Удаленный доступ для ИТ-специалистов

Опубликовано: 9 Апреля, 2023

Введение

Получаете ли вы удаленную поддержку от ИТ-специалистов за пределами сети вашей компании? Оказываете ли вы удаленную поддержку пользователям через Интернет? Оценили ли вы проблемы с безопасностью, которые это может вызвать? Одной из составляющих работы ИТ-специалиста является использование инструментов удаленной поддержки, основанных на доступе к сети или совместном использовании экрана, в качестве быстрого и эффективного способа помочь другим людям. Существует множество различных инструментов, но как убедиться, что они безопасны и не ставят под угрозу безопасность?

Я хотел бы взглянуть на некоторые различные типы решений для удаленного доступа, которые вы можете использовать для внутренней и внешней поддержки. Я сосредоточусь на том, что с ними можно сделать, и расскажу, как выбрать решение для удаленного доступа, которое соответствует требованиям вашей компании и политике безопасности.

Какой удаленный доступ?

Когда я начинал работать ИТ-консультантом, было три способа оказания поддержки клиентам, и время, затрачиваемое на разные виды, было примерно таким:

  • 46% на консультирование клиента по телефону

  • 20% удаленная поддержка с терминала через стандартный модем

  • 33% выезд к клиенту

Безопасность коммутируемого модема была основана на учетных данных, фильтрации телефонных номеров и обратном вызове на определенный телефонный номер имени пользователя.

Удаленная поддержка довольно сильно изменилась: вместо модемов с коммутируемым доступом появилось онлайн-соединение с Интернетом, которое большинство компаний использует для удаленной поддержки. Если бы я сделал такую же оценку поддержки сегодня, это выглядело бы примерно так:

  • 23% на сопровождение клиента по телефону

  • 5% удаленная поддержка с компьютера через стандартный модем

  • 52% удаленная поддержка с компьютера через интернет

  • 20% выезд к клиенту

Одной из главных проблем сегодня является не то, что процент времени, используемый для удаленной поддержки, увеличился, а то, что доступ к клиентам может также использоваться «плохими парнями», если безопасность не настроена и не поддерживается должным образом.

Давайте взглянем на различные типы инструментов поддержки на рисунке 1. Обратите внимание, что некоторые из них можно комбинировать для повышения безопасности.

Изображение 23779
Рис. 1. Различные типы решений для удаленного доступа

Для коммутируемого модема и VPN-соединений вам потребуются дополнительные программы удаленного совместного использования экрана, если вам нужно подключиться к компьютерам и серверам Windows. Microsoft Remote Desktop — отличный выбор для такого доступа, но не позволяйте пользователю следить за вашими движениями на экране. Если требуется только сетевая связь с устройствами, вам может подойти такое решение (см. рис. 2).

Что нам нужно учитывать?

Чтобы иметь возможность выбрать решение для поддержки удаленного доступа, вам необходимо знать, какие требования вам потребуются. Перед тем, как сделать выбор решения, необходимо рассмотреть несколько вещей, и я могу дать вам список того, что следует учитывать в процессе.

  • Внутреннее/внешнее использование

  • Запустите Microsoft Office Outlook.Ink Security

  • Установление соединения

  • Стоимость внедрения

Внутреннее/внешнее использование
 Вы хотите предложить поддержку удаленного доступа своим конечным пользователям, внешним пользователям или вам нужна поддержка внешних консультантов? Определение круга пользователей важно, так как вы можете повысить безопасность, если необходимо установить соединения через общедоступную сеть, такую как Интернет.

Если внешним консультантам нужен доступ к вашим системам, вам нужно спланировать, какой доступ вы хотите, чтобы они имели. Если вы хотите предоставить/контролировать точку доступа и насколько гибким должно быть решение, это имеет первостепенное значение.

Для внутренних пользователей, которым вам нужно помочь, подумайте, насколько легко вы можете получить доступ к их системе и требует ли это каждый раз ввода от пользователя. Если вы поддерживаете пользователей, которые работают из других офисов и, возможно, из дома, где невозможно установить прямое соединение, то онлайн-сеансы могут быть выбором службы.

Безопасность
 Главное, что нам нужно учитывать, это, конечно же, аспект безопасности. Независимо от того, предоставляете ли вы или не предоставляете решение для удаленного доступа и управляете им самостоятельно, вам необходимо оценить уровень доступа, делегированный внешнему вспомогательному персоналу. Прежде чем принимать удаленную поддержку от внешних консультантов, пожалуйста, ответьте на следующие и связанные с ними вопросы:

  • Безопасная аутентификация
     Удаленный пользователь должен быть аутентифицирован в соответствии с вашей компанией. Для идентификации пользователя рекомендуется аутентификация по смарт-карте или сертификату с паролем при установлении соединения. Если используются обычные учетные данные, используйте хорошую политику паролей или объедините ее с двухфакторной аутентификацией.

  • Безопасное соединение
     Надежно ли зашифровано соединение, чтобы никто другой не мог получить доступ к вашей информации?

  • Уровень доступа
    Может ли удаленная сторона получить доступ к большему количеству ресурсов, чем необходимо?
    Нужен ли доступ к сети и к какому диапазону IP-адресов/портов?

  • Передача файлов
     Можно ли передавать файлы в/из сети вашей компании через соединение?

  • Постоянный доступ
    Когда ваш текущий сеанс поддержки завершен, может ли удаленная сторона снова установить соединение?

В решениях с сетевым доступом, передачей файлов и доступом к удаленным локальным дискам вы должны знать, что черви и вирусы имеют возможность заразить ваши компьютеры и серверы. Совместное использование экрана может стать отличным способом защиты вашей инфраструктуры как для внутренних, так и для внешних пользователей. Как клиент, вы должны проинформировать удаленную сторону о требованиях безопасности, которым они должны следовать.

Установление соединения

Следующее, что вам нужно проверить, это то, как персонал ИТ-поддержки подключается к целевому компьютеру/сети. На внутренних компьютерах вы можете захотеть подключиться к компьютеру/серверу с участием пользователя или без него. Для доступа внешнего консультанта вам потребуется какое-то взаимодействие, контроль и регистрация подключений к вашей сетевой инфраструктуре. Если во время разговора по телефону может происходить случайная поддержка других людей или от них, я предлагаю совместное использование экрана онлайн-сеанса с одноразовыми паролями.

Стоимость внедрения

Некоторые из этих типов удаленного доступа требуют большей настройки и обслуживания, чем другие. Вы должны выяснить, сколько времени и денег требуется каждому из них на начальном этапе (для аппаратного/программного обеспечения и установки), и нужна ли абонентская плата.

Выстраивание различных решений для удаленного доступа

Ниже приведены некоторые сведения о решении, расширяющие обзор, который я сделал ранее на рис. 2.

Коммутируемый модем

Соединение «точка-точка» осуществляется через сетевой трафик. Телефонные номера могут фильтровать входящие вызовы, а иногда и заранее определенный номер телефона, используемый для обратного вызова. Серверы удаленного доступа обычно имеют возможность фильтровать трафик на основе правил доступа. Этот метод используется уже много лет, но имеет низкую пропускную способность.

VPN

Создание безопасного туннеля для трафика через сетевое соединение — это именно то, что делает VPN. VPN в основном используется для удаленного доступа, но иногда требуется клиентское программное обеспечение, установленное на компьютере ИТ-консультанта. Иногда несколько VPN-клиентов не могут быть установлены одновременно, и у них разные требования к IP-протоколу/NAT при использовании через брандмауэры, что может вызвать проблемы с подключением. Трафик, который может пройти через туннель, контролируется VPN-устройством/брандмауэром и может включать подсети, отдельные IP-адреса и определенные порты. VPN можно использовать внутри и снаружи для защиты сетевого трафика.

Локальный удаленный показ экрана

В этом типе решения установлена программа (если не используются службы удаленных рабочих столов Microsoft, системная служба в Microsoft Windows) на целевом компьютере/сервере. Это позволяет ИТ-персоналу подключаться во время работы этой программы. Как правило, это используется, если ИТ-консультант использует коммутируемый модем или VPN.

Веб-службы терминалов/Citrix

Если удаленным пользователям необходимо подключиться к ресурсам компании, но прямой доступ к сетевой инфраструктуре запрещен, можно использовать службы терминалов Microsoft, Citrix или аналогичное решение. Вы можете контролировать доступ к локальным и удаленным ресурсам и свести к минимуму опасность заражения, например, вирусом или червем.

Совместное использование экрана онлайн-сессии

Если вы будете искать в Интернете такие типы решений для удаленной поддержки, вы обнаружите множество различных инструментов на выбор — некоторые из них более безопасны и удобны для пользователя, чем другие. Общими для большинства из них являются способы подключения; пользователь, которому требуется поддержка доступа к веб-странице или запуск программы, которая запрашивает идентификатор сеанса/пароль. Это будет предоставлено ИТ-консультантом, после чего начнется сеанс совместного использования экрана.

Лично мне нравится такая удаленная поддержка, поскольку конечный пользователь принимает соединение, имеет возможность видеть, что происходит, и работает практически в любой среде. Некоторые из решений предлагают больше функций, которые могут включать последующее подключение без взаимодействия с пользователем. Поэтому вам нужно убедиться, что вы доверяете программе совместного использования экрана, которую предлагаете вы или внешний персонал ИТ-поддержки. Проверьте, сертифицирован ли поставщик онлайн-услуг на уровне, требуемом политикой безопасности вашей компании. Если передача файлов и доступ к сети отключены или недоступны, угрозы от вирусов и червей сводятся к минимуму.

Изображение 23780
Рисунок 2. Какие типы решений для удаленного доступа предлагают

Вывод

Выбор правильного решения для удаленного доступа к поддержке может оказаться непростой задачей. Я составил список наиболее распространенных вариантов удаленного доступа и объяснил, что они вам предлагают. Вопросы могут помочь вам определить правила удаленного доступа, если ваша компания получает поддержку от внешних консультантов или оказывает поддержку другим. Иногда вы выбираете между «очень простым в использовании» и «полностью безопасным», и я рекомендую всегда использовать безопасное решение.

Доктор Томас Шиндер написал статью о предложениях Microsoft Remote Access, которую я хотел бы, чтобы вы прочитали. Он хорошо объясняет техническую сторону установления безопасных соединений, а также включает в себя немного истории.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023