TeamViewer: zkušenosti po 4 letech používání (část 2/2)

V minulém díle jsem začal sepisovat naše zkušenosti s TeamViewer (část 1/2), který je naším primárním nástrojem pro vzdálenou podporu uživatelů. Ve firmě jej používáme už od roku 2015, kdy jsme na něj přešli z LogMeIn central. V tomto díle projdu, co nám na TeamViewer nevyhovuje. A popíši vám, jak jej nastavujeme, aby byl co nejbezpečnější.

Co se nám nelíbí

S TeamViewerem jsme spokojeni. Neznamená to však, že se nám absolutně vše zamlouvá. Které věci nás za ty roky trápí nejvíce?

Bugy

TeamViewer, stejně jako jiný SW, není bez bugů. Některé nás trápí už roky a asi jen tak vyřešené nebudou. Například politiky se občas rozhodnou nenasadit (musíme je ze zařízení odebrat a znovu přiřadit + toto lze, jen když je zařízení online). Easy access někdy nefunguje (to pak zase musíme přesdílet celou skupinu). Tyhle věci nás štvou hlavně proto, že máme na starosti mnoho zařízení (tzn. dějí se nám častěji) a opravy nás stojí dost času (který nám nikdo neproplatí). Bugy ohledně základní funkčnosti jsme naštěstí nepotkali.

Občas se taky stane, že vypadne „cloud“ a není možné se na zařízení připojovat (viz TeamViewer Alerts, TeamViewer Uptime).

Technická podpora TeamVieweru

Ačkoliv kupujeme „nejvyšší“ Corporate licenci a cena za TeamViewer stále roste, s podporou moc řeč není. Jsou milí, ale poradí akorát s věcmi, na které najdete řešení sami na jejich webu. O výše zmíněných chybách vědí, pracují na nich (už pár let), výsledek se ještě nedostavil.

Uzavřenost řešení

TeamViewer je pro nás stěžejní nástroj. Proto jsem pátral, jak je zabezpečený, abychom věděli, že je dobře navržen a můžeme mu věřit.  Jediné, co jsem našel a co mi sdělila podpora, najdete sepsané na TeamViewer Trust Center . Moc podrobné to není. 🙁 Stále nevím, jestli „random/personal password“ ověřuje cílové zařízení, nebo servery TeamVieweru? Jak je to v případě „easy access“? Teoreticky by easy access mohlo být slabší zabezpečení. Zda mohou servery TeamVieweru posílat libovolné příkazy na klienty? V takovém případě by znamenala kompromitace serverů TeamVieweru i kompromitaci klientů. Jak je to s public/private klíči pro uživatelské účty? Existují, nebo se používají ty patřící počítači, kde jste zrovna přihlášen?

Že používají RSA 2048bit, vypovídá o zabezpečení stejně jako fotka níže – dobrý základ, ale neznamená to, že celek je správně zabezpečen. 😊

Princip „master“ účtu

Pokud koupíte licenci „multi user“ nebo vyšší, máte přístupnou TeamViewer management konzoli a existuje zde účet vaší společnosti. Pod ten pak spadají všechny uživatelské účty, politiky a přiřazená zařízení.

Logicky by dávalo smysl, že kdokoliv od vás z firmy přiřadí pod vaši firmu nějaké zařízení, tak to zařízení bude patřit pod firmu a bude spravovatelné (přejmenování, smazání, změna politik, nasdílení dále) jakýmkoliv účtem s příslušnými právy. Bohužel to tak není. Veškerá zařízení, která jsou k firmě přiřazena, vytvořené skupiny a politiky, jsou pod správou účtu, který je přiřadil/vytvořil. A pouze ten je může měnit (s výjimkou přejmenování/smazání zařízení).

Výše zmíněné omezení klade větší nároky na správu TeamViewer účtu. Je třeba vše rozplánovat a veškeré objekty vytvářet a zařízení přidávat pouze pod jedním účtem. Což nás přivádí k problému, že všechny osoby musí znát přihlašovací údaje k tomuto účtu, aby mohly zařízení přiřazovat pod daný účet. Naštěstí s novými verzemi TeamVieweru (Host 13.2+, Full 14.0) se dá provést přiřazení zařízení i bez znalosti přihlašovacích údajů daného účtu (viz „Assignment with the TeamViewer executable“). Více k problému master účtu pak „Using a Master Account for the TeamViewer Management Console“.

Mix starých a nových verzí

Občas se na některý PC potřebuje připojit další strana (např. podpora výrobce informačního systému). Problém nastane, pokud nemají licenci na poslední verzi TeamVieweru. Musí TeamViewer na daném PC vypnout a spustit starší verzi. Protože 2 různé verze nemohou na 1 zařízení běžet současně. Tento postup zdržuje a neumožňuje se na zařízení kdykoliv připojit. Jako řešení se nabízí nainstalovat pouze starší verzi TeamVieweru. Jenže to zase vadí nám, protože ve starší verzi občas chybí funkcionalita a tvoří to výjimky do naší standardizace.

Často se setkávám s tím, že si firma koupila TeamViewer před pár lety a nechce ho upgradovat na novější verzi, protože to stojí peníze. Rozumím tomu u interních IT oddělení, kteří dělají podporu pouze svým kolegům, tudíž používají jednotnou verzi TeamVieweru skrze celou firmu. Avšak moc nadšený nejsem, že staré verze používají i firmy z IT oboru pro podporu svých zákazníků – komplikuje to život všem stranám. Šetřit na primárním pracovním nástroji nepovažuji za dobrou cestu.

Nicméně, jelikož už existují pouze licence ve formě předplatného (tzn. vždy máte nejnovější licenci), tento problém se časem „vyřeší“ sám.

Bezpečnost

Správné nastavení TeamVieweru je pro nás kriticky důležité. Dá se skrze něj přistupovat ke všem počítačům našich zákazníků. Jeho kompromitací by mohly být ohroženy všechny počítače našich zákazníků (Tier 3 v mém článku Zabezpečení sítě: Tierování a PAW).

TeamViewer má v databázi zatím 3 bezpečnostní chyby. V roce 2016 byl zneužit ke krádeži prostředků srkze PayPal. Nebyla to však chyba jeho, ale uživatelů, kteří měli slabá hesla pro přístup ke svým TeamViewer účtům. Od té doby TeamViewer zvýšil zabezpečení. Zlepšil ochranu proti brute-force útokům na zařízení, zvýšil výchozí délku náhodného hesla a zavedl povinné 2FA (minimálně ve verzi předschválení zařízení skrze e-mailovou zprávu). Více na TeamViewer Trust Center . Nicméně i tak považuji za důležité neudělat nějaké bezpečnostní díry v důsledku jeho špatného zabezpečení.

My jsme si jej u nás v PATRON-IT nastavili následovně:

Uživatelské účty

Každý z nás má svůj uživatelský TeamViewer účet. Což je důležité kvůli auditování (kdo kdy kam přistupoval), komunikaci se zákazníky (zákazníci ví, kdo je u nich připojený), rozdílným oprávněním, která s kolegy máme a skupinám zařízení, které spolu sdílíme.

Dvoufaktorové přihlašování (2FA)

Je důležité, aby nikdo nezískal uživatelský přístup k našim TeamViewer účtům, protože na to další bezpečnostní opatření spoléhají. Z toho důvodu máme u všech účtů zapnutý 2FA.

I když máme aktivní 2FA, tak se nikdo z nás nesmí přihlašovat do TeamViewer na jiných než našich stanicích (viz „Zabezpečení sítě: Tierování a PAW“). Důvod je takový, že když by se přihlásil do TeamVieweru s volbou „zůstat přihlášen“, na cizím počítači a pak se neodhlásil – tak by vlastník toho počítače měl přístup k jeho účtu.

Pokud se i vy rozhodnete zapnout 2FA, tak si určitě dobře a bezpečně uložte „recovery kód“ pro případ, že byste druhý faktor ztratili. Jinak se již ke svému účtu nikdy nedostanete. Ani s pomocí TeamVieweru.  Vlastní zkušenost. 😊

Kam TeamViewer neinstalujeme

TeamViewer je pro nás hlavně nástroj pro podporu uživatelů (tzn. stanic). Pro správu serverů jej nepoužíváme a vůbec jej na ně neinstalujeme. Popravdě nám dohledový systém hlídá, že se na serverech TeamViewer vůbec nenachází.

Servery jsou pro nás z pohledu bezpečnosti (viz „Zabezpečení sítě: Tierování a PAW“) více důležité než stanice. A co se týče bezpečnosti TeamVieweru, tak si jí nejsem 100% jistý. Je to hlavně kvůli uzavřenosti řešení a přístupu jejich technické podpory (viz výše – co se nám na TeamVieweru nelíbí). V budoucnu se může objevit nějaká RCE (remote code execution), nebo „local privilege escalation“ chyba. Takže v rámci omezení rizika prostě TeamViewer na servery nedáváme. Stejně jej tam ani nepotřebujeme. 😊

Vzdálený přístup bez hesla

Když se připojujete ke vzdálenému zařízení, máte více možností, jak se vůči němu ověřit, aby vás zařízení k sobě pustilo. Souhrnně je to popsáno v článku na webu TeamVieweru „All about passwords“. Níže naše zkušenosti:

• Schválení uživatelem

Uživatel musí potvrdit, že se k němu smíte připojit. Nepoužíváme.

• Náhodné heslo

Po každém připojení (může být i neměnné, záleží na nastavení) se generuje nové heslo. Když se tedy chcete připojit k danému zařízení, musí vám jej někdo nadiktovat. Z toho plyne, že se k zařízení nemůžete libovolně připojovat.
My máme náhodná hesla většinou deaktivovaná. I proto, aby uživatelé nemohli (ne)vědomě pustit nikoho cizího do svého PC. 😊

• Osobní heslo

Jedná se o libovolné vámi určené heslo, které můžete kdykoliv použít pro připojení k danému zařízení. Heslo není na cílovém zařízení „čitelné“ a tudíž jej nemůže zneužít nikdo, komu jej neřeknete.

Za zmínku také stojí, že osobních hesel můžete mít na každém zařízení více. Např. když se k části zařízení připojuje i jiná firma, nemusíte jim předat své osobní heslo, ale vytvoříte jim jejich vlastní.

Nevýhodou je, že se toto heslo hromadně nezměníte (např. když je vyzrazeno).

• • Buď jej musíte měnit ručně počítač po počítači.
  • Nebo nechat TeamViewer znovu hromadně nasadit (není jednoduché, když nejsou všechny počítače stále dostupné a v síti).
  • Možností je i použít nedokumentovanou metodu a měnit heslo přes registry 😊 (my to děláme skrze dohledový systém, nebo ESET SMC).

• Ověření skrze windows

Při připojování můžete také zadat přihlašovací údaje nějakého lokálního či doménového uživatele, který má právo se k PC připojit. Tuto volbu nepoužíváme a na zařízeních ji máme zakázanou skrze politiku. Obzvlášť v Active Directory prostředích mi přijde, že účtů, které se mohou přihlásit na zařízení, je více, než by bylo žádoucí. 😊

• Easy access

Umožňuje připojování ke vzdálenému zařízení bez jakéhokoliv hesla. Přihlášení proběhne na základě vašeho TamViewer účtu. Tzn. na vzdálené zařízení se připojí TeamViewer účet, ke kterému je zařízení přiřazeno. Nebo TeamViewer účty, kterým bylo nasdíleno. TeamViewer tuto metodu doporučuje, protože jim přijde bezpečná. Nejsou zde hesla, která by unikla, a o která je třeba se starat. Resp. až na přihlašovací údaje k vašemu TeamViewer účtu. Nám tato metoda také dává smysl a pomalu na ni všude přecházíme.

Politiky

Politiky jsou bezva! Díky nim máme na všech zařízeních stejné nastavení a uživatelé nám ho nemohou měnit.

Celkově máme 3 politiky, které se liší podle míry zabezpečení. Vždy se snažíme k zákazníkovi nasadit tu „nejpřísnější“ variantu. Naše politiky jsou:

• Strict: používá whitelisting a umožňuje se na vzdálené zařízení připojit pouze z našich TeamViewer účtů. Tzn. na vzdálené zařízení se nepřihlásí nikdo cizí, i kdyby znal osobní/náhodné heslo.
• Normal: má zakázané připojování přes náhodné heslo. Tzn. je možné se připojovat pouze se znalostí osobního hesla. Ve výjimečných případech můžeme jako správci jednorázově zapnout náhodné heslo přímo na cílovém zařízení. Politika se pak sama postará o jeho deaktivování po prvním spojení od třetí strany.
• Random: má povolené generování náhodného hesla, to se po každém připojení mění – tzn. není možné, aby se nám na něj pravidelně někdo cizí připojoval.

Krom výše zmíněného obsahují naše politiky i další nastavení. Mezi užitečné volby, na které je vhodné se kouknout patří určitě také:

• nastavení aktualizací,
• spuštění TeamViewer se spuštěním Windows,
• „zabránit odstranění přidělení účtu“,
• zakázat vypnutí programu TeamViewer,
• řízení přístupu k zařízení.

Napojení na dohledový systém

TeamViewer máme také propojený s naším dohledovým systémem. Ten nám kontroluje, že jej máme na každém spravovaném zařízení nainstalovaný, že je zařízení správně přiděleno pod náš firemní TeamViewer účet, že má aplikované politiky a aktuální verzi TeamViewer. Přesně v souladu s tím, abychom v jedné konzoli (dohledovém systému) viděli veškeré informace o stavu prostředí našich zákazníků.

Stejně tak si vyčítáme skrze API TeamViewer management konzole informace o tom, kdy bylo zařízení naposled online a porovnáváme je oproti časům, kdy jej naposledy viděl dohledový systém a ESET SMC.  Takový náš „cross check“, abychom věděli, že nám žádný systém nekecá. Stává se to častěji, než byste čekali. 😊

Závěr

Rád bych se s vámi podělil o další zkušenosti s TeamViewer. Ale už tak je článek poměrně dlouhý. A to mi kolegyně Lucka spoustu vět seškrtala. 😊

Ptejte se, pokud vás po přečtení napadly konkrétní otázky. Potěší mě, když mi pod článek napíšete o vašich zkušenostech s TeamViewerem.

Za lepší IT prostředí ✌

Martin Haller