11
Fernwartungs-Tool mit 2FA
Guten Morgen Administrator-Kollegen,
ich suche ein Lösung für die Fernwartung mit 2FA.
Aktuell verwenden wir hierfür Teamviewer, allerdings ist dort die 2FA für Verbindungen für uns nicht praktikable,
da auf jeden TV-Client händisch ein Smartphone verknüpft werden muss(für externe Dienstleiter eher unbrauchbar).
Guacamole ist ganz gut aber dieser muss auch dementsprechend gewartet und abgesichert werden.
VPN 2FA und dann weiter per RDP ist etwas schwierig zwecks Rechtevergabe.
In unserem Fall auch schlecht da die 2FA eine E-Mail ist, fällt der Mailserver aus, ist keine Verbindung mehr möglich.
Kennt jemand eine Lösung welche OTP verwendet und relativ leicht für mehrere Clients konfigurierbar ist?
Vielen Dank.
ich suche ein Lösung für die Fernwartung mit 2FA.
Aktuell verwenden wir hierfür Teamviewer, allerdings ist dort die 2FA für Verbindungen für uns nicht praktikable,
da auf jeden TV-Client händisch ein Smartphone verknüpft werden muss(für externe Dienstleiter eher unbrauchbar).
Guacamole ist ganz gut aber dieser muss auch dementsprechend gewartet und abgesichert werden.
VPN 2FA und dann weiter per RDP ist etwas schwierig zwecks Rechtevergabe.
In unserem Fall auch schlecht da die 2FA eine E-Mail ist, fällt der Mailserver aus, ist keine Verbindung mehr möglich.
Kennt jemand eine Lösung welche OTP verwendet und relativ leicht für mehrere Clients konfigurierbar ist?
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3385357809
Url: https://administrator.de/contentid/3385357809
Printed on: April 27, 2024 at 15:04 o'clock
11 Comments
Latest comment
AnyDesk vielleicht?
1
Ich hab mir Anydesk kurz angeschaut, kann ein QR-Code für mehre Clients verwendet werden?
Oder hat jeder Client ein QR-Code?
Oder hat jeder Client ein QR-Code?
Moin.
Beschreibe Deine Anforderung weitergehend, bitte.
Wenn mir jemand per Teamviewer hilft, gebe ich dem das TV-Kennwort und zudem lasse ich ihn ein Windowskennwort eingeben, um die Arbeiten zu machen (es gibt einen Supportnutzerkonto mit passenden Rechten) - das ist schon 2FA.
Oder hast Du vor, direkt in der Nutzersitzung zu arbeiten und die Nutzer kennen dich gar nicht? Dann wäre natürlich 2 FA diskutabel.
Beschreibe Deine Anforderung weitergehend, bitte.
Wenn mir jemand per Teamviewer hilft, gebe ich dem das TV-Kennwort und zudem lasse ich ihn ein Windowskennwort eingeben, um die Arbeiten zu machen (es gibt einen Supportnutzerkonto mit passenden Rechten) - das ist schon 2FA.
Oder hast Du vor, direkt in der Nutzersitzung zu arbeiten und die Nutzer kennen dich gar nicht? Dann wäre natürlich 2 FA diskutabel.
Servus,
ggf. Fastviewer https://fastviewer.com/en/two-way-authentication-as-secure-as-your-banki ..?
Gruß
ggf. Fastviewer https://fastviewer.com/en/two-way-authentication-as-secure-as-your-banki ..?
Gruß
Zitat von @DerWoWusste:
Moin.
Beschreibe Deine Anforderung weitergehend, bitte.
Wenn mir jemand per Teamviewer hilft, gebe ich dem das TV-Kennwort und zudem lasse ich ihn ein Windowskennwort eingeben, um die Arbeiten zu machen (es gibt einen Supportnutzerkonto mit passenden Rechten) - das ist schon 2FA.
Oder hast Du vor, direkt in der Nutzersitzung zu arbeiten und die Nutzer kennen dich gar nicht? Dann wäre natürlich 2 FA diskutabel.
Moin.
Beschreibe Deine Anforderung weitergehend, bitte.
Wenn mir jemand per Teamviewer hilft, gebe ich dem das TV-Kennwort und zudem lasse ich ihn ein Windowskennwort eingeben, um die Arbeiten zu machen (es gibt einen Supportnutzerkonto mit passenden Rechten) - das ist schon 2FA.
Oder hast Du vor, direkt in der Nutzersitzung zu arbeiten und die Nutzer kennen dich gar nicht? Dann wäre natürlich 2 FA diskutabel.
Es geht im Endeffekt um (unbeaufsichtigte)Fern-Zugriffe von vertrauenswürdigen Dienstleistern auf unsere Anwendungsserver (z.B. Datev).
Einen Austausch des TeamViewer Passwortes ist nicht immer möglich, deshalb wurde hierfür im Vorfeld ein Passwort festgelegt.
Unser Datenschützer und Cyberversicherer möchten für solche Fernzugriffe 2FA.
Der unbeaufsichtigte Fernzugriff erfolgt doch nicht zu einem ungesperrten Bildschirm. Somit braucht der Fernwartende auch das Winfdowskennwort - 2FA ist gegeben.
Das ist korrekt allerdings reicht dies nicht aus.
Da beide Sicherheitsfaktoren(TV-Kennwort+Windows-Kennwort) dem Bereich Wissen zugeordnet sind,
es wird ein zusätzlicher Sicherheitsfaktor aus dem Bereich Besitz benötigt wie z.B. ein OTP-Token.
Da beide Sicherheitsfaktoren(TV-Kennwort+Windows-Kennwort) dem Bereich Wissen zugeordnet sind,
es wird ein zusätzlicher Sicherheitsfaktor aus dem Bereich Besitz benötigt wie z.B. ein OTP-Token.
Siehste, deshalb fragte ich nach weiteren Details.
Wie wäre es denn, wenn Du dem eine SmartCard (+PIN) zur Windows-Anmeldung verpasst?
Wenn Ihr eine CA habt, kostet dich die Einrichtung ein Lachen und die Hardware (Karte+Reader) um 75€.
Edit: man müsste dann natürlich konsequenterweise SmartCard-Logon erzwingen (das geht in den Eigenschaften des AD-Nutzers per Haken "Anmeldung über SmartCard erforderlich").
nun zum großen "ABER": kann Teamviewer überhaupt USB-Geräte wie SmartCardleser durchreichen zu einem Remoterechner?
Wie wäre es denn, wenn Du dem eine SmartCard (+PIN) zur Windows-Anmeldung verpasst?
Wenn Ihr eine CA habt, kostet dich die Einrichtung ein Lachen und die Hardware (Karte+Reader) um 75€.
Edit: man müsste dann natürlich konsequenterweise SmartCard-Logon erzwingen (das geht in den Eigenschaften des AD-Nutzers per Haken "Anmeldung über SmartCard erforderlich").
nun zum großen "ABER": kann Teamviewer überhaupt USB-Geräte wie SmartCardleser durchreichen zu einem Remoterechner?
Zitat von @VGem-e:
Servus,
ggf. Fastviewer https://fastviewer.com/en/two-way-authentication-as-secure-as-your-banki ..?
Gruß
Servus,
ggf. Fastviewer https://fastviewer.com/en/two-way-authentication-as-secure-as-your-banki ..?
Gruß
Danke für den Tipp. Ist aber für meinen Anwendungsfall nicht brauchbar, da hier wohl keine Verwaltung der Remoteclients möglich ist (zumindest habe ich hierzu nichts gefunden).
Zitat von @DerWoWusste:
Siehste, deshalb fragte ich nach weiteren Details.
Wie wäre es denn, wenn Du dem eine SmartCard (+PIN) zur Windows-Anmeldung verpasst?
Wenn Ihr eine CA habt, kostet dich die Einrichtung ein Lachen und die Hardware (Karte+Reader) um 75€.
Edit: man müsste dann natürlich konsequenterweise SmartCard-Logon erzwingen (das geht in den Eigenschaften des AD-Nutzers per Haken "Anmeldung über SmartCard erforderlich").
nun zum großen "ABER": kann Teamviewer überhaupt USB-Geräte wie SmartCardleser durchreichen zu einem Remoterechner?
Siehste, deshalb fragte ich nach weiteren Details.
Wie wäre es denn, wenn Du dem eine SmartCard (+PIN) zur Windows-Anmeldung verpasst?
Wenn Ihr eine CA habt, kostet dich die Einrichtung ein Lachen und die Hardware (Karte+Reader) um 75€.
Edit: man müsste dann natürlich konsequenterweise SmartCard-Logon erzwingen (das geht in den Eigenschaften des AD-Nutzers per Haken "Anmeldung über SmartCard erforderlich").
nun zum großen "ABER": kann Teamviewer überhaupt USB-Geräte wie SmartCardleser durchreichen zu einem Remoterechner?
Selbst wenn das mit Teamviewer möglich ist, gibt es ein anderes Problem.
Wir haben Dienstleister mit mehreren Mitarbeitern (mehrere Standorte, Homeoffice), die können Sich die Karte schlecht teilen. Bzw. machen die da wahrscheinlich auch nicht mit zwecks Verwaltungsaufwand.
Ok, wieder ein Detail, was nun durchsickert: keine ortsfesten Supporter, kein teilen von Besitzfaktoren möglich.
Aber: Du kannst ein Nutzerkonto auf beliebig viele SmartCards schreiben, jedem seine eigene. Nun schau, welcher Teamviewerverschnitt sowas durchreichen kann.
Aber: Du kannst ein Nutzerkonto auf beliebig viele SmartCards schreiben, jedem seine eigene. Nun schau, welcher Teamviewerverschnitt sowas durchreichen kann.