На плечи системного администратора часто ложатся задачи по обслуживанию сотен компьютеров, которые могут находиться на весьма большом расстоянии как от него самого, так и друг от друга. По этой причине уже достаточно давно появились средства для удаленного администрирования, которые с развитием программного обеспечения стали доступны и обычным пользователям. Они могут быть полезны и любителям, имеющим более одного компьютера (дома и на работе), и профессионалам – администраторам небольших сетей (компьютерный класс или домашняя сеть).
Бесплатная программа с широкими возможностями серверной части.Многие настройки стандартны, при этом заслуживает внимания опция ограничения прав пользователя. Дело в том, что в можно взять под контроль действия пользователя и скрыть от него серверную часть. То есть вы можете сделать так, что он даже не будет видеть, что за ним следят.
Комментарий «УГ»*См. статью Сергея ДОВБНИ «Тайное имя», №7, 2008 год, «ИКТ в образовании».*См. статью Евгения БАСКАКОВА «Кто предупрежден, тот вооружен», №2, 2007 год, «ИКТ в образовании».**См. новостную заметку «Скажи пароль и проходи», №1, 2008 год, «ИКТ в образовании».
Типичные задачи для средств удаленного администрирования:
оказание помощи удаленному пользователю (настройка или установка программного обеспечения);
доступ к файлам или настройкам (настройка конфигурации сервера или получение доступа к файлам на домашнем компьютере через Интернет);
контроль (программы удаленного администрирования позволяют смотреть, что происходит на экране другого компьютера и какие задачи выполняются).
Как это работает
Все программы данного класса работают по принципу «клиент – сервер». На компьютере, который необходимо администрировать (сервер), устанавливается серверное приложение, которое и предоставляет сервис для администратора. На другом компьютере (клиент) стоит клиентская программа, которая и позволяет выполнять удаленное администрирование другого компьютера.
Для доступа у сервера должен быть постоянный IP-адрес*. Такие адреса практически всегда используются в локальной сети и значительно реже – в Глобальной. Если при подключении к Интернету выдается динамический IP-адрес или у провайдера настроен NAT, то доступ к компьютеру из Интернета будет затруднен.
Серверная часть при запуске открывает сервис по определенному порту.
Cправка
Сетевой порт – параметр протоколов TCP и UDP, определяющий назначение пакетов данных в формате IP, передаваемых на хост по сети.
В клиентской части для доступа к удаленному компьютеру в качестве адреса прописываются IP-адрес и порт, а для получения доступа к сервису – логин и пароль.
Для работы серверной части в Firewall компьютера должно быть создано правило, разрешающее доступ к порту. Неправильно сконфигурированный Firewall может стать причиной неработоспособности серверной части.
Также следует помнить, что многие антивирусы определяют серверную часть как вирус или потенциально опасный объект.
Удаленное администрирование
и безопасность
Необходимо обратить особое внимание на то, что во многих учреждениях и на предприятиях средства удаленного администрирования запрещены к использованию, ибо в руках неспециалиста они могут представлять серьезную угрозу компьютерной безопасности всей локальной сети.
Примечание
Программы удаленного администрирования по принципу работы почти не отличаются от тех, что злоумышленники используют для нелегального доступа к удаленным компьютерам. Отличие серверной части «легальных» программ удаленного администрирования от «нелегальных» в том, что они «спрашивают разрешение» у пользователя на инсталляцию и при работе видны пользователю (обычно появляется иконка в области уведомлений, а также запись в диспетчере задач), позволяют себя настраивать и деинсталлировать. «Нелегальные» (троянские) программы инсталлируются автоматически без запроса и не видны пользователю. После инсталляции трояны сообщают злоумышленнику по электронной почте или другим методом адрес для доступа*.
Подобные средства на компьютерах, подключенных к Интернету, потенциально уязвимы к вторжениям из Глобальной сети. Если Firewall и серверная часть сконфигурированы неправильно или на компьютере установлен простой пароль, то злоумышленник может легко получить к нему доступ. Правильная конфигурация – это, как минимум:
сложный пароль (не менее 8 символов с чередованием букв, цифр и спецсимволами);**
ограничение в серверной части IP-адресов, с которых может осуществляться доступ к удаленному компьютеру;
ограничение в Firewall, не позволяющее злоумышленнику подбирать пароль методом перебора (например, детектор атак в Outpost Firewall).
Также если удаленный доступ нужен только в локальной сети, то средствами Firewall нужно ограничить доступ к открытому серверной частью порту из Интернета. Если на компьютере с серверной частью Интернет не настроен, то достаточно первых двух пунктов.
Обзор средств
для удаленного администрирования
Стандартные средства
В Windows XP/Vista уже встроены возможности для осуществления удаленного администрирования (Удаленный помощник). Однако они имеют ряд недостатков – в них весьма ограничены средства для настройки серверной и клиентской части, нет ограничения по IP-адресам и многого другого. Кроме того, из-за невозможности тонкой настройки их использование может быть небезопасно.
Тем не менее наличие данного средства во всех компьютерах с установленной ОС Windows XP/Vista иногда существенно облегчает вам жизнь.
Для его использования необходимо выполнить следующие операции:
1. Создайте вход для еще одного пользователя и не забудьте задать сложный пароль.
2. Разрешите удаленный доступ к компьютеру. Для этого пройдите Мой компьютер – Свойства – Удаленные сеансы и установите разрешающие опции (рис.).
Стандартный Firewall Windows при этом будет настроен автоматически.
3. Выберите удаленных пользователей, которым вы хотите разрешить удаленный доступ к компьютеру.
Теперь, выполнив Программы – Удаленный помощник, нужно отправить по e-mail или Windows Messenger приглашение тому, кого вы хотите подключить к компьютеру.
Remote Administrator (Radmin)
Весьма популярная и удобная программа удаленного администрирования с русскоязычным интерфейсом, очень простая в настройке. Ее часто используют профессионалы. Правда, она платная, но у нее есть 30-дневный триальный период.
Radmin уже содержит средства для защиты от перебора паролей и возможность ограничения доступа по IP-адресу. Программу также можно оптимизировать для работы в сетях с низкой скоростью передачи данных, уменьшив разрешение и глубину цвета.
Официальный сайт программы – www.radmin.ru. На офсайте можно скачать триал-версию программы для ознакомления.
UltraVNC
Бесплатная программа для удаленного администрирования с широкими возможностями серверной части.
Многие настройки стандартны, при этом заслуживает внимания опция ограничения прав пользователя. Дело в том, что в UltraVNC можно взять под контроль действия пользователя и скрыть от него серверную часть. То есть вы можете сделать так, что он даже не будет видеть, что за ним следят.
Более «демократичный» режим Только просмотр позволяет просто следить за пользователем, не получая доступа к его компьютеру. Есть и «авторитарный» режим с блокировкой клавиатуры и мыши пользователя, чтобы любитель не мешал профессионалу работать с его компьютером, дергая мышью и нажимая на клавиши (поверьте, весьма неинтересно бороться с пользователем за управление манипулятором).
В целом программа позволяет жестко ограничить удаленного пользователя, тайно или явно отобрав у него часть прав.
Официальный сайт, с которого можно скачать программу, – www.uvnc.com.
Сергей ДОВБНЯ, cистемный администратор, Кривой Рог, Украина
Комментарии