Les stratégies TeamViewer permettent de télécharger automatiquement les enregistrements des sessions de contrôle à distance vers un stockage SFTP auto-hébergé ou hébergé dans le cloud. Le stockage des enregistrements pour consultation ultérieure peut être utile pour les évaluations de qualité, les formations et les audits. Cet article explique comment configurer les règles de stratégie TeamViewer requises pour y parvenir. Pour en savoir plus sur la manière de démarrer un enregistrement d’une session à distance, veuillez consulter cet article.
Cet article s’applique aux détenteurs d’une licence Tensor utilisant Windows et Linux.
Configurer une stratégie TeamViewer
Pour configurer votre installation pour l'enregistrement automatique des sessions de contrôle à distance, vous devez créer ou mettre à jour une stratégie TeamViewer existante puis ajouter la ou les règles de stratégie suivantes. Vous pouvez combiner plusieurs règles de stratégie au sein même de la stratégie afin de parvenir à votre objectif spécifique. Une fois que la stratégie est ensuite appliquée aux appareils souhaités, la configuration prendra effet. Pour savoir comment appliquer une stratégie à vos appareils, cliquez ici.
Le guide suivant se concentre principalement sur la configuration de la règle de stratégie Charger les enregistrements de sessions dans un espace de stockage personnalisé, qui offre la possibilité d'importer les enregistrements vers votre serveur SFTP. Deux autres règles doivent être considérées, car elles permettent de mieux contrôler le moment où les enregistrements sont lancés et arrêtés.
Appliquer l'enregistrement automatique des sessions de contrôle à distance, qui démarre automatiquement dès qu'une connexion sortante est établie à partir de l'appareil sur lequel la stratégie est appliquée. Si vous souhaitez empêcher l'utilisateur situé devant l'appareil d'arrêter ou de mettre en pause l'enregistrement avant la fin de la session de contrôle à distance, vous pouvez également ajouter la règle de stratégie Désactiver l'arrêt et la mise en pause des enregistrements de sessions. Ces deux règles peuvent être ajoutées et activées sans aucune autre configuration.
Comment configurer la règle de stratégie de téléchargement automatique des enregistrements
Lorsque vous ajoutez la règle Télécharger l'enregistrement de session vers un stockage personnalisé à votre stratégie, vous devez configurer quelques champs obligatoires et facultatifs, que les paragraphes suivants expliquent plus en détail.
Champs obligatoires
Actuellement, seuls les serveurs SFTP, qui peuvent être hébergés dans un centre de données sur site ou dans un environnement cloud tel qu'Azure ou Amazon Web Services, sont pris en charge en tant que type de service.
Deux types d'authentification sont disponibles :
- Authentification par mot de passe
- Authentification par clé publique
Choisissez votre option préférée et vérifiez qu'elle soit bien prise en charge par votre serveur ou service SFTP. Vous devez configurer le nouveau compte et son authentification avant de continuer, car le mot de passe ou la clé privée sont nécessaires dans les paragraphes suivants.
Saisissez le nom d'utilisateur du compte qui doit être utilisé pour s'authentifier auprès de votre serveur puis importer l'enregistrement. Spécifiez votre URL de destination, qui doit être une URL SFTP ciblant votre serveur, y compris le chemin d'accès au dossier dans lequel les enregistrements de la session de contrôle à distance doivent être importés. Il est recommandé de minimiser les autorisations du compte choisi, en n'accordant qu'un accès en écriture au dossier spécifique désigné pour l'importation des enregistrements.
Champ mot de passe chiffré ou clé privée chiffrée
Seuls vous et l'appareil d'importation peuvent accéder aux informations d'identification du compte SFTP en toute sécurité, et le mot de passe ou la clé privée doivent être chiffrés à l'aide d'un certificat défini par l'utilisateur afin de fournir les informations d'identification du compte SFTP en toute sécurité.
Les informations d'identification chiffrées seront alors ajoutées à la règle de stratégie en tant que mot de passe chiffré ou clé privée chiffrée. La raison pour laquelle vous avez besoin d'un certificat pour le chiffrement est qu'il sera déployé ultérieurement sur plusieurs appareils pour le déchiffrement. Votre serveur SFTP ne traitera pas les informations d'identification chiffrées, car l'application TeamViewer les déchiffrera au préalable. Pour cette configuration, il est recommandé d'installer OpenSSL sur votre système.
Il existe de nombreuses façons de générer des certificats, en fonction du système d'exploitation et des outils utilisés. Toutes ces méthodes devraient être viables si les paramètres importants requis pour le certificat x509 sont spécifiés correctement :
- Utilisation des clés : KeyEncipherment, DataEncipherment, KeyAgreement
- Type/Utilisation étendue de la clé : DocumentEncryptionCert, également connu sous le nom 1.3.6.1.4.1.311.80.1
Si vous souhaitez utiliser des certificats auto-signés, vous pouvez utiliser la commande openssl req (vous trouverez sa documentation ici), en remplaçant <CertificateAndKeyName> par un nom de votre choix :
openssl req -x509 \-newkey rsa:2048 \-keyout <CertificateAndKeyName>.pem \-out <CertificateAndKeyName>.crt \-addext keyUsage='keyEncipherment, dataEncipherment, keyAgreement' \-addext extendedKeyUsage='1.3.6.1.4.1.311.80.1'
Cette commande génère un certificat CRT et un fichier de clé privée PEM, qui sont capables de chiffrer et de déchiffrer des données. Ces fichiers devront être convertis en PFX avant d'être déployés sur les appareils Windows, ce qui sera expliqué dans un paragraphe ultérieur.
Une fois que vous avez votre fichier de certificat, vous pouvez vérifier ses paramètres clés en exécutant la commande suivante, en remplaçant <CertificateAndKeyName> par votre véritable certificat, afin de vérifier s'il est compatible. Ceci est particulièrement important si vous souhaitez vérifier si un certificat existant ou provenant d'une tierce partie peut être utilisé :
openssl x509 -text -in <CertificateAndKeyName>.crt
Si la génération de votre clé a réussi, vous pouvez voir les lignes suivantes dans la sortie de votre terminal. Si elles ne sont pas présentes, le chiffrement et le déchiffrement de vos informations d'identification échoueront.
X509v3 Key Usage: critical Key Encipherment, Data Encipherment, Key Agreement X509v3 Extended Key Usage: 1.3.6.1.4.1.311.80.1
Les informations d'identification que vous avez choisies doivent être chiffrées dans la Cryptographic Message Syntax (CMS, vous pouvez en savoir plus à ce sujet dans RFC 5652) à l'aide de votre certificat. Cela peut être fait en lançant la commande openssl cms (vous trouverez sa documentation ici). Pour les commandes suivantes, vous pouvez également spécifier -out <FileName> pour rediriger la sortie du terminal vers un fichier.
Your chosen credential must be encrypted into the Cryptographic Message Syntax (CMS, you can read more about it in RFC 5652) using your certificate. This can be done by running the openssl cms command (please find its documentation here). For the following commands, you can also specify -out <FileName> to redirect the output from the terminal into a file instead.
Pour générer le mot de passe chiffré, vous devrez remplacer <Password> par le mot de passe de votre compte de serveur SFTP et <CertificateAndKeyName> par le nom de votre fichier de certificat. Veuillez utiliser echo -n sous Linux pour éviter d'ajouter un caractère de nouvelle ligne à la fin de votre mot de passe :
echo "<Password>" | openssl cms -encrypt -outform PEM <CertificateAndKeyName>.crt
Si vous souhaitez utiliser la clé privée chiffrée, vous devez remplacer <PathToPrivateKey> par le chemin relatif ou absolu vers votre clé privée du compte du serveur SFTP.
openssl cms -encrypt -in <PathToPrivateKey> -outform PEM <CertificateAndKeyName>.crt
Une fois les informations d'identification chiffrées avec succès, le résultat ressemblera à l'exemple suivant :
-----BEGIN CMS-----
MIIBwgYJKoZIhvcNAQcDoIIBszCCAa8CAQAxggFqMIIBZgIBADBOMDoxCzAJBgNVBAYTAkRFMSsw
(...)
hvcNAQcBMB0GCWCGSAFlAwQBKgQQddXx6ufF4KafytY5RKIZqYAQtpGNqX/eU+Oz+lxUnYUTJQ==
-----END CMS-----
Prenez la sortie respective de la commande choisie et copiez-la dans le champ de la règle, y compris l'en-tête et le pied de page de la sortie qui signifient le début et la fin du message.
Les préparatifs de la règle de stratégie utilisant ce certificat sont effectués, mais les fichiers PEM et CRT générés sont encore nécessaires lorsque le certificat est déployé sur les appareils. La règle de stratégie comporte d'autres champs facultatifs qui sont expliqués dans les paragraphes suivants.
Champ facultatif
Le préfixe d'URL de téléchargement est un champ facultatif, qui peut être spécifié pour offrir des téléchargements directs d'enregistrements à partir de vos serveurs. Ces informations sont ensuite disponibles via notre API Web (pour en savoir plus, cliquez ici) ou dans le cadre de nos intégrations avec Salesforce et ServiceNow. Le champ requiert une URL web comprenant le chemin d'accès, qui contient vos enregistrements. Étant donné que TeamViewer n'a pas accès à votre stockage, les enregistrements devront conserver leur nom d'origine lors du téléchargement pour que les chemins d'accès restent valides.
Bien que TeamViewer mette en cache du public host-key de votre serveur SFTP lors de la première connexion afin de vérifier l'identité du serveur et d'empêcher les attaques de type man-in-the-middle, vous pouvez également la spécifier explicitement à l'aide du paramètre optionel SSH public host-key, qui est alors utilisé pour vérifier l'identité du serveur à la place. Ceci est particulièrement utile lorsque vous devez remplacer le host-key de votre serveur SFTP à un moment donné et indiquer aux appareils de s'attendre à un host-key différent de celui qu'ils ont initialement mis en cache.
Dans la plupart des cas, vous pouvez spécifier le public host-key lors de l'installation de votre serveur SFTP ou vous pouvez le rechercher dans les fichiers de configuration ou les tableaux de bord de votre serveur SFTP. Si vous n'avez pas accès à ces valeurs, vous pouvez également les obtenir à partir de votre appareil actuel.
Si vous vous êtes connecté au serveur avant d'utiliser ssh, vous pouvez l'obtenir à partir du fichier known_hosts dans votre dossier .ssh. Vous pouvez également utiliser la commande suivante, en remplaçant <SftpServerDomain> par votre serveur :
ssh-keyscan <SftpServerDomain>
Lorsque vous copiez le host-key dans le champ paramètres, veillez à ne copier que l'empreinte du host-key, et non le nom, l'adresse IP, le type de clé ou le commentaire du serveur.
La configuration de la stratégie est terminée. Vous pouvez étendre la stratégie avec d'autres paramètres ou l'enregistrer immédiatement.
Préparation et déploiement du certificat
Pour que l'application TeamViewer puisse télécharger les enregistrements des sessions de contrôle à distance vers le serveur SFTP, elle doit pouvoir déchiffrer les informations d'identification. Pour ce faire, le certificat créé doit être converti au format du système d'exploitation de l'appareil receveur avant d'être déployé. La même stratégie peut être déployée sur des machines Windows et Linux si les clés sous-jacentes sont les mêmes.
Déploiement des certificats
Si vous déployez ce système sur des appareils Windows, vous devrez convertir vos fichiers PEM et CRT au format PFX à l'aide de la commande suivante, en remplaçant <CertificateAndKeyName> et <CertificateName> par les noms de fichiers respectifs :
openssl pkcs12 \
-inkey <CertificateAndKeyName>.pem \
-in <CertificateAndKeyName>.crt \
-export \
-out <CertificateName>.pfx
Le certificat PFX obtenu peut être déployé dans le stockage de certificats de l'ordinateur local des appareils cibles à l'aide de votre solution de gestion des terminaux. Après le déploiement, le certificat devrait apparaître dans le Gestionnaire de certificats de l'ordinateur local (recherchez Gérer les certificats de l'ordinateur) dans le dossier Personnel ➜ Certificats.
PowerShell nomme cet emplacement :
cert:\LocalMachine\My
Pour limiter au maximum l'accès à la clé privée, restreignez les autorisations au compte SYSTEM et aux comptes administrateurs nécessaires uniquement. Vous pouvez vérifier cela dans le Gestionnaire de certificats de l'ordinateur local en cliquant avec le bouton droit sur le certificat, en sélectionnant Toutes les tâches (All Tasks), puis Gérer les clés privées… (Manage Private Keys...), et en vous assurant que seuls les comptes requis y ont accès.
Si vous déployez cette fonctionnalité sur des appareils Linux, aucun changement n'est nécessaire. Vous devez placer les clés privées PEM dans /etc/teamviewer/ssl/private et les certificats publics CRT dans /etc/teamviewer/ssl/certs. Assurez-vous que le certificat public et la clé privée correspondante ont le même nom de fichier de base, par exemple <CertificateAndKeyName>.pem et <CertificateAndKeyName>.crt. Veillez à ce que root soit le propriétaire du fichier de la clé privée. Il est recommandé de minimiser l'accès à root lui-même.
Test et application de la stratégie
La procédure de configuration de cette fonctionnalité étant complexe, il convient de la tester avant de l'étendre à d'autres appareils. Pour ce faire, il suffit d'installer le certificat sur un appareil local et d'appliquer la stratégie à ce même appareil, puis de démarrer une session de contrôle à distance, de lancer un enregistrement et de vérifier que le fichier est bien importé sur le serveur SFTP après l'arrêt de l'enregistrement. Cela confirme que le chiffrement, le déchiffrement et la configuration SFTP, ainsi que la connexion au serveur à partir de l'appareil qui importe, fonctionnent.
Si un téléchargement échoue, il sera réessayé après un court laps de temps, qui augmentera à chaque nouvel échec, jusqu'à une heure. Ce délai permet de réduire le nombre de requêtes erronées adressées au serveur SFTP. En particulier pendant les tests, lorsque la configuration est encore activement adaptée, il se peut que la prochaine tentative ne soit pas effectuée immédiatement après l'arrêt d'un enregistrement. Pour tenter un nouveau téléchargement immédiatement, un redémarrage complet de TeamViewer peut être effectué (par exemple, en redémarrant l'ordinateur).
Une fois le test réussi, déployez d'abord le certificat sur tous les appareils cibles à l'aide de votre solution de gestion des terminaux, puis appliquez la stratégie à ces appareils. Une fois que ces appareils auront enregistré des sessions de contrôle à distance, tous les enregistrements de ces appareils seront automatiquement téléchargés sur votre serveur.