Портал №1 по управлению цифровыми
и информационными технологиями

Поддержка пользователей и удаленное управление ПК

Опубликовано 17 декабря 2012
Рубрики: Service Desk, Технологии, автоматизация, ПО для ITSM, Управление инцидентами
Комментарии

Есть такая тема – использование удаленного управления рабочими столами для поддержки пользователей (опять недавно всплыла). С одной стороны вещь полезная, поскольку позволяет и проблемы устранять в территориально распределенной сети без квалифицированного локального персонала, и FLR поднимать (поскольку первая линия ногами, как правило, не пользуется), и скриншоты для профильных специалистов снимать при регистрации обращения. Но да – есть и вопросы безопасности.

По мне так это именно вопросы, а не проблемы, которые не преодолеть. Работал с многими компаниями, где безопасники давали разрешение на применение таких средств после того, как проводили экспертизу и получали гарантию, что подключение к ПК пользователя можно выполнить только с его ведома и согласия, в его контексте безопасности и без лишних функциональных возможностей (типа кейлогов). Даже в банках. Использовали таким образом на моей памяти встроенные средства windows, клиент удаленного управления в MS SMS (ныне MS CCM), radmin.

Однако находятся граждане безопасники достаточно суровые, чтобы сказать: «Нет и все, и не просите». Отчасти и ИТ-шники наверно виноваты, требуя «Дайте нам дамеварь!». А оно, конечно, слишком могучее. Избыточно и значит небезопасно.

Потому есть вопросы к широким массам коллег, занятых поддержкой пользователей. Используете? Если да, то что и долго ли пришлось пробивать? Если нет, почему и что предлагали?

ИНТЕНСИВ С ТРЕНЕРОМ
VAP: Управление поддержкой ИТ-услуг
Строим эффективную ИТ-поддержку, оптимизируем существующую

Также по теме:

Комментариев: 31

  • Альберт

    Bomgar – http://www.bomgar.com/remotedesktopaccess/supportrepfeatures.htm По поводу безопасности – http://www.bomgar.com/about/press/press-releases/bomgar-remote-support-solution-receives-nist-validation-for-stringent-fips-140-2-government-security-standard.htm
    Раньше пользовались MS SCCM, но отказались. Внутри сети работает нормально, но с поддержкой удаленных клиентов часто возникают проблемы.

    • Дмитрий Исайченко

      “По поводу безопасности — …”

      Альберт, если я правильно помню/понимаю, это сертификация криптомодуля. Как это связано с безопасностью организации удаленной поддержки кроме защиты от перехвата сеанса?

      • Альберт

        Дмитрий, это в контексте “… находятся граждане безопасники …”. Как правило, сертификация решает проблему с “пробиванием” системы в службе безопасности. Но здесь для каждой организации свои требования, как говорится “То, что хорошо для русского – для немца смерть”.

  • Grigory Kornilov

    Если мы говорим о внутренней поддержке (не сторонними организациями), то имхо для безопасников должно быть достаточно:
    1. Наличие логов (кто-когда-куда заходил).
    2. Интеграция с AD, персональная авторизация, наличие согласованного списка поддержки, возможность быстро запретить\исключить возможность.
    3. VIP поддержка.

    Если сторонней организацией, то надо принимать риски, что конфиденциальная информация будет доступна сторонней компании.

    • Дмитрий Исайченко

      Речь, конечно, о внутренней поддержке. Григорий, а у Вас в компании что используется для этих целей (если не секрет)?

  • Grigory Kornilov

    Мы используем так же MS Lync, рекомендую:
    1. Интеграция с AD.
    2. Включается в себя коммуникации (чат, телефон, видео, конференция) и контроль доступности пользователя.
    3. Стандартно и понятно пользователю (не воспринимается как бекдор через левую программу).
    4. Возможность предоставления доступа лично пользователем через шарить рабочий стол.

    • Дмитрий Исайченко

      “4. Возможность предоставления доступа лично пользователем через шарить рабочий стол.”

      С возможностью управления? Или только чтобы скриншот снять?

      • Grigory Kornilov

        Не только, но в этом и фича. Более того, можно работать с отдельной Программой, а не всем рабочим столом.

  • Vladimir Lyaleko

    У нас для удаленной поддержки внутренних и внешних клиентов используется Support Automation.

    Безагентский модуль удаленной поддержки позволяет устанавливать прямое соединение
    между исполнителем и пользователем вне зависимости от конфигурации ПО на компьютере и его местоположения. Хоть в интернет кафе сеанс поддержки инициируй 🙂

    Я подобной архитектуры больше нигде не встречал, хотя отсутствие необходимости держать установленные агенты или привязываться к AD снимает много вопросов в части взаимоотношений с внутренними и внешними клиентами.

    • Дмитрий Исайченко

      Кто инициирует сеанс удаленного управления – инженер поддержки или пользователь? Если первое – таких решений не так уж мало. Тот же Mikogo, Team viewer. Если второе – большой вопрос по безопасности.

      • Vladimir Lyaleko

        Инициирует пользователь, инженер поддержки может только приглашение (ссылку) отправить.

        Указанные Вами решения не заточены под удаленную поддержку, скорее для проведения видеоконференций. Для поддержки( полного контроля удаленного компьютера) Team viewer агенты требует (нет ?). Плюс нет таких функций поддержки, как доступ к реестру, запуск диагностических скриптов, интеграция с системой автоматизации ITSM процессов и т.д.

        Интересно о каких большом вопросе по безопасности идёт речь ?

        • Дмитрий Исайченко

          “Интересно о каких большом вопросе по безопасности идёт речь ?”

          Если инженер поддержки может удаленное инициировать удаленное управление _без_агента_на_клиентском_ПК_, это значит, что агентская часть ставится на лету, нет? Если да, для этого нужны полномочия либо у инженера поддержки, либо у поддерживаемого пользователя. Вопрос, как обычно, в необходимости таких полномочий и контроле их применения исключительно в мирных целях.

          Или там совсем по-другому (просто я не знаю это решение, могу ошибаться)?

          • Vladimir Lyaleko

            Схема именно такая, как вы описали, только сначала агент компилируется \ собирается на лету, потом запускается, потом удаляется. Прав обычного пользователя как правило оказывается достаточно для сеанса поддержки, хотя бывают кейсы когда запрещено вообще запускать что либо, кроме определенного списка программ, тут мы попадаем на «Нет и все, и не просите» к сожалению…

            • Дмитрий Исайченко

              Да, любопытно. Но тут есть ещё одна засада, как мне кажется. Если соединения, как Вы говорите, устанавливаются через МСЭ (а они есть и на стороне инженера, и на стороне пользователя), то скорее всего для обмена данными используется промежуточный сервер (так же, как в mikogo и team viewer’е). То есть даже при поддержке только во внутренней сети возникает передача данных наружу (насколько я понимаю). Поэтому Windows Remote Assistant для решения внутренних задач мне кажется более предпочтительным вариантом. Или неправ?

              • Vladimir Lyaleko

                Внутренний сервер поддержки есть, но он нужен для компиляции \ настройки доступов, контроля. Сеанс устанавливается как точка – точка… При сеансе можно сервер отключить, сеанс не разорвется 🙂 Передача данных наружу возможна, если мы этого захотим, но не является обязательной.

                Могу прислать на почту ролик и документацию по старой версии ПО. Сейчас отдельно его уже не продают, рекламой это точно не будет.

        • Дмитрий Исайченко

          “Инициирует пользователь, инженер поддержки может только приглашение (ссылку) отправить”

          А, тогда это аналог Windows Remote Assistant. Только непонятно как эта штука без агентов работает.

        • Grigory Kornilov

          Владимир, несколько вопросов:
          1. какими правами на компьютере должен обладать пользователь
          2. какими правами на компьютере должен обладать инженер поддержки
          3. какие права делегируются инженеру поддержки при подключении
          4. какова надежность процедуры подключения
          5. каков уровень логирования
          6. какова процедура предоставления фукнции инженеру поддержки

          • Vladimir Lyaleko

            Григорий, почему у меня от Ваших вопросов возникает чувство, что я пытаюсь Вам это ПО продать ? :))

            Я поделился, чем пользуются в нашей компании. Решения уже нет на рынке, купить его отдельно вы уже не сможете.

            Попробую кратко ответить на Ваши вопросы:

            1. Права пользователя, главное чтобы можно было запустить скомпилированный файл.

            2. Аналогично.

            3. При выполнении поддержки можно выполнить любую задачу со своими правами, либо с правами пользователями, либо с правами администратора \ любого другого пользователя.

            4. Там целя история при компиляции с цифровой подписью, сертификатами, шифрованием и так далее. Это очень обширная тема, нужно изучать документацию.

            5. Абсолютно любая активность логируется, либо в системе автоматизации и \ или на сервере поддержки.

            6. Инженер так-же компилирует свой агент по ссылке. Как правило в течении рабочего дня этот агент открыт и когда пользователь запросил поддержку окно поддержки инженера становится активным.

            Если действительно интересно, могу Вам выслать набор технической документации и обзорный ролик по старой версии, когда софт был ещё отдельным продуктом. Я к сожалению глубоких технических деталей не знаю.

  • Евгений Шанин

    Мы используем MS CCM, отличный инструмент, который так же помогает вести базу КЭ.

  • Георгий

    Из моего опыта, пока еще работал в поддержке – Dameware, Radmin

    Сейчас, думаю уже более правильно MS Lync использовать

    • Дмитрий Исайченко

      Dameware – слишком много функциональности, часть вполне может быть расценена как небезопасная.
      MS Lync – если я правильно понимаю, работает как Skype – можно показать свой экран, но удаленного управления нет.
      RAdmin – да, но в отличие от Remote Assistant стоит отдельных денег.

      • Георгий

        Дим, ты говоришь про полный пакет утилит Dameware, а можно взять только Mini Remote Control (DMRC) – это как раз то, что
        – для 1 линии нужно для обслуживания пользователей удаленно
        – стоит дешевле
        – обладает меньшей функциональностью, следовательно, для паранояльных сотрудников безопасности менее опасно

        PROFIT?

        насчет того, что может Lync, постараюсь уточнить и отпишу потом, что узнал

      • Андрей Фролов

        Добрый вечер! Используем и MS SCCM, и MS Lync. У последнего, кстати, замечательное удалённое управление, которое пользователь в любой момент может как выдать (инженеру поддержки, например), так и отобрать. Этим инструментом любит пользоваться поддержка бизнес-ПО – можно и инцидент решить, и заодно, например, других пользователей подключить и показать им решение (и ещё сопроводить это действо словесным объяснением:) ).
        Немного по поводу безопасности – у нас по SCCM инженер поддержки без предварительного согласия пользователя (как правило, по телефону) не подключается.

        • Дмитрий Исайченко

          “У последнего, кстати, замечательное удалённое управление, которое пользователь в любой момент может как выдать (инженеру поддержки, например), так и отобрать.”

          Да, это интересно. Спасибо!

  • Владимир Максимов

    У наших клиентов (особенно в банковской сфере) большой популярностью пользуется функционал, когда специалист техподдержки может подключится к ПК пользователя (с согласия пользователя), видит экран, но ничего не может на нем сделать. Но может на нем рисовать – нажмитевот эту кнопку, зайдите в этот пункт меню. И, разумеется, все факты сессий логируются – кто, куда, когда подключался.

  • Ilinskiy Andrey

    Свое время (давно надо сказать было) так же стояла подобная задача. В результате сформировали вот такой список:
    1. Нужно было найти решение, которое подключалось бы за NAT(не все компьютеры в одной сети)(виндовые шняги отпадают).
    2. Серверная часть на собственных серверах(Тимвьевер, сори)
    3. Протоколирование всех операций, отчеты о “подозрительных” операциях(еще добрая часть минус).
    4. Все действия должны быть с одобрения пользователя
    5. Должен быть как устанавливаемый клиент, так и клинт on-demand.
    AD не было, так что в этом ключе требований не предъявлялось.

    Примерно полгода на это ушло. Конечно готового решения не нашли. В результате, нашли Украинскую “поделку” и заказли доработку под наши нужды. Вышло очень не дорого, зато покрыли все наши требования.
    Это я к тому, что зачастую малоизвестный производитель готов с радостью делать доработку, не нужно это забывать.
    P.S. Решение так же потом пошло в массы и создали продукт для поддержки внешних клиентов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM
Авторы и редакторы портала — консультанты и тренеры компании Cleverics.
Использование материалов данного сайта допускается исключительно с разрешения правообладателя.
Использование данного сайта означает согласие с обязательством соблюдать нашу Политику конфиденциальности и Согласие на обработку персональных данных.