Site icon Martin Haller, Blog o ochraně a správě firemního IT

TeamViewer: zkušenosti po 4 letech používání (část 1/2)

TeamViewer logo

Rok 2019 se pěkně rozjel. Já jsem začal konečně s přípravou na certifikaci OSCP (kurz „Penetration Testing Training with Kali Linux“), kterou jsem si sliboval od minulého roku. Zatím hlásím – je to pecka! Jsem z kurzu hodně nadšený a přál bych si na něj mít více času, než se mi zatím podařilo.

V tomto článku se zaměřím na TeamViewer, který stejně jako Hyper-V nebo Ubiquiti UniFi tvoří naši standardizovanou výbavu a již 4 roky je naším primárním nástrojem pro vzdálenou podporu.

K čemu slouží TeamViewer

TeamViewer je program pro vzdálené ovládání zařízení (PC a servery s Windows, tablety a telefony s iOS i Androidem). Při připojení na vzdálený počítač vidíte to samé, co uživatel, který u počítače právě sedí (na rozdíl od RDP) a můžete jezdit s „jeho“ myší a manipulovat s „jeho“ klávesnicí. Nejčastěji jej využívají firmy/lidé poskytující vzdálenou podporu uživatelům. Stejně jako my.

TeamViewer využívá k připojení na vzdálené zařízení své servery („cloud“), takže není třeba nic konfigurovat na routeru a dělat „port forwardy“ (na rozdíl od RDP nebo některých VNC).

Kromě vzdáleného ovládání zařízení lze TeamViewer používat i pro online schůzky. Kdy se online „sejde“ více lidí za účelem prezentace/webináře/nebo spolupráce na projektu. Ti mezi sebou pak sdílí své obrazovky/aplikace. V tomto režimu však TeamViewer nepoužíváme, tak se k tomu nemohu více rozepsat.

TeamViewer můžete používat bez jakékoliv registrace. To je však vhodné jen pro sporadické používání. Nebo si vytvoříte TeamViewer účet (licence není třeba) a získáte možnost vést si online „adresář“ s počítači, ke kterým se připojujete.

TeamViewer a soukromí uživatelů

Důležitá vlastnost TeamVieweru je, že se nedá použít pro špehování uživatelů (na rozdíl od VNC). Pokaždé, když se někam připojíte, zobrazí se uživateli vpravo dole okénko, díky kterému ví, že je na jeho zařízení někdo připojen a kdo to je. Toto chování nelze změnit a je to tak naschvál. Zároveň se veškeré informace o připojení logují (v cloudu i místně, záleží na nastavení).

My toho, že se uživateli zobrazuje, kdo je k němu připojen, využíváme. Každý u nás má vlastní TeamViewer účet na své jméno a se svou fotografií (viz obrázek níže). Je to důležité pro bezpečnost a zároveň to zlepšuje vztahy a podporuje důvěru u zákazníků.

Pro připojení na vzdálené zařízení potřebujete znát jeho TeamViewer ID (je stále stejné) a heslo. Přičemž heslo může být náhodné (po každém připojení se měnit), statické (vámi předdefinované) nebo nemusí být heslo použito vůbec (tzv. easy access, kdy se ověřuje, že váš TeamViewer účet má právo se k vzdálenému zařízení připojit).

To, že se můžete k vzdálenému zařízení připojit kdykoliv (je-li v něm spuštěn TeamViewer a znáte-li ID s heslem), se nemusí všem uživatelům líbit. V takovém případě je možné nakonfigurovat TeamViewer tak, aby připojení na vzdálené zařízení musel uživatel u daného zařízení schválit. Na druhou stranu se vzdáte jistého komfortu, např. pokud byste se chtěli připojit na zařízení za účelem opravy problému v době, kdy si jeho uživatel odskočil na oběd (abyste ho zdržovali od práce).

Obrázek 1: TeamViewer účet s fotografií

Varianty TeamVieweru

Když se rozhodnete TeamViewer stáhnout, narazíte na to, že existuje více „variant“:

Kolik stojí TeamViewer

TeamViewer je zdarma pro osobní (nekomerční) využití. My ho však používáme komerčně, proto jej musíme (tvrdě) platit. Bezplatná verze má stejnou funkcionalitu jako placená (až na management consoli). Možná proto se výrobce brání jejímu zneužívání. A pokud ji „nadužíváte“ (připojujete se na větší množství zařízení, nebo se připojíte na nějaké zařízení, kde je „komerční“ licence TeamVieweru), účet vám zablokují a nabídnou vám placenou verzi.

Placené verze TeamVieweru se liší funkcionalitou (viz předplatné programu TeamViewer). V podstatě čím vyšší licence, tím více funkcí pro pohodlnou práci více uživatelů. Živnostník/samostatný správce si vystačí s licencí „Single User“. Malé interní IT oddělení/malá outsourcingová firma s „Multi User“ licencí. Týmy o 4 a více lidech pak budou muset sáhnout po Corporate licenci (případně Enterprise licenci – ceny nejsou veřejné).

Cenový vývoj

V počátcích naší firmy jsme používali LogMeIn Central (alternativa TeamVieweru). Platili jsme ročně formou předplatného. Avšak poslední 2 roky nám LogMeIn hodně podražilo (každý rok se dvojnásobně zvedaly ceny a měnila se struktura balíčků).

Jelikož se nám agresivní zdražovaní LogMeIn nelíbilo a nevěděli jsme, kam až zdražování vyšplhá, rozhlíželi jsme se jinde. V hledáčku jsme měli i TeamViewer – plusové body od nás dostal za funkcionalitu, mínusové za ceny ( Corporate verze tehdy stála cca 56 tisíc korun). Nicméně začátkem roku 2015 se ceny srovnaly, tak jsme přešli z LogMeIn Central na TeamViewer 10.

Další pozitivum. Pořídit si TeamViewer znamenalo jednorázový nákup. Nikoliv roční předplatné jako u LogMeIn. Samozřejmě jsme nebyli naivní. Bylo nám jasné, že TeamViewer vždy v prosinci vydá novou verzi programu (10.x -> 11.x -> 12.x …) a za upgrade si řekne o peníze.

Přichází předplatné

Jako spousta jiných firem, i TeamViewer změnil licenční politiku. V roce 2018 přestal prodávat „trvalé“ licence a začal nabízet pouze „předplatné“. Ti, co mají starší verze TeamVieweru, mají určitou výhodu. Mohou je používat až do doby ukončení jejich podpory a ušetřit tak nějaké peníze. Podle přehledu podporovaných OS u jednotlivých verzí to ale může být dříve, než by kdo čekal, viz Which operating systems are supported, Win10 v1809 podporované pouze nejnovější verzí TV).

Poznámka: Nevýhodou licence na starší verzi je, že se nepřipojíte na zařízení s novější verzí TeamVieweru (např. když máte licenci na verzi 12, tak se nepřipojíte na zařízení, které má nainstalován TeamViewer verze 13 a novější).

Osobně bych řekl, že s přechodem na předplatné došlo ke zdražení TeamVieweru. Bohužel nikde nemám uložené původní ceny. Pokud je někdo znáte, nebo existuje služba, která sleduje pohyby cen, budu za ni rád. Hodně se nás dotklo vyloučení „podpory mobilních zařízení“ z Corporate licence. Můžeme si ji přikoupit jen jako doplněk. Summa summarum. Roční předplatné Corporate edice s 8 kanály a podporou mobilních zařízení nás vyjde na 135.432 Kč bez DPH. To není málo. :-/

Obrázek 2: Zdroj https://www.teamviewer.com/cs/licensing/newtvorder.aspx?license=S312

Co se nám líbí

TeamViewer má řadu funkcí/vlastností, které se nám líbí. Soudím z našeho úhlu pohledu. Je nás přes 10 techniků a spravujeme okolo 1,5 tisíce počítačů u necelé stovky zákazníků. Je možné, že vy oceníte jiné funkce.

Konzole pro správu

S licencí „Multi User“ nebo vyšší získáte přístup do konzole pro správu uživatelů a zařízení. V ní můžete zakládat uživatelské účty pro další kolegy z vaší společnosti, nebo k ní připojovat již existující TeamViewer účty. U všech těchto účtů přidělujete oprávnění uživatelům, zda mohou sdílet skupiny počítačů, editovat svá nastavení, prohlížet logy, spravovat politiky atd.

Stejně tak z této konzole můžete spravovat „adresář“ se známými zařízeními, vytvářet skupiny zařízení. Spravovat politiky (viz níže) a vytvářet brandované balíčky TeamVieweru. Více informací na What is the TeamViewer Management Console a částečný obrázek si můžete udělat i ze screenshotu níže.

Obrázek 3: Konzole pro správu organizace

Politiky

TeamViewer umí centrálně spravovat nastavení jednotlivých instalací. Je to taková jednodušší obdoba skupinových politik (GPO – group policies) z Active Directory.

V podstatě si vytvoříte jednu nebo více politik, které obsahují žádoucí nastavení, a pak politiku přiřadíte na dané zařízení (nebo skupinu zařízení). Najdete zde většinu voleb, které můžete nastavit skrze GUI TeamVieweru. Přes politiku nelze nastavovat „osobní heslo“ pro připojení na dané zařízení.

Nastavení určené skrze tuto politiku na zařízení nezměníte (pokud je v politice označeno jako „vynutit“). Bezvadná věc pro sjednocení nastavení skrze všechna vaše spravovaná zařízení. Obzvlášť, je-li jich několik stovek nebo tisíc. Znamená to také velký přínos pro bezpečnost (viz druhý díl v příštím týdnu).

Bohužel oproti běžným GPO neumožňuje TeamViewer uplatnit více politik na jedno zařízení, např. když chcete politiky vrstvit.

Abyste však mohli na zařízení přiřadit danou politiku, musí být dané zařízení „přiřazeno“ pod váš TeamViewer účet. Jinak by si mohl každý přiřazovat kam chce, co chce. 😊 To provedete buď ručně po instalaci (skrze nastavení a přihlášení daným účtem – to však není moc bezpečné), nebo během instalace (viz další kapitola).

Instalace TeamVieweru

TeamViewer můžete na zařízení instalovat ručně, což je v případě větších nasazení nepraktické. S Corporate licencí dostanete přístup k MSI balíčku a vše nasadíte hromadně přes skupinové politiky (AD GPO) nebo MS System Center.

Od verze Host 13.2 a Full 14.0 došlo i ke změně nasazování. Podle nás pozitivní. Skrze MSI jednoduše docílíte přiřazení zařízení pod váš TeamViewer účet (abyste si na něj mohli nasazovat politiky) a rovnou zapnete i „easy access“ (přístup bez hesla). Právě toto dlouhou dobu jednoduše nešlo. Více informací v dokumentaci Mass deployment improvements (dokumentace konečně začíná být co k čemu).

Další funkce k dobrému uživatelskému komfortu

Super věc hlavně pro support. TeamViewer umožňuje počítač vzdáleně restartovat do nouzového režimu a přitom nastavit TeamViewer tak, aby v nouzovém režimu automaticky naběhl.

Občas se stane, že se na jeden problém potřebujeme podívat ve více lidech najednou. Například někdy přizveme k řešení dodavatele informačního systému. TeamViewer umožňuje, aby na jednom zařízení bylo současně připojeno více lidí a na řešení problému spolupracovali.

Vzhledem k tomu, že máme zkušenosti s řadou technologií, tak automatické aktualizace nepovažujeme za něco „nerozbitného“. Avšak u TeamVieweru se nám za ty roky ještě nestalo, že by se při automatické aktualizaci rozbil, nebo aktualizace neproběhla. Když nahlédnu skrze náš dohledový systém na instalované verze TeamVieweru na zařízeních, vidím, že všude máme poslední verze.

TeamViewer se dá nastavit, aby se sám aktualizoval v rámci hlavní verze (tzn. 12.a.b na 12.c.d). Nebo aby byl vždy nejaktuálnější (tzn aktualizuje se sám i z verze 12.x na 13.y).

Mezi vaším a vzdáleným zařízením je možné přenášet i větší množství dat. Buď skrze schránku, nebo správce přenosů. Tuhle funkcionalitu jsme u LogMeIn Central neměli. Museli bychom za to platit extra.

Je možné se se vzdáleným zařízením nechat propojit VPN a směřovat skrze něj veškerý traffic, tzn. dostat se do jeho sítě.

Občas se stane, že potřebujeme s uživatelem na druhé straně navázat kontakt, ale nemáme na něj e-mail/telefon. Díky TeamVieweru mu napíšeme a požádáme ho, ať nám zavolá. Nebo se zeptáme, zda se můžeme připojit.

Občas je při řešení problému třeba posbírat informace a poslat je dál. Než abychom vše opisovali, necháme nahrávat celou relaci vzdáleného připojení a dál pošleme videozáznam. Často problém vysvětlí lépe než tisíc slov. 😊

Pokud skrze TeamViewer často opakujete nějaký úkon, můžete ho „naskriptovat“ a spouštět stisknutím tlačítka. Např. současně otevřít příkazovou řádku s „ipconfig /all“, ovládací panely s nainstalovaným SW, prohlížeč událostí a Windows update.

Závěr

Jaký nástroj používáte vy? Našli jste vhodnou alternativu k TeamVieweru? Nebo něco lepšího? Jak vnímáte cenu licence? Jako drahou, či levnou?

V příštím díle „TeamViewer: zkušenosti po 4 letech používání (část 2/2)„pokračuji v popisování našich zkušeností. Co se nám na TeamVieweru nelíbí a jak jej nastavujeme, aby byl podle nás co nejbezpečnější.

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Exit mobile version