Alte XP-Rechner sicher fernwarten
Hallo
Ich muss 3-4 Windows XP Rechner an verschiedenen Standorten unterstützen.
Dazu möchte ich den Teamviewer benutzen.
Um die alten, lahmen Rechner und Betriebssysteme keiner Gefahr auszusetzen, möchte ich folgendes machen:
- Die XP-Rechner ans Internet nehmen und mit dem Teamviewer fernwarten.
- Die XP-Firewall so einrichten, dass nur ich darauf zugreifen kann.
- Die Rechner sollen nicht im Internet surfen können (ausser für die Fernwartung)
- KEINEN Virenschutz laufen lassen wegen der Performance (darf ich das?).
Ich habe keine Erfahrung mit Windows-Firewalls auf Rechnern.
Kann mir jemand sagen, wie ich die Firewall richtig einrichte?
Oder gibt es bessere Möglichkeiten?
Danke und Gruss
Thomas
Ich muss 3-4 Windows XP Rechner an verschiedenen Standorten unterstützen.
Dazu möchte ich den Teamviewer benutzen.
Um die alten, lahmen Rechner und Betriebssysteme keiner Gefahr auszusetzen, möchte ich folgendes machen:
- Die XP-Rechner ans Internet nehmen und mit dem Teamviewer fernwarten.
- Die XP-Firewall so einrichten, dass nur ich darauf zugreifen kann.
- Die Rechner sollen nicht im Internet surfen können (ausser für die Fernwartung)
- KEINEN Virenschutz laufen lassen wegen der Performance (darf ich das?).
Ich habe keine Erfahrung mit Windows-Firewalls auf Rechnern.
Kann mir jemand sagen, wie ich die Firewall richtig einrichte?
Oder gibt es bessere Möglichkeiten?
Danke und Gruss
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 272968
Url: https://administrator.de/contentid/272968
Ausgedruckt am: 08.11.2024 um 14:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
dürfen darfst Du alles, was nicht vom Gesetzgeber verboten ist. Also auch einen XP-Rechner mit TeamViewer fernwarten. (Wenn Du für den komerziellen Einsatz auch die entsprechende Lizenz gekauft hast ).
Das Dumme ist nur, dass der TeamViewer genau den Port 80, der ja auch für das Surfen genutzt wird, zur Kommunikation nutzt. Da wird es dann schwierig mit der Firewall.
Also wie @Chonta schon ausführte: VPN-Tunnel zu den unterschiedlichen Standorten.
Jürgen
dürfen darfst Du alles, was nicht vom Gesetzgeber verboten ist. Also auch einen XP-Rechner mit TeamViewer fernwarten. (Wenn Du für den komerziellen Einsatz auch die entsprechende Lizenz gekauft hast ).
Das Dumme ist nur, dass der TeamViewer genau den Port 80, der ja auch für das Surfen genutzt wird, zur Kommunikation nutzt. Da wird es dann schwierig mit der Firewall.
Also wie @Chonta schon ausführte: VPN-Tunnel zu den unterschiedlichen Standorten.
Jürgen
Es gibt mehrere Möglichkeiten dies zu realisieren, ich würde es folgendermaßen machen:
1. VPN in die Standorte
2. USBs und Laufwerke der Rechner Hardwaremäßig (bzw. im Bios) dicht machen
3. TeamViewer auf LAN Verbindungen erlauben einstellen.
@chiefteddy: Im TeamViewer gibt es glaub ich eine Option damit der Port 80 nicht verwendet wird.
1. VPN in die Standorte
2. USBs und Laufwerke der Rechner Hardwaremäßig (bzw. im Bios) dicht machen
3. TeamViewer auf LAN Verbindungen erlauben einstellen.
@chiefteddy: Im TeamViewer gibt es glaub ich eine Option damit der Port 80 nicht verwendet wird.
Hallo,
Pro Standort 3-4 oder 3-4 Standorte mit je einen XP? Anbindung der XP per Router/Firewall/UTM?
Ein MikroTik oder PFSense oder Monowall oder sonstwas davor setzen und VPN nutzen, der Teamviewer kommt auch mit der LAN IP (VPN) klar ohne vorher ins Inet gehen zu müssen. Dann kann gar alles Richtung Inet blockiert sein...
Gruß,
Peter
Pro Standort 3-4 oder 3-4 Standorte mit je einen XP? Anbindung der XP per Router/Firewall/UTM?
- Die XP-Rechner ans Internet nehmen und mit dem Teamviewer fernwarten.
Direkt ans Internet oder ist da noch was zwischen?- Die XP-Firewall so einrichten, dass nur ich darauf zugreifen kann.
Auch machbar, aber unnötige Arbeit wenn du schon eine FW/UMT davor hast...- Die Rechner sollen nicht im Internet surfen können (ausser für die Fernwartung)
Ports blocken, aber da auch der TeamViewer namen auflösen will wirst du nicht umhin kommen den Port 53 zumindest ausgehend zuzulassen.- KEINEN Virenschutz laufen lassen wegen der Performance (darf ich das?).
Dürfen - Klar.Ich habe keine Erfahrung mit Windows-Firewalls auf Rechnern.
Was sitzt VOR den Rechner Richtung Internet? Router mit welchen Möglichkeiten?Kann mir jemand sagen, wie ich die Firewall richtig einrichte?
Alles asugehende blocken bis auf UDP 53 (DNS) und TCP 5938 für den Teamviewer. Dann geht alles darüber (Aufbau und Daten). Port 80/443 etc. kannst du zumachen. https://www.teamviewer.com/de/help/334-Welche-Ports-werden-von-TeamViewe ...Ein MikroTik oder PFSense oder Monowall oder sonstwas davor setzen und VPN nutzen, der Teamviewer kommt auch mit der LAN IP (VPN) klar ohne vorher ins Inet gehen zu müssen. Dann kann gar alles Richtung Inet blockiert sein...
Gruß,
Peter
Ich würde hier mal andere alternativen als TeamViewer in den Raum werfen - z.B. VNC, Dameware,... Dies innerhalb eines VPN und du hast ne komplette Remote-Kontrolle ohne das der Rechner IRGENDWAS im Internet macht.
Du solltest bei deiner Virenscanner-Überlegung usw. aber noch eines einbeziehen: Wenn der Rechner zwar nicht ins Web kommt - solang der im lokalen Netzwerk offen steht kann der genauso angegriffen werden (z.B. Würmer die sich im LAN verbreiten). Dann hast du da wieder eine Schleuder gebaut.... Wenn irgendmöglich würde ich solche Rechner dann Netzwerkmäßig wirklich abschotten so das der am Ende nichts mehr machen kann ausser das was der wirklich muss.
Du solltest bei deiner Virenscanner-Überlegung usw. aber noch eines einbeziehen: Wenn der Rechner zwar nicht ins Web kommt - solang der im lokalen Netzwerk offen steht kann der genauso angegriffen werden (z.B. Würmer die sich im LAN verbreiten). Dann hast du da wieder eine Schleuder gebaut.... Wenn irgendmöglich würde ich solche Rechner dann Netzwerkmäßig wirklich abschotten so das der am Ende nichts mehr machen kann ausser das was der wirklich muss.
Hallo,
für den Fernzugriff kommt generell nur was in Frage, bei dem der PC lokal gesperrt ist, sonst kann ja jeder sehen was gemacht wird und wenn er sich als Admin anmeldet einfach mal Netzwerkkabel ziehen und die Sitzung übernehmen.
Also RDP wenns die Pro Version von XP ist. Ist mit dabei, funktioniert und ist performant.
Gruß
Chonta
für den Fernzugriff kommt generell nur was in Frage, bei dem der PC lokal gesperrt ist, sonst kann ja jeder sehen was gemacht wird und wenn er sich als Admin anmeldet einfach mal Netzwerkkabel ziehen und die Sitzung übernehmen.
Also RDP wenns die Pro Version von XP ist. Ist mit dabei, funktioniert und ist performant.
Gruß
Chonta
Die Aussage finde ich da jetzt mutig - wenn das genaue Anwendungsgebiet nicht bekannt ist... Insbesondere für den Benutzersupport finde ich es sehr fraglich wenn derjenige vorm Rechner nicht sehen kann was ich mache. Und da man den bei Remote-Support oft eh direkt am Telefon hat werde ich dem schon erklären was ich davon halte wenn der die Tastatur/Maus nutzt bzw. das Netzwerkkabel zieht...
Ausserdem: Wenn derjenige _nicht_ sieht das du da was am machen bist und du spielst grad irgendwelche Patches ein - warum sollte der den Rechner dann nich mitten in deiner Installation runterfahren? Weiss ja niemand wer da noch drauf ist (und falls du das runterfahren abbrichst gibt es mit Sicherheit den ein oder anderen der den PC einfach ausmacht weil der glaubt die Kiste hängt und es doch Feierabend is)
Ausserdem: Wenn derjenige _nicht_ sieht das du da was am machen bist und du spielst grad irgendwelche Patches ein - warum sollte der den Rechner dann nich mitten in deiner Installation runterfahren? Weiss ja niemand wer da noch drauf ist (und falls du das runterfahren abbrichst gibt es mit Sicherheit den ein oder anderen der den PC einfach ausmacht weil der glaubt die Kiste hängt und es doch Feierabend is)
Ich bin halt von der rein administrativen Ebene ausgagangen, also einem Zustand das an der Kiste kein Benuzer arbeitet. Und bei einem Rechner ohne Internet, liegt es nahe, das es kein normaler Arbeitsplatz ist.
Für Remotsupport gibt es noch immer die Remotunterstützung die der Benutzer selber initiieren muss/kann und nur dann gemacht werden kann, wenn der Benutzer es einleitet.
Gruß
Chonta
Für Remotsupport gibt es noch immer die Remotunterstützung die der Benutzer selber initiieren muss/kann und nur dann gemacht werden kann, wenn der Benutzer es einleitet.
Gruß
Chonta
Wenn die Möhre nicht ins Internet soll dann braucht sie das für die Fernwartung auch nicht.
KVM over IP wäre ein Lösungsansatz. KVMoIP wird an VGA, Maus und Tastaturport, bzw. per USB am PC angeschlossen und auf der anderen Seite am Lan, siehe http://www.aten.com/products/productFind.php?psid=2011011814486001& ...
-teddy
KVM over IP wäre ein Lösungsansatz. KVMoIP wird an VGA, Maus und Tastaturport, bzw. per USB am PC angeschlossen und auf der anderen Seite am Lan, siehe http://www.aten.com/products/productFind.php?psid=2011011814486001& ...
-teddy