйдете из своей учетной записи TeamViewer. Войдите в систему и вернитесь в то же место в меню «Профиль»> «Общее». Выберите ссылку «Активировать» рядом с «Двухфакторная аутентификация».
Если вы не знакомы с двухфакторной аутентификацией, вы можете прочитать об этом здесь . Короче говоря, двухфакторная аутентификация добавляет еще один уровень идентификации к процессу входа в систему (вместо просто вашего адреса электронной почты и пароля вам понадобится ваш адрес электронной почты, пароль и уникальный код, сгенерированный приложением для аутентификации на вашем мобильном телефоне). TeamViewer поддерживает несколько аутентификаторов , в том числе Google Authenticator ( iOS / Android ) и Authy ( iOS / Android ). Найдите минутку, чтобы установить одно из вышеупомянутых приложений, если вы его еще не используете.
Выбрав «Активировать», вы увидите это маленькое меню, описывающее двухфакторную аутентификацию. Нажмите «Начать активацию».
В этот момент вы увидите экран, подобный показанному ниже, с большим черным QR-кодом в центре. Откройте выбранный вами аутентификатор, нажмите кнопку, чтобы добавить новую услугу, и отсканируйте QR-код.
Если по какой-либо причине сканирование не работает, вы всегда можете нажать ссылку «ввести секретный ключ вручную» и ввести ее вместо сканирования. После того, как вы успешно добавили его в свой аутентификатор, нажмите «Далее».
Проверьте код безопасности для TeamViewer в вашем приложении-аутентификаторе и введите его сейчас. Нажмите «Активировать» для подтверждения.
На последнем шаге распечатайте код аварийного восстановления. Храните этот код в надежном месте. Если вы потеряете доступ к своему аутентификатору, это единственный способ удалить двухфакторную аутентификацию.
На данный момент мы закончили с веб-сайтом. После распечатки кода экстренной помощи вы можете выйти с сайта.
Обновление TeamViewer
Если вы запускаете TeamViewer нечасто или если автоматические обновления отключены где-то вдоль линии, возможно, вы не используете самую последнюю версию. Однако установочный файл TeamViewer очень мал, поэтому просто взять самую свежую копию и запустить ее, чтобы убедиться, что ваше приложение TeamViewer обновлено до того, как мы его снова откроем.
Вы можете скачать обновленную версию настольного приложения здесь . Запустите приложение и выберите «Базовую» установку (чтобы запретить установку TeamViewer в качестве службы Windows), а затем запустите TeamViewer и войдите в приложение с новым паролем.
Сразу после входа в систему вам будет предложено ввести код безопасности из двухфакторного кода безопасности. Ссылка на ваше приложение для проверки подлинности и введите его сейчас.
Чтобы сделать его более безопасным, после завершения процесса входа в систему вы можете выбрать «Справка»> «Проверить наличие новой версии» на панели инструментов, чтобы подтвердить, что вы используете самый последний номер версии.
Блокировка настроек безопасности TeamViewer
На данный момент вы уже впереди игры, просто заменив свой пароль на новый и более надежный и включив двухфакторную аутентификацию. Хотя это в целом защищает вашу учетную запись TeamViewer, нам все же необходимо проделать небольшую работу в самом приложении TeamViewer.
Мы хотим подчеркнуть то, что мы отметили в начале урока: выбранные вами параметры и параметры сильно зависят от того, как вы используете TeamViewer. Если вы настраиваете TeamViewer как способ удаленного доступа к своему компьютеру, находясь вне дома, тогда вы сделаете другой выбор, чем если бы вы настраивали клиент TeamViewer на компьютере ваших пожилых родителей. Мы призываем вас обеспечить максимальное количество настроек, которое вы можете, не уменьшая полезность TeamViewer до такой степени, что это скорее препятствие, чем помощь.
Чтобы начать, перейдите в Дополнения> Параметры в строке меню.
Все изменения настроек, которые мы сделаем, находятся в меню опций расширения. Чтобы избежать путаницы, мы собираемся пройтись по меню опций, подменю за подменю.
Общие сведения: нет автоматического запуска и контировки
Для начала выберите вкладку «Общие» в левой навигационной панели.
Здесь есть две большие настройки, которые вы хотите настроить. Во-первых, вы хотите подтвердить, что «Запуск TeamViewer с Windows» не отмечен, если у вас нет веских причин для его включения. Если вы даете техническую поддержку, вам не нужно запускать TeamViewer с Windows. С другой стороны, если получатель технической поддержки не может справиться с проблемой, чтобы запускать TeamViewer всякий раз, когда они вам звонят, включение этого параметра на их компьютере может быть необходимым злом, но, как мы уже говорили, лучше всего запустить TeamViewer, когда вы активно его используете, а это означает, что снимите этот флажок.
Внизу вы найдете раздел с названием «Контировка счета». Нажмите кнопку «Назначить учетной записи» и назначьте свой компьютер определенной учетной записи TeamViewer. Если это ваш персональный компьютер, к которому вам нужен доступ, вы хотите назначить компьютер своей учетной записи. Если этот компьютер принадлежит человеку, которому вы часто помогаете, то вы хотите назначить его компьютер вашей учетной записи.
Мы не можем переоценить, какое повышение безопасности это предлагает. Если в вашей учетной записи включен надежный пароль и двухфакторная проверка подлинности, это означает, что вместо слабого случайного пароля по умолчанию клиент TeamViewer создает каждый сеанс, любому, кто пытается получить доступ к удаленному компьютеру, потребуется ваш логин, надежный пароль и доступ к вашему аутентификатор.
Безопасность: легкий доступ, надежные пароли и белые списки
Наша следующая остановка — секция безопасности. Выберите «Безопасность» на левой панели.
Здесь у вас есть несколько вариантов, касающихся доступа к паролю и Windows. Во-первых, у нас есть раздел «Персональный пароль». Здесь вы можете установить личный пароль для этого клиента TeamViewer (для удаленного доступа) и предоставить «простой доступ» (при этом указанной учетной записи не нужно вводить пароль для доступа к машине, если они зарегистрированы в TeamViewer. учетная запись).
Некоторые люди предпочитают вручную устанавливать очень надежный пароль для своего компьютера (а не полагаться на случайно сгенерированные, которые TeamViewer использует по умолчанию). Пока вы устанавливаете очень надежный пароль и используете функцию «Белый список», к которой мы вскоре перейдем, это безопасный вариант. Однако без белого списка личный пароль открывает еще один вектор атаки, поскольку для доступа к компьютеру кому-то понадобятся только ваш идентификатор TeamViewer и пароль — ему даже не понадобится токен двухфакторной аутентификации.
Мы не рекомендуем использовать функцию «легкий доступ», если у вас нет надежного пароля в учетной записи TeamViewer и вы не включили двухфакторную аутентификацию, поскольку это устраняет необходимость в сгенерированном вручную или случайным образом пароле для доступа к компьютеру. (если вы вошли в свою учетную запись TeamViewer). Опять же, вам необходимо сбалансировать проблемы безопасности с простотой использования.
Если вы придерживаетесь случайно сгенерированных паролей (когда конечный пользователь, как и ваша мама, должен будет каждый раз сообщать вам пароль), мы рекомендуем вам перейти с более слабой длины пароля по умолчанию на «Очень безопасный (10 символов) )». Кроме того, вы можете отключить эту функцию, если на предыдущем шаге вы выбрали надежный пароль.
В разделе «Правила подключения к этому компьютеру» вы можете указать две вещи: учетные данные для входа в Windows и черный / белый список. Мы настоятельно рекомендуем оставить параметр «Вход в Windows» как «Теперь разрешено». Если вы включите этот параметр, TeamViewer примет учетные данные для входа, действительные на компьютере, в качестве допустимого кода доступа для приложения. Если у пользователя компьютера слабый пароль, это очень проблематично, и лучше оставить его отключенным.
Наконец, вы определенно хотите установить белый список для компьютера. Нажмите кнопку «Настроить» рядом с записью «Черный и белый список».
Выберите «Разрешить доступ только для следующих партнеров», а затем нажмите «Добавить». Вам будет представлен список контактов TeamViewer на выбор. По умолчанию вы единственный человек в вашем списке контактов. Если вы используете TeamViewer только для доступа к своим собственным машинам, тогда это прекрасно, вы можете просто внести свой белый список и назвать его хорошим.
Однако если вы настраиваете компьютер для родственника, вам нужно добавить себя в качестве контакта в его учетную запись TeamViewer, если вы хотите использовать функцию белого списка. Вы можете сделать это, закрыв меню параметров здесь, вернувшись в главное окно TeamViewer, и щелкнув по маленькому значку двойной стрелки рядом с их именем в правом нижнем углу экрана (это расширит список «Компьютеры и контакты»). Нажмите «Добавить контакт» внизу списка, чтобы добавить себя в качестве контакта.
Если вам нужно добавить кого-нибудь еще (например, родного брата, который также помогает с компьютером мамы и папы), сейчас самое время это сделать.
Как только дополнительные люди, если потребуется, окажутся в списке контактов, вы можете просто вернуться в предыдущее меню, выбрать «Добавить» и затем выбрать все учетные записи TeamViewer, которые вы хотите добавить в белый список. Нажмите «ОК» для подтверждения.
Дополнительные параметры: детальный контроль над функциями удаленного доступа
Если вы зашли так далеко — настроили двухфакторную аутентификацию, использовали надежные пароли, настроили белый список — вы в отличной форме, и вам, возможно, больше не придется выполнять расширенную настройку. Однако меню расширенных настроек предлагает действительно детальный контроль над аспектами работы TeamViewer, которые позволяют вам защитить как свои собственные компьютеры, так и компьютеры, которым вы помогаете, как от вмешательства извне (так и от ошибок пользователя).
Для доступа к дополнительным настройкам выберите вкладку «Дополнительно» на левой навигационной панели.
Есть предупреждение, что вы должны действительно прочитать руководство, прежде чем вносить какие-либо изменения. Это правда. Вам обязательно следует прочитать руководство, если вы планируете поиграться с какими-либо настройками, через которые мы вас специально не проводим. Неспособность прочитать документацию — это путь к печали.
Для доступа к дополнительным параметрам нажмите «Показать дополнительные параметры». Здесь много чего происходит, но нас интересует только один конкретный раздел в расширенном меню «Расширенные настройки для подключения к этому компьютеру».
Здесь вы найдете запись для «Контроль доступа», которая по умолчанию установлена на «Полный доступ». Вместо того, чтобы оставить «Полный доступ», мы настоятельно рекомендуем вам выбрать «Пользовательские настройки» из выпадающего меню.
После выбора «Пользовательские настройки» нажмите кнопку «Настроить» прямо под полем.
Здесь вы найдете широкий спектр детализированных разрешений для сеанса удаленного доступа, которые можно настроить как «разрешить», «после подтверждения» или «отказано». То, как вы настраиваете эти параметры, сильно зависит от ваших потребностей, и настройки, которые мы имеем на приведенном выше снимке экрана, просто показывают различные состояния, в которых могут быть записи.
Если, например, вы настраиваете компьютер в собственной домашней сети для легкого удаленного доступа, было бы глупо переключать «Подключиться и просматривать мой экран» на «После подтверждения», потому что вам пришлось бы тащиться до конца на сервер подвала, чтобы вручную подтвердить удаленный доступ. И в тот момент, кому нужен удаленный доступ … вы уже стоите там.
С другой стороны, однако, если у вас есть друг, член семьи, для клиента, который беспокоится о конфиденциальности и о возможности случайного подключения к их компьютеру без предварительного уведомления, то включение «После подтверждения» позволяет вам сказать «Посмотрите Таким образом, я могу подключиться к вашему компьютеру только в том случае, если вы явно нажмете «ОК» и разрешите ».
Отдельные переключатели контроля доступа подробно описаны на странице 72 руководства TeamViewer 11 (PDF), но мы выделим здесь настройки, которые обычно следует переключать на «После подтверждения» практически при любых обстоятельствах:
- Передача файлов : установите этот параметр на «После подтверждения» для удаленных компьютеров, которые вы обслуживаете. Зачем давать злоумышленнику простой способ загрузить налоговые декларации ваших родителей или загрузить что-то на их машину?
- Установите VPN-соединение с этим компьютером : редко возникает необходимость в настройке фактической виртуальной сети между компьютерами, и, если у вас нет действительно веской причины, чтобы оставить это включенным, вы должны отключить ее в целях безопасности. Установите для этого «Отклонено».
- Управляйте локальным TeamViewer : если вы настраиваете это на компьютере родственника, вы хотите установить для него значение «После подтверждения», на случай, если вам действительно потребуется внести некоторые удаленные изменения в клиент TeamViewer в будущем. Если вы настраиваете его на своем компьютере, вы должны установить его «Отклонено». Как часто вам нужно будет удаленно подключаться к вашему компьютеру и вносить большие изменения в TeamViewer?
- Передача файлов с помощью окна файла : так же, как и в настройках передачи файлов, этот параметр должен быть установлен на «После подтверждения». Если какие-либо файлы покидают удаленный компьютер, кто-то должен это подтвердить.
В дополнение к другим мерам безопасности, которые мы внедрили, эти дополнительные меры предосторожности гарантируют, что если кто-то получит доступ к TeamViewer, он не сможет закачать файлы или перенести вредоносное ПО на компьютер.
Наша следующая остановка важна, если вы используете случайно сгенерированные пароли для обеспечения безопасности удаленного компьютера. Под разделом контроля доступа есть запись с меткой «Случайный пароль после каждого сеанса». В раскрывающемся меню выберите «Создать новый», чтобы создать новый случайный пароль каждый раз, когда кто-то пытается подключиться к TeamViewer.
Опять же, как и для всех опций, которые мы рассмотрели, настройте этот вариант в соответствии со сценарием, для которого вы используете TeamViewer. Если чтение длинного и случайного пароля по телефону нецелесообразно для человека, которому вы помогаете, тогда вместо этого выберите вариант с надежным ручным паролем, который мы рассмотрели на вкладке «Безопасность» ранее в руководстве.
Наконец, если вы настроили удаленный компьютер с ограниченной учетной записью пользователя (мудрый выбор, если вы настроили компьютер для не технически подкованного родственника), вы можете прокрутить вниз до «Параметры TeamViewer» и проверить «Изменения». требовать административные права на этот компьютер ».
Это гарантирует, что только кто-то на компьютере с административным доступом (будь то вы или взрослый в удаленном домохозяйстве) сможет вносить изменения в настройки TeamViewer. Дополнительно (или в качестве альтернативы) вы также можете установить пароль прямо в приложении TeamViewer с помощью «Защитить параметры с помощью пароля».
Для осторожных: альтернативы TeamViewer
Мы лично не спешим отказываться от TeamViewer, но если вы столкнулись с компромиссом в настройке TeamViewer, мы полностью понимаем, заинтересованы ли вы попробовать альтернативное приложение для удаленного рабочего стола. Вот несколько альтернативных приложений, которые вы могли бы рассмотреть:
- Удаленный рабочий стол Windows : Доступно для Windows и macOS (в качестве клиента для доступа к компьютерам с Windows). Он бесплатный и довольно простой в настройке, но имеет большое ограничение: пользователи любой версии Windows могут подключаться к другим ПК с Windows с помощью удаленного рабочего стола, но домашние выпуски Windows не могут размещать соединение. Для получения справки по настройке удаленного рабочего стола Windows см. Наш учебник здесь .
- Splashtop : бесплатный для личного использования, если вы используете его только в локальной сети, но $ 16,99 в год за «Anywhere Access Pack», который обеспечивает настоящий удаленный доступ. Доступны настольные клиенты для Windows, macOS и Ubuntu Linux. Splashtop предлагает аналогичные возможности TeamViewer, включая управление удаленным рабочим столом, передачу файлов и так далее.
- Chrome Remote Desktop : относительно новое предложение от Google, Chrome Remote Desktop — это бесплатное расширение для браузера Chrome, которое устанавливает безопасное соединение удаленного рабочего стола между браузером Chrome пользователя и удаленным компьютером. Он кроссплатформенный и работает везде, где работает Chrome. Большим недостатком является то, что он имеет более ограниченный набор функций, и если в системе, которую вы пытаетесь исправить, возникают проблемы с веб-браузером, вам потребуется альтернативный способ доступа к удаленному рабочему столу.
Мы предложили три варианта здесь из-за их одинаковой простоты использования и солидных результатов, а не потому, что они по своей природе лучше TeamViewer или невосприимчивы к потенциальным эксплойтам. Как всегда, тщательно взвешивайте свои варианты и применяйте те же принципы, о которых мы говорили в отношении TeamViewer — не используйте инструмент, когда он не используется, используйте надежные пароли и т. Д. — при использовании альтернативного решения для удаленного рабочего стола.
Хотя конфигурирование TeamViewer так же интенсивно, как мы только что это сделали, требует гораздо больше работы, чем просто запуск приложения в его состоянии по умолчанию, давайте будем здесь реальными. Ваши данные и безопасность (а также данные и безопасность людей, которым вы помогаете с TeamViewer) того стоят. Когда у вас под рукой десятки параметров безопасности, как мы только что продемонстрировали, нет оправдания запуску TeamViewer без учетной записи пользователя, двухфакторной аутентификации и слабого пароля.