Безопасное подключение к рабочему компьютеру из дома
⚠️ За эти несколько дней пользователи завалили меня вопросами как сделать быстро и просто подключение сотрудников к офису пока идет паника с коронавирус и всех отправили на домашний удаленный режим работы.
Небольшое отступление, хочу выразить большую благодарность руководству нашей страны, что все делается максимально быстро и оперативно и вывод большинства людей на удаленку максимально тормозит распространение пандемии коронавируса в России!
Ну а теперь приступим к нашей статье!
⛔️Для того что бы организовать удаленную работу с офисом я предложу три варианта, а вы уже сами выбирайте какой вам по душе)
1 Вариант — удаленное подключение по VPN
✅ Самый надежный и лучший способ работы удаленно из дома с сетевыми папками и 1с будет через vpn
VPN / ВПН (Virtual Private Network) — это технология которая создает защищенный (зашифрованный) канал между вашим компьютером и серверов и дает возможность работать с сетевыми ресурсами вашей внутренней сети офиса.
то есть вы сидя дома и подключившись через впн соединение к своему офису работаете с сетевыми папками или подключаетесь к 1с и по факту это дает представление как будо вы работаете в самом офисе, единственное ограничение которое может доставлять неудобство это скорость вашего интернета и оборудование которое строит в офисе (при большом кол-ве подключений могут быть тормоза).
✅ Данная технология распространена во всех компаниях в которых есть удаленные сотрудники или офисы.
⛔️ 3 Вариант — проброс портов
Это самый распространенный способ который раньше все использовали, но ввиду того, что он не очень безопасный я бы рекомендовал его использовать только в самых крайних случаях.
Суть данного способа заключается в том, что мы пробрасываем извне порт на наш сервер на котором будем работать.
- 🔥 1 пример — у вас есть сотрудник который должен удаленно работать только в 1с — мы пробрасываем порт наружу допустим 4444 (на том же роутере или сервере-шлюзе) и когда на вашем домашнем компьютере создаем подключение RPD то указываем ему ваш внешний IP адрес удаленного офиса (его должен знать каждый сисадмин или сотрудник который отвечает за компьютеры в офисе) и ставим порт к которому подключаемся в нашем случае 4444
в нашем примере 82.111.74.77 это внешний ип адрес офиса , а вот 4444 и есть тот порт соединяясь на который мы подключимся к нашей 1с. - 2 пример — у вас есть терминальный сервер и люди могут подсоединяться к нему и могут видеть рабочий стол одновременно работая с 1с, это даст больше возможности работать не только конкретно в одной программе, но и с сетевыми ресурсами такие как сетевые папки и документы.
✅ 2 Вариант — Teamviewer
💥 Teamviewer — это программный продукт который дает возможность подключиться к удаленному компьютеру или серверу не делая никаких настроек, что позволяет использовать эту программу не только для ИТ инженеров, но и обычным пользователям которые могут организовать удаленный доступ к своему компьютеру или помощи семье или родителям на расстоянии.
Единственный минус данного способа это то, что компьютер в офисе должен постоянно работать, а это не есть хорошо! Если ваш компьютер перезагрузится, то вы потеряете к нему доступ! Можно конечно установить тимвьювер и сделать постоянный пароль, но это так небезопасно!
Для работы через тимвьювер необходимо запустить на компьютер на котором вы хотите работать и записать данные которые выдаст программа — ID и пароль (как показано выше на картинке), а когда вам нужно будет подключиться, то вы запускаете на своем компьютере такую жу программу и в поле id партнера указываете ID какой записали когда запускали teamviewer в офисном компьютере и нажимаете подключиться и вводите пароль. Все вы можете работать на своем компьютере (вот инструкция по работе с teamviewer)
Настройка другой функциональности удаленного доступа
В окне подключения к удаленному компьютеру есть вкладки с настраиваемыми параметрами.
Вкладка | Назначение |
«Экран» | Задает разрешение экрана удаленного компьютера, то есть окна утилиты после подключения. Можно установить низкое разрешение и пожертвовать глубиной цвета. |
«Локальные ресурсы» | Для экономии системных ресурсов можно отключить воспроизведение звука на удаленном компьютере. В разделе локальных устройств и можно выбрать принтер и другие устройства основного компьютера, которые будут доступны на удаленном ПК, например, USB-устройства, карты памяти, внешние диски. |
Подробности настройки удаленного рабочего стола в Windows 10 – в этом видео. А теперь вернемся к безопасности RDP.
Безопасная публикация ресурсов
Публикуйте веб-ресурсы через Web Application Firewall (в простонародье – WAF). Для быстрого развертывания и базовой защиты достаточно будет использовать стандартные профили защиты по OWASP Top 10. В первое время придется много подкручивать гайки в части отлова false positive событий. Если прямо сейчас у вас нет WAF – не отчаивайтесь! Если у вас стоит на тестировании какая-то триальная версия WAF, попробуйте задействовать ее для решения этой задачи, либо установите open-source решение Nginx + ModSecurity.
С публикацией ресурсов разобрались, перейдем к сервисам, доступ до которых опубликовать не удалось. Для этого нам понадобится организовать VPN.
Что следует учесть при организации VPN?
В первую очередь оцените, сможете ли вы быстро развернуть клиентское ПО VPN на рабочих местах, или лучше воспользоваться Clientless подходом. Есть ли у вас VPN-шлюз или межсетевой экран с возможностью организовать удаленный доступ?
Если, например, в вашей сети стоит межсетевой экран Fortinet или Check Point с любым бандлом (NGFW/NGTP/NGTX), поздравляю, поддержка функционала IPsec VPN идет «из коробки», и ничего дополнительного покупать и устанавливать вам не нужно. Останется только поставить клиенты на рабочие места и настроить межсетевой экран.
Если прямо сейчас у вас нет VPN-шлюза или межсетевого экрана, посмотрите в сторону open-source решений (OpenVPN, SoftEther VPN и т.п.), которые можно довольно быстро развернуть на любом сервере, благо, step-by-step гайдов в Интернете предостаточно.
Кроме того, желательно, чтобы ваш VPN-шлюз интегрировался с AD/RADIUS для централизованного управления учетными записями. Также не забудьте проверить парольную политику и настройте защиту от брутфорса.
Если вы решили идти по пути установки клиента удаленного доступа на рабочие места пользователей, нужно будет определиться, какой режим VPN использовать: Full Tunnel или Split Tunnel. Если доступ для отдельной группы пользователей предполагает работу с конфиденциальной или высококритичной информацией, то я бы порекомендовал использовать Full Tunnel режим. Таким образом весь трафик будет заруливаться в туннель, выход в Интернет для пользователей можно будет организовать через прокси, при желании трафик можно будет слушать еще и через DLP. В иных случаях можно ограничиться обычным Split Tunnel режимом, при котором трафик заруливается в туннель только до внутренних сетей компании.
После успешной аутентификации пользователей вам следует определиться с авторизацией: куда давать пользователям доступ, как и где это делать. Есть несколько вариантов.
- Прямой доступ. Пользователь получил IP-адрес из своего VPN-пула и может идти напрямую к необходимым ресурсам (читай – через межсетевой экран). Здесь следует отметить, что если у вас стоит простой L4 межсетевой экран, на котором уже были настроены политики доступа (и их много!), то быстро адаптировать их к новым пулам IP-адресов может не получиться. Даже если у вас стоит NGFW с политиками по пользователям или группам пользователей, лог-оны в AD не будут зафиксированы (если только у вас не стоит специальный клиент на каждом рабочем месте), и политики тоже не будут работать. В таком случае политики придется создавать непосредственно на VPN-шлюзе либо использовать RADIUS при аутентификации и интегрировать его с клиентом межсетевого экрана для трекинга лог-онов пользователей.
- Терминальный доступ. Если у вас есть NGFW с политиками по пользователям и терминальный сервер, то можно сделать так. При реализации терминального доступа (например, с помощью MS RDS) пользователь, получивший удаленный доступ, логинится на терминальный сервер. Поставьте на него специальный агент от производителя межсетевых экранов (например, FSSO TS). Этот агент будет сообщать межсетевому экрану IP-адрес залогинившегося пользователя, в результате чего написанные политики безопасности по пользователям или группам пользователей останутся без изменений, и не придется спешно менять политики на NGFW.
mRemoteNG
MRemoteNG — менее известный менеджер удалённых подключений. Инструмент позволяет присоединиться к различным серверам, среди которых ssh, rdp, vnc, выстраивать древовидную схему вложений для дальнейшего доступа, сохранять учётные данные. Программное обеспечение сочетает в себе много функций. При этом не нуждается в установке плагинов, дополнений.
Плюсы mRemoteNG:
- запускается без установки;
- подключение к серверам из одного места;
- синхронизация через облачные хранилища файлов.
- сложный интерфейс;
- отсутствие русской версии;
- неудобное переключение окон;
- временами нестабильное соединение;
- отсутствие пароля на запуск (опция важна, так как в приложении хранятся все данные).
MRemoteNG — программа, которая разработана для системных администраторов. Обычным пользователям ПК будет сложно в ней разобраться. Несмотря на большое количество недостатков, «юзьеры» рекомендуют утилиту, считая её удобной, функциональной.
RemotePC
RemotePC — дополнение для дистанционного управления устройством через другой ПК. Утилита позволяет на расстоянии подключиться к компьютеру через телефон. Особенность ПО в том, что его можно использовать как пульт. RemotePC доступна бесплатна, но тариф сильно ограничен.
- поддержка веб-интерфейса;
- наличие бесплатного тарифа;
- мобильная версия;
- доступ к разным протоколам связи;
- подключение через прокси.
- нет русского языка;
- нестабильность соединения при передаче файлов.
RemotePC — утилита с ограниченными бесплатными тарифами, отсутствием русской версии. Поэтому больше подходит для одноразового удалённого подключения.
⚠️ VPN или ВПН как его настроить?
🔥 Для того что бы внедрить эту технологию Вам нужно поднять VPN сервер на шлюзе который стоит у вас в офисе, а дома на компьютере или ноутбуке запустить настройку VPN клиента которая есть по умолчанию во всех версиях Windows.
💥 Но как бы это страшно не звучало — VPN сервер, это всего лишь служба которая есть практически на всех более менее новых роутерах, а если в вашем офисе стоит как шлюз Linux сервер, то можно на нем поднять VPN сервер на дефолтных настройках который так же будет хорошо работать и обеспечивать необходимую безопасность!
Но в средних офисах в 100% случаях стоят обычные роутеры которые можно настроить на доступ к сети и если у Вас нет опыта настройки или нужна консультация, пишите мне заявку и я вам на Бесплатной основе помогу все это настроить (тем более времени сейчас вагон):
Если Вам нужна помощь в настройки удаленного доступа и организации удаленной работы ваших сотрудников из дома, оставляйте свою заявку!
Как защитить RDP и настроить его производительность
Шифрование и безопасность | Нужно открыть gpedit.msc, в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность» задать параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» и в «Уровень безопасности» выбрать «SSL TLS». В «Установить уровень шифрования для клиентских подключений» выберите «Высокий». Чтобы включить использование FIPS 140-1, нужно зайти в «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» и выбрать «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания». Параметр «Конфигурация компьютера — Параметры Windows — Параметры безопасности — Локальные политики — Параметры безопасности» параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» должен быть включен. Проверьте список пользователей, которые могут подключаться по RDP. |
Оптимизация | Откройте «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Среда удаленных сеансов». В «Наибольшая глубина цвета» выберите 16 бит, этого достаточно. Снимите флажок «Принудительная отмена фонового рисунка удаленного рабочего стола». В «Задание алгоритма сжатия RDP» установите «Оптимизация использования полосы пропускания. В «Оптимизировать визуальные эффекты для сеансов служб удаленных рабочих столов» установите значение «Текст». Отключите «Сглаживание шрифтов». |
Базовая настройка выполнена. Как подключиться к удаленному рабочему столу?
Вывод
🔥 Ну вот вкратце и все! Если Вам нужна помощь или бесплатная консультация по вопросу как организовать удаленную работу сотрудников, пишите мне заявку и мы с вами все обсудим и я подскажу как можно все организовать или даже сам вам все сделаю (времени пока много)
И очень прошу, сидите дома и постарайтесь никуда не выходить и не контактировать с другими людьми! Мы сами усугубляем ситуацию в нашем городе и стране!
Когда руководство компании экстренно требует перевести всех сотрудников на удаленный доступ, вопросы безопасности зачастую отходят на второй план. Как результат – злоумышленники получают отличное поле для деятельности.
Так что же нужно и что нельзя делать при организации безопасного удаленного доступа к корпоративным ресурсам? Подробно об этом расскажем под катом.
UltraVnc, TightVnc
Преимущества дополнений:
- огромное количество опций;
- совместимость с другими плагинами, дополнениями, которые упрощают пользование программными обеспечениями;
- бесплатный доступ.
- сложная настройка, установка;
- непонятный интерфейс;
- отсутствие русской версии;
- приложения не защищены от утечек данных;
- ПО подходят только системным администраторам.
UltraVnc, TightVnc — лучшие бесплатные утилиты для доступа к устройствам на расстоянии. Однако рядовым пользователям, которым нужно подключиться к компьютеру кого-то из близких, знакомых и так далее обеспечения не подходят. Программы разработаны для системных администраторов.
Как «угнать» сеанс RDP?
Можно ли перехватывать сеансы RDS? И как от этого защищаться? Про возможность угона RDP-сессии в Microsoft Windows известно с 2011 года, а год назад исследователь Александр Корзников в своем блоге детально описал методики угона. Оказывается, существует возможность подключиться к любой запущенной сессии в Windows (с любыми правами), будучи залогиненным под какой-либо другой.
Некоторые приемы позволяют перехватить сеанс без логина-пароля. Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM. Если вы запустите tscon.exe в качестве пользователя SYSTEM, то сможете подключиться к любой сессии без пароля. RDP не запрашивает пароль, он просто подключает вас к рабочему столу пользователя. Вы можете, например, сделать дамп памяти сервера и получить пароли пользователей. Простым запуском tscon.exe с номером сеанса можно получить рабочий стол указанного пользователя — без внешних инструментов. Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:
Или же можно создать службу, которая будет подключать атакуемую учетную запись, и запустить ее, после чего ваша сессия будет заменена целевой. Вот некоторые замечания о том, как далеко это позволяет зайти:
- Вы можете подключиться к отключенным сеансам. Поэтому, если кто-то вышел из системы пару дней назад, вы можете просто подключиться прямо к его сеансу и начать использовать его.
- Можно разблокировать заблокированные сеансы. Поэтому, пока пользователь находится вдали от своего рабочего места, вы входите в его сеанс, и он разблокируется без каких-либо учетных данных. Например, сотрудник входит в свою учетную запись, затем отлучается, заблокировав учетную запись (но не выйдя из нее). Сессия активна и все приложения останутся в прежнем состоянии. Если системный администратор входит в свою учетную запись на этом же компьютере, то получает доступ к учетной записи сотрудника, а значит, ко всем запущенным приложениям.
- Имея права локального администратора, можно атаковать учетную запись с правами администратора домена, т.е. более высокими, чем права атакующего.
- Можно подключиться к любой сессии. Если, например, это Helpdesk, вы можете подключиться к ней без какой-либо аутентификации. Если это администратор домена, вы станете админом. Благодаря возможности подключаться к отключенным сеансам вы получаете простой способ перемещения по сети. Таким образом, злоумышленники могут использовать эти методы как для проникновения, так и для дальнейшего продвижения внутри сети компании.
- Вы можете использовать эксплойты win32k, чтобы получить разрешения SYSTEM, а затем задействовать эту функцию. Если патчи не применяются должным образом, это доступно даже обычному пользователю.
- Если вы не знаете, что отслеживать, то вообще не будете знать, что происходит.
- Метод работает удаленно. Вы можете выполнять сеансы на удаленных компьютерах, даже если не зашли на сервер.
Наконец, рассмотрим, как удалить подключение к удаленному рабочему столу. Это полезная мера нужна, если необходимость в удаленном доступе пропала, или требуется запретить подключение посторонних к удаленному рабочему столу. Откройте «Панель управления – Система и безопасность – Система». В левой колонке кликните «Настройка удаленного доступа». В разделе «Удаленный рабочий стол» выберите «Не разрешать подключения к этому компьютеру». Теперь никто не сможет подключиться к вам через удаленный рабочий стол.
В завершение – еще несколько лайфхаков, которые могут пригодиться при работе с удаленным рабочим столом Windows 10, да и просто при удаленном доступе.
-
Для доступа к файлам на удаленном компьютере можно использовать OneDrive:
Альтернативный вариант — командная строка и команда shutdown.
Если в команде shutdown указать параметр /i, то появится окно:
P.S. Мы ищем авторов для нашего блога на Хабрахабре.
Если у вас есть технические знания по работе с виртуальными серверами, вы умеете объяснить сложные вещи простыми словами, тогда команда RUVDS будет рада работать с вами, чтобы опубликовать ваш пост на Хабрахабре. Подробности по ссылке.
Программы удаленного управления компьютером позволяют дистанционно управлять другим компьютером через Интернет или в локальной сети. Это удобно, когда необходимо помочь не очень опытному пользователю, например, родственнику или другу, плохо разбирающемуся в компьютере что-либо сделать на нем, не сходя со своего уютного кресла и не тратя при этом свои нервы и время на телефонные разговоры. Такие программы еще удобно использовать для удаленной работы, например, из дома для подключения в офис и наоборот — для доступа к своему домашнему ПК, для системного администрирования целого парка компьютеров и серверов.
Проведем сравнительный анализ программ удаленного управления, выделим их преимущества и недостатки.
TeamViewer
Преимущества:
В программе доступно несколько основных режимов работы это удаленное управление, передача файлов, чат, демонстрация своего рабочего стола. Программа позволяет настроить круглосуточный доступ к компьютеру, это будет удобно для системного администрирования. Скорость работы вполне достойная, есть версии для всех мобильных платформ, для различных операционных систем, что очень радует. Простой и вполне понятный интерфейс плюс ряд дополнительных утилит для расширения функционала программы, будут полезны для служб удаленной поддержки.
Недостатки:
Хоть программа и является бесплатной, но только для не коммерческого использования, а также при работе с ней более 5 минут возникает ряд трудностей, например TV может заблокировать сеанс удаленного подключения, распознав его как коммерческое использование. Для круглосуточного удаленного доступа или администрирования нескольких компьютеров, компьютерной сети, придется платить за дополнительные модули программы. Стоимость программы высокая.
Итог:
Данная программа идеально подойдет для разового удаленного подключения или использования ее непродолжительные периоды времени. Удобно использовать с мобильных платформ, но не администрировать большое количество компьютеров. За дополнительные модули придется доплачивать.
LiteManager
Простая, но довольно таки мощная по возможностям программа, состоит из двух частей, первая это Server который нужно установить или запустить на удаленном компьютере и Viewer, который позволяет управлять другим компьютером. Для работы программа требует немного больше навыков и опыта от управляющего, хотя работа сервером даже проще чем в TeamViewer, сервер можно один раз установить и больше не каких действий от пользователя не нужно, ID будет всегда постоянный, его даже можно задать самому в ручную, что очень удобно для запоминания. Версия LiteManager Free является бесплатной для личного и коммерческого использования.
Преимущества:
В программе помимо основных режимов удаленного доступа: удаленного управления, передачи файлов, чата, диспетчера задач, редактора реестра, есть и уникальные функции, например: инвентаризация, запись экрана, удаленная установка. Программа бесплатна для использования на 30-ти компьютерах, ее можно использовать для круглосуточного доступа без каких либо дополнительных модулей. Отсутствуют какие-либо ограничения по времени работы. Есть возможность настройки своего собственного ID сервера для настройки корпоративной службы поддержки. В программе нет каких-либо ограничений по времени работы и блокировок.
Недостатки:
Не хватает клиента под мобильные платформы или другие системы, есть ограничения на 30 компьютеров в бесплатной версии, для администрирования большего количества необходимо приобрести лицензию. Некоторые, специфичные режимы работы доступны только в Pro версии.
Итог:
Программа Litemanager подойдет для оказания удаленной поддержки, для администрирования нескольких десятков компьютеров абсолютно бесплатно, для настройки собственной службы удаленной поддержки. Стоимость программы самая низкая в своем сегменте и лицензия не ограничена по времени.
Ammy admin
Программа в основном аналогична TeamViewer, но более простой вариант. Присутствуют только основные режимы работы — просмотр и управления, передача файлов, чат. Программа может работать без установки, бесплатная для некоммерческого использования.
Преимущества:
Простая и легкая программа, можно работать как в Интернете, так и в локальной сети, обладает минимальными настройками и не требует каких-то особых умений и навыков. По сравнения с TeamViewer более мягкая лицензионная политика.
Недостатки:
Минимум функций для удаленного управления, администрировать большой парк компьютеров будет сложно, при долгом использование, более 15 часов в месяц, сеанс работы может быть ограничен или заблокирован, платная для коммерческого использования,
Итог:
Данная программа больше подойдет для разового подключения к компьютеру и не сильно сложных манипуляциях, например в качестве оказания помощи не опытному пользователю в настройке компьютера.
RAdmin
Одна из первых программ удаленного управления и известная в своем кругу, не мог ее не упомянуть, больше предназначенная для системного администрирования, основной акцент сделан на безопасности. Программа состоит из двух: компонент сервера и клиента. Требует установки, не опытному пользователю будет не просто с ней разобраться, программа предназначена в основном для работы по IP адресу, что не совсем удобно для оказания тех. поддержки через Интернет. Программа платная, но обладает бесплатным тестовым периодом.
Преимущества:
У программы высокая скоростью работы, особенно в хорошей сети, благодаря видео драйверу захвата рабочего стола, повышенной надежностью и безопасностью. Встроена технология Intel AMT, что позволяет подключаться к BIOS удаленного компьютера и настраивать его. Реализованы только основные режимы работы удаленное управление, передача файлов, чат и т.д.
Недостатки:
Почти нет возможности для работы без IP адреса, т.е. соединяться по ID. Отсутствует клиент для мобильных систем. Нет бесплатной версии, только тестовый период 30 дней. Для работы с программой необходимы навыки опытного пользователя. При подключении видео драйвер может отключать графическую оболочку Aero, иногда мигает экран.
Итог:
Программа больше подойдет для системных администраторов для администрирования компьютеров и серверов в локальной сети. Для работы через Интернет, возможно, придется настроить VPN туннель.
Заключение
Есть еще много аналогичных программ для удаленного доступа, это более новые (Airoadmin, Supremo), немного устаревшие (VNC, Dameware, PCAnywhere) и другие более дорогие красивые, но выполняющие те же самые основные функции. Если решите приобрести лицензию, обратите внимание, что некоторые программы лицензируются на временное пользование на год, после чего нужно платить еще и еще.
Думаю, выбрать подходящую программу для себя вы сможете сами, или лучше всего использовать несколько решений в комплексе.
Программа для удалённого доступа к компьютеру позволяет воспользоваться устройством на расстоянии. Например, когда возникает необходимость в скачивании файлов с личного ПК, решении технических проблем близких. Специально установленная утилита открывает доступ к устройству: его настройкам, приложениям, данным.
Одна из лучших программ для управления компьютером на расстоянии. Утилита легко устанавливается и используется. При этом программа не требует изменения настроек брандмауэра, маршрутизатора. Teamviewer отличается от других софтов для «дальнего» администрирования широким функционалом:
- безопасный доступ к автономно работающим устройствам;
- выход из спящего режима, перезапуск и скачивание приложений;
- гибкие возможности совместного использования файлов;
- печать на расстоянии;
- межплатформенный доступ и другие опции.
Плюсы программного обеспечения:
- Понятный интерфейс, в котором разберётся даже новичок или непродвинутый пользователь. Teamviewer просто запускается, при этом для доступа к компьютеру достаточно знать ID и пароль.
- Возможность скачать «мобильную» версию софта. Она используется без установки, но доступные функции ограничены. «Мобильная» версия удобна, когда нужно одноразово подключиться к устройству на расстоянии.
- Создание и сохранение настроек для каждого ПК, возможность дистанционно управлять компьютером со смартфона.
- Удалённый доступ к мобильному (для этого разработчики выпустили специальную версию).
Teamwier не лишён недостатков:
- Утилита бесплатна для некоммерческого использования. Если программа посчитает, что пользователь применяет приложение в целях коммерции, возникнут трудности с доступом к ПО.
- Администрирование нескольких компьютеров платное.
Программное обеспечение подходит для подключения к удалённому компьютеру. Она понравится новичкам, непродвинутым пользователям. Плюсов у утилиты больше, чем минусов. Поэтому Teamwier — лучшая программа удалённого доступа к компьютеру.
AeroAdmin
AeroAdmin — одна из программ для доступа на расстоянии. Дополнение бесплатно для коммерческого и некоммерческого пользования с существенными ограничениями. К лимитам относится время (17 часов подключения к одному устройству в месяц), количество соединений (2), отсутствие функции передачи файлов. Для безграничного пользования дополнением нужно приобрести платную версию.
Преимущества AeroAdmin:
- производительность (долгая загрузка, обрывы соединения);
- ограниченный набор инструментов для общения.
AeroAdmin — ПО, которое предлагает широкий выбор функций за приемлемую цену. При этом бесплатный тариф также включает в себя базовые опции, нужные для дистанционного управления. Утилита подходит для постоянного пользования. Нечастое применение инструмента позволяет сэкономить на платном функционале.
Аутентификация
Используйте централизованное управление учетными записями при удаленном доступе (AD/RADIUS), а также не забудьте продумать сценарии, при которых ваш Identity Store будет недоступен (например, создайте дополнительно локальные учетные записи).
Хорошей практикой будет использование клиентских сертификатов, самоподписные сертификаты можно выпустить и на Microsoft CA.
Подключение к удаленному рабочему столу
Для подключения по RDP необходимо, на удаленном компьютере была учетная запись с паролем, в системе должны быть разрешены удаленные подключения, а чтобы не менять данные доступа при постоянно меняющемся динамическом IP-адресе, в настройках сети можно присвоить статический IP-адрес. Удаленный доступ возможен только на компьютерах с Windows Pro, Enterprise или Ultimate.
Для удаленного подключения к компьютеру нужно разрешить подключение в «Свойствах Системы» и задать пароль для текущего пользователя, либо создать для RDP нового пользователя. Пользователи обычных аккаунтов не имеют права самостоятельно предоставлять компьютер для удаленного управления. Такое право им может дать администратор. Препятствием использования протокола RDP может стать его блокировка антивирусами. В таком случае RDP нужно разрешить в настройках антивирусных программ.
Стоит отметить особенность некоторых серверных ОС: если один и тот же пользователь попытается зайти на сервер локально и удаленно, то локальный сеанс закроется и на том же месте откроется удаленный. И наоборот, при локальном входе закроется удаленный сеанс. Если же зайти локально под одним пользователем, а удаленно — под другим, то система завершит локальный сеанс.
Подключение по протоколу RDP осуществляется между компьютерами, находящимися в одной локальной сети, или по интернету, но для этого потребуются дополнительные действия – проброс порта 3389 на роутере, либо соединение с удаленным компьютером по VPN.
Чтобы подключиться к удаленному рабочему столу в Windows 10, можно разрешить удаленное подключение в «Параметры — Система — Удаленный рабочий стол» и указать пользователей, которым нужно предоставить доступ, либо создать отдельного пользователя для подключения. По умолчанию доступ имеют текущий пользователь и администратор. На удаленной системе запустите утилиту для подключения.
Нажмите Win+R, введите MSTSC и нажмите Enter. В окне введите IP-адрес или имя компьютера, выберите «Подключить», введите имя пользователя и пароль. Появится экран удаленного компьютера.
При подключении к удаленному рабочему столу через командную строку (MSTSC) можно задать дополнительные параметры RDP:
Параметр | Значение |
/v:<сервер[: порт]> | Удаленный компьютер, к которому выполняется подключение. |
/admin | Подключение к сеансу для администрирования сервера. |
/edit | Редактирование RDP-файла. |
/f | Запуск удаленного рабочего стола на полном экране. |
/w: | Ширина окна удаленного рабочего стола. |
/h: | Высота окна удаленного рабочего стола. |
/public | Запуск удаленного рабочего стола в общем режиме. |
/span | Сопоставление ширины и высоты удаленного рабочего стола с локальным виртуальным рабочим столом и развертывание на несколько мониторов. |
/multimon | Настраивает размещение мониторов сеанса RDP в соответствии с текущей конфигурацией на стороне клиента. |
/migrate | Миграция файлов подключения прежних версий в новые RDP-файлы. |
Для Mac OS компания Microsoft выпустила официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows. В Mac OS X для подключения к компьютеру Windows нужно скачать из App Store приложение Microsoft Remote Desktop. В нем кнопкой «Плюс» можно добавить удаленный компьютер: введите его IP-адрес, имя пользователя и пароль. Двойной щелчок на имени удаленного рабочего стола в списке для подключения откроет рабочий стол Windows.
На смартфонах и планшетах под Android и iOS нужно установить приложение Microsoft Remote Desktop («Удаленный рабочий стол Майкрософт») и запустить его. Выберите «Добавить» введите параметры подключения — IP-адрес компьютера, логин и пароль для входа в Windows. Еще один способ — проброс на роутере порта 3389 на IP-адрес компьютера и подключение к публичному адресу роутера с указанием данного порта. Это делается с помощью опции Port Forwarding роутера. Выберите Add и введите:
А что насчет Linux? RDP –закрытый протокол Microsoft, она не выпускает RDP-клиентов для ОС Linux, но можно воспользоваться клиентом Remmina. Для пользователей Ubuntu есть специальные репозитории с Remmina и RDP.
Протокол RDP также используется для подключения к виртуальным машинам Hyper-V. В отличие от окна подключения гипервизора, при подключении по RDP виртуальная машина видит различные устройства, подсоединенных к физическому компьютеру, поддерживает работу со звуком, дает более качественное изображение рабочего стола гостевой ОС и т.д.
У провайдеров виртуального хостинга серверы VPS под Windows по умолчанию обычно также доступны для подключения по стандартному протоколу RDP. При использовании стандартной операционной системы Windows для подключения к серверу достаточно выбрать: «Пуск — Программы — Стандартные — Подключение к удаленному рабочему столу» или нажать Win+R и в открывшемся окне набрать MSTSC. В окне вводится IP-адрес VPS-сервера.
Нажав кнопку «Подключить», вы увидите окно с полями авторизации.
Чтобы серверу были доступны подключенные к вашему ПК USB-устройства и сетевые принтеры, при первом подключении к серверу выберите «Показать параметры» в левом нижнем углу. В окне откройте вкладку «Локальные ресурсы» и выберите требуемые параметры.
С помощью опции сохранения данных авторизации на удаленном компьютере параметры подключения (IP-адрес, имя пользователя и пароль) можно сохранить в отдельном RDP-файлом и использовать его на другом компьютере.
Ammyy Admin
Программное обеспечение схоже с TeamViewer. Однако Ammyy Admin отличается более простым интерфейсом, ограниченным функционалом. Утилита бесплатная для некоммерческого использования (до 15 часов в месяц). Для безлимитного доступа к приложению нужно приобрести платную версию. Стоимость ниже, чем у TeamViewer, но и полезных функций в Ammyy Admin намного меньше.
- понятный интерфейс;
- высокая скорость подключения за счёт оптимизации трафика;
- базовый функционал: возможность управлять файлами, общаться в чате, дистанционно пользоваться устройствами;
- приемлемые цены на платные версии приложения;
- 15 часов работы в месяц в бесплатном тарифе (этого времени вполне достаточно при нечастом пользовании дополнением).
Минусы Ammyy Admin:
- ограниченный функционал, который не подходит для серьёзного администрирования;
- отсутствие мобильной версии;
- неудобное управление несколькими ПК;
- при долгом пользовании происходят обрывы соединения.
Ammyy Admin прост в установке, использовании. Программа работает на высокой скорости. Инструмент подходит для короткого по времени подключения. Например, чтобы помочь непродвинутому пользователю настроить компьютер. Утилита полезна и тем, кому нужен нечастый доступ к ПК.
AnyDesk
AnyDesk — вторая по популярности программа для удалённого управления компьютером. ПО отличается простым, красочным интерфейсом, базовым набором функций в частной бесплатной версии. Как отмечают разработчики, особенности выпущенной утилиты в высокой скорости работы, маленьком объёме передаваемого трафика. Программа не требует отключения графики, уменьшения разрешения экрана.
Другие преимущества AnyDesk:
- базовый функционал, который нужен для работы с удалёнными устройствами;
- высокая скорость трансляции даже при нестабильном интернет-подключении;
- оригинальный интерфейс;
- сохранение подключенных устройств для быстрого доступа к ним;
- возможность одновременного управления несколькими удалёнными ПК;
- передача файлов двумя способами: копированием-вставкой, использованием специального менеджера.
Недостатки ПО:
- платный доступ к большинству функций: блокировка мыши и клавиатуры, запись удалённого сеанса и так далее;
- отсутствие чата для общения;
- высокая стоимость платной версии.
AnyDesk подходит для частного использования. Программа не перегружена функционалом, поэтому быстро подключается к удалённому устройству, делая дистанционное управление удобным.
Rms или Remote Utilities
Rms — одна из самых функциональных программ для доступа к устройствам на расстоянии. ПО можно использовать бесплатно в коммерческих и некоммерческих целях (разрешено управление несколькими компьютерами). Однако возможности инструмента несколько ограничены (не касается рядовых пользователей). Remote Utilities реализована в нескольких модулях: Host, Viewer, Agent, Remote Utilities Sever.
Преимущества дополнения:
- запись удалённого экрана;
- несколько режимов подключений;
- поддержка RDP через интернет;
- возможность воспользоваться утилитой без установки;
- встроенный чат, файлообменник;
- установка и развёртывание ПО на расстоянии;
- поддержка режима нескольких мониторов;
- мобильная версия.
- частичный перевод программного обеспечения;
- поддержка Windows 7, 8 10 (для других операционных систем приложение недоступно);
- сложность в использовании ПО.
Remote Utilities — бесплатная, многофункциональная утилита для доступа к компьютеру на расстоянии. Подойдёт как профессионалам, так и опытным пользователям. Новичкам же будет достаточно сложно в ней разобраться.
Radmin
Программа отличается широчайшим функционалом, но у неё нет бесплатного тарифа. Для пользования Radmin придётся заплатить. Однако разработчики предлагают новичкам 30-дневный бесплатный период. Этим можно воспользоваться, когда не требуется постоянный доступ к удалённому устройству. Особенность Radmin в том, что оно было выпущено ещё в прошлом веке. Но до сих продолжает функционировать.
Достоинства Radmin:
- широкий функционал;
- редкие опции: защита от подбора паролей, принудительное завершение работы ПК, подключение к BIOS удалённого устройства;
- надёжность и безопасность;
- высокая скорость работы;
- возможность серьёзного администрирования.
- отсутствие бесплатного тарифа;
- сложная установка и настройка (требуются специальные знания, навыки);
- мигание изображения при запуске приложения (на некоторых мониторах);
- использование IP-адрес клиента, что усложняет удалённое управление через интернет.
Полная версия Radmin позволяет провести серьёзное администрирование удалённого компьютера. Однако если инструмент нужен на короткое время, то подойдёт пробный период программного обеспечения.
Рабочие места пользователей – защищены?
Перейдем к безопасности рабочих мест.
Оцените безопасность рабочих мест удаленных пользователей: вы даете им рабочие станции с установленным золотым образом со всеми необходимыми фичами безопасности (antivirus, host-based IPS/Sandbox и т.п.), или они сидят со своих домашних ноутбуков с неизвестно каким софтом? Если ответ на этот вопрос – домашние устройства, то лучше бы после предоставления удаленного доступа зарулить трафик на NGFW с IDS/IPS, а в идеале еще и на сетевую «песочницу».
Одним из хороших вариантов также будет публикация на VDI конкретного приложения для работы (браузера, почтового клиента и т.п.). Это позволит разрешить доступ только к конкретным используемым приложениям.
Если у вас в компании запрещено подключение съемных носителей, то в случае удаленного доступа об этом также не стоит забывать, ограничив такую возможность для свежевыданных корпоративных ноутбуков.
Как обычно, убедитесь, что отключены небезопасные протоколы и службы, нелишним будет включить шифрование диска (вдруг ваш пользователь пойдет поработать в коворкинг, и его корпоративный ноутбук украдут?), не забудьте отобрать права привилегированного доступа (если ноутбук корпоративный).
Эксплуатация
Продумайте, как ваш ИТ-департамент будет эксплуатировать удаленные рабочие места и помогать пользователям в решении повседневных проблем. Явно потребуется удаленный доступ сотрудников техподдержки к удаленным рабочим местам пользователей.
Желательно, чтобы рабочие станции «разливались» из золотого образа, и вам не пришлось пытаться восстанавливать работоспособность домашних компьютеров сотрудников из-за того, что они поставили что-то не то, или, чего доброго, поймали какой-то ransomware. Лучше выдайте корпоративные ноутбуки с заранее известными мощностями и составом установленного ПО, чтобы не получить головную боль с домашними ПК сотрудников, ведь ими могут пользоваться дети, на них может дико тормозить система или может не быть необходимых средств защиты.
Нелишним будет напомнить пользователям перед переходом на удаленную работу существующие в компании политики безопасности: мало ли как захочется рядовому пользователю расслабиться в обеденный перерыв дома.
Как известно, протокол удаленного рабочего стола (Remote Desktop Protocol или RDP) позволяет удаленно подключаться к компьютерам под управлением Windows и доступен любому пользователю Windows, если у него не версия Home, где есть только клиент RDP, но не хост. Это удобное, эффективное и практичное средство для удаленного доступа для целей администрирования или повседневной работы. В последнее время оно приглянулось майнерам, которые используют RDP для удаленного доступа к своим фермам. Поддержка RDP включена в ОС Windows, начиная еще с NT 4.0 и XP, однако далеко не все знают, как ею пользоваться. Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.
Если должным образом разбираться в настройках, то RDP будет хорошим средством удаленного доступа. Он дает возможность не только видеть удаленный рабочий стол, но и пользоваться ресурсами удаленного компьютера, подключать к нему локальные диски или периферийные устройства. При этом компьютер должен иметь внешний IP, (статический или динамический), или должна быть возможность «пробросить» порт с маршрутизатора с внешним IP-адресом.
Серверы RDP нередко применяют для совместной работы в системе 1С, или на них разворачивают рабочие места пользователей, позволяя им подключаться к своему рабочему месту удаленно. Клиент RDP позволяет дает возможность работать с текстовыми и графическими приложениями, удаленно получать какие-то данные с домашнего ПК. Для этого на роутере нужно пробросить порт 3389, чтобы через NAT получить доступ к домашней сети. Тоже относится к настройке RDP-сервера в организации.
RDP многие считают небезопасным способом удаленного доступа по сравнению с использованием специальных программ, таких как RAdmin, TeamViewer, VNC и пр. Другой предрассудок – большой трафик RDP. Однако на сегодня RDP не менее безопасен, чем любое другое решение для удаленного доступа (к вопросу безопасности мы еще вернемся), а с помощью настроек можно добиться высокой скорости реакции и небольшой потребности в полосе пропускания.
Читайте также: