Удаленный рабочий стол — настройка по шагам

Рабочий стол в таком формате удобно использовать в следующих случаях:

• необходимо обеспечить безопасную работу. В этом случае весь трафик между компьютерами идёт по защищенному протоколу, поэтому становится сложнее перехватить большой объем информации;
• требуется автономность сотрудников. Удаленные столы – оптимальный вариант для тех, кто много перемещается, нуждается в определенных программах, но не имеет доступа к физическому ПК;
• работа требует значительных ресурсов. Если вы привыкли обходиться нетбуком или мощным смартфоном, их хватит только для некоторых приложений. Когда нужно обработать большой объем информации или воспользоваться продвинутым графическим редактором, потребуются серьезные ресурсы;
• встал вопрос экономии средств. Если финансы ограничены, рационально вложить их в аренду мощного удалённого ПК и уже к нему организовать удаленное подключение.

Разработчики программного обеспечения предлагают несколько вариантов реализации удаленного рабочего стола, используя различные протоколы передачи данных и возможности установленной ОС. Для компьютеров под управлением Windows применяется протокол RDP (Remote Desktop Protocol), на Linux – VNC и X11.

Выбор программы для создания удаленного рабочего стола

Итак, всего существуют несколько программ, позволяющих создать «компьютерный пульт». Зайдя в Pay маркет, можно увидеть целый список разнообразных приложений для создания удаленного рабочего стола:

Есть как достаточно известные приложения, такие как: TeamViewer, Remote Desktop от Microsoft и Удаленный рабочий стол Chrome от Google; но существуют и малоизвестные «пульты», скачивать и взаимодействовать с которыми я бы не решился. Мой выбор, собственно, пал на Удаленный рабочий стол Chrome от Google, потому что это наиболее простой в освоении, установке и использовании «пульт». На самом деле, пользуюсь я им уже около двух лет и проблем не наблюдалось как на iPhone под операционной системой IOS, так и на Android-смартфоне. Ну и если это продукт Google, то я не беспокоюсь за сохранность своих данных, ведь корпорация большая, а выпускать некачественный продукт для них просто непозволительно.

реклама

Но вы, собственно, можете выбрать для себя любой другой удаленный рабочий стол, я думаю, что процесс установки у них идентичен. А я же, собственно, приступаю к установке программы и ее настройке.

Удаленное управление компьютером Windows с помощью программы «Удалённый рабочий стол» (Microsoft Remote Desktop)

Microsoft Remote Desktop — программа, которая предоставляет возможность удаленного управления, и при этом поддерживает технологию RemoteFX. Система, гарантирующая доступ к удаленному ресурсу с помощью шлюза рабочих столов, удобного сенсорного управления, безопасного подключения, простого управления, высокого качества видео и звука со сжатием трафика. В первую очередь программа предназначена для простого подключения внешних мониторов или презентационных проекторов.

Что конкретно делать

Если у вас есть родители с компьютерами, установите им приложение TeamViewer и убедитесь, что оно работает: им выдаётся имя пользователя, приложение запускается и не вешает комп. Поставьте ярлык приложения на видное место, чтобы родители могли его найти в любой ситуации. На своём компьютере тоже поставьте TeamViewer.

Когда родителям потребуется компьютерная помощь, попросите их продиктовать вам код и пароль из их TeamViewer, введите его в своём TeamViewer, и у вас откроется их компьютер, будто вы сидите рядом.

Родителям нужно будет продиктовать вам 9 цифр Your ID и пароль — этого достаточно, чтобы вы могли соединиться с их компьютером.

Если у вас несколько компьютеров дома, установите на них какое-нибудь приложение с названием VNC Server, а на свой планшет — VNC Viewer. Теперь вводите во вьюер адреса ваших домашних компьютеров, и вы сможете управлять ими удалённо из другой комнаты. Адреса должны быть локальными, типа 192.168.0.2. О них ещё напишем.

VNC Viewer — управляем всеми домашними компьютерами.

Если у вас есть Mac Mini, отключите его от монитора и поставьте на антресоль. Теперь с любого другого Mac в доме зайдите в «Сеть» — Ваш Mac Mini — нажмите кнопку «Общий экран. ». Введите логин и пароль от Mac Mini, и у вас запустится встроенная в Mac OS система удалённого доступа.

Если используете VNC или доступ через общий экран Mac, помните о такой особенности: эти протоколы работают только тогда, когда два компьютера могут напрямую дозвониться друг до друга через интернет. Если вы захотите залезть в свой удалённый компьютер извне домашней сети, вам придётся прокладывать до него особый маршрут. Как это сделать, мы ещё расскажем, а если вкратце — это непросто.

Как организовать удаленный доступ и не пострадать от хакеров

Когда руководство компании экстренно требует перевести всех сотрудников на удаленный доступ, вопросы безопасности зачастую отходят на второй план. Как результат – злоумышленники получают отличное поле для деятельности.

Безопасная публикация ресурсов

Публикуйте веб-ресурсы через Web Application Firewall (в простонародье – WAF). Для быстрого развертывания и базовой защиты достаточно будет использовать стандартные профили защиты по OWASP Top 10. В первое время придется много подкручивать гайки в части отлова false positive событий. Если прямо сейчас у вас нет WAF – не отчаивайтесь! Если у вас стоит на тестировании какая-то триальная версия WAF, попробуйте задействовать ее для решения этой задачи, либо установите open-source решение Nginx + ModSecurity.

Если воспользоваться WAF не удалось, то спешно (по возможности) переводите приклад на HTTPS, проверяйте все пароли (пользовательские, админские) для публикуемого приложения на соответствие установленной в компании парольной политике. Не забудьте проверить операционные системы и CMS на свежесть, а также присутствие всех необходимых патчей, словом – санитизируйте все участки будущего общедоступного сервиса. Разверните Kali Linux и воспользуйтесь встроенным набором утилит для сканирования уязвимостей, если времени на это нет – воспользуйтесь одним из публичных сканеров уязвимостей (Detectify, ImmuniWeb и др.).

Чего делать не надо? Не стоит выставлять на показ в Интернет ваш замечательный самописный приклад на HTTP, в котором могут быть тысячи уязвимостей. Не надо выставлять и доступ по SSH к серверу или сетевому оборудованию, если не хотите, чтобы на вас полился брутфорс, а также не нужно напрямую публиковать RDP до целевых станций (привет, esteemaudit). Если есть сомнения в конкретном приложении, до которого нужно обеспечить доступ, разместите его за VPN.

С публикацией ресурсов разобрались, перейдем к сервисам, доступ до которых опубликовать не удалось. Для этого нам понадобится организовать VPN.

Что следует учесть при организации VPN?

В первую очередь оцените, сможете ли вы быстро развернуть клиентское ПО VPN на рабочих местах, или лучше воспользоваться Clientless подходом. Есть ли у вас VPN-шлюз или межсетевой экран с возможностью организовать удаленный доступ?

Если, например, в вашей сети стоит межсетевой экран Fortinet или Check Point с любым бандлом (NGFW/NGTP/NGTX), поздравляю, поддержка функционала IPsec VPN идет «из коробки», и ничего дополнительного покупать и устанавливать вам не нужно. Останется только поставить клиенты на рабочие места и настроить межсетевой экран.

Если прямо сейчас у вас нет VPN-шлюза или межсетевого экрана, посмотрите в сторону open-source решений (OpenVPN, SoftEther VPN и т.п.), которые можно довольно быстро развернуть на любом сервере, благо, step-by-step гайдов в Интернете предостаточно.

Кроме того, желательно, чтобы ваш VPN-шлюз интегрировался с AD/RADIUS для централизованного управления учетными записями. Также не забудьте проверить парольную политику и настройте защиту от брутфорса.

Если вы решили идти по пути установки клиента удаленного доступа на рабочие места пользователей, нужно будет определиться, какой режим VPN использовать: Full Tunnel или Split Tunnel. Если доступ для отдельной группы пользователей предполагает работу с конфиденциальной или высококритичной информацией, то я бы порекомендовал использовать Full Tunnel режим. Таким образом весь трафик будет заруливаться в туннель, выход в Интернет для пользователей можно будет организовать через прокси, при желании трафик можно будет слушать еще и через DLP. В иных случаях можно ограничиться обычным Split Tunnel режимом, при котором трафик заруливается в туннель только до внутренних сетей компании.

После успешной аутентификации пользователей вам следует определиться с авторизацией: куда давать пользователям доступ, как и где это делать. Есть несколько вариантов.

1. Прямой доступ. Пользователь получил IP-адрес из своего VPN-пула и может идти напрямую к необходимым ресурсам (читай – через межсетевой экран). Здесь следует отметить, что если у вас стоит простой L4 межсетевой экран, на котором уже были настроены политики доступа (и их много!), то быстро адаптировать их к новым пулам IP-адресов может не получиться. Даже если у вас стоит NGFW с политиками по пользователям или группам пользователей, лог-оны в AD не будут зафиксированы (если только у вас не стоит специальный клиент на каждом рабочем месте), и политики тоже не будут работать. В таком случае политики придется создавать непосредственно на VPN-шлюзе либо использовать RADIUS при аутентификации и интегрировать его с клиентом межсетевого экрана для трекинга лог-онов пользователей.
2. Терминальный доступ. Если у вас есть NGFW с политиками по пользователям и терминальный сервер, то можно сделать так. При реализации терминального доступа (например, с помощью MS RDS) пользователь, получивший удаленный доступ, логинится на терминальный сервер. Поставьте на него специальный агент от производителя межсетевых экранов (например, FSSO TS). Этот агент будет сообщать межсетевому экрану IP-адрес залогинившегося пользователя, в результате чего написанные политики безопасности по пользователям или группам пользователей останутся без изменений, и не придется спешно менять политики на NGFW.

Рабочие места пользователей – защищены?

Перейдем к безопасности рабочих мест.

Оцените безопасность рабочих мест удаленных пользователей: вы даете им рабочие станции с установленным золотым образом со всеми необходимыми фичами безопасности (antivirus, host-based IPS/Sandbox и т.п.), или они сидят со своих домашних ноутбуков с неизвестно каким софтом? Если ответ на этот вопрос – домашние устройства, то лучше бы после предоставления удаленного доступа зарулить трафик на NGFW с IDS/IPS, а в идеале еще и на сетевую «песочницу».

Одним из хороших вариантов также будет публикация на VDI конкретного приложения для работы (браузера, почтового клиента и т.п.). Это позволит разрешить доступ только к конкретным используемым приложениям.

Если у вас в компании запрещено подключение съемных носителей, то в случае удаленного доступа об этом также не стоит забывать, ограничив такую возможность для свежевыданных корпоративных ноутбуков.

Как обычно, убедитесь, что отключены небезопасные протоколы и службы, нелишним будет включить шифрование диска (вдруг ваш пользователь пойдет поработать в коворкинг, и его корпоративный ноутбук украдут?), не забудьте отобрать права привилегированного доступа (если ноутбук корпоративный).

Аутентификация

Используйте централизованное управление учетными записями при удаленном доступе (AD/RADIUS), а также не забудьте продумать сценарии, при которых ваш Identity Store будет недоступен (например, создайте дополнительно локальные учетные записи).

Хорошей практикой будет использование клиентских сертификатов, самоподписные сертификаты можно выпустить и на Microsoft CA.

Предположим, что в связи с непредвиденными обстоятельствами у ваших удаленных пользователей все-таки увели учетные данные. Двухфакторная аутентификация поможет справиться и с этой напастью (OTP-пуши на мобильных устройствах, SMS). А вот двухфакторную аутентификацию через корпоративный email я бы не рекомендовал (зачастую для аутентификации при удаленном доступе используются такие же учетные записи, как и в электронной почте, и, стало быть, ваш второй фактор легко будет вытащить). Если нужно быстро организовать двухфакторную аутентификацию, можно посмотреть в сторону публичных сервисов – например, Google Authenticator.

Эксплуатация

Продумайте, как ваш ИТ-департамент будет эксплуатировать удаленные рабочие места и помогать пользователям в решении повседневных проблем. Явно потребуется удаленный доступ сотрудников техподдержки к удаленным рабочим местам пользователей.

Желательно, чтобы рабочие станции «разливались» из золотого образа, и вам не пришлось пытаться восстанавливать работоспособность домашних компьютеров сотрудников из-за того, что они поставили что-то не то, или, чего доброго, поймали какой-то ransomware. Лучше выдайте корпоративные ноутбуки с заранее известными мощностями и составом установленного ПО, чтобы не получить головную боль с домашними ПК сотрудников, ведь ими могут пользоваться дети, на них может дико тормозить система или может не быть необходимых средств защиты.

Нелишним будет напомнить пользователям перед переходом на удаленную работу существующие в компании политики безопасности: мало ли как захочется рядовому пользователю расслабиться в обеденный перерыв дома.

Как использовать «Удаленный рабочий стол Chrome» для доступа к собственному компьютеру

Шаг 1. Подготовьте компьютер для подключения

Если вы хотите получить доступ к собственному компьютеру с другого компьютера или мобильного устройства, то откройте Chrome на хост-компьютере (или загрузите и установите Chrome для Windows, macOS или Linux, если он еще не установлен). В самом Chrome перейдите на страницу сервиса «Удаленный рабочий стол Chrome» и нажмите на круглую голубую иконку загрузки в секции «Настройте удаленный доступ».

Примечание: если вы видите голубую кнопку «Включить» вместо иконки загрузки, то подключение частично настроено. Вы можете пропустить следующий параграф и приступить к выполнению дальнейших инструкций.

Вам будет предложено установить расширение Chrome Remote Desktop. На странице расширения нажмите кнопку «Установить» и подтвердите, что вы хотите продолжить. Когда вы вернетесь на вкладку сервиса, то вам будет предложено присвоить имя компьютеру.

Вы можете указать любое имя, которое позволит отличить компьютер от других устройств.

Когда вы указали имя компьютера, нажмите кнопку «Далее». На следующем экране вам нужно будет создать PIN-код, состоящий минимум из 6 символов. Он нужен будет для безопасной аутентификации. Для доступа к удаленному компьютеру вы должны будете войти в свой аккаунт Google и ввести PIN-код. Google сообщает, что все сеансы «Удаленного рабочего стола Chrome» зашифрованы для дополнительной защиты.

На этом настройка завершена. Операционная система может выдать предупреждение с запросом разрешить доступ к приложению для инициирования удаленного подключения. В некоторых версиях macOS нужно будет дополнительно предоставить разрешения для «Удаленного рабочего стола Chrome» в системных настройках. После выполнения этих действий, на вкладке «Удаленного рабочего стола Chrome» появится информация о том, что компьютер подключен к сети и ждет соединений.

Компьютер будет доступен в любое время, когда он включен, а Chrome запущен. Так как Chrome обычно запускается при загрузке системы и работает в фоновом режиме, то компьютер будет доступен практически в любое время, когда он работает. Если вы хотите, чтобы подключения оставались возможными в течение длительного периода времени, то вам рекомендуется посетить настройки управления электропитанием, чтобы убедиться, что система не перейдет в режим гибернации или спящий режим (даже если дисплей отключится).

Если вы когда-нибудь захотите отключить удаленные подключения, просто перейдите на страницу remotedesktop.google.com/access или нажмите на значок расширения Chrome Remote Desktop справа от адресной строки браузера. Затем нажмите на иконку корзины рядом с именем компьютера, чтобы удалить его из приложения. Кроме того, вы можете полностью удалить приложение, щелкнув правой кнопкой мыши по значку расширения и выбрав опцию «Удалить из Chrome».

Шаг 2. Подключение к компьютеру с другого компьютера или мобильного устройства

Когда ваш хост-компьютер полностью настроен для соединений, вам остается только перейти на сайт сервиса remotedesktop.google.com/access в браузере Chrome с другого компьютера. Вам нужно будет войти в Chrome с той же учетной записью, которая использовалась в хост-системе, и вам уже не нужно будет устанавливать какие-либо дополнительные приложения и расширения. Вы просто увидите имя компьютера, а кликнув на нему, установится подключение.

После того, как вы введет PIN-код, откроется окружение рабочего стола, и вы сможете свободно перемещаться по удаленному компьютеру, запускать любые программы и использовать ПК, как будто вы находитесь перед ним. Панель сбоку экрана предоставляет параметры для настройки дисплея и отправки сложных команд, например сочетания Ctrl-Alt-Del. Также работает синхронизация буфера обмена между текущим компьютером и хост-компьютером: вы можете без проблем копировать и вставлять текст между устройствами.

Вы получаете полноценный доступ к компьютеру во вкладке браузера. Боковая панель предлагает дополнительные команды и опции и ее можно скрыть.

Чтобы получить доступ к удаленному компьютеру с мобильного устройства, вам нужно скачать приложение Chrome Remote Desktop для iOS или Android. Если ваш телефон зарегистрирован в той же учетной записи Google, которая использовалась на компьютере, то приложение автоматически покажет компьютер и позволит подключиться к нему одним нажатием и последующим вводом PIN-кода.

После этого вы сможете управлять курсором мыши с помощью ваших пальцев. Вы можете прокручивать экран и масштабировать его жестами. В приложении для Android, если вы проведете пальцем вниз от верхней части экрана, то откроется панель управления, которая позволяет активировать режим трекпада. В режиме трекпада одно нажатие вызывает клик левой кнопкой мыши, два нажатия — клик правой кнопкой мыши. Вы можете переключиться в режим клавиатуры, чтобы открыть экранную клавиатуру устройства и ввести текст. В iOS нажмите кнопку меню в правом нижнем углу экрана, чтобы получить доступ к тем же опциями.

Навигация по компьютеру на мобильном устройстве происходит с помощью ваших пальцев и простых жестов.

Конечно, это не самый удобный способ для управления удаленным компьютером, и он не подходит для длительной интенсивной работы, но может быть полезен для быстрых задач, например перезапуск системы или получение необходимого файла.

Доступ к удаленным рабочим столам с другого компьютера или мобильного устройства

Работайте дома или оставайтесь на связи в командировках, подключаясь к своему настольному компьютеру.

Удаленный доступ

Вы работаете из дома. Вам необходимо постоянно быть на связи в командировках. Или, может быть, вам просто хочется отдохнуть от своего офисного стола. С инструментами удаленного доступа TeamViewer вы можете эффективно работать независимо от того, где находитесь. Какие бы сюрпризы ни готовила жизнь, чтобы воспользоваться вашими файлами и приложениями рабочего стола, достаточно пару раз щелкнуть клавишей мыши.

Программные инструменты для удаленного доступа TeamViewer, поддерживаемые сверхскоростной глобальной сетью, позволяют Вам подключаться к рабочему компьютеру из любого места и в любое время. То есть вы можете удаленно работать с приложениями своего рабочего стола. И пользоваться файлами так же, как если бы вы сидели перед рабочим монитором. Быстро. Легко. Безопасно.

Удаленно подключайтесь к своему рабочему столу. Без медленной VPN-сети или ограничений сетевой безопасности.

«VPN отлично работает в открытых Wi-Fi-сетях», — никто и никогда так не скажет.

Wi-Fi в кафе. Общедоступный Интернет в отеле. Небезопасное подключение к информационной сети в аэропорте. Конечно, VPN-доступ к корпоративным системам у вас есть. Но что это за доступ? Работа с подключением через VPN в общедоступной сети Wi-Fi — это совершенно неэффективное сочетание.

Удаленная работа означает, что вам требуется доступ к файлам на сетевых дисках. И к программам с вашего рабочего стола в офисе. С TeamViewer вы получаете простую, доступную и безопасную альтернативу VPN. Таким образом, вы можете войти в систему, чтобы удаленно подключиться к своему настольному компьютеру откуда угодно.

В TeamViewer используются облачное сетевое сжатие и сквозное шифрование с 256-битными ключами RSA. Без VPN. В любой момент. Даже в общедоступной сети Wi-Fi, в мобильных точках доступа и через медленные соединения. TeamViewer позволяет вам эффективно работать в любом месте.

Устранение непредвиденных ситуаций на работе, где бы вы ни находились

Непредвиденные ситуации случаются, и с этом ничего нельзя поделать. В системах происходят сбои. Возникают юридические вопросы. При возникновении чрезвычайной ситуации в сфере ИТ никого не волнует, что сейчас выходной, что вы болеете или находитесь в отпуске.

С решением для удаленного доступа TeamViewer вы всегда всего в нескольких щелчках клавишей мыши от рабочего компьютера. Вы можете пользоваться сетевыми файлами. И устранить непредвиденные проблемы. Где бы вы ни находились.

Под рукой нет ноутбука? Используйте мобильное приложение TeamViewer для iOS или Android. Просто подключитесь с мобильного устройства к любому удаленному рабочему столу. Получите доступ к своим файлам и настольным приложениям. Печатайте удаленные файлы на домашнем принтере прямо с телефона. Посматривайте содержимое своего удаленного рабочего стола с высоким разрешением и его автоматической адаптацией в соответствии с размером экрана вашего телефона. Межплатформенная поддержка TeamViewer позволяет подключиться к любому устройству с любого устройства.