TIP#523: Jak bezpečně používat TeamViewer (ale i jiné software umožňující vzdálený přístup)

TeamViewer se dostal do médií minulý týden, když se začalo psát o tom, že mu možná hackli servery, nebo je někde nějaká závažná bezpečnostní chyba, která umožňuje útočníkům masivně přistupovat na cizí počítače a využívat to k vykrádání účtů či nakupování ne e-shopech. Nechme teď stranou jak to celé je a jestli opravdu je někde něco špatně u TeamVieweru (ten cokoliv takového popírá). Je tu totiž jiný zásadní problém.

Pokud si na počítač nainstalujete cokoliv co umožňuje vzdálený přístup, je velmi zásadní vše velmi pečlivě zabezpečit. Zrovna TeamViewer je příklad software, které se při instalaci snaží spíše poskytnout snadné použití (protože předpokládá, že ho instaluje někdo kdo ničemu nerozumí a dělá to proto, aby někdo na dálku pomohl). Což nakonec vede k tomu, že si lidé TeamViewer pořídí, nezabezpečí a nechají běžet. Neštěstí je dokonáno.

Pravidlo číslo jedna, TeamViewer spouštějte pouze pokud je potřeba. Ano, software pro vzdálený přístup nikdy nenechávat běžící, pokud ho nepotřebujete. Spouštět pouze v okamžiku, kdy je potřeba, aby někdo na počítač přistupoval. Netýká se to jenom TeamVieweru, tohle platí u všech programů pro vzdálený přístup. Patří sem i to, že si v Nastavení -> Extras vypnete automatické spouštění při spuštění Windows.

Pravidlo číslo dvě, nastavte velmi silné heslo. V případě TeamVieweru stojí za doporučení ho používat s online účtem (ale můžete i bez), protože vám to umožní další bezpečnostní opatření. Na login.teamviewer.com se můžete přihlásit, vše si zde nastavit, ale také v rámci nastavení profilu zvolit silné heslo. Nechte si ho ideálně vygenerovat správcem hesel, kde si ho také bezpečně necháte uložené.

Pravidlo číslo tři, heslo musí být unikátní, a byť to vypadá jako zbytečné připomínat, je to nutné. Řada hacknutých počítačů s TeamViewerem byla hacknuta protože jejich uživatelé použili heslo, které se stalo veřejně známým v nějakém tom úniku dat (viz Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?)

Pravidlo číslo čtyři, zapněte si dvoufaktorové ověření. TeamViewer tohle umí, tedy za předpokladu, že si pořídíte jejich účet. Stačí si to jenom zapnout v Nastavení. Můžete si i vybrat jaké bude, můžete použit třeba  Google Authenticator na vašem mobilu, který už možná používáte pro jiné služby.

TIP: V Jak přistupovat na vzdálenou plochu počítače s Windows? už tu byla řeč o tom, jaké pomůcky můžete použít pro vzdálený přístup.

Pravidlo číslo pět, aktualizujte. Tedy, aktualizujte (nejenom) samotný TeamViewer (či onu jinou aplikaci pro vzdálený přístup). Protože jenom tak budete mít nejenom aktuální verzi, ale také případné opravy chyb. V starších verzích TeamVieweru je například obtížné ho vypnout, když ho nepotřebujete.

Pravidlo číslo šest, přiřaďte váš TeamViewer k určitému účtu.  Můžete ho přiřadit „sami sobě“, pokud budete na počítač přistupovat (a pracovat s ním) pouze vy. Pokud to bude někdo jiný, tak přiřaďte jeho účet.

Pravidlo číslo sedm, vyhněte se nastavení „Easy Access“. Tohle nastavení umožňuje nezadávat heslo pro přístup na vzdálený počítač, pokud je přistupující přihlášený k účtu v TeamViewer službě. Nezapínejte to.

Pravidlo číslo osm, zapněte si přihlašování pomocí účtů ve Windows. Tedy za předpokladu, že máte účet ve Windows opatřený dostatečně silným heslem, protože pak naopak rozhodně vypnout.

Pravidlo číslo devět, nastavte si whitelist, neboli seznam účtů, které budou smět přistupovat k vašemu počítači. Neumožněte to komukoliv.

Pravidlo číslo deset, podívejte se do pokročilých možností nastavení a tam můžete změnit řadu dalších věcí. Včetně omezení toho, co vzdáleně přistupující účty mohou dělat. Je například dobré povolit přenos souborů pouze po schválení, ale také znemožnit ovládat lokální TeamViewer.  Může být dobré nechat i generovat nové propojovací heslo pokaždé, když se někdo připojí. A poslední velmi vhodné je, že změnu konfigurace podmíníte zadáním extra hesla.

TIP: V Jak na vzdálený přístup na zařízení s Androidem? najdete přehled pomůcek pro vzdálený přístup na mobily a tablety s Androidem.

Advertisements