Teamviewer как запретить управление

Обновлено: 06.07.2024

Админу на заметку - 11. Как заблокировать TeamViewer.

Утилита удаленного администрирования TeamViewer - вещь без сомнения удобная и полезная. Её главное преимущество - работа на машинах без выделенного IP-адреса и через практически любое интернет соединение. Но это же и ее главный недостаток, при бесконтрольном применении TeamViewer представляет значительную угрозу информационной безопасности предприятия.

Как пишут сами разработчики:

Вам не нужно беспокоиться о брандмауэрах, заблокированных портах или маршрутизации NAT -- TeamViewer всегда установит подключение к удалённому компьютеру.

С одной стороны это хорошо, вы можете всегда оказать удаленную поддержку сотрудникам или клиентам, где бы они не находились. Плюс простота применения программы - достаточно просто запустить ее и продиктовать ID и пароль.

С другой стороны открывает широкие возможности по неконтролируемому доступу третьих лиц в корпоративную сеть. Причем сами сотрудники редко задумываются об этом аспекте, легко предоставляя доступ в сеть и на машины содержащие важную информацию и персональные данные третьим лицам. Это могут быть как сотрудники техподдержки банков и различных систем электронной сдачи отчетности, так и вообще непонятные лица, типа "знакомых программистов", родственников и т.п.

Поэтому озабоченность администраторов прекрасно можно понять. Новые технологии и удобство - это хорошо, но когда периметр сети практически перестает существовать - это гораздо хуже. А в данном случае лучше перебдеть, чем недобдеть, поэтому вполне логичным выглядит полный запрет на использование TeamViewer и аналогичных программ в сети предприятия.

Но не все так просто. TeamViewer полностью оправдывает приведенную выше цитату, если проанализировать его сетевую активность, то окажется, что заблокировать его не так то простою. Нет возможности установить один тип соединенения, программа попробует другой. Ну прямо как в поговорке: ты его в дверь, а он в окно.

В сети описывается несколько методов блокирования TeamViewer, основанных на запрете доступа к используемым им IP-адресам. Но это не дает 100% гарантии, во первых эти адреса еще нужно вычислить, во вторых они могут со временем поменяться, отслеживать такие изменения у обычного администратора нет ни времени, ни возможности.

Windows Server

Ubuntu Server

В предлагаемых нами решениях используется легкий кэширующий DNS-сервер dnsmasq, поэтому откроем его конфигурационный файл /etc/dnsmasq.conf и добавим туда следующую строку:

Следует отметить, что данные изменения коснуться только вновь устанавливаемых соединений, если TeamViewer на момент их применения был запущен - он продолжит нормально работать. Поэтому после внесения изменений есть смысл кратковременно разорвать интернет сессию.

Теперь при попытке подключения мы увидим следующую картину

Обойти установленные нами ограничения можно заменив системные настройки DNS на один из публичных адресов, но это легко решается запретом запросов на 53 порт из локальной сети.

Теоретически пользователи могут использовать публичный прокси, но это действие лежит за рамками знаний и умений большинства из них, и выявление такого факта как правило требует пристально внимания к данному сотруднику и его действиям.

Данный способ также подходит для блокировки другого аналогичного ПО, например Ammyy Admin.

Большинство пользователей, которым нужен удалённый доступ к компьютеру, выбирают функциональную утилиту TeamViewer. С помощью этого приложения можно работать с документами, записывать видео, настраивать ОС, устраивать конференции и общаться в голосовом либо текстовом чате. После завершения сеанса, юзеру следует знать, как отключить Теам Вивер.

Выход из приложения

Самый простой способ – закрыть само приложение. Если утилита не понадобиться в ближайшее время, следует зайти в программу и войти в опцию «Подключение». В этом разделе юзеру нужно найти функцию «Выйти» и нажать на неё.

выход из teamviewer

Также пользователь может «убить» сам процесс. Для этого нужно нажать комбинацию клавиш и запустить диспетчер задач. Затем, найти в списке необходимую программу и снять с неё задачу.

останавливаем процесс приложения

Примечание: Нередко, приложение Тимвивер отображается в диспетчере задач сразу после запуска системы. Это значит, что приложение добавлено в автозагрузку и будет самостоятельно открываться при каждом включении ПК.

Чтобы убрать приложение из автозагрузки нужно зайти в программу, перейти во вкладку «Основное» и снять галочку с пункта «Запускать TeamViewer при загрузке Виндоус». Также юзеру стоит выполнить настройки системы, для этого необходимо:

  • Войти в пуск и выбрать опцию «Выполнить».
  • Ввести msconfig.
  • В появившемся окне выбрать вкладку «Автозагрузка».
  • Кликнуть на «Открыть диспетчер задач».
  • Отключить автозапуск программы для удалённого подключения к ПК.

автозагрузка

Примечание: Для вызова диспетчера задач пользователь может использовать комбинацию кнопок «Ctrl+Alt+Del».

Закрытие доступа

Пользователю также стоит знать, как отключить неконтролируемый доступ TeamViewer. При подключении Wake-on-line и привязке аккаунта, другой человек получит полный контроль над ПК, даже сможет его включить удалённо. Если пользователь хочет защитить аппарат от стороннего воздействия стоит выключить Wake-on-line, для этого следует:

  • Перезагрузить ПК.
  • Войти в BIOS. Для этого используются клавиши Del либо F1.
  • Перейти во вкладку ACPI Configuration либо Power.
  • Деактивировать необходимую функцию.
  • Сохранить изменения и выйти из BOIS.

настройки в bios

Юзер может не отключать программу, а просто установить запрет на удалённый доступ. Пользователю нужно нажать правой кнопкой мышки на «Мой компьютер», перейти в «Свойства» и выбрать раздел «Настройки удалённого доступа». В появившемся окне следует поставить галочку возле «Не разрешать удалённые подключения».

Каждый из вас знает о такой удобной программе TeamViewer, это очень удобная программа для удаленного управления рабочим столом, показа презентаций, передачи файлов и прочее, но ко мне поступила обратная задача как заблокировать работу TeamViewer в сети, что бы сотрудники не могли удаленно подключаться к компьютерам сети.

Воплощать нашу задачу будем при помощи создания еще одной зоны DNS в оснастке управлением DNS и перенаправления ее на 127.0.0.1, расскажу настройку на примере Windows Server 2012. Но подобная реализация возможна и на другой любой системе.

team_add_zone

team_172

team_reload

Для того что все настройки применились немедленно нужно перезаписать их.

Как пишут сами разработчики:

Но не все так просто. TeamViewer полностью оправдывает приведенную выше цитату, если проанализировать его сетевую активность, то окажется, что заблокировать его не так то простою. Нет возможности установить один тип соединенения, программа попробует другой. Ну прямо как в поговорке: ты его в дверь, а он в окно.

В сети описывается несколько методов блокирования TeamViewer, основанных на запрете доступа к используемым им IP-адресам. Но это не дает 100% гарантии, во первых эти адреса еще нужно вычислить, во вторых они могут со временем поменяться, отслеживать такие изменения у обычного администратора нет ни времени, ни возможности.

Windows Server

Это приведет к тому, что все имена входящие в указанную зону будут разрешаться как 127.0.0.1 и соединение с серверами TeamViewer окажется невозможным.

Ubuntu Server

В предлагаемых нами решениях используется легкий кэширующий DNS-сервер dnsmasq, поэтому откроем его конфигурационный файл /etc/dnsmasq.conf и добавим туда следующую строку:

Теперь при попытке подключения мы увидим следующую картину

Однако это еще не все, через некоторое время, убедившись в безуспешности попыток подключения, TeamViewer предложит использовать прокси-сервер.

Обойти установленные нами ограничения можно заменив системные настройки DNS на один из публичных адресов, но это легко решается запретом запросов на 53 порт из локальной сети.

Теоретически пользователи могут использовать публичный прокси, но это действие лежит за рамками знаний и умений большинства из них, и выявление такого факта как правило требует пристально внимания к данному сотруднику и его действиям.

Данный способ также подходит для блокировки другого аналогичного ПО, например Ammyy Admin.

Серверы TEAMVIEWER и AMMYY для блокировок! (адреса)

1 Teamviewer1 46.165.192.0/24
2 Teamviewer2 77.223.130.0/24
3 Teamviewer3 80.237.157.0/24
4 Teamviewer4 80.237.220.0/24
5 Teamviewer5 81.169.168.0/24
6 Teamviewer6 85.25.143.0/24
7 Teamviewer7 85.214.154.0/24
8 Teamviewer8 85.214.222.0/24
9 Teamviewer9 87.230.58.0/24
10 Teamviewer10 87.230.70.0/24
11 Teamviewer11 87.230.73.0/24
12 Teamviewer12 87.230.74.0/24
13 Teamviewer13 87.230.83.0/24
14 Teamviewer14 88.198.141.0/24
15 Teamviewer15 95.143.195.0/24
16 Teamviewer16 95.221.37.0/24
17 Teamviewer17 141.255.191.0/24
18 Teamviewer18 178.33.227.0/24
19 Teamviewer19 178.77.120.0/24
20 Teamviewer20 216.108.224.0/24

1 Ammyy1 93.95.99.232
2 Ammyy2 93.95.99.233
3 Ammyy3 88.198.6.55
4 Ammyy4 88.198.6.54
5 Ammyy5 185.41.186.225


Если вы хотите заблокировать все удаленные подключения TeamViewer в вашей сети, эта статья именно для вас. TeamViewer не требует специальной настройки или каких-либо правил брандмауэра, чтобы позволить ему подключаться к Интернету. Все, что вам нужно сделать, это загрузить файл .exe с веб-сайта TeamViewer и выполнить его. Из-за этого кому-то очень легко обойти ваши меры безопасности. Любой серьезный бизнес не хотел бы иметь такую уязвимость, так как вы блокируете TeamViewer? Давайте взглянем.

Включить блокировку DNS

Убедитесь, что клиенты не могут подключиться к внешним DNS-серверам

Вы можете убедиться, что единственные DNS-подключения, разрешенные в сети вашей компании, - это ваши собственные внутренние DNS-серверы. Это исключает возможность проверки клиентом TeamViewer DNS-записей на своих собственных серверах, а не на фиктивных, которые вы установили на предыдущем шаге. Вы также можете добавить новое исходящее правило брандмауэра, чтобы заблокировать TCP и UDP-порт 53 от всех исходных IP-адресов, кроме ваших собственных DNS-серверов. Зачем? Потому что теперь ваши клиенты смогут разрешать только те записи DNS, которые вы разрешаете, через собственный DNS-сервер.

Запретить доступ из диапазона IP-адресов TeamViewer

Иногда клиент TeamViewer по-прежнему сможет подключаться к известным IP-адресам, даже если вы заблокировали записи DNS. Вам нужно заблокировать доступ ко всему диапазону IP-адресов, чтобы решить эту проблему. Вы должны снова войти в брандмауэр / маршрутизатор и добавить новое правило исходящего брандмауэра, чтобы запретить подключения к 178.77.120.0/24. Диапазон IP-адресов TeamViewer - 178.77.120.0/24. Это означает 178.77.120.1 - 178.77.120.254.

Заблокируйте порт TeamViewer

Создание и применение ограничений групповой политики

Добавьте программные ограничения в групповую политику в сети Active Directory. Вот как:

  1. Загрузите файл TeamViewer .exe с веб-сайта TeamViewer.
  2. Запустите консоль управления групповыми политиками и создайте новый объект групповой политики.
  3. Перейдите к Политике ограниченного использования программ в вашем новом объекте групповой политики. Их можно найти в разделе «Конфигурация пользователя»> «Настройки Windows»> «Настройки безопасности»> «Политики ограниченного использования программ».
  4. Щелкните правой кнопкой мыши Политики ограниченного использования программ и выберите «Новые политики ограниченного использования программ» .
  5. Выберите «Обзор» в окне New Hash Rule, которое будет отображаться. Найдите файл установки TeamViewer .exe и дважды щелкните по нему.
  6. Подключите новый объект групповой политики к домену и примените его ко всем своим клиентам.

Провести глубокую проверку пакетов

Если ничто из вышеперечисленного не помогло вам, возможно, вам придется использовать брандмауэр, который выполняет Deep Packet Inspection и Unified Threat Management. Эти функции специально разработаны для поиска общих инструментов удаленного доступа и их блокировки. Однако недостатком является то, что они дорогие. Попробуйте другие методы из нашего списка, прежде чем приступить к этому шагу.

Читайте также: