Віддалене керування комп’ютером відкриває доступ до робочого столу через Інтернет або локальну мережу. Користувач з іншого пристрою бачить екран, рухає мишею, натискає клавіші, відкриває файли, запускає програми та змінює налаштування майже так само, якби сидів перед комп’ютером.
TeamViewer та RustDesk вирішують одне завдання, але спираються на різні моделі. TeamViewer використовує закриту інфраструктуру для облікових записів, погодження підключень та маршрутизації сеансів. RustDesk можна запустити через публічні сервери або через власний сервер, щоб самому контролювати маршрут з’єднань. Для безпеки важливі не лише шифрування та назва програми, а й двофакторна автентифікація, паролі, довірені пристрої, журнали та правила постійного підключення.
TeamViewer: готова платформа та залежність від сервісу
TeamViewer зручний, коли потрібний віддалений доступ без власного сервера. Користувач встановлює клієнт або Host-модуль, входить до облікового запису, додає пристрій та підключається через інфраструктуру сервісу. Для дому та невеликого офісу такий шлях прибирає мережеве налаштування: не потрібно прокидати порти на роутері, купувати VPS, налаштовувати NAT, relay-вузол та публічні ключі.
В описі безпеки TeamViewer вказує RSA 4096 для обміну ключами та AES 256 для шифрування сеансу. Компанія також заявляє, що проміжні сервери не можуть прочитати потік даних між клієнтами. Канал захищений, але шифрування не рятує від вкраденого облікового запису, слабкого постійного пароля або ситуації, коли людина сама підтвердила підключення шахраю.
TeamViewer підтримує двофакторну автентифікацію, довірені пристрої, список заблокованих та список дозволених облікових записів. Через список дозволів можна відкрити вхід лише вибраним обліковим записам або ID, а інші підключення заборонити.
Слабке місце TeamViewer частіше з’являється не в криптографії, а в управлінні правами. Пароль від облікового запису повторюється на різних сайтах, двофакторна автентифікація вимкнена, старий ноутбук залишився довіреним, Host-клієнт стоїть на всіх робочих місцях, а постійний пароль зберігається в чаті. Та ж логіка працює з будь-якими слабкими паролями: чому admin/admin швидко перетворюється на дірку, вже зрозуміло кожному.
RustDesk: власний сервер, ключі та адміністрування
RustDesk цікавий тим, що сервер віддаленого доступу можна тримати у себе. Підключення йдуть через ваш вузол, ключі зберігаються у вас, а права надаються за вашими правилами. Але разом із контролем приходить обслуговування: оновлення, firewall, журнали та резервні копії ніхто за власника не зробить.
У документації RustDesk серверна частина складається із двох основних компонентів. hbbs допомагає пристроям знайти один одного та узгодити з’єднання. hbbr передає трафік через сервер, коли пряме з’єднання між клієнтами не проходить.
Для базової роботи RustDesk зазвичай потрібні TCP 21115, 21116, 21117 і UDP 21116. Порти 21118 і 21119 використовуються для WebSocket, а 21114 потрібен для HTTP/API в Pro-сценаріях, якщо замість нього не налаштований HTTPS. Перевіряти відкриті порти варто зовні мережі: для інвентаризації підійде Shodan, про який є окремий аналіз з відкритих сервісів і помилок периметра.
Клієнтам потрібно вказати ID Server, Relay Server та публічний ключ. RustDesk пише, що для зашифрованого з’єднання з власним сервером використовується ключ із файлу id_ed25519.pub. Приватний id_ed25519 не можна втрачати або тримати у випадковій теці без резервної копії: зміна ключів змусить оновлювати конфігурацію на клієнтах.
У RustDesk Server Pro варто розділяти Access Control та Control Role. Access Control визначає, хто може під’єднатися до конкретного пристрою. Control Role обмежує дії всередині сеансу: передачу файлів, буфер обміну, термінал, віддалений перезапуск, TCP Tunnel та зміну конфігурації.
Власний сервер не робить RustDesk автоматично безпечним. VPS потрібно оновлювати, firewall повинен відкривати лише потрібні порти, SSH краще перевести на ключі, web-консоль не можна залишати назовні без захисту, журнали підключень треба перевіряти.
Сервер RustDesk, що погано обслуговується, гірше хмарного сервісу з двофакторною автентифікацією, списком дозволених акаунтів і регулярною ревізією пристроїв.
| Критерій | TeamViewer | RustDesk |
| Модель | Закрита платформа з готовою інфраструктурою | Публічні сервери або власний сервер |
| Запуск | Простіше: встановив клієнт, увійшов до облікового запису, налаштував підключення | Складніше при власному сервері: потрібен вузол, ключі та налаштування клієнтів |
| Контроль | Менше контролю над інфраструктурою, більше готових функцій | Більше контролю, але більше відповідальності |
| Типова помилка | Слабкий обліковий запис, зайві довірені пристрої, постійні паролі | Відкриті порти, забуті оновлення, слабкі ролі та web-консоль |
Постійне підключення, RDP та шахраї
Разовий сеанс простіше контролювати: користувач запускає програму, повідомляє код, бачить запит та закриває клієнт після допомоги. Постійне підключення без підтвердження на екрані працює інакше. Оператор може увійти без людини за клавіатурою, якщо заздалегідь налаштовані пароль, довірений обліковий запис або Host-клієнт.
Вдома ризик з’являється після першого зручного налаштування. Батькам поставили віддалену допомогу, пароль відправили до месенджера, програма залишилася в автозавантаженні. Через кілька місяців пароль лежить у декількох чатах, керуючий ноутбук міг заразитися шкідливим програмним забезпеченням, а власник комп’ютера не пам’ятає, у кого зберігся вхід.
У малому бізнесі постійне підключення швидко стає адміністративним каналом. На робочих місцях лежать документи, бази клієнтів, браузерні сесії, токени, CRM і банк-клієнт. Віддалений користувач з повним керуванням може скопіювати файли, запустити термінал, поставити програму, змінити параметри мережі або відкрити внутрішній ресурс.
Відкритий RDP в інтернет зазвичай небезпечніший за TeamViewer або RustDesk з двофакторною автентифікацією, списком дозволених акаунтів і журналами підключень. Покинутий порт Windows Remote Desktop швидко потрапляє під сканування, перебір паролів та атаки за списками вразливостей. CISA у посібнику захисту від ransomware рекомендує не виставляти RDP і схожі сервіси в інтернет без компенсаційних заходів. Microsoft у своїй документації описує port forwarding як можливий шлях, але прямо попереджає: відкривати ПК в інтернеті не рекомендується, краще використовувати VPN. Для схем через WireGuard або OpenVPN стане в нагоді розбір про вибірковий роутинг на домашньому роутері.
Шахраї люблять AnyDesk, TeamViewer, RustDesk та схожі програми не через одну конкретну вразливість. Легальний інструмент простіше провести через довіру людини. Той, хто телефонує, представляється співробітником банку, провайдера, маркетплейсу або служби підтримки, просить встановити програму, потім переконує продиктувати код і не чіпати мишу. FTC окремо попереджає: несподіваний запит на віддалений доступ може дати шахраю файли, облікові дані та вхід до мережі компанії.
Як налаштувати безпечніше та що вибрати
Для дому безпечніший разовий сеанс із підтвердженням на екрані. Постійний пароль краще не включати без потреби. Після допомоги варто закрити клієнт, видалити тимчасові дозволи та перевірити, чи не залишився Host-модуль в автозавантаженні. Несподіваний дзвінок з проханням встановити програму дистанційного керування краще відразу сприймати як шахрайство.
Для TeamViewer мінімальний захист починається з облікового запису: увімкнути двофакторну автентифікацію, перевірити довірені пристрої, налаштувати список дозволених облікових записів, прибрати прості постійні паролі та видалити Host-клієнти з комп’ютерів, де віддалене підключення більше не потрібно. У малому бізнесі кожному оператору потрібен окремий обліковий запис, а не загальний логін для всіх підрядників.
Для RustDesk почніть із сервера. Розміщуйте hbbs та hbbr на окремому VPS або виділеному вузлі, відкрийте лише потрібні порти, закрийте SSH по паролю, збережіть id_ed25519 та id_ed25519.pub у захищеному сховищі. На клієнтах вкажіть ID Server, Relay Server та публічний ключ. Для бізнесу краще використовувати налаштований клієнт, MDM, GPO, Intune або скрипт розгортання, щоб користувачі не вводили сервери вручну.
Мінімум для дому: одноразовий сеанс, підтвердження на екрані, двофакторна автентифікація, відсутність постійного пароля, видалення тимчасових дозволів після допомоги.
Мінімум для малого бізнесу: окремі облікові записи операторів, список дозволених підключень, журнали сеансів, заборона відкритого RDP, відкликання прав після звільнення, щомісячна перевірка Host-клієнтів.
- увімкніть двофакторну автентифікацію для адміністраторів та операторів;
- використовуйте унікальні паролі для постійного підключення;
- додайте список дозволених облікових записів або пристроїв;
- відключіть передачу файлів, буфер обміну та термінал там, де потрібна лише допомога з інтерфейсом;
- перевіряйте підключення у неробочий час;
- видаляйте облікові записи колишніх співробітників, старі пристрої та тимчасові дозволи;
- не публікуйте RDP безпосередньо в інтернет, використовуйте VPN.
TeamViewer краще вибрати для дому, фрілансера та малого бізнесу без адміністратора лише за зрозумілої працездатності сервісу, легальної ліцензії та робочої підтримки.
Більше цікавого: