Sikkerhedstips

Vi forstår, at informationssikkerhed er af største vigtighed for dig, når det kommer til etablering af fjernskrivebordsforbindelser. Vi anvender branchestandard sikkerhedsteknologier for at beskytte dine data og overholde de strengeste sikkerhedsstandarder.

For at etablere en ekstern fjernskrivebords supportforbindelse med en klient skal helpdesk-operatøren starte ISL Light, som bærer en RSA 2048/4096-bit offentlig nøgle til ISL Online serveren. ISL Online sikrer sin standardforbindelse til fjernskrivebord ved at bruge AES 256-bit end-to-end-kryptering. STUN/TURN servere muliggør en direkte forbindelse, mens signal- og kontrolkanal forbliver på ISL Online servere. I sådanne tilfælde styrer ECDSA P-256 krypteringsnøgleforhandling ved hjælp af Diffie-Hellman nøgleudvekslingsalgoritmen, der sikrer forbindelsen ved hjælp af AES 256-bit ende-til-ende-kryptering.

Softwaren understøtter to-faktorgodkendelse, eksporterbare revisionslogfiler, automatisk sessionsoptagelse og ekstern godkendelse.

For en mere detaljeret oversigt kan du læse vores sikkerhedserklæring.

Nedenfor vil vi give dig et hurtigt indblik i nogle af de vigtigste funktioner ISL Online giver for at garantere dig sikker brug af fjernskrivebordssoftware.

Login

Når du logger ind på din konto eller ISL Light, anbefaler vi, at du bruger en stærk adgangskode og indstiller to-faktorgodkendelse for at gøre din konto mere sikker.

Brug en stærk adgangskode

Sikkerheden af dine data afhænger ikke kun af styrken af krypteringsmetoden, men også af hvor stærk din adgangskode er.

For at hjælpe dig med at skabe en stærk adgangskode er ISL Onlines adgangskodesikkerhedspolitik baseret på de seneste NIST specifikationer. Dit kodeord skal være på mindst 8 tegn. Du har tilladelse til at bruge alle udskrivbare ASCII tegn og mellemrum, mens eventuelle indledende og efterfølgende mellemrum vil blive fjernet. Din adgangskode kontrolleres mod afvisningslisten, som består af de mest almindelige og simple adgangskoder.

Indstil to-faktorgodkendelse

To-faktorgodkendelse (2FA) er et ekstra lag af sikkerhed for helpdesk teknikere og IT professionelle. Med 2FA aktiveret, kan operatører kun logge ind på ISL Online systemet ved at gennemgå en to-trins verifikationsproces, ved at give noget de kender (adgangskode), og noget, de har (2FA-token).

Sådan konfigurerer du to-faktorgodkendelse

Important: Vi anbefaler, at du indstiller mere end en to-faktor-godkendelsesmetode, f.eks. mobil og e-mail. Dette giver dig en backupmulighed for at logge ind, hvis du mister adgangen til en metode.

Ekstern godkendelse (Kun serverlicens)

Forskellige typer godkendelsesskemaer kan integreres i ISL Online systemet, såsom OpenLDAP, Microsoft Active Directory, Novell eDirectory eller RADIUS. Når ekstern godkendelse er konfigureret, administreres operatørens adgangsrettigheder og tilladelser til at bruge ISL Online softwaren af IT-administratorer ved hjælp af deres administrationsmapper.

Læs manualen

Tilgå adgangskode

Når du installerer en ubemandet adgang (ISL AlwaysOn) på en fjerncomputer, skal du angive en sikker adgangskode. Dette vil være dit hovedadgangskodeord, som du skal angive, hver gang du forsøger at få adgang til fjerncomputeren.

Hoved adgangskode

Hoved adgangskoden er en adgangskode, som defineres under installationen og kan bruges til at oprette forbindelse til fjerncomputeren af enhver bruger.

Læs manualen

Hoved adgangskode

Forbindelses adgangskode

Hvis du har delt adgang til en fjerncomputer med andre brugere på din konto, har du mulighed for at indstille en anden adgangskode for hver bruger. Adgangskode til forbindelse kan indstilles manuelt i ISL AlwaysOn indstillingerne.

Læs manualen

Forbindelses adgangskode

Engangskode

Generer engangsadgangskoder manuelt i ISL AlwaysOn indstillingerne. Hver engangsadgangskode kan kun bruges én gang til at oprette forbindelse til en fjerncomputer.

Læs manualen Se video (0:58)

Engangskode

Ekstra indstillinger

ISL AlwaysOn indstillingerne giver dig mulighed for at ændre eller tilpasse flere sikkerhedsindstillinger for tilslutning til en ubemandet computer.

Tillad computeradgang med lokal bruger og ingen adgangskode

Giver operatøren mulighed for at oprette forbindelse til en fjerncomputer uden adgangskode. I dette tilfælde skal den lokale bruger godkende forbindelsen. For at bruge denne indstilling skal du bruge de næste kommandolinjeparametre, når du starter ISL Light:

ISLLight.exe --username "<isl_online_username>" --password "<password>" --connect-search "<computer_description>/<computer_name>" --consent-message "<message to be displayed>"

Maksimalt antal aktive sessioner til denne computer

Tillader at indstille det maksimale antal aktive sessioner på denne computer. For at begrænse adgangen til én samtidig forbindelse til computeren, skal du f.eks. bruge værdien "1". Standarden er sat til Ubegrænset.

Vis meddelelse om indgående forbindelse

Tillader klienten at se en nedtællingsmeddelelse, når der etableres en forbindelse til deres computer. Du kan angive timeout og de tilgængelige muligheder for den lokale bruger. Efter timeout udføres standardhandlingen, hvis fjernbrugeren får lov til at afvise forbindelsen.

Tillad lokal bruger at afvise forbindelsen

Denne mulighed bliver tilgængelig, hvis du har aktiveret muligheden "Vis meddelelse om indgående forbindelse". Den lokale bruger ser en notifikation, der giver dem mulighed for at acceptere eller afvise forbindelsen oprettet af supporteren.

Lås computeren, når sessionen starter

Lås fjerncomputeren, når sessionen starter. Du skal indtaste kontooplysningerne for at logge ind.

Lås computeren ved streaming og ingen netværksforbindelse

Hvis forbindelsen afbrydes mens den er tilsluttet fjerncomputeren, låses fjerncomputeren automatisk.

Lås computeren, når sessionen slutter

Lås automatisk den eksterne computer, når sessionen slutter.

Aktiver sort skærm når sessionen startes

Den lokale bruger vil se en sort skærm, når fjernsessionen er aktiv.

Længde af forsinkelse før sort skærm stoppes efter at have trykket på ESC (i sekunder)

Indstil timeout i sekunder, der starter når du trykker på ESC. Når timeout er udløbet, er den sorte skærm deaktiveret, og den lokale klient kan se skærmen. Den maksimale timeout er 180 sekunder.

Læs manualen

Ekstra indstillinger

E-mail notifikationer

Modtag en e-mailnotifikation hver gang en fjernadgangssession starter, stopper, mislykkes, eller en fil downloades på en bestemt computer.

Læs manualen Se video (0:58)

Engangskode

Tilgå adgangsfilter

Af sikkerhedsmæssige årsager vil du måske begrænse brugen af ISL Online-software i din organisation. Du er i stand til at begrænse dataadgangen til ISL Online servere baseret på IP- og/eller MAC-adresserne. Du kan bruge "tillad" funktionen til at angive lister over IP/MAC-adresser, der har tilladelse til at starte en fjernsupportsession eller få adgang til en ubemandet computer. På den anden side kan du bruge funktionen "afvis" til at angive listerne over IP/MAC-adresser. Disse regler kan defineres for en bestemt bruger eller hele domænet på ISL Online serveren.

For eksempel kan du tillade dine medarbejdere at generere sessionskoder til en fjernsupportsession kun fra kontoret (din virksomheds IP adresser).

Eksempel:

deny_ip 192.168.0.14

allow_ip 192.168.0.13/255.255.255.0

allow_mac 00-19-d1-06-c9

Vigtigt:

IP- og MAC adresser kan spoofes, så filtre alene er ikke en erstatning for en stærk adgangskode!

Læs manualen Se video (0:34)

Tilgå adgangsfilter

Portfiltrering

Godt supportsoftware fungerer uden at foretage firewalljusteringer.

Med ISL Online kan din firewall forblive intakt, da ISL Light automatisk starter en udgående forbindelse og forsøger at oprette forbindelse ved hjælp af porte 7615, 80 eller 443.

Større organisationer kan dog have en politik på plads med hensyn til konfigurationen af deres firewalls eller proxyer. Systemadministratorer vil måske kun åbne port 7615 for at sende ISL Online-trafikken direkte igennem og blive ved med at filtrere resten. De kan også konfigurere DNS-navnundtagelse eller IP-adresseundtagelse.

Uanset netværkskonfigurationen, vil ISL Online apps automatisk prøve forskellige tilgange til at finde en fungerende transport (registrering af proxyindstillinger, brug af WinINet, oprettelse af en tunnel, brug af jokertegn DNS osv.) Når en direkte forbindelse bruges, skal firewallen tillade forbindelse via de nødvendige porte til STUN- og TURN-protokoller. Oftest bruges port 3478, men relæforbindelser er lavet på vilkårlige høje porte

Læs manualen

Historik omkring computeradgang

Søg i forbindelser, der er etableret på din konto, tidsstempler for skrivebordsforbindelse og andre nyttige oplysninger.

Læs manualen Se video (0:34)

Historik omkring computeradgang

Begrænsning af funktioner

Fjernsupport software er et universelt værktøj, der bruges stort set i alle brancher. Derfor er der utallige forskellige use-cases, som kræver meget fleksible løsninger, der tillader begrænsning af funktioner for at overholde særskilte sikkerhedsstandarder.

ISL Online giver dig mulighed for at begrænse funktioner, der er tilgængelige i en session: at tage kontrol over fjerncomputeren, overføre filer mellem kunde og operatør og mange andre funktioner.

Et eksempel på, hvor begrænsning af en funktion er afgørende: En bankmedarbejder skal kunne se en klients computerskærm, men bør aldrig kunne begynde at dele sit eget skrivebord. I dette tilfælde kan skærmdeling på skrivebordssiden deaktiveres.

Læs manualen

Mulighed for intranet (kun LAN)

Nogle store organisationer bruger kun ISL Online til deres interne support på tværs af forskellige geografiske placeringer. I sådanne tilfælde skal fjernskrivebordssoftware kun tillade etablering af fjernskrivebordssessioner inden for et lokalt netværk (LAN).

Hvis du kun planlægger at bruge ISL Online inden for dit LAN (intranet), er der ikke behov for en offentlig IP-adresse. Du behøver kun en privat adresse i rækken af private netværk (som specificeret i RFC 1918).

Vigtigste spørgsmål

  • Hvilke porte skal være åbne for hostede løsninger? add_circle remove_circle

    Port 7615 er det foretrukne valg, og du kan tænke på det som standard ISL Online port, ligesom 22 er ssh, 23 telnet, 25 smtp, 3389 rdp osv. - du kan også finde det i liste over porte på wikipedia.

    At have en specifik port er også meget praktisk - hvis du har en bestemt virksomhedspolitik og bruger en firewall/proxy, men gerne vil justere den til at tillade ISL Online trafik, instruerer vi dig blot i at åbne port 7615 og alle ISL Online produkter vil fungere rigtig godt. Hvis vi kun brugte 80/443, ville administratoren finde det svært at forsøge at tillade ISL Online, men begrænse anden trafik, der også går gennem port 80/443.

    Generelt er det første man skal overveje, når man har med et proxymiljø at gøre, at tjekke med system-/netværksadministratoren, om det er muligt at gøre en undtagelse. Dette betyder ikke, at du deaktiverer proxyen fuldstændigt, bare lad ISL Online-trafikken komme igennem direkte og fortsæt med at filtrere resten. Hvis proxyen understøtter DNS navneundtagelser, så tillad direkte udgående tcp-forbindelse for port 7615 til *.islonline.net. Hvis proxyen kun understøtter undtagelser for IP-numre, tjek dette link for en aktuel liste over vores server-IP'er. Direkte forbindelse giver den bedste ydeevne og minimale forsinkelser.

    I en ideel verden af direkte forbindelser og fleksible sikkerhedspolitikker, ville historien ende her, men da der er mange kunder bag virksomhedens firewalls/proxies, hvor kun http- og https trafik er tilladt (altså port 80 og/eller 443) og system/ netværksadministratorer ønsker eller har ikke tilladelse til at tilføje undtagelser, det understøtter vi også, og vores applikationer forsøger at finde en fungerende transport selv i disse situationer (registrer proxyindstillinger, brug wininet, opret en tunnel, gør brug af jokertegn dns - hjælper med nogle fuldmagter osv.).

    Situationer, hvor en sådan filtrering er involveret, kan lide af yderligere forsinkelser, hovedsageligt på grund af transporttimeouts i forbindelsesetableringsprocessen. ISL Online's produkter prøver altid (medmindre du tvinger en bestemt transporttype gennem registreringsdatabasen eller kommandolinjen) at oprette en direkte forbindelse ved hjælp af port 7615, og hvis det mislykkes, prøver de porte 80 og 443 med forskellige proxy-metoder. Hver transporttype har en timeout på 7 sekunder og på vinduer forsøger vi 8 transporttyper, så hvis det er den sidste der kommer igennem, betyder det næsten 1 minuts forsinkelse. Hvis en kunde klager over lange forsinkelser, er den bedste ting at gøre, at oprette forbindelse til den problematiske computer og klikke på find bedste transport i vores forsyningsforbindelsestester. Det vil vise dig en liste over vellykkede transporter sammen med den gennemsnitlige overførselshastighed, forsinkelser osv. Disse resultater giver dig mulighed for at fremtvinge den bedste transport. Både du og din kunde vil sætte pris på den reducerede forbindelsesforsinkelse.

    Hvis du har brug for hjælp til at håndtere ISL Online produkter i proxy-miljøer, kan du kontakte ISL Online teamet over telefonen, via e-mail eller via vores live chat.

  • Hvor længe beholder systemet en ISL Light session? add_circle remove_circle

    En session er aktiv, mens ISL Light er aktiv. Når ISL Light er lukket, eller kun sessionen lukkes ved at trykke på "Afslut session" knappen, er sessionen ikke længere aktiv. Systemet opbevarer de grundlæggende sessionoplysninger (ISL Light og klientcomputers IP numre, chatudskrift, mængde overførte data osv.). Sessionen kan også automatisk afsluttes efter den angivne inaktive tid (link). Inaktiv tid tæller som tid fra den sidste brugerhandling på computeren.

  • Hvordan skal jeg konfigurere min firewall for optimal oplevelse af ISL Online? add_circle remove_circle

    Hvis du ikke filtrerer udgående forbindelser, behøver du ikke foretage ændringer. Men hvis du filtrerer udgående forbindelser, bedes du whiteliste alle forbindelser til *.islonline.net, hvis din firewall tillader DNS whitelist. Hvis du kun kan whiteliste IP-adresser, så tjek det næste spørgsmål.

  • Hvordan skal jeg konfigurere min firewall til optimal ISL Online oplevelse, hvis min firewall ikke understøtter DNS-tilladelsesliste? Hvilke IP-adresser skal jeg tillade? add_circle remove_circle

    Se venligst liste over servere for en opdateret liste over vores server-IP adresser. Vær dog opmærksom på, at listen over vores servere ændrer sig over tid (nye servere tilføjes, gamle servere nedlægges), så du bør tjekke det angivne link i ny og næ og opdatere din firewall korrekt. I stedet kan ISL Online forward proxy konfigureres til at minimere listen over regler og holde dens vedligeholdelse på lavest mulig niveau. For yderligere information, se venligst manualen.

  • Hvor sikker er din ISL Light software til at forhindre "hackere" i at få adgang til min computer, mens du bruger din software? add_circle remove_circle

    ISL Light bruger industristandard SSL/TLS-kryptering. Du kan være sikker på, at din session er privat. Den er krypteret end-to-end - fra ISL Light Client til ISL Light. Klienten skal også tillade hver handling, så operationen kan ikke bare overtage din computer. Du behøver ikke at ændre noget i dine operativsystemindstillinger. For yderligere information henvises til sikkerhed.

  • Fortsætter sessionen, hvis min lokale IP ændres midt i sessionen? add_circle remove_circle

    Ja, ISL Light genopretter forbindelsen til serveren, det er næsten det samme, som hvis du tog kablet ud og tilsluttede det igen.

Fortsæt med at læse: Mere info omkring sikkerhed

Vi er her for dig.

Har du brug for at vide mere?

Kontakt os