3
Sicherer remote shell (cmd.exe) Zugriff auf windows 7-clients vom linux-server
Hallo zusammen,
Ich habe vor etwas über einem Jahr die Administration eines kleinen Büronetzwerks mit 20+ Windows-Clients (Windows 7 Pro) und 1 Linux-Server (Debian Wheezy) übernommen. Zur Verwaltung der Windows-Clients, für deren Software- und -updatemanagement benutze ich opsi und bin damit bisher sehr zufrieden. So ist es mir gelungen eine Großteil der Administration des Netzwerks direkt über den Linux-Server vorzunehmen, was u.a. auch deshalb wichtig ist, weil ich nicht immer vor Ort bin, sondern mich von verschiedenen Standorten aus per ssh mit dem Linux-Server in das Büronetzwerk einklinke.
Nun muss ich aber in letzter Zeit häufiger an einzelnen Windows-Clients Veränderungen vornehmen oder Informationen auslesen, für die ich gerne eine interaktive shell, sprich einen remote shell-Zugriff (cmd.exe) vom Linux-Server auf die jeweiligen Windows-Clients hätte. opsi scheint keine derartige Lösung zur Verfügung zu stellen, also muss ich mich wohl nach einer externen Lösung umsehen.
Ich nehme an, dass einige damit schon Erfahrung haben und würde mich über Tipps und Ratschläge freuen.
Die Anforderungen:
Falls Ihr Euch über die hohen Sicherheitsanforderungen wundert: Da im Büro u.a. Daten aus sozialpsychologischen Beratungen gespeichert und verarbeitet werden, sind die Sicherheits- und Datenschutzansprüche entsprechend hoch.
Zuviel verlangt?
Ich hoffe, da weiß wer Rat ...
Gruß,
takkis
Ich habe vor etwas über einem Jahr die Administration eines kleinen Büronetzwerks mit 20+ Windows-Clients (Windows 7 Pro) und 1 Linux-Server (Debian Wheezy) übernommen. Zur Verwaltung der Windows-Clients, für deren Software- und -updatemanagement benutze ich opsi und bin damit bisher sehr zufrieden. So ist es mir gelungen eine Großteil der Administration des Netzwerks direkt über den Linux-Server vorzunehmen, was u.a. auch deshalb wichtig ist, weil ich nicht immer vor Ort bin, sondern mich von verschiedenen Standorten aus per ssh mit dem Linux-Server in das Büronetzwerk einklinke.
Nun muss ich aber in letzter Zeit häufiger an einzelnen Windows-Clients Veränderungen vornehmen oder Informationen auslesen, für die ich gerne eine interaktive shell, sprich einen remote shell-Zugriff (cmd.exe) vom Linux-Server auf die jeweiligen Windows-Clients hätte. opsi scheint keine derartige Lösung zur Verfügung zu stellen, also muss ich mich wohl nach einer externen Lösung umsehen.
Ich nehme an, dass einige damit schon Erfahrung haben und würde mich über Tipps und Ratschläge freuen.
Die Anforderungen:
- Shell-Zugriff auf cmd.exe (kein Remote Desktop via RDP, VNC oder ähnliches)
- Es sollte möglich sein, in der Remote Shell Befehle mit Administrator-Befugnissen auszuführen
- Die Remote-Shell sollte nur innerhalb des LAN oder besser noch nur vom Server aus anzusteuern sein
- Die Verbindung sollte möglichst verschlüsselt sein
- Die Verbindung erfordert eine sichere Authentifizierung
- Die Windows-Komponenten müssen in aktiver Entwicklung sein und dürfen kein Sicherheitsrisiko für die Windows-Clients beinhalten
- Arbeiten an der Remote-Shell sollten die Tätigkeit der Benutzer an den Windows-Clients nicht stören (parallel und im Hintergrund laufen)
- Der Linux-Client sollte Konsolen-basiert sein, da auf dem Server aus verschiedenen Gründen kein X-Server installiert werden soll.
Falls Ihr Euch über die hohen Sicherheitsanforderungen wundert: Da im Büro u.a. Daten aus sozialpsychologischen Beratungen gespeichert und verarbeitet werden, sind die Sicherheits- und Datenschutzansprüche entsprechend hoch.
Zuviel verlangt?
Ich hoffe, da weiß wer Rat ...
Gruß,
takkis
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 207712
Url: https://administrator.de/contentid/207712
Printed on: April 26, 2024 at 22:04 o'clock
3 Comments
Latest comment
Hi takkis,
hast Du Dir "Putty" mal zu Gemüte geführt.
Sowohl unter Windows wie unter Linux machbar.
Gruß orcape
hast Du Dir "Putty" mal zu Gemüte geführt.
Sowohl unter Windows wie unter Linux machbar.
Gruß orcape
1
Hi,
putty ist ja prinzipell nur ein SSH Client, der alle leider nicht viel hilft. Es gibt diverse freie SSH Server für Windows.
Wie währe es an der Stelle anzusetzten? Eine ordentliche Implementierung eines SSH Servers für Win suchen und sich vom Server mit dem ssh Command auf die einzelnen Clients verbinden.
SSH ist verflüsselt, bietet Authentifizierung und und und...
Um Befehle unter Windows als anderer Benutzer auszuführen gibt des den Shell Command runas, ist vergleichbar mit einem sudo unter Linux.
Hoffe der Denkanstoß geht in die richtige Richtung
Grüße Maxi
putty ist ja prinzipell nur ein SSH Client, der alle leider nicht viel hilft. Es gibt diverse freie SSH Server für Windows.
Wie währe es an der Stelle anzusetzten? Eine ordentliche Implementierung eines SSH Servers für Win suchen und sich vom Server mit dem ssh Command auf die einzelnen Clients verbinden.
SSH ist verflüsselt, bietet Authentifizierung und und und...
Um Befehle unter Windows als anderer Benutzer auszuführen gibt des den Shell Command runas, ist vergleichbar mit einem sudo unter Linux.
Hoffe der Denkanstoß geht in die richtige Richtung
Grüße Maxi
1
Hallo,
vielen Dank für Eure Antworten. Ich hatte ursprünglich auf eine Lösung gehofft, die Windows-eigene Protokolle und Methoden nutzt, habe dafür aber bislang keine (offene) Linux-Clientsoftware finden können. Allmählich beginne ich mich also mit dem Gedanken anzufreunden, dass es wohl auf eine Lösung von Drittherstellern hinausläuft. Die Idee mit dem SSH-Server unter Windows gefällt mir gut. Am liebsten wäre mir eine Open SSH-Implementierung, weil ich mit der Konfiguration des Servers schon von Linux her vertraut bin. Habe mich mal ein wenig umgeschaut:
- Eine Option wäre portable ssh, das direkt an das Open SSH-Team angeschlossen ist und regelmäßige Aktualisierungen herausbringt. Um es unter Windows zum Laufen zu bringen braucht man allerdings Cygwin, das eine Art Linux-Umgebung unter Windows zur Verfügung stellt. Da bin ich mir nun aber überhaupt nicht sicher, ob dadurch nicht das abgestimmte Rechtemanagement der Windows-Clients ausgehebelt werden könnte und habe dazu auf die Schnelle auch nichts finden können.
- openssh for windows war wohl u.a. aus diesem Grund mit dem Ziel angetreten, SSH-Server und -Client mit den minimalsten Cygwin-Bestandteilen auszuführen. Leider steht die Entwicklung anscheinend seit 2004 still (und trotzdem wird es noch in vielen Softwareverzeichnissen empfohlen
)
- CopSSH bemüht sich anscheinend um den selben Ansatz, allerdings zu einem zwar geringen Preis, der aber trotzdem bei 20+ Clients nicht in Frage kommt. Zudem gibt es Berichte über Probleme beim Betrieb der Software.
- MobaSSH ist freeware und scheint ein grafisches Frontend zu einem Cygwin/OpenSSH-Paket zu bieten, das allerdings eine umfassendere Cygwin-Umgebung mitbringt.
Soweit die OpenSSH-Varianten, die ich gefunden habe. Andere SSH-Implementierungen, auf die ich gestossen bin:
- freesshd ist Freeware und scheint sehr beliebt (gewesen?) zu sein. Es ist aber inzwischen seit Jahren nicht mehr aktualisiert worden und ich habe verschiedene Berichte gefunden, die auf unterschiedliche Mängel insb. mit neueren Windows-Versionen hinweisen.
- KpyM opensource telnet/ssh server, aktuellster Release von 2010
- Bitvise SSH - ausgereifter kommerzieller SSH-Server, kostenlos zur privaten nichtkommerziellen Nutzung, aber viel zu teuer für 20+ Clients.
Kein wirklich zufriedenstellendes Ergebnis der ersten Übersicht. Wenn ich etwas übersehen haben sollte, würde ich mich sehr über Hinweise freuen. Und wenn jemand bei der Einschätzung von Cygwin bezüglich Sicherheit, insb. die Beschränkung des Zugriffs auf Cygwin-Komponenten auf bestimmte Benutzer, wäre das toll!
Gruss,
takkis
vielen Dank für Eure Antworten. Ich hatte ursprünglich auf eine Lösung gehofft, die Windows-eigene Protokolle und Methoden nutzt, habe dafür aber bislang keine (offene) Linux-Clientsoftware finden können. Allmählich beginne ich mich also mit dem Gedanken anzufreunden, dass es wohl auf eine Lösung von Drittherstellern hinausläuft. Die Idee mit dem SSH-Server unter Windows gefällt mir gut. Am liebsten wäre mir eine Open SSH-Implementierung, weil ich mit der Konfiguration des Servers schon von Linux her vertraut bin. Habe mich mal ein wenig umgeschaut:
- Eine Option wäre portable ssh, das direkt an das Open SSH-Team angeschlossen ist und regelmäßige Aktualisierungen herausbringt. Um es unter Windows zum Laufen zu bringen braucht man allerdings Cygwin, das eine Art Linux-Umgebung unter Windows zur Verfügung stellt. Da bin ich mir nun aber überhaupt nicht sicher, ob dadurch nicht das abgestimmte Rechtemanagement der Windows-Clients ausgehebelt werden könnte und habe dazu auf die Schnelle auch nichts finden können.
- openssh for windows war wohl u.a. aus diesem Grund mit dem Ziel angetreten, SSH-Server und -Client mit den minimalsten Cygwin-Bestandteilen auszuführen. Leider steht die Entwicklung anscheinend seit 2004 still (und trotzdem wird es noch in vielen Softwareverzeichnissen empfohlen
)- CopSSH bemüht sich anscheinend um den selben Ansatz, allerdings zu einem zwar geringen Preis, der aber trotzdem bei 20+ Clients nicht in Frage kommt. Zudem gibt es Berichte über Probleme beim Betrieb der Software.
- MobaSSH ist freeware und scheint ein grafisches Frontend zu einem Cygwin/OpenSSH-Paket zu bieten, das allerdings eine umfassendere Cygwin-Umgebung mitbringt.
Soweit die OpenSSH-Varianten, die ich gefunden habe. Andere SSH-Implementierungen, auf die ich gestossen bin:
- freesshd ist Freeware und scheint sehr beliebt (gewesen?) zu sein. Es ist aber inzwischen seit Jahren nicht mehr aktualisiert worden und ich habe verschiedene Berichte gefunden, die auf unterschiedliche Mängel insb. mit neueren Windows-Versionen hinweisen.
- KpyM opensource telnet/ssh server, aktuellster Release von 2010
- Bitvise SSH - ausgereifter kommerzieller SSH-Server, kostenlos zur privaten nichtkommerziellen Nutzung, aber viel zu teuer für 20+ Clients.
Kein wirklich zufriedenstellendes Ergebnis der ersten Übersicht. Wenn ich etwas übersehen haben sollte, würde ich mich sehr über Hinweise freuen. Und wenn jemand bei der Einschätzung von Cygwin bezüglich Sicherheit, insb. die Beschränkung des Zugriffs auf Cygwin-Komponenten auf bestimmte Benutzer, wäre das toll!
Gruss,
takkis
1