Varnostni nasveti
Zavedamo se, da je visoka raven varnosti ključnega pomena pri vzpostavljanju oddaljenih sej. Da bi zaščitili vaše podatke in zadostili najstrožjim varnostnim standardom, uporabljamo uveljavljene varnostne tehnologije.
Za vzpostavitev povezave za podporo oddaljenega namizja z odjemalcem mora operater zagnati aplikacijo ISL Light, ki nosi RSA 2048/4096-bitni javni ključ strežnika ISL Online. ISL Online varuje svojo povezavo z oddaljenim namizjem z uporabo AES 256-bitnega šifriranja od konca do konca. Strežniki STUN/TURN omogočajo neposredno povezavo, medtem ko signalni in nadzorni kanal ostaneta na strežnikih ISL Online. V takšnih primerih ECDSA P-256 upravlja pogajanja o šifrirnem ključu z algoritmom za izmenjavo ključev Diffie-Hellman, ki je zaščiten z uporabo AES 256-bitnega šifriranja od konca do konca.
Programska oprema podpira dvostopenjsko avtentikacijo, izvoz zapisov, samodejno snemanje sej in zunanjo avtentikacijo.
Za bolj podroben pregled si preberite izjavo o varnosti.
Spodaj bi vam radi na hitro predstavili nekaj najbolj pomembnih funkcij ISL Online, ki vam zagotavljajo višji nivo varnosti pri uporabi programske opreme za dostop na daljavo.
Prijava
Pri prijavi v ISL Light račun vam priporočamo, da uporabljate močno geslo in nastavite dvostopenjsko avtentikacijo, tako bo vaš račun bolj varen.
Uporabite močno geslo za prijavo
Varnost vaših podatkov ni odvisna zgolj od šifriranja temveč tudi od tega kako močno je vaše geslo.
Pri ustvarjanju močnih gesel vam bo pomagala naša varnostna politika kreiranja gesel, ki temelji na najnovejših NIST specifikacijah. Vaše geslo mora vsebovati najmanj 8 znakov. Uporabite lahko ASCII znake in presledke, ki jih je mogoče natisniti, presledki na začetku in na koncu pa bodo izbrisani. Vaše geslo se bo preverilo preko liste blokad, ki je sestavljena iz najpogostejših in najbolj preprostih gesel.
Nastavite dvostopenjsko avtentikacijo
Dvostopenjska avtentikacija (2FA) zagotavlja dodaten nivo varnosti strokovnjakom za pomoč uporabnikom ter otežuje nepooblaščen dostop. Če je omogočena 2FA, mora operater opraviti proces z dvostopenjskim preverjanjem, poleg svojega gesla mora navesti dodatno komponento (2FA žeton) za uspešno prijavo.
Kako nastavite dvostopenjsko avtentikacijo
Zunanja avtentikacija (samo za uporabnike Server licence)
ISL Online sistem omogoča integriranje s številnimi načini avtentikacije, kot so OpenLDAP, Microsoft Active Directory, Novell eDirectory, ali RADIUS. Ko je zunanja avtentikacija omogočena, imajo IT administratorji, ki uporabljajo lasten imenik za upravljanje z uporabniki, vse pravice in dovoljenja uporabljati programsko opremo ISL Online.
Geslo za dostop
Ko namestite stalen oddaljen dostop (ISL AlwaysOn) na oddaljen računalnik morate nastaviti varno geslo za dostop. To bo vaše glavno dostopno geslo, ki ga boste uporabili vsakič ko boste želeli dostopati do oddaljenega računalnika.
Glavno geslo za dostop
Glavno geslo za dostop nastavite ko namestite programsko opremo in ga bo za dostop do oddaljenega računalnika lahko uporabil katerikoli uporabnik.
Geslo za dostop do povezave
Če ste dostop do oddaljenega računalnika delili z drugimi uporabniki v vašem računu, imate možnost vsakemu uporabniku nastaviti različno geslo. Geslo za povezavo lahko nastavite v nastavitvah ISL AlwaysOn.
Enkratno geslo
Ustvarite enkratno geslo v nastavitvah ISL AlwaysOn. Vsako enkratno geslo se za povezavo na oddaljen računalnik lahko uporabi samo enkrat.
Dodatne nastavitve
Nastavitve ISL AlwaysOn vam omogočajo spreminjanje in prilagajanje številnih varnostnih nastavitev pri dostopu do oddaljenega računalnika.
Dovoli dostop do računalnika tudi s soglasjem lokalnega uporabnika in brez gesla za dostop
Operaterju omogoča povezavo z oddaljenim računalnikom brez gesla za dostop. V tem primeru mora lokalni uporabnik odobriti povezavo. Za uporabo te nastavitve morate pri zagonu ISL Light uporabiti naslednje parametre ukazne vrstice:
ISLLight.exe --username "<isl_online_username>" --password "<password>" --connect-search "<computer_description>/<computer_name>" --consent-message "<message to be displayed>"
Največje število aktivnih sej do tega računalnika
Omogoča nastavitev največjega števila aktivnih sej za ta računalnik. Če želite na primer omejiti dostop na eno sočasno povezavo z računalnikom, uporabite vrednost "1". Privzeto je nastavljeno na neomejeno.
Prikaži obvestilo o prihajajoči povezavi
Omogočite stranki, da vidi obvestilo z odštevalnikom kadar dostopate do njenega računalnika. Določite lahko odštevalnik in možnosti, ki jih ima na voljo lokalni uporabnik. Po časovni omejitvi se izvede privzeto dejanje, če je oddaljenemu uporabniku dovoljeno, da zavrne povezavo.
Dovoli, da lokalni uporabnik zavrne povezavo
To možnost imate na voljo če ste omogočili "Prikaži obvestilo o prihajajoči povezavi". Lokalnemu uporabniku se prikaže pojavno okno, kjer ima možnost sprejeti ali zavrniti povezavo, ki jo želi vzpostaviti operater.
Zakleni računalnik, ko se prične seja
Zaklenite oddaljeni računalnik ko se prične seja, za vstop boste morali vnesti podatke o računu.
Zakleni računalnik, ko je prekinjena omrežna povezava
Če je med sejo z oddaljenim računalnikom povezava prekinjena, se oddaljeni računalnik samodejno zaklene.
Zakleni računalnik, ko se seja zaključi
Ko je seja na oddaljenem računalniku končana naj se ta samodejno zaklene.
Omogočite zatemnjeni zaslon ob začetku seje
Med aktivno sejo z oddaljenim računalnikom, bo lokalni uporabnik videl zatemnjen zaslon.
Zakasnitev pred ustavitvijo zatemnjenega zaslona po pritisku ESC (v sekundah)
Nastavite časovno omejitev v sekundah, ki se bo pričela, ko pritisnete ESC. Ko časovna omejitev preteče, je zatemnjeni zaslon onemogočen in lokalni uporabnik lahko vidi zaslon. Najdaljša časovna omejitev je 180 sekund.
Email obvestila
Prejmite email obvestilo vsakič, ko se oddaljena seja prične, konča, ni uspešna ali se prenese dokument na določen računalnik.
Filtri za dostop
Iz varnostnih razlogov si boste morda želeli omejiti uporabo programske opreme ISL Online znotraj vaše organizacije. Dostop do ISL Online strežnikov je moč omejiti glede na IP in/ali MAC naslove. Uporabite lahko "Dovoli" funkcijo tako, da opredelite listo IP/MAC naslovov, ki jim je dovoljeno zagnati oddaljeno sejo ali dostopati do oddaljenih računalnikov. Po drugi strani lahko "Zavrni" funkcijo uporabite tako, da opredelite listo blokad IP/MAC naslovov. Ta pravila lahko opredelite za določenega uporabnika ali za celotno domeno ISL Online strežnika.
Na primer, vašim zaposlenim lahko dovolite generiranje kode seje za oddaljeno podporo samo iz pisarne (IP naslovi, ki obsegajo vašo pisarno).
deny_ip 192.168.0.14
allow_ip 192.168.0.13/255.255.255.0
allow_mac 00-19-d1-06-c9
Pomembno:
IP in MAC naslovi so lahko ponarejeni zato ti niso nadomestek močnega gesla za dostop.
Filtriranje vrat
Dobra programska oprema za oddaljen dostop dela brez predhodnih nastavitev požarnega zidu.
Z ISL Online bo vaš požarni zid ostal nedotaknjen saj ISL Light samodejno sproži odhodno povezavo prek vrat 7615, 80 ali 443.
Večje organizacije imajo lahko določeno politiko glede konfiguracije svojih požarnih zidov ali proxyjev. Skrbniki sistema bodo morda želeli odpreti vrata 7615 samo za neposreden prenos prometa ISL Online in še naprej filtrirati ostalo. Konfigurirajo lahko tudi izjemi imena DNS ali številke IP.
Ne glede na omrežno konfiguracijo, bodo aplikacije ISL Online samodejno preizkusile različne pristope za iskanje delujočega prenosa (zaznavanje nastavitev proxyja, uporaba WinINeta, ustvarjanje tunela, uporaba nadomestnega znaka DNS itd.). Pri uporabi neposredne povezave, mora požarni zid dovoliti povezavo prek vrat, potrebnih za protokola STUN in TURN. Najpogosteje se uporabljajo vrata 3478, vendar se rele povezave izvajajo na poljubno visokih vratih.
Zgodovina dostopov do računalnika
Poiščite povezave, ki so bile vzpostavljene znotraj vašega računa, časovne žige povezav na namizju in druge koristne informacije.
Omejitev funkcij
Programska oprema za oddaljen dostop je univerzalno orodje, ki se uporablja tako rekoč v vseh panogah. V skladu s tem obstaja nešteto različnih primerov uporabe, ki zahtevajo zelo prilagodljive rešitve. Te rešitve morajo omogočati omejevanje funkcij, da se lahko prilagodijo različnim varnostnim standardom.
ISL Online vam omogoča omejevanje funkcij, ki so na voljo znotraj seje: prevzem nadzora nad oddaljenim računalnikom, prenos datotek med stranko in operaterjem ter številne druge funkcije.
Primer, kjer je omejitev funkcije ključnega pomena: bančni uslužbenec mora imeti možnost videti zaslon strankinega računalnika, vendar nikoli ne sme deliti svojega namizja s stranko. V tem primeru lahko onemogočimo skupno rabo namizja s strani bančnega uslužbenca.
Možnosti Intraneta (LAN)
Nekatere velike organizacije uporabljajo ISL Online zgolj za lastno interno tehnično podporo na različnih geografskih lokacijah. V takih primerih mora programska oprema za oddaljen dostop omogočati vzpostavitev sej zgolj v lokalnem omrežju (LAN).
Če nameravate uporabljati ISL Online samo v svojem LAN (intranetu), javni IP naslov ni potreben. Potrebujete samo zasebni naslov v obsegu zasebnih omrežij (kot je določeno v RFC 1918).
Pogosta vprašanja
-
Katera vrata morajo biti odprta za gostovanje?
Vrata 7615 so najprimernejša izbira in si jih lahko predstavljate kot standardna vrata ISL Online, tako kot so 22 ssh, 23 telnet, 25 smtp, 3389 rdp itd. Najdete jih tudi v seznam vrat na Wikipediji.
Natančno določena vrata vam bodo prišla prav. Če imate v podjetju določeno varnostno politiko in uporabljate požarni zid/proxy, vendar bi ga radi prilagodili tako, da omogoči promet ISL Online, vam bomo svetovali, da odprete vrata 7615 in vsi ISL Online produkti bodo delovali brezhibno. Če uporabljate samo vrata 80/443, bo skrbnik težje omogočil promet zgolj za ISL Online in omejil drug promet, ki gre tudi skozi vrata 80/443.
Prva stvar, ki jo morate upoštevati pri delu s proxy okoljem je, da preverite pri skrbniku sistema/omrežja, ali je mogoče narediti izjemo. To ne pomeni, da popolnoma onemogočite proxy temveč samo pustite promet ISL Online neposredno skozi in še naprej filtrirate ostalo. Če proxy podpira izjeme imena DNS, dovolite neposredno odhodno povezavo tcp za vrata 7615 na *.islonline.net. Če proxy podpira samo izjeme številk IP, sledite tej povezavi za trenutni seznam IP-jev naših strežnikov. Neposredna povezava nudi najboljšo zmogljivost in minimalne zamude.
V idealnem svetu neposrednih povezav in prilagodljivih varnostnih politik bi se zgodba tukaj končala. Vseeno pa obstaja veliko strank za požarnimi zidovi/proxyji podjetij, kjer je dovoljen samo promet http in https (torej vrata 80 in/ali 443) in skrbniki sistema/omrežja ne želijo ali ne smejo dodajati izjem. Pri ISL Online podpiramo tudi takšne primere, zato naše aplikacije poskušajo najti delujoč transport tudi v takšnih primerih (zaznajo nastavitve proxyja, uporabijo wininet, ustvarijo tunel, uporabijo nadomestni znak dns, ki pomaga pri nekaterih proxyjih itd.).
Situacije, kjer je vključeno takšno filtriranje, imajo lahko dodatne zamude, predvsem zaradi prekinitev transporta v procesu vzpostavitve povezave. Izdelki ISL Online vedno (razen če vsilite določene vrste transporta prek registra ali ukazne vrstice) poskusijo neposredno povezavo z uporabo vrat 7615 in če to ne uspe, poskusijo z vrati 80 in 443 z različnimi metodami proxyja. Vsaka vrsta transporta ima časovno omejitev 7 sekund, v sistemu Windows poizkusimo z 8 vrstami transporta, in če pride skozi šele zadnja, to pomeni skoraj 1 minutno zamudo. Če se stranka pritožuje zaradi dolgih zamud, je najbolje, da se povežete s problematičnim računalnikom in v našem preizkuševalniku priključnih storitev kliknete poišči najboljši transport. Pokazal vam bo seznam uspešnih transportov skupaj s povprečno hitrostjo prenosa, zamudami itd. Ti rezultati vam bodo omogočili, da določite najboljši transport. Tako vi kot vaša stranka boste cenili manjše zamude pri povezovanju.
Če potrebujete pomoč pri delu s programsko opremo ISL Online v proxy okoljih, se lahko obrnete na ekipo ISL Online po telefonu, po e-pošti ali prek našega klepeta v živo.
-
Kako dolgo sistem obdrži sejo ISL Light?
Seja je aktivna, ko je aktiven ISL Light. Ko je aplikacija ISL Light zaprta ali se s pritiskom na gumb "Končaj sejo" zapre samo seja, ta ni več aktivna. Sistem hrani osnovne podatke o seji (IP števike ISL Light in odjemalskih računalnikov, transkript klepeta, količino prenesenih podatkov itd.). Seja se lahko tudi samodejno prekine po v naprej določenem času mirovanja uporabnika. Čas mirovanja se šteje od zadnjega uporabnikovega dejanja na računalniku.
-
Kako naj nastavim požarni zid za optimalno delovanje ISL Online?
Če ne filtrirate odhodnih povezav, vam ni treba spreminjati ničesar. Če filtrirate odhodne povezave in vaš požarni zid dovoljuje seznam dovoljenih DNS, vas prosimo, da vse povezave na *.islonline.net zabeležite na ta seznam. Če imate na seznamu dovoljene samo naslove IP, si preberite naslednje vprašanje.
-
Kako naj nastavim požarni zid za optimalno delovanje ISL Online, če moj požarni zid ne podpira seznama dovoljenih DNS? Katere IP naslove naj dovolim?
Za posodobljen seznam IP naslovov naših strežnikov si oglejte seznam strežnikov. Vendar imejte v mislih, da se seznam naših strežnikov občasno spreminja (dodajo se novi strežniki, stari strežniki se umaknejo), zato morate vsake toliko časa preveriti seznam strežnikov in ustrezno posodobiti požarni zid. Namesto tega lahko uporabite posredovano konfiguracijo strežnika proxy s čimer zmanjšate seznam pravil in poenostavite njegovo vzdrževanje. Za dodatne informacije si preberite priročnik.
-
Kako varna je programska oprema ISL Light? Kako hekerjem prepreči dostop do mojega računalnika med sejo?
ISL Light uporablja šifriranje SSL/TLS, ki je standard v industriji. Lahko ste prepričani, da je vaša seja zasebna, saj je simetrično celovito šifrirana od ISL Light Client do ISL Light. Prav tako mora stranka dovoliti vsako dejanje in operater ne more kar tako prevzeti nadzora nad računalnikom. V nastavitvah operacijskega sistema vam ni treba spreminjati ničesar. Za dodatne informacije si preberite varnost.
-
Ali se seja nadaljuje, če se moj lokalni IP spremeni med sejo?
Da, ISL Light se ponovno poveže na strežnik. Skoraj tako kot, če izključite in ponovnoo priključite električni kabel.
Nadaljujte z branjem Več o varnosti