Поддержка пользователей и удаленное управление ПК

Есть такая тема – использование удаленного управления рабочими столами для поддержки пользователей (опять недавно всплыла). С одной стороны вещь полезная, поскольку позволяет и проблемы устранять в территориально распределенной сети без квалифицированного локального персонала, и FLR поднимать (поскольку первая линия ногами, как правило, не пользуется), и скриншоты для профильных специалистов снимать при регистрации обращения. Но да – есть и вопросы безопасности.

По мне так это именно вопросы, а не проблемы, которые не преодолеть. Работал с многими компаниями, где безопасники давали разрешение на применение таких средств после того, как проводили экспертизу и получали гарантию, что подключение к ПК пользователя можно выполнить только с его ведома и согласия, в его контексте безопасности и без лишних функциональных возможностей (типа кейлогов). Даже в банках. Использовали таким образом на моей памяти встроенные средства windows, клиент удаленного управления в MS SMS (ныне MS CCM), radmin.

Однако находятся граждане безопасники достаточно суровые, чтобы сказать: «Нет и все, и не просите». Отчасти и ИТ-шники наверно виноваты, требуя «Дайте нам дамеварь!». А оно, конечно, слишком могучее. Избыточно и значит небезопасно.

Потому есть вопросы к широким массам коллег, занятых поддержкой пользователей. Используете? Если да, то что и долго ли пришлось пробивать? Если нет, почему и что предлагали?

ITIL Expert Уверенная дорога до ITIL Expert
 

Экономия на обучении до 30% для тех, кто хочет быстро добраться до высшей ступени в ITIL
 

Узнайте больше!

Комментарии и мнения

      1. Альберт

        Дмитрий, это в контексте «... находятся граждане безопасники ...». Как правило, сертификация решает проблему с «пробиванием» системы в службе безопасности. Но здесь для каждой организации свои требования, как говорится «То, что хорошо для русского — для немца смерть».

  1. Grigory Kornilov

    Если мы говорим о внутренней поддержке (не сторонними организациями), то имхо для безопасников должно быть достаточно:

    1. Наличие логов (кто-когда-куда заходил).

    2. Интеграция с AD, персональная авторизация, наличие согласованного списка поддержки, возможность быстро запретить\исключить возможность.

    3. VIP поддержка.

    Если сторонней организацией, то надо принимать риски, что конфиденциальная информация будет доступна сторонней компании.

  2. Grigory Kornilov

    Мы используем так же MS Lync, рекомендую:

    1. Интеграция с AD.

    2. Включается в себя коммуникации (чат, телефон, видео, конференция) и контроль доступности пользователя.

    3. Стандартно и понятно пользователю (не воспринимается как бекдор через левую программу).

    4. Возможность предоставления доступа лично пользователем через шарить рабочий стол.

  3. Vladimir Lyaleko

    У нас для удаленной поддержки внутренних и внешних клиентов используется Support Automation.

    Безагентский модуль удаленной поддержки позволяет устанавливать прямое соединение

    между исполнителем и пользователем вне зависимости от конфигурации ПО на компьютере и его местоположения. Хоть в интернет кафе сеанс поддержки инициируй 🙂

    Я подобной архитектуры больше нигде не встречал, хотя отсутствие необходимости держать установленные агенты или привязываться к AD снимает много вопросов в части взаимоотношений с внутренними и внешними клиентами.

      1. Vladimir Lyaleko

        Инициирует пользователь, инженер поддержки может только приглашение (ссылку) отправить.

        Указанные Вами решения не заточены под удаленную поддержку, скорее для проведения видеоконференций. Для поддержки( полного контроля удаленного компьютера) Team viewer агенты требует (нет ?). Плюс нет таких функций поддержки, как доступ к реестру, запуск диагностических скриптов, интеграция с системой автоматизации ITSM процессов и т.д.

        Интересно о каких большом вопросе по безопасности идёт речь ?

        1. Дмитрий Исайченко Автор

          "Интересно о каких большом вопросе по безопасности идёт речь ? "

          Если инженер поддержки может удаленное инициировать удаленное управление _без_агента_на_клиентском_ПК_, это значит, что агентская часть ставится на лету, нет? Если да, для этого нужны полномочия либо у инженера поддержки, либо у поддерживаемого пользователя. Вопрос, как обычно, в необходимости таких полномочий и контроле их применения исключительно в мирных целях.

          Или там совсем по-другому (просто я не знаю это решение, могу ошибаться)?

          1. Vladimir Lyaleko

            Схема именно такая, как вы описали, только сначала агент компилируется \ собирается на лету, потом запускается, потом удаляется. Прав обычного пользователя как правило оказывается достаточно для сеанса поддержки, хотя бывают кейсы когда запрещено вообще запускать что либо, кроме определенного списка программ, тут мы попадаем на «Нет и все, и не просите» к сожалению...

            1. Дмитрий Исайченко Автор

              Да, любопытно. Но тут есть ещё одна засада, как мне кажется. Если соединения, как Вы говорите, устанавливаются через МСЭ (а они есть и на стороне инженера, и на стороне пользователя), то скорее всего для обмена данными используется промежуточный сервер (так же, как в mikogo и team viewer'е). То есть даже при поддержке только во внутренней сети возникает передача данных наружу (насколько я понимаю). Поэтому Windows Remote Assistant для решения внутренних задач мне кажется более предпочтительным вариантом. Или неправ?

              1. Vladimir Lyaleko

                Внутренний сервер поддержки есть, но он нужен для компиляции \ настройки доступов, контроля. Сеанс устанавливается как точка — точка... При сеансе можно сервер отключить, сеанс не разорвется 🙂 Передача данных наружу возможна, если мы этого захотим, но не является обязательной.

                Могу прислать на почту ролик и документацию по старой версии ПО. Сейчас отдельно его уже не продают, рекламой это точно не будет.

        2. Grigory Kornilov

          Владимир, несколько вопросов:

          1. какими правами на компьютере должен обладать пользователь

          2. какими правами на компьютере должен обладать инженер поддержки

          3. какие права делегируются инженеру поддержки при подключении

          4. какова надежность процедуры подключения

          5. каков уровень логирования

          6. какова процедура предоставления фукнции инженеру поддержки

          1. Vladimir Lyaleko

            Григорий, почему у меня от Ваших вопросов возникает чувство, что я пытаюсь Вам это ПО продать ? :))

            Я поделился, чем пользуются в нашей компании. Решения уже нет на рынке, купить его отдельно вы уже не сможете.

            Попробую кратко ответить на Ваши вопросы:

            1. Права пользователя, главное чтобы можно было запустить скомпилированный файл.

            2. Аналогично.

            3. При выполнении поддержки можно выполнить любую задачу со своими правами, либо с правами пользователями, либо с правами администратора \ любого другого пользователя.

            4. Там целя история при компиляции с цифровой подписью, сертификатами, шифрованием и так далее. Это очень обширная тема, нужно изучать документацию.

            5. Абсолютно любая активность логируется, либо в системе автоматизации и \ или на сервере поддержки.

            6. Инженер так-же компилирует свой агент по ссылке. Как правило в течении рабочего дня этот агент открыт и когда пользователь запросил поддержку окно поддержки инженера становится активным.

            Если действительно интересно, могу Вам выслать набор технической документации и обзорный ролик по старой версии, когда софт был ещё отдельным продуктом. Я к сожалению глубоких технических деталей не знаю.

    1. Дмитрий Исайченко Автор

      Dameware — слишком много функциональности, часть вполне может быть расценена как небезопасная.

      MS Lync — если я правильно понимаю, работает как Skype — можно показать свой экран, но удаленного управления нет.

      RAdmin — да, но в отличие от Remote Assistant стоит отдельных денег.

      1. Георгий

        Дим, ты говоришь про полный пакет утилит Dameware, а можно взять только Mini Remote Control (DMRC) - это как раз то, что

        — для 1 линии нужно для обслуживания пользователей удаленно

        — стоит дешевле

        — обладает меньшей функциональностью, следовательно, для паранояльных сотрудников безопасности менее опасно

        ...

        PROFIT?

        насчет того, что может Lync, постараюсь уточнить и отпишу потом, что узнал

      2. Андрей Фролов

        Добрый вечер! Используем и MS SCCM, и MS Lync. У последнего, кстати, замечательное удалённое управление, которое пользователь в любой момент может как выдать (инженеру поддержки, например), так и отобрать. Этим инструментом любит пользоваться поддержка бизнес-ПО — можно и инцидент решить, и заодно, например, других пользователей подключить и показать им решение (и ещё сопроводить это действо словесным объяснением:) ).

        Немного по поводу безопасности — у нас по SCCM инженер поддержки без предварительного согласия пользователя (как правило, по телефону) не подключается.

  4. Владимир Максимов

    У наших клиентов (особенно в банковской сфере) большой популярностью пользуется функционал, когда специалист техподдержки может подключится к ПК пользователя (с согласия пользователя), видит экран, но ничего не может на нем сделать. Но может на нем рисовать — нажмитевот эту кнопку, зайдите в этот пункт меню. И, разумеется, все факты сессий логируются — кто, куда, когда подключался.

  5. Ilinskiy Andrey

    Свое время (давно надо сказать было) так же стояла подобная задача. В результате сформировали вот такой список:

    1. Нужно было найти решение, которое подключалось бы за NAT (не все компьютеры в одной сети)(виндовые шняги отпадают).

    2. Серверная часть на собственных серверах(Тимвьевер, сори)

    3. Протоколирование всех операций, отчеты о «подозрительных» операциях(еще добрая часть минус).

    4. Все действия должны быть с одобрения пользователя

    5. Должен быть как устанавливаемый клиент, так и клинт on-demand.

    AD не было, так что в этом ключе требований не предъявлялось.

    Примерно полгода на это ушло. Конечно готового решения не нашли. В результате, нашли Украинскую «поделку» и заказли доработку под наши нужды. Вышло очень не дорого, зато покрыли все наши требования.

    Это я к тому, что зачастую малоизвестный производитель готов с радостью делать доработку, не нужно это забывать.

    P.S. Решение так же потом пошло в массы и создали продукт для поддержки внешних клиентов.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

ОКТ
22