ADG Оставить заявку
Блог Системное администрирование 4 мин чтения

Radmin быстрее, но пароль лежит в реестре: сравниваем два инструмента удалённой поддержки

Radmin 2.1 и pcAnywhere в реальной поддержке офисов через диалап и ADSL: скорость, удобство и дыра в безопасности, которую обнаружили случайно.

Контекст момента

Radmin и pcAnywhere - привычный инструмент удалённой поддержки

Удалённая поддержка офисов через диалап - это отдельный вид спорта. Едешь туда полчаса, решаешь вопрос за пять минут. Или не едешь, а подключаешься удалённо за две минуты и решаешь за три. Второй вариант явно лучше, и мы уже года полтора работаем с двумя инструментами: Radmin и pcAnywhere. Пришло время сравнить их честно, потому что у каждого есть своё место - и у каждого свои неприятные сюрпризы.

Как устроена задача. У нас несколько клиентов на обслуживании: офисы от десяти до сорока машин, каналы разные - кто-то на диалапе 56К, кто-то уже получил ADSL на 256 кбит. Задачи типичные: пользователь что-то сломал, принтер не печатает, 1С выдаёт ошибку, нужно поставить обновление. Физически ехать к каждому - нецелесообразно, поэтому удалённый доступ это не опция, а основной рабочий инструмент.

Radmin 2.1. Фаворит по скорости - это факт. На диалапе 33.6 он работает вполне терпимо: экран передаётся в виде изменившихся блоков, компрессия приличная, для задачи «помочь пользователю с Word» вполне хватает. На ADSL вообще летает. Протокол собственный, сервер ставится тихо, клиентская часть - один небольшой exe-файл без установки. Для наших целей это удобно: скидываешь на флешку или по почте, запускаешь на машине клиента, подключаешься.

Ещё одно достоинство - передача файлов встроена. Не надо отдельно по FTP или расшаренной папке - прямо в интерфейсе Radmin есть файловый менеджер. Мелочь, но экономит время.

pcAnywhere 10. Продукт Symantec, известный, с историей. Работает стабильно, умеет больше - есть шифрование сессии, гибкая настройка прав, поддержка нескольких протоколов. На бумаге выглядит солиднее. На практике - заметно тяжелее. На диалапе 56К скорость отрисовки экрана ощутимо хуже чем у Radmin. Пользователи, которым нужно что-то показать или объяснить в реальном времени, ждут дольше.

Плюс pcAnywhere требует установки на обе стороны нормально, это не просто запустить exe. В среде, где нужно быстро подключиться к машине пользователя, это лишний шаг.

Где Radmin проигрывает - и проигрывает серьёзно. Мы это обнаружили случайно, разбирая один из клиентских компьютеров с проблемой с реестром. Открыли regedit, полезли в нужную ветку, и краем глаза увидели что-то интересное. В разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\r_server\Parameters лежал пароль Radmin-сервера. Открытым текстом. Вернее, в виде простой XOR-маски, которая разворачивается за секунду.

Это не наша находка - в конференциях об этом писали, но как-то мимо прошло. Пока не увидел своими глазами, не воспринимаешь всерьёз. А тут - вот он, пароль, читается руками.

Практическое значение: если у злоумышленника есть доступ к реестру этой машины - физический, через другую уязвимость, через RAS - он получает пароль Radmin. Дальше подключается к серверной части и имеет полное управление рабочим столом. Для машин, которые стоят внутри офиса за NAT, риск ниже. Для машин с прямым IP - уже другой разговор.

pcAnywhere хранит учётные данные иначе, хэшированно. Это не идеальная защита, но принципиально лучше открытого текста в реестре.

Как работаем сейчас. Разделили инструменты по ситуациям.

  • Radmin - для быстрой поддержки внутри офисных сетей клиентов, где машины за NAT и прямого доступа снаружи нет. Пароли меняем на каждом объекте уникальные, не используем одинаковый везде.
  • pcAnywhere - там, где машина имеет прямой IP или выход снаружи, и где важна защищённость сессии.
  • Для серверов под Linux продолжаем использовать SSH - там вопрос безопасности удалённого доступа решён нормально.

Ещё один момент: на клиентах, где стоит Radmin, мы закрываем порт 4899 (порт по умолчанию) на внешнем периметре. Если доступ к Radmin нужен снаружи - только через диалап до нашего шлюза или VPN, а не напрямую в интернет.

Общий вывод пока такой. Radmin быстрее и удобнее для повседневных задач на диалапе, pcAnywhere надёжнее с точки зрения защиты учётных данных. Выбор не «один или другой», а «каждый на своём месте». Главное - понимать, что быстрый инструмент с дырой в хранении пароля требует компенсации на уровне сети, а не доверия к тому что «у нас и так всё закрыто».

Открытый текст в реестре - это не гипотетическая угроза. Это то, что мы увидели своими глазами на рабочей машине клиента. После этого относишься к настройке периметра немного внимательнее.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.