Menü

Ratgeber: "Remote Access" Fernzugriff für Admins - So geht's

In einer idealisierten Welt benötigen Computerbenutzer niemals irgendwelche Hilfestellungen und es entstehen auch gar keine Probleme. Jeder IT-Experte weiß, dass es sich in der Realität alles etwas anders darstellt und ein Zugriff für den Support durchaus erforderlich ist. Hilfe per Fernzugriff erleichtert die Aufgabe ungemein.
© Hersteller/Archiv
Remote Access für Admins

Mittelständische Unternehmen, Konzerne oder Einrichtungen des öffentlichen Dienstes verfügen in der Regel über eine eigene IT-Support-Mannschaft, die innerhalb eines definierten Zeitfensters für Benutzeranfragen zur Verfügung steht. Neben rein technischen Problemen leitet der Support anwendungsspezifische Fragestellungen an die jeweiligen Fachbereiche weiter.

Bewaffnet mit einem Ticketing-System, Software-Verteilungsmechanismen, Fernwartungs-Software oder gleich einer Systems-Management-Lösung, beziehungsweise Client Lifecycle Management Software, arbeitet der IT-Support alle Anfragen möglichst effektiv ab.

Wichtigste Regel beim Einsatz von Fernwartungslösungen: Richten Sie dem Supporter ein separates Konto ein. Nur so können Änderungen, wie beispielsweise das Löschen der Ereignisanzeige, zugeordnet werden. © Hersteller/Archiv
Wichtigste Regel beim Einsatz von Fernwartungslösungen: Richten Sie dem Supporter ein separates Konto ein. Nur so können Änderungen, wie beispielsweise das Löschen der Ereignisanzeige, zugeordnet werden.

Kleinere Firmen, Praxen oder Kanzleien haben in den seltensten Fällen ein eigenes IT-Support-Team und sie könnten es auch kaum auslasten. Ein Mitarbeiter, meist ein PC-Enthusiast, ist für die kleineren Wehwehchen vor Ort der Ansprechpartner im Sinne des 1st Level Supports und leitet größere Probleme, in Rücksprache mit der Geschäftsführung, an den Systemanbieter weiter.

Diese Anbieter, zumeist EDV-Dienstleister oder Systemhäuser, benötigen dann einen Zugang zu den Maschinen vor Ort. Zugriffe dieser Art realisieren IT-Profis über verschiedene Software-Fernwartungslösungen. Doch ehe wir uns diese Programme näher anschauen wollen, sollten wir den Blick auf ein ganz wichtiges Gebiet lenken: Sicherheit!

Zugriff ja – aber nicht auf Kosten der Sicherheit

Kommt der Techniker höchstpersönlich ins Büro, so ist vollkommen klar und ersichtlich – der externe Dienstleister ist nun im Hause und aktiv. Wichtige Unterlagen, wie sensible Memos, liegen nun nicht mehr offen herum, schließlich sollen sie ja nicht vom Techniker gelesen werden können. Schaltet sich ein Techniker auf das System auf, so liegen möglicherweise alle sensiblen Daten offen auf einem PC oder Server und laden zum Schmökern ein. Grundsätzlich sollten Fernzugriffe so eingerichtet werden, dass nicht automatisch alle Daten im Zugriff sind.

Administrationsrechte sind üblicherweise erforderlich, da der Support ansonsten seine Aufgaben nicht erledigen könnte. Datensicherung und Wiederherstellung, verschieben von Dateien in andere Ordner – das erfordert hohe Zugriffsrechte. Einen Passwortschutz für wichtige Office-Dokumente kann sich jeder Benutzer für sensible Dokumente individuell anlegen, ohne dass es negative Auswirkungen auf den Support hätte.

Weiter sollte für den IT-Support ein zusätzliches Benutzerkonto eingerichtet werden. Das vordefinierte Konto Administrator erlaubt keine Rückschlüsse darauf, wer welche Änderung im System tatsächlich durchgeführt hat. Steht in der Ereignisanzeige jedoch, dass sich beispielsweise IT-Support anmeldete oder die Ereignisanzeigen-Protokolle gelöscht hat, so ist schnell klar, wer das war.

Üblicherweise kann sich ein IT-Dienstleister rund um die Uhr auf die Computersysteme aufschalten, das kann und muss aber nicht unbedingt so konfiguriert werden. Eigentlich sollte der externe Profi sich nur dann aufschalten können, wenn es auch etwas für ihn zu tun gibt. Kommt ein Server vor Ort zum Einsatz, so könnte beispielsweise der Support-Benutzer nur dann aktiviert werden, sofern er benutzt wird. Mit zwei kleinen Befehlen kann ein solcher Benutzer leicht ein- und ausgeschaltet werden:

Aktivieren eines bereits vorhandenen Benutzerkontos:

net user {Benutzername} /active:yes

Deaktivieren eines bereits vorhandenen Benutzerkontos:

net user {Benutzername} /active:no

Bezüglich der Zugriffstechnik gilt es, sich ebenfalls einige Gedanken zu machen. Es reicht vollkommen aus, wenn sich der Support über das Internet auf eine einzelne Maschine im lokalen Netzwerk aufschaltet und von dort aus über Bordmittel oder das kostenfreie VNC auf die anderen Maschinen "springt". Somit gibt es nur eine einzige Verbindung, die über das Internet erreichbar sein muss und es spart gleichzeitig Lizenzgebühren.

Typischerweise wird mindestens ein PC als Server genutzt oder kommt dieser Rolle am nächsten – diese Maschine bleibt nicht selten Tag und Nacht eingeschaltet und ist förmlich prädestiniert, um als zentrale Schaltfläche für den Support zu fungieren. Es versteht sich von selbst, dass die verwendete Fernwartungs-Software stets auf dem neuesten Stand bleiben muss.

Mit TeamViewer ist selbst der Zugriff über ein Android-SmartPhone auf einen Windows-PC von unterwegs möglich. © Hersteller/Archiv
Mit TeamViewer ist selbst der Zugriff über ein Android-SmartPhone auf einen Windows-PC von unterwegs möglich.

Sicherheitslücken, wie sie vor einigen Wochen Symantec bei pcAnywhere einräumen musste, erschütterten die ganze Branche. Ein Hacker verbreitete dabei den kompletten Quellcode der Fernwartungs-Software per Bittorent über Pirate Bay. Externer IT-Support verlangt nach einer guten Fernwartungs-Software und mehr noch einer riesengroßen Portion Vertrauen für die Personen, die die Dienstleistungen erbringen sollen.

Kaufberatung: Die bestenNetzwerkfestplatten

Selbst wenn es für kleine Firmen oder Einzelunternehmer ungewöhnlich klingen mag, sollten beide Seiten auf einen schriftlichen Vertrag bestehen, der den Support-Einsatz reguliert. Eine Aufstellung der Support-Einsätze in regelmäßigen Abständen vom Dienstleister zu verlangen ist eine Selbstverständlichkeit. Ausgereifte Fernwartungsprogramme erlauben zudem eine Protokollierung: Wer hat sich wann und wie lang von wo aufgeschaltet.

Die hier dargestellten Fernwartungs-Programme stellen eine exemplarische Auswahl dar. Es gibt sehr viele gute und teilweise auch kostengünstige Lösungen. NTR FreeCloud und Teamviewer können für private, nicht gewerbliche Verbindungen, kostenfrei genutzt werden.

TeamViewer eignet sich für gelegentliche Verbindungen

NTR protokolliert selbst in der kostenfreien Variante sehr genau die Zugriffe auf einen PC von außen. © Hersteller/Archiv
NTR protokolliert selbst in der kostenfreien Variante sehr genau die Zugriffe auf einen PC von außen.

TeamViewer, von der gleichnamigen GmbH mit Sitz in Göppingen, wird weltweit vertrieben und ist besonders für Privatpersonen ohne gewerblichen Hintergrund sehr spannend. Auch ohne vorherige, feste Installation einer Client-Software sind Spontanfernwartungssitzungen möglich.

Die Client-Software kann, ohne Installation, auf einem Desktop-Computer gestartet werden. Eine ID und ein Kennwort erstellt die Software automatisch. Mit diesen beiden Informationen kann der Supporter von einem anderen Windows-, Linux-, OS-X-, IOS- oder Android-System den Desktop übernehmen und den Benutzer unterstützen.

Mit mehr als 100 Millionen Anwendern, der Übersetzung in mehr als 30 Sprachen und der vollkommen problemlosen Nutzung hinter Firewalls und Routern ist TeamViewer eine überaus erfolgreiche Software geworden. Professionell mit Lizenz eingesetzt, ist ein All-In-One-Konzept realisiert: Neben Support wird die Freigabe des Desktops für Meetings, Präsentationen, Schulungen, Vertrieb oder Teamarbeit nutzbar gemacht. Besonders spannend ist zudem die Preispolitik des Herstellers: Es gibt nur Lifetime-Lizenzen, die einmalig gekauft werden und ohne Folgekosten weiter genutzt werden.

Ratgeber: Die beste Security-Freeware

Da eine direkte Verbindung zwischen zwei Computern über das Internet eingerichtet wird, stellt sich die Frage bezüglich der Sicherheit. Mit dem Qualitätssiegel des IT-Sachverständigen und Gutachter e.V. (BISG e.V.) mit dem Maximalwert von fünf Punkten und der sicherheitstechnischen Prüfung durch die GAD eG für den Einsatz für Banken mit Windows XP, kann der Hersteller beruhigen. Die komplette Verbindung arbeitet mit einer Verschlüsselung auf Basis eines RSA Public-/Private-Key-Exchange-Verfahrens und einer 256-Bit-AES-Session-Verschlüsselung – dies gilt nach heutigem Stand der Technik als sicher.

NTR bietet Überwachung aus der Cloud

Anstelle immer direkt auf dem Desktop zu landen, ist dem IT-Profi möglicherweise die Eingabeaufforderung lieber. Der Benutzer am PC kann derweil weiterarbeiten. © Hersteller/Archiv
Anstelle immer direkt auf dem Desktop zu landen, ist dem IT-Profi möglicherweise die Eingabeaufforderung lieber. Der Benutzer am PC kann derweil weiterarbeiten.

Das Unternehmen NTR bietet seit vielen Jahren Cloud-basierte/SaaS Remote Desktop-, Secure Chat- und IT-Automatisierungs-Software bereit. Im Vergleich zu dem vorgestellten TeamViewer, ist bei NTR eine feste Installation einer Agent-Software verpflichtend. Diese Applikation, eine so genannte Mikroapplikation, verbindet sich mit dem Zentralsystem von NTR und erlaubt den Zugriff über Benutzernamen und Passwort.

Nach dem Freischalten des Desktops ist es möglicherweise erforderlich, sich ein weiteres Mal, gegenüber Windows, zu authentifizieren. Sollten einmal die NTR-Zugriffsrechte in falsche Hände gelangen, so ist dies ein weiterer Schutz, der vor unbefugten Zugriffen schützt. Auf der Seite des IT-Supports ist lediglich eine Browser-Sitzung für den Zugriff erforderlich. NTR arbeitet mit Windows, OS X und Linux zusammen und unterstützt alle gängigen Browser wie Internet Explorer, Firefox, Safari und Chrome.

Die Fernwartung mit der Software ist insgesamt sehr intuitiv und sehr schnell. Die Farbtiefe und die Darstellungsqualität lassen sich bei Bedarf herabsenken, was bei langsameren DSL-Verbindungen durchaus hilfreich sein kann. Für nicht kommerzielle und private Anwender bietet NTR mit Free Cloud eine kostenfreie Minimalvariante für bis zu zwei Zielsysteme an, die auch unter Server-Betriebssystemen betrieben werden kann. Die Fähigkeit zur Übertragung von Dateien und Ordnern ist auch in der kostenlosen Version voll nutzbar.

Ratgeber: Die besten Windows-Sicherheits-Tipps

In den kostenpflichtigen Editionen haben die Entwickler einige spannende Zusatzfunktionen eingearbeitet, die dem Support-Mitarbeiter das Leben wahrlich einfach machen können. Anstelle sich durch die Dialogfelder von Windows auf der übernommenen Maschine zu klicken, lässt sich mit einem Mausklick eine Ferndiagnose durchführen. Eine ActiveX-Komponente wertet die wichtigsten Eckdaten des Systems aus.

Das sind neben Herstellerinformationen, Speicherausbau, Festplattendimensionierung oder CPU-Typ und Geschwindigkeit die Konfiguration der Netzwerkkarten und eine Übersicht aller installierten Programme und der aktuell aktiven Prozesse auf der Maschine. In sehr großen Unternehmen ist neben der Cloud/SaaS-Variante auch die lokale Installation auf Servern denkbar. Aber auch ohne einen eigenen Server protokolliert das datenbankbasierte System jeden Zugriff. Somit hat auch der Kunde die Möglichkeit jederzeit zu sehen, wann sich der Support-Mitarbeiter aufgeschaltet hat oder nicht.

Mini Remote Control 7 arbeitet mit Client-Push innerhalb des LANs

Dameware Mini Remote Control wird in Deutschland von RamgeSoft vertrieben und bietet eine äußerst interessante Funktion für den Einsatz innerhalb des lokalen Netzwerks. Die Client-Software, die für die Verbindung benötigt wird, kann durch einen Mausklick auf einen beliebigen Windows-Computer installiert und ebenso einfach wieder deinstalliert werden. Auch das Preismodell für die Fernwartungs-Software ist erwähnenswert. Es wird nicht pro Client-System lizenziert, sondern pro Administrator.

Somit ist die Größe des zu verwaltenden Netzwerks unerheblich. Je nach Einstellungen ist für das Aufschalten ein Windows-Benutzerkonto mit entsprechenden Rechten oder ein zuvor festgelegtes Kennwort notwendig. Neben Benutzerkonten erlaubt die Software seit einigen Jahren die Anmeldung per Smartcard. Ob eine Zustimmung für das Aufschalten durch den Benutzer erforderlich ist oder nicht, liegt im Ermessen der Administration beziehungsweise in den Regularien des Unternehmens.

Ratgeber: So machen Siemehr aus Ihrer Fritzbox

Sobald eine Fernwartungsverbindung steht, läuft eine rote-gelbe Ameisenlinie um das Fenster und macht so unmissverständlich auf sich aufmerksam. Wem dieser Warning Border zu farbenfroh ist, kann ihn in den Optionen dauerhaft deaktivieren. Je nach Einstellung werden Maus und Tastatur auf dem Zielsystem während der Fernwartungs-Sitzung blockiert oder ein nur betrachtender Modus gewählt.

Sind mehrere Monitore am Client vorhanden, so ist ein Wechsel zwischen diesen über ein Menü möglich. Auch ohne dass eine Netzlaufwerk-Verbindung zwischen Client und Host initiiert wird, ist ein einfacher Dateiaustausch über die Befehle im Menü SFT (Simple File Transport) möglich.

Wofür habe ich denn einen Router?

Ein „File Explorer“ vereinfacht den Datei- und Ordneraustausch zwischen den PCs. © Hersteller/Archiv
Ein „File Explorer“ vereinfacht den Datei- und Ordneraustausch zwischen den PCs.

Mit ein wenig technischem Verständnis für die Funktionsweise von Fritz!Box & Co. ist eine kostenlose Variante des Fernzugriffs zu realisieren. Beinahe jeder aktuelle Breitband-Router, beispielsweise auch die sehr verbreiteten Speedport-Geräte, besitzt die Fähigkeit, einzelne Ports auch in Richtung Internet freizuschalten.

Diese Freischaltung wird dazu verwendet, um das Remote Desktop Protocol (RDP auf Port 3389) von einem PC per NAT (Network Address Translation) auf den Router zu lenken. Wird von einem PC, außerhalb des lokalen Netzwerks, eine Verbindung über MSTSC.EXE (Remote-Desktop-Verbindung im Zubehör von Windows) aufgebaut, so verbindet diese direkt mit dem PC innerhalb des Netzwerks.

Ist eine feste IP-Adresse vorhanden, so ist das Auffinden des Routers im Internet über diese Adresse ein Leichtes. Ansonsten kommen Techniken wie DynDNS zum Einsatz – eine Clientsoftware übermittelt in regelmäßigen Abständen die dynamisch zugeordnete externe IP-Adresse des Routers an eine zentrale Namensauflösung, die dann auf die aktuelle IP-Adresse verweist.

Die Einrichtung ist mit wenigen Mausklicks erledigt. Zunächst gilt es, auf dem PC, auf den sich der externe Dienstleister aufschalten soll, im Register Remote den Zugriff per RDP zu erlauben. Anschließend muss die MAC-Adresse (Physikalische Adresse) der gewünschten Netzwerkkarte am lokalen PC in der Eingabeaufforderung durch ipconfig/all ermittelt werden. Die weiteren Konfigurationsschritte sind abhängig vom verwendeten Breitband-Router.

Ratgeber: So richten Sie ein Heimnetzwerk ein

Bei einem Speedport W504V findet sich der gewünschte Abschnitt unter Konfiguration -> Netzwerk -> NAT & Portregeln. Sofern die festgestellte MAC-Adresse noch nicht in der Liste der zugelassenen Geräte zu finden ist, muss diese über Weiteres Gerät hinzufügen eingefügt werden. Anschließend wird unter Port-Regeln eine neue Regel für das Gerät für den Port 3389 TCP/UDP angelegt und aktiviert.

Im Idealfall handelt es sich bei der so freigeschalteten Maschine um einen virtuellen PC, der zwischen zwei Routern in der so genannten Demilitarisierten Zone (DMZ) betrieben wird. Wem die Abkürzungen MAC, DMZ, TCP und UDP unbekannt sind, muss sich jedoch zunächst intensiver mit diesen Grundlagen befassen.

Backup-Protokolle per E-Mail versenden

Aktuelle Breitband-Router erlauben über NAT die Weiterleitung des RDP-Protokolls und ermöglichen so einen Zugriff ganz ohne zusätzliche Software. © Hersteller/Archiv
Aktuelle Breitband-Router erlauben über NAT die Weiterleitung des RDP-Protokolls und ermöglichen so einen Zugriff ganz ohne zusätzliche Software.

Auch wenn der externe IT-Dienstleister keine Service Level Agreements (SLAs) mit seinen Kunden verhandelt hat, so möchte der IT-Profi dennoch wissen, ob die Maschinen, die der Kunde betreibt, grundsätzlich funktionieren. Eine sehr einfache und pragmatische Lösung ist der Versand des Backup-Protokolls per E-Mail.

Gut geeignet dafür ist das kostenlose E-Mail-Kommandozeilenprogramm BLAT.EXE. BLAT ist leicht einzurichten: Das nur wenige KByte große ZIP-Archive über Source-Forge laden und entpacken. Bevor BLAT für den Versand von E-Mails über die Kommandozeile genutzt werden kann, muss es eingerichtet werden. Das erledigt der Administrator durch ein einziges Kommando:

blat -savesettings -f {E-Mail} -server {SMTP-Server} -u {login} -pw{Passwort}

Von nun an kann über die Kommandokonsole durch Eingabe des Befehls

blat {Dateiname} -to {Ziel E-mail}

eine Datei per E-Mail verschickt werden. In dieser Datei steht beispielsweise das Backup-Protokoll, die Ausgaben des freien Festplattenspeichers oder protokollierte Verbindungsversuche per PING. In jedem Fall ist diese E-Mail der Beweis dafür, dass die Maschinen vor Ort und die Internetanbindung funktionieren.

 
x