Как заблокировать TeamViewer для более безопасного удаленного доступа

TeamViewer – отличная бесплатная программа, хотите ли вы получить доступ к вашему компьютеру издалека или помочь друзьям и родственникам с их компьютером. Но его настройки по умолчанию удивительно небезопасны, вместо этого предпочтение отдается простоте использования. Вот как можно заблокировать TeamViewer, чтобы вы могли использовать его функции, не открывая себя для атаки.

Проблема с TeamViewer

Еще в 2016 году было множество компьютеров, скомпрометированных через TeamViewer. И только сейчас, в декабре 2017 года, TeamViewer был вынужден выпустить экстренное исправление для серьезной уязвимости в программе. Тем не менее, даже когда нет никаких явных дыр в безопасности или широко распространенных атак, пользователю TeamViewer очень легко взломать свой компьютер, если у него нет всех необходимых настроек в порядке. И если вы посмотрите на сообщения о прошлых скомпрометированных машинах, большинство жертв использовали незащищенную установку.

По умолчанию TeamViewer не является особо безопасным приложением. Это способствует простоте использования по сравнению с трудными для навигации процедурами безопасности. Это полезно, когда вы пытаетесь помочь своему отцу решить проблемы своего компьютера со всей страны: вы можете попросить его загрузить один файл, запустить этот файл, дать ему простой числовой идентификатор компьютера и пароль, а также бум , вы управляете своим компьютером и решаете кризис. Но оставить TeamViewer в этом простом режиме первого запуска (который на самом деле должен использоваться только в таком простом состоянии для тех, кто не работает в чрезвычайных ситуациях) просто напрашивается на неприятности.

Тем не менее, TeamViewer имеет множество опций безопасности, которые можно включать и настраивать, и действительно легко перейти от небезопасного взаимодействия с TeamViewer к очень защищенному TeamViewer с небольшими изменениями.

Однако, прежде чем мы продолжим, мы хотели бы помнить несколько вещей при чтении учебника. Во-первых, не каждому человеку нужно включать каждый предложенный нами вариант. Вам необходимо сбалансировать свои потребности и рабочий процесс с изменениями безопасности, которые вы вносите – например, вы не захотите включать функцию, которая требует от пользователя компьютера принимать входящий запрос TeamViewer, если вы используете TeamViewer для подключения на свой собственный компьютер без присмотра.

Во-вторых, если TeamViewer установлен на вашем компьютере благодаря вашей работе, нанятой вами службе технической поддержки или родственнику, который помогает в устранении неполадок и обслуживании вашего компьютера, мы рекомендуем вам прочитать эту статью (и, возможно, воспользоваться некоторых советов), но также проконсультируйтесь с лицом, ответственным за ваш опыт TeamViewer.

Основные практики безопасности

Прежде чем мы начнем разбираться с настройками TeamViewer, давайте поговорим о нескольких основных принципах безопасности (которые, честно говоря, применимы практически к любой программе, а не только к TeamViewer).

Выйдите из TeamViewer и запускайте его только тогда, когда вам это нужно

Наше первое предложение – это немедленное действие, которое вам необходимо предпринять , и общее предложение для будущего использования. Во-первых, компромиссы часто являются результатом плохой практики безопасности, мы собираемся сделать одну вещь: временно отключить TeamViewer и обновить его, и, пока приложение выключено, мы собираемся обновить безопасность на вашем Учетная запись TeamViewer через веб-страницу компании. (Подробнее об этом в следующем разделе.)

Как правило, в будущем запускайте приложение TeamViewer только тогда, когда оно вам нужно . Таким образом, даже при наличии уязвимости в программе (такой, как только что обнаруженная и исправленная), вы не будете подвергаться такой большой опасности. Приложение, которое не запущено, не доставит вам хлопот. Хотя мы понимаем, что некоторые люди поддерживают TeamViewer круглосуточно, как часть своего рабочего процесса, и, если вам абсолютно необходимо, хорошо. Но если вы используете его время от времени только дома, или вы один из тех, кто время от времени включает его для устранения неполадок с компьютером родственника, то не оставляйте его включенным весь день, каждый день. Это единственный лучший способ избежать предоставления кому-либо доступа к вашей машине.

Имея это в виду, закройте ваше приложение TeamViewer, если оно в данный момент работает, прежде чем переходить к следующим шагам.

Создать надежный пароль

После закрытия приложения TeamViewer пора войти в свою учетную запись TeamViewer по адресу https://login.teamviewer.com. Если вы используете TeamViewer без учетной записи, мы настоятельно рекомендуем вам зарегистрировать бесплатную учетную запись, поскольку она намного безопаснее. Мало того, что многие из советов по безопасности, которые мы собираемся выделить в этом руководстве, основаны на функциях, доступных только владельцам аккаунтов, но вы не можете воспользоваться недавно внедренными закулисными функциями безопасности – аккаунтом. мониторинг и доверенные устройства – без учетной записи.

После входа нажмите свое имя в правом верхнем углу экрана и в раскрывающемся меню выберите «Редактировать профиль».

Вы попадете в раздел «Общие» меню «Настройки профиля». Здесь есть два раздела, которые нас непосредственно интересуют: ссылка «Изменить пароль» и двухфакторная аутентификация (к которой мы скоро приступим). Выберите «Изменить пароль».

Введите свой текущий пароль и замените его длинным, надежным новым паролем. Подтвердите пароль и затем выберите «Изменить пароль». Нужно освежить свои сильные навыки создания пароля? Мы вас покроем.

Включить двухфакторную аутентификацию

Прежде чем мы продолжим, мы должны настоятельно подчеркнуть. Включение двухфакторной аутентификации в вашей учетной записи TeamViewer повышает безопасность учетных данных для вашей учетной записи TeamViewer. По умолчанию не применяет двухфакторную систему к реальному клиенту. Вы можете установить очень надежный пароль в своей учетной записи TeamViewer и включить двухфакторную аутентификацию, но если вы оставите для пароля клиента установленный по умолчанию четырехзначный цифровой пароль, то двухфакторная аутентификация не сможет вас защитить.

Чрезвычайно важно, чтобы вы завершили весь учебник здесь и (как мы продемонстрируем в последующих разделах) либо установите очень надежный пароль на своем клиенте TeamViewer, либо, что еще лучше, заблокируйте свой клиент для своей учетной записи (таким образом, привязав его к двум факторам аутентификация).

После изменения пароля вы, как и на предыдущем шаге, автоматически выйдете из своей учетной записи TeamViewer. Войдите в систему и вернитесь в то же место в меню «Профиль»> «Общее». Выберите ссылку «Активировать» рядом с «Двухфакторная аутентификация».

Если вы не знакомы с двухфакторной аутентификацией, вы можете прочитать об этом здесь. Короче говоря, двухфакторная аутентификация добавляет еще один уровень идентификации к процессу входа в систему (вместо просто вашего адреса электронной почты и пароля вам понадобится ваш адрес электронной почты, пароль и уникальный код, сгенерированный приложением для аутентификации на вашем мобильном телефоне). TeamViewer поддерживает несколько аутентификаторов, в том числе Google Authenticator (iOS/Android) и Authy (iOS/Android). Найдите минутку, чтобы установить одно из вышеупомянутых приложений, если вы его еще не используете.

Выбрав «Активировать», вы увидите это маленькое меню, описывающее двухфакторную аутентификацию. Нажмите «Начать активацию».

В этот момент вы увидите экран, подобный показанному ниже, с большим черным QR-кодом в центре. Откройте выбранный вами аутентификатор, нажмите кнопку, чтобы добавить новую услугу, и отсканируйте QR-код.

Если по какой-либо причине сканирование не работает, вы всегда можете щелкнуть ссылку «ввести секретный ключ вручную» и ввести ее вместо сканирования. Как только вы успешно добавили его в свой аутентификатор, нажмите «Далее».

Проверьте код безопасности для TeamViewer в вашем приложении-аутентификаторе и введите его сейчас. Нажмите «Активировать» для подтверждения.

На последнем шаге распечатайте код аварийного восстановления. Храните этот код в надежном месте. Если вы потеряете доступ к своему аутентификатору, это единственный способ удалить двухфакторную аутентификацию.

На данный момент мы закончили с веб-сайтом. После распечатки кода экстренной помощи вы можете выйти с сайта.

Обновление TeamViewer

Если вы запускаете TeamViewer нечасто или если автоматические обновления отключены где-то вдоль линии, возможно, вы не используете самую последнюю версию. Однако установочный файл TeamViewer очень мал, поэтому просто взять самую свежую копию и запустить ее, чтобы убедиться, что ваше приложение TeamViewer обновлено до того, как мы его снова откроем.

Вы можете скачать обновленную версию настольного приложения здесь. Запустите приложение и выберите «Базовую» установку (чтобы запретить установку TeamViewer в качестве службы Windows), а затем запустите TeamViewer и войдите в приложение с новым паролем.

Сразу после входа в систему вам будет предложено ввести код безопасности из двухфакторного кода безопасности. Ссылка на ваше приложение для проверки подлинности и введите его сейчас.

Чтобы сделать его более безопасным, после завершения процесса входа в систему вы можете выбрать «Справка»> «Проверить наличие новой версии» на панели инструментов, чтобы подтвердить, что вы используете самый последний номер версии.

Заблокируйте настройки безопасности TeamViewer

На данный момент вы уже впереди игры, просто заменив свой пароль на новый и более надежный и включив двухфакторную аутентификацию.Хотя это в целом защищает вашу учетную запись TeamViewer, нам все же необходимо проделать небольшую работу в самом приложении TeamViewer.

Мы хотим подчеркнуть то, что мы отметили в начале урока: выбранные вами параметры и параметры сильно зависят от того, как вы используете TeamViewer. Если вы настраиваете TeamViewer как способ удаленного доступа к своему компьютеру, находясь вдали от дома, тогда вы сделаете другой выбор, чем если бы вы настраивали клиент TeamViewer на компьютере ваших пожилых родителей. Мы призываем вас обеспечить максимальное количество настроек, которое вы можете, не уменьшая полезность TeamViewer до такой степени, что это скорее препятствие, чем помощь.

Чтобы начать, перейдите в Дополнения> Параметры в строке меню.

Все изменения настроек, которые мы сделаем, находятся в меню опций расширения. Чтобы избежать путаницы, мы собираемся пройтись по меню опций, подменю за подменю.

Общие сведения: нет автоматического запуска и контировки

Для начала выберите вкладку «Общие» в левой навигационной панели.

Здесь есть две большие настройки, которые вы хотите настроить. Во-первых, вы хотите подтвердить, что «Запуск TeamViewer с Windows» не отмечен, если у вас нет очень неотложной причины для его включения. Если вы даете техническую поддержку, вам не нужно запускать TeamViewer с Windows. С другой стороны, если получатель технической поддержки не может справиться с проблемой, чтобы запускать TeamViewer всякий раз, когда они вам звонят, включение этого параметра на их компьютере может быть необходимым злом, но, как мы уже говорили, лучше всего запустить TeamViewer, когда вы активно его используете, а это означает, что снимите этот флажок.

Внизу вы найдете раздел с названием «Контировка счета». Нажмите кнопку «Назначить учетной записи» и назначьте свой компьютер определенной учетной записи TeamViewer. Если это ваш персональный компьютер, к которому вам нужен доступ, вы хотите назначить компьютер своей учетной записи. Если этот компьютер принадлежит человеку, которому вы часто помогаете, то вы хотите назначить его компьютер вашей учетной записи.

Мы не можем переоценить, какое повышение безопасности это предлагает. Если в вашей учетной записи включен надежный пароль и двухфакторная проверка подлинности, это означает, что вместо слабого случайного пароля по умолчанию клиент TeamViewer создает каждый сеанс, любому, кто пытается получить доступ к удаленному компьютеру, потребуется ваш логин, надежный пароль, и доступ к вашему аутентификатору.

Безопасность: легкий доступ, надежные пароли и белые списки

Наша следующая остановка – секция безопасности. Выберите «Безопасность» на левой панели.

Здесь у вас есть несколько вариантов, касающихся доступа к паролю и Windows. Во-первых, у нас есть раздел «Персональный пароль». Здесь вы можете установить личный пароль для этого клиента TeamViewer (для удаленного доступа) и предоставить «простой доступ» (при этом указанной учетной записи не нужно вводить пароль для доступа к машине, если они вошли в свой TeamViewer. учетная запись).

Некоторые люди предпочитают вручную устанавливать очень надежный пароль для своего компьютера (а не полагаться на случайно сгенерированные, которые TeamViewer использует по умолчанию). Пока вы устанавливаете очень надежный пароль, и используют функцию белого списка, к которой мы скоро доберемся, это безопасный вариант. Однако без белого списка личный пароль открывает еще один вектор атаки, поскольку для доступа к компьютеру кому-то понадобятся только идентификатор TeamViewer и пароль – ему даже не понадобится маркер двухфакторной аутентификации.

Мы не рекомендуем использовать функцию «легкий доступ», если у вас нет надежного пароля в учетной записи TeamViewer и вы не включили двухфакторную аутентификацию, поскольку это устраняет необходимость в сгенерированном вручную или случайным образом пароле для доступа к компьютеру. (если вы вошли в свою учетную запись TeamViewer). Опять же, вам необходимо сбалансировать проблемы безопасности с простотой использования.

Если вы придерживаетесь случайно сгенерированных паролей (когда конечный пользователь, как и ваша мама, должен будет каждый раз сообщать вам пароль), мы рекомендуем вам перейти с более слабой длины пароля по умолчанию на «Очень безопасный (10 символов) )». Кроме того, вы можете отключить эту функцию, если на предыдущем шаге вы выбрали надежный пароль.

В разделе «Правила подключения к этому компьютеру» вы можете указать две вещи: учетные данные для входа в Windows и черный/белый список. Мы настоятельно рекомендуем оставить параметр «Вход в Windows» как «Теперь разрешено». Если вы включите этот параметр, TeamViewer примет учетные данные для входа, действительные на компьютере, в качестве допустимого кода доступа для приложения.Если у пользователя компьютера слабый пароль, это очень проблематично, и лучше оставить его отключенным.

Наконец, вы определенно хотите установить белый список для компьютера. Нажмите кнопку «Настроить» рядом с записью «Черный и белый список».

Выберите «Разрешить доступ только для следующих партнеров», а затем нажмите «Добавить». Вам будет представлен список контактов TeamViewer для выбора. По умолчанию вы единственный человек в вашем списке контактов. Если вы используете TeamViewer только для доступа к своим машинам, тогда это прекрасно, вы можете просто внести свой белый список и назвать его хорошим.

Однако если вы настраиваете компьютер для родственника, вам нужно добавить себя в качестве контакта в его учетную запись TeamViewer, если вы хотите использовать функцию белого списка. Вы можете сделать это, закрыв меню параметров здесь, вернувшись в главное окно TeamViewer, и щелкнув по маленькому значку двойной стрелки рядом с их именем в правом нижнем углу экрана (это расширит список «Компьютеры и контакты»). Нажмите «Добавить контакт» внизу списка, чтобы добавить себя в качестве контакта.

Если вам нужно добавить кого-нибудь еще (например, родного брата, который также помогает с компьютером мамы и папы), сейчас самое время это сделать.

Как только дополнительные люди, если потребуется, окажутся в списке контактов, вы можете просто вернуться в предыдущее меню, выбрать «Добавить» и затем выбрать все учетные записи TeamViewer, которые вы хотите добавить в белый список. Нажмите «ОК» для подтверждения.

Дополнительные параметры: детальный контроль над функциями удаленного доступа

Если вы зашли так далеко – настроили двухфакторную аутентификацию, использовали надежные пароли, настроили белый список – вы в отличной форме, и вам, возможно, больше не придется выполнять расширенную настройку. Однако меню расширенных настроек предлагает действительно детальный контроль над аспектами работы TeamViewer, которые позволяют вам защитить как свои собственные компьютеры, так и компьютеры, которым вы помогаете, как от вмешательства извне (так и от ошибок пользователя).

Для доступа к дополнительным настройкам выберите вкладку «Дополнительно» на левой навигационной панели.

Есть предупреждение, что вы действительно должны прочитать руководство, прежде чем вносить какие-либо изменения. Это правда. Вам обязательно следует прочитать руководство, если вы планируете поиграться с какими-либо настройками, через которые мы вас специально не проводим. Неспособность прочитать документацию – это путь к печали.

Для доступа к дополнительным параметрам нажмите «Показать дополнительные параметры». Здесь происходит много , но нас интересует только один конкретный раздел в расширенном меню «Расширенные настройки для подключения к этому компьютеру».

Здесь вы найдете запись для «Контроль доступа», которая по умолчанию установлена ​​на «Полный доступ». Вместо того, чтобы оставить «Полный доступ», мы настоятельно рекомендуем вам выбрать «Пользовательские настройки» из выпадающего меню.

После выбора «Пользовательские настройки» нажмите кнопку «Настроить» прямо под полем.

Здесь вы найдете широкий спектр детализированных разрешений для сеанса удаленного доступа, которые можно настроить как «разрешить», «после подтверждения» или «отказано». То, как вы настраиваете эти настройки, сильно зависит от ваших потребностей, и настройки, которые мы имеем на приведенном выше снимке экрана, просто показывают различные состояния, в которых могут быть записи.

Если, например, вы настраиваете компьютер в собственной домашней сети для легкого удаленного доступа, было бы глупо переключать «Подключиться и просматривать мой экран» на «После подтверждения», потому что вам пришлось бы тащиться до конца на сервер подвала, чтобы вручную подтвердить удаленный доступ. И в тот момент, кому нужен удаленный доступ … вы уже стоите там.

С другой стороны, однако, если у вас есть друг, член семьи, для клиента, который беспокоится о конфиденциальности и о возможности случайного подключения к их компьютеру без предварительного уведомления, то включение «После подтверждения» позволяет вам сказать «Посмотрите Таким образом, я могу подключиться к вашему компьютеру только в том случае, если вы явно нажмете «ОК» и разрешите ».

Отдельные переключатели контроля доступа подробно описаны на странице 72 руководства TeamViewer 11 (PDF), но мы выделим здесь настройки, которые обычно следует переключать на «После подтверждения» практически при любых обстоятельствах:

• Передача файлов . Установите для этого параметра значение «После подтверждения» для удаленных компьютеров, которые вы обслуживаете. Зачем давать злоумышленнику простой способ загружать налоговые декларации своих родителей или загружать что-либо на свою машину?
• Установите VPN-подключение к этому компьютеру . Редко возникает необходимость в настройке фактической виртуальной сети между компьютерами, и, если у вас нет действительно веской причины для ее включения, отключите ее в целях безопасности. , Установите для этого «Отклонено».
• Управляйте локальным TeamViewer : если вы настраиваете это на компьютере родственника, вы должны установить для него значение «После подтверждения», на случай, если вам действительно потребуется внести некоторые удаленные изменения в клиент TeamViewer. по дороге. Если вы настраиваете его на своем компьютере, вам следует установить «Отклонено». Как часто вам нужно будет удаленно подключаться к вашему компьютеру и вносить большие изменения в TeamViewer?
• Передача файлов с помощью окна файла . Как и в случае с настройками передачи файлов, этот параметр должен быть установлен на «После подтверждения». Если какие-либо файлы покидают удаленный компьютер, кто-то должен это подтвердить.

В дополнение к другим мерам безопасности, которые мы внедрили, эти дополнительные меры предосторожности гарантируют, что если кто-то получит доступ к TeamViewer, он не сможет закачать файлы или перенести вредоносное ПО на компьютер.

Наша следующая остановка важна, если вы используете случайно сгенерированные пароли для обеспечения безопасности удаленного компьютера. Под разделом контроля доступа есть запись с меткой «Случайный пароль после каждого сеанса». В раскрывающемся меню выберите «Создать новый», чтобы создать новый случайный пароль каждый раз, когда кто-то пытается подключиться к TeamViewer.

Опять же, как и для всех опций, которые мы рассмотрели, настройте этот вариант в соответствии со сценарием, для которого вы используете TeamViewer. Если чтение длинного и случайного пароля по телефону нецелесообразно для человека, которому вы помогаете, тогда вместо этого выберите вариант с надежным ручным паролем, который мы рассмотрели на вкладке «Безопасность» ранее в руководстве.

Наконец, если вы настроили удаленный компьютер с ограниченной учетной записью пользователя (мудрый выбор, если вы настроили компьютер для не технически подкованного родственника), вы можете прокрутить вниз до «Параметры TeamViewer» и проверить «Изменения». требовать административные права на этот компьютер ».

Это гарантирует, что только кто-то на компьютере с административным доступом (будь то вы или взрослый в удаленном домохозяйстве) сможет вносить изменения в настройки TeamViewer. Дополнительно (или в качестве альтернативы) вы также можете установить пароль прямо в приложении TeamViewer с помощью «Защитить параметры с помощью пароля».

Для осторожных: альтернативы TeamViewer

Мы лично не спешим отказываться от TeamViewer, но если вы столкнулись с компромиссом в настройке TeamViewer, мы полностью понимаем, заинтересованы ли вы попробовать альтернативное приложение для удаленного рабочего стола. Вот несколько альтернативных приложений, которые вы могли бы рассмотреть:

• Удаленный рабочий стол Windows . Доступно для Windows и macOS (в качестве клиента для доступа к компьютерам с Windows). Он бесплатный и довольно простой в настройке, но имеет большое ограничение: пользователи любой версии Windows могут подключаться к другим ПК с Windows с помощью удаленного рабочего стола, но домашние выпуски Windows не могут размещать соединение. Для получения справки по настройке удаленного рабочего стола Windows см. Наш учебник здесь.
• Splashtop . Бесплатно для личного использования, если вы используете его только в локальной сети, но за $ 16,99 в год за «Anywhere Access Pack», который обеспечивает настоящий удаленный доступ. Доступны настольные клиенты для Windows, macOS и Ubuntu Linux. Splashtop предлагает аналогичные возможности TeamViewer, включая управление удаленным рабочим столом, передачу файлов и так далее.
• Удаленный рабочий стол Chrome . Относительно новое предложение от Google. Удаленный рабочий стол Chrome представляет собой бесплатное расширение для браузера Chrome, которое устанавливает безопасное соединение удаленного рабочего стола между браузером Chrome пользователя и удаленным компьютером. Он кроссплатформенный и работает везде, где работает Chrome. Большим недостатком является то, что он имеет более ограниченный набор функций, и если в системе, которую вы пытаетесь исправить, возникают проблемы с веб-браузером, вам потребуется альтернативный способ доступа к удаленному рабочему столу.

Мы предложили три альтернативы здесь из-за их одинаковой простоты использования и солидных результатов, а не потому, что они по своей природе лучше TeamViewer или невосприимчивы к потенциальным эксплойтам. Как всегда, тщательно взвешивайте свои варианты и применяйте те же принципы, о которых мы говорили в отношении TeamViewer – не используйте инструмент, когда он не используется, используйте надежные пароли и т. Д. – при использовании альтернативного решения для удаленного рабочего стола.

Хотя конфигурирование TeamViewer так же интенсивно, как мы только что это сделали, является способом более трудоемким, чем просто запуск приложения в его состоянии по умолчанию, давайте будем здесь реальными. Ваши данные и безопасность (а также данные и безопасность людей, которым вы помогаете с TeamViewer) того стоят.Когда у вас под рукой десятки параметров безопасности, как мы только что продемонстрировали, нет оправдания запуску TeamViewer без учетной записи пользователя, двухфакторной аутентификации и слабого пароля.