従業員が職場でTeamViewerを使用しているかどうかを確認するにはどうすればよいですか?
私は、セキュリティ部門がいくつかの穴を塞ぐのを手伝う任務を負っています。彼らは専任のネットワーク担当者を雇う過程にありますが、当分の間、私は彼らに最も近いです。彼らはすでにSkypeとIMを閉鎖しており、TeamViewerについて聞いたばかりで、そのルートを介してPCにアクセスする人々を心配しています。
明らかに、オフィスの誰もそれを使用していない限り、私たちは安全ですが、それが検出されない場合、そのルールには歯がありません。どこを探すべきでしょうか。また、誰かがインストールしたかどうか、または(インストールしなくても使用できるため)現在使用しているか、過去に使用したことがあるかどうかを知るために何を探す必要がありますか? TVはポート80を使用しているので、この種のことはWeb要求ログに表示されますか?
TeamViewerのWebサイトには、TCPポート5938が使用される可能性がある と記載されており、TeamViewerの実行中はローカルマシンでそのポートが開いているようです。
ポート5938で開いているマシンを探してポートスキャンを実行しようとしています。
また、TeamViewerの組み込みWebサーバーが「このサイトはTeamViewerを実行しています。」と応答するので、ポート80でもポートスキャンを実行して結果を確認します。 Nmapは、ポートスキャンに最適なツールです。
コマンドを試してください:
avahi-browse -t -r _teamviewer._tcp
IPアドレスのリストが表示されます。
eth0 IPv4 850808873 _teamviewer._tcp local
hostname = [xxxxxx.local]
address = [172.16.0.81]
port = [2020]
txt = ["UUID=bd5064d1-5ec8-496c-93cd-c273ec37faa7" "Token=nHLKXaM19dWptBDw" "DyngateID=850808873"]
あなたはこれに逆行しているのではないかと思います。特定のものをブロックすることは、ただ立ち止まるために走るようなものです。代わりに、デフォルトですべてをブロックし、必要かつ安全であると検証された後は、特定のもののみを許可します。これは「ホワイトリスト」と呼ばれます。