wasabi
Goto Top

Fernwartungs-Tool mit 2FA

Guten Morgen Administrator-Kollegen,

ich suche ein Lösung für die Fernwartung mit 2FA.
Aktuell verwenden wir hierfür Teamviewer, allerdings ist dort die 2FA für Verbindungen für uns nicht praktikable,
da auf jeden TV-Client händisch ein Smartphone verknüpft werden muss(für externe Dienstleiter eher unbrauchbar).

Guacamole ist ganz gut aber dieser muss auch dementsprechend gewartet und abgesichert werden.

VPN 2FA und dann weiter per RDP ist etwas schwierig zwecks Rechtevergabe.
In unserem Fall auch schlecht da die 2FA eine E-Mail ist, fällt der Mailserver aus, ist keine Verbindung mehr möglich.

Kennt jemand eine Lösung welche OTP verwendet und relativ leicht für mehrere Clients konfigurierbar ist?

Vielen Dank.

Content-ID: 3385357809

Url: https://administrator.de/forum/fernwartungs-tool-mit-2fa-3385357809.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

chkdsk
chkdsk 20.07.2022 um 10:07:10 Uhr
Goto Top
AnyDesk vielleicht?
wasabi
wasabi 20.07.2022 um 10:16:46 Uhr
Goto Top
Ich hab mir Anydesk kurz angeschaut, kann ein QR-Code für mehre Clients verwendet werden?
Oder hat jeder Client ein QR-Code?
DerWoWusste
DerWoWusste 20.07.2022 um 11:09:33 Uhr
Goto Top
Moin.

Beschreibe Deine Anforderung weitergehend, bitte.
Wenn mir jemand per Teamviewer hilft, gebe ich dem das TV-Kennwort und zudem lasse ich ihn ein Windowskennwort eingeben, um die Arbeiten zu machen (es gibt einen Supportnutzerkonto mit passenden Rechten) - das ist schon 2FA.

Oder hast Du vor, direkt in der Nutzersitzung zu arbeiten und die Nutzer kennen dich gar nicht? Dann wäre natürlich 2 FA diskutabel.
VGem-e
VGem-e 20.07.2022 um 11:11:57 Uhr
Goto Top
wasabi
wasabi 20.07.2022 um 12:55:55 Uhr
Goto Top
Zitat von @DerWoWusste:

Moin.

Beschreibe Deine Anforderung weitergehend, bitte.
Wenn mir jemand per Teamviewer hilft, gebe ich dem das TV-Kennwort und zudem lasse ich ihn ein Windowskennwort eingeben, um die Arbeiten zu machen (es gibt einen Supportnutzerkonto mit passenden Rechten) - das ist schon 2FA.

Oder hast Du vor, direkt in der Nutzersitzung zu arbeiten und die Nutzer kennen dich gar nicht? Dann wäre natürlich 2 FA diskutabel.

Es geht im Endeffekt um (unbeaufsichtigte)Fern-Zugriffe von vertrauenswürdigen Dienstleistern auf unsere Anwendungsserver (z.B. Datev).
Einen Austausch des TeamViewer Passwortes ist nicht immer möglich, deshalb wurde hierfür im Vorfeld ein Passwort festgelegt.
Unser Datenschützer und Cyberversicherer möchten für solche Fernzugriffe 2FA.
DerWoWusste
DerWoWusste 20.07.2022 um 12:57:51 Uhr
Goto Top
Der unbeaufsichtigte Fernzugriff erfolgt doch nicht zu einem ungesperrten Bildschirm. Somit braucht der Fernwartende auch das Winfdowskennwort - 2FA ist gegeben.
wasabi
wasabi 20.07.2022 um 13:19:23 Uhr
Goto Top
Das ist korrekt allerdings reicht dies nicht aus.
Da beide Sicherheitsfaktoren(TV-Kennwort+Windows-Kennwort) dem Bereich Wissen zugeordnet sind,
es wird ein zusätzlicher Sicherheitsfaktor aus dem Bereich Besitz benötigt wie z.B. ein OTP-Token.
DerWoWusste
DerWoWusste 20.07.2022 aktualisiert um 13:28:57 Uhr
Goto Top
Siehste, deshalb fragte ich nach weiteren Details.
Wie wäre es denn, wenn Du dem eine SmartCard (+PIN) zur Windows-Anmeldung verpasst?
Wenn Ihr eine CA habt, kostet dich die Einrichtung ein Lachen und die Hardware (Karte+Reader) um 75€.
Edit: man müsste dann natürlich konsequenterweise SmartCard-Logon erzwingen (das geht in den Eigenschaften des AD-Nutzers per Haken "Anmeldung über SmartCard erforderlich").

nun zum großen "ABER": kann Teamviewer überhaupt USB-Geräte wie SmartCardleser durchreichen zu einem Remoterechner?
wasabi
wasabi 20.07.2022 um 13:26:53 Uhr
Goto Top

Danke für den Tipp. Ist aber für meinen Anwendungsfall nicht brauchbar, da hier wohl keine Verwaltung der Remoteclients möglich ist (zumindest habe ich hierzu nichts gefunden).
wasabi
wasabi 20.07.2022 aktualisiert um 13:39:27 Uhr
Goto Top
Zitat von @DerWoWusste:

Siehste, deshalb fragte ich nach weiteren Details.
Wie wäre es denn, wenn Du dem eine SmartCard (+PIN) zur Windows-Anmeldung verpasst?
Wenn Ihr eine CA habt, kostet dich die Einrichtung ein Lachen und die Hardware (Karte+Reader) um 75€.
Edit: man müsste dann natürlich konsequenterweise SmartCard-Logon erzwingen (das geht in den Eigenschaften des AD-Nutzers per Haken "Anmeldung über SmartCard erforderlich").

nun zum großen "ABER": kann Teamviewer überhaupt USB-Geräte wie SmartCardleser durchreichen zu einem Remoterechner?

Selbst wenn das mit Teamviewer möglich ist, gibt es ein anderes Problem.
Wir haben Dienstleister mit mehreren Mitarbeitern (mehrere Standorte, Homeoffice), die können Sich die Karte schlecht teilen. Bzw. machen die da wahrscheinlich auch nicht mit zwecks Verwaltungsaufwand.
DerWoWusste
DerWoWusste 20.07.2022 um 14:07:30 Uhr
Goto Top
Ok, wieder ein Detail, was nun durchsickert: keine ortsfesten Supporter, kein teilen von Besitzfaktoren möglich.
Aber: Du kannst ein Nutzerkonto auf beliebig viele SmartCards schreiben, jedem seine eigene. Nun schau, welcher Teamviewerverschnitt sowas durchreichen kann.