Fernwartung wie z.B. Teamviewer, Netviewer, etc. wie kann man das in einem Unternehmen unterbinden

Vielleicht sollte man den Standard-Internet-port umbiegen (auf 8080 beispielsweise). Diese Konfiguration kann man ja auch verteilen (wie DHCP). Damit könnte man wenigstens die Standardkonfig der Remotetools unterbinden. Man braucht also ein bisschen Knowhow um doch noch raus zu kommen

MfG BtodaR

hmm...

wie siehts denn mit den lokal benutzerrechten aus? Dürfen die jungs und mädels denn lokal software installieren?

MfG BtodaR

@ubuntianer
Hallo

Wir Verwenden Netviewer für den Support.

Der Client am anderen ende bekommt eine nummer ohne der geht nichts (bei jeder sitzung ein andere nummer)

Sicherheitprobleme sehe ich überhaupt keine.

Diese Programm ist total Kundenspezifisch ausgelegt

Kunde muß die Verbindung Erlauben + Desktop Fernsteuerung.

Ohne einverständnis des Kunden kann man weder was runterladen oder raufladen.

Mit Taste F11 ist die Verbindung sofort getrennt.

Was gibt es besseres als Fernwartung wenn die Kunde in Innsbruck zuhause ist ,

oder sonst wo auf der Welt.

http://www.netviewer.at/binaries/Netviewer_flyer_vertrieb_de_web_tcm22- ...

mfg
Keitel

der Netviewer geht soweit ich weiß doch immer über den Server des Herstellers... Von Netviewer selbst versteht sich...

Eventuell kannst du diese IP(s) in der Firewall oder im Proxy sperren... Was anderes würde mich nicht einfallen...

Sorry, hab mich durch die vielen Antworten verwirren lassen...

Ideen zum Sperren hätte ich (noch mehr), aber mitbekommen ist schwer... Und steuern noch viel schwerer...

Moin,
ganz klar, diese Tools / Website sind bei uns alle durch Proxies und Firewallrichtlinien gesperrt. Sprich wir filtern sowohl Outbound als auch Inbound - Datenverkehr. Standardmäßig ist alles verboten. Es werden wirklich nur die Ports nach außen aufgemacht, die notwenig sind. Wird spezielle nochmal auf IP-Adresse / IP-Bereich oder Usernamen bezogen.

Ihr mit 1000 MA solltet eigentlich min. 1 Proxy und 1 Hardwarefireall haben. Somit sollte das kein Problem, dass Ganze zu kontrollieren und verbieten.

Wir haben z.B. eine Firma, die RemoteControl auf einige Clients hat. Dafür haben wir ein VPN-GW aufgestellt. Sprich, die Jungs müssen sich einwählen und erst dann können sie auf die Clients verbinden. In deinem Fall müsste man eben noch n Script bauen, wo eben eine Mail-Benachrichtigung für alle VPN-User "vpn_wartung_00x" erstellt bei Einwahl....

Und lass dir bitte nicht von der Firma ein RemoteControl Programm aufdrücken. Wählt eurer eigenes und wenn es der Firma nicht passt, Pech gehabt. Schließlich gibt es noch andere und die Sicherheit steht mal ganz oben! Darum halte ich von den Tools nicht viel, die über Internetserver der Softwarehersteller o.ä. die Daten kopieren und zur Verfügung stellen. Ein Leck muss sich da auf tun und schon ist das Kind in Brunnen gefallen.


Gruss,
Dani

Normalerweise nutzt Fernwartungssoftware ob Teamviewer oder Netviewer den Port 80 (http tunneling). Wenn Proxy vorhanden, sollte es kein Problem sein zu schauen wohin die Verbindung geht. Diese IPs (IP-Bereiche) einfach sperren, dann gibt es auch keine Verbindung über diese Tools. Das wäre die Ausschluß-Methode, ansonsten eine Whitelist für die IP-Bereiche die angesteuert werden dürfen erstellen.

Ich nutze Teamviewer und bin sehr zufrieden damit. Da gibt es auch die Möglichkeit Verbindungen zu kontrollieren und zu reglementieren (z.B. kein Dateitransfer, keine Steuerung, nur zuschauen, etc.).

Wenn ich das richtig verstanden habe geht es hier nicht " wie sicher ist dies oder jenes RemoteToole" oder " wer benutzt was", sondern:
Wie kann ich das installieren bzw. ausführen eines Remote Tools für die Clients unterbinden, wobei es egal ist woher die Quelle kommt ( Internet download, Cd, Diskette, USB Device,.. ).

1. IP-Bereiche Sperren würde nichts bringen, schließlich kann ich das Tool auf jedem Rechner laufen lassen.
2. Portblocking hilft hier nur bei Tools etwas, welche nicht die Standard Verbindung von Browser nimmt.

Selbst wenn du downloads unterbindest, Laufwerke und USB sperrst, gezipte Exe Attachement per Mail blockst, installieren von Software sperrst,.
bist du nicht davor sicher.

Wir haben alles oben genannte, und dennoch ist es mir ohne Probleme möglich das ganze immer wieder zu umgehen, mit eingeschränkten Benutzerrechten.

Das nenn ich mal ne qualifizierte Antwort

Hi,
also wir haben z.B. Sophos ApplicationControl im Einsatz. Damit kann Programme mit ihrer Signatur an der Client-Firewall gewähren oder sperren. Diese Liste ist nicht editierbar und wird schön sauber über Management-Programm gepflegt.
Die Liste selber, hat mal klein angefangen und ist jetzt eben gross - klar. Aber es funktioniert ohne Probleme und somit sind solche Themen bei uns mit grünen Haken versehen.
Gepflegt werden die Listen von 10 Admins. Denn jedes Programm das noch nicht auf der Whiteliste steht mit der Signatur "x" wird eine Anfrage an das Management interface geschickt. Dort wird dann entschieden was passieren soll. Sprich, wir wissen ganz genau, welche Software wo am Laufen ist.


Gruss,
Dani

Das ganze basiert aber auf einer Client Lösung mit einer Management Console für die Admins oder?
Wenn dem so ist, wie sicher ist dann die Installierte Client Software gegen Manipulierung, Ordner Löschung, Programm deinstallation und deaktivierung der Engine?
Da es anscheinend mit Virenscanner, Firewall und Application Control ( Modulen? ) ausgestattetes Programm handelt, wäre bei einer "nicht korrekt laufenden" Engine das gesamte Produkt inaktiv.

Da ich nur kurz reingelesen habe kann ich mir durchaus auch irren und lerne gerne von Admins die aktiv damit arbeiten.

Moin,
richtig...bei uns ist es so, dass die Konsole einmal die SophosAdmins haben und zu anderen das Team "ITApplication". Diese können darüber die Anwendung freigeben oder eben nicht.

Unsere User haben max. Hauptbenutzer bis auf wenige. Klar, wenn einer Adminrechte haben sollte, kann er die Task vllt. auch beenden. Ansonsten ist das Ding bei uns sehr gut bei allen Admins angekommen. Das sind keine Module sondern eigenständige Anwendungen. Sprich sollte einer den AntiVirus abknallen läuft Firewall und AppControl weiterhin und natürlich anders rum.

Des Weitern sieht man in der Mangementconsole sofort, wenn auf einem Rechner einer der Dienste nicht mehr läuft. Sprich, wir haben z.B. so eine Console auf eine große Leinwand gelegt um alles im Auge zu behalten. Somit kann unser ServiceDesk gleich eingreifen und handeln.

Also wir setzen die Software für alle unserer Unternehmen ein...und sind voll zufrieden.


Gruss,
Dani

Hallo Kollegen,

jetzt bin ich auf diesen Beitrag gestossen und ich bin genauso davon betroffen und bin auf der suche nach einer lösung.

sprich ich hab hier auch einen isa server 2006 und möchte diese ganzen fernwartungstools wie pc visit, netviewer etc, die über port 80 laufen unterbinden bzw. mitbekommen wann einer dieser mitarbeiter so etwas am laufen hat.

die idee mit den application control ist ja nicht schlecht, aber da ziemlich teuer für mein unternehmen, daher fällt das aus. aber die sache mit den ips sperren ist nicht schlecht, aber da hab ich wiederrum das problem dass ich nicht wirklich alle fernwartungstools kenne, sondern nur die handvoll, die besonders populär sind, wie pc visit.....

wir selber verwenden im support auch pc visit erfolgreich und zufrieden ein um unsere aussendienstmitarbeiter, die mit laptops arbeiten, zu supporten. von daher ist das ne schicke sache.... aber vor zwei wochen hab ich per zufall mitbekommen, wie ein mitarbeiter von uns selbstständig eine remote session mit netviewer mit irgend einem externen kontakt aufgebaut hatte um "da was zu kontrollieren"

genau das macht mir sorgen, ich weiss nicht wie es bei euch läuft, aber meine user sind gefährlich. die lesen irgendwas in der computer bild und machen das hier dann bei mir auch. möchte nicht dass das jetzt rumgeht und meine user mit irgendwelchen typen fernwartung durchführen und wohlmöglich die ein oder andere datei übertragen wird.

von daher verstehe ich die problematik sehr wohl und bin auf der suche nach einer geeigneten lösung um zumindest mal die gängignen fernwartungstools zu unterbinden.

hat jemand rat?

CU

Toni

ich versteh dich voll und ganz

bei uns hier war das auch nie als "problem" gesehen, im gegenteil.... du kommst an jeder firewall und router vorbei weil die software das ohnehin überall offene port 80 verwendet. ist so gesehen schon praktisch. und der gegenüber muss das ganze ja auch bestätigen und ne session id eingeben sonst geht nichts. nicht so wie bei winvnc wo ich mich einfach so auf deinen rechner draufschalten kann und du merkst nichts davon.

aber jetzt wo ich das mit dem user mitbekommen habe, der das einfach so macht und sich dessen garnicht bewusst ist was er da tut, mach ich mir schon gedanken. unsere aufgabe als admin besteht ohnehin darin den user vor sich selbst zu schützen.... klingt traurig ist aber wirklich so....

ja das mit dem kommunikationsserver scheint mir auch die vorerst schnellste und beste möglichkeit, musst halt die liste ständig aktuell halten, aber ich denke wenn ich die bekanntesten und am meist verbreitesten sperre bin ich schon mal ein stück weiter.

wie findest du die dann raus? ganz normal über den isa monitoring? hast du vielleicht schon ne liste mit den IPs von den Kommunikationsserver, die du mir schicken kannst? wär schon cool

Hallo auch,

bin ebenfalls auf der Suche nach einer einfachen Sperrmöglichkeit für solche Tools. Habt Ihr inzwischen schon Erfahrungen mit den Sperren oder noch andere Lösungen gefunden?

Die IP's zu sperren dürfte wohl wirklich nur zum Teil nutzen, da ja auch direkte Verbindungen ohne die Kommunikationsserver möglich sind soweit ich das jetzt herausgefunden habe.

Mein Lösungsansatz ging ursprünglich dahin, die Anwendungen (*.exe) über Policies zu sperren.

Gruß
Jürgen

Moin,

damit kann man die Noobs ärgern:

Eine Gruppenrichtlinie erstellen und dann unter Benutzerkonfiguration >> Administrative Vorlagen >> System >> folgende “Windows“ Applikationen sperren TeamViewer.exe, TeamViewer_Service.exe, TeamViewer_Setup_de.exe

Gruß
kleiner

Die Policy ist nicht das Problem. Wenn das Programm aber umbenannt wird, funktionierts trotzdem.

Aaaalso. Ich hole mal aus wie eine Lösung für eine Sperrung/eines nicht-Zulassens aussehen könnte und deren problematischen Umsetzung.

Teamviewer ist es möglich vielen domänenweiten Sicherheitskonzepten auszuweichen. Denn diese Sicherheitskonzepten beruhen häufig auf die Kontrolle von kontrollierbaren Verbindungen. Dass heißt, "was ich kontrollieren kann, kontrolliere ich. Was nicht... muss "OK/sauber" sein. VPN-Verbindungen können aufgrund einer Verschlüsselung und anderer Gründe nicht eingesehen werden. Und da diese Verbindung noch von einer internen IP-Adresse aufgebaut wird und das IDS nicht anschlägt, wird diese Verbindung in den meisten Fällen erlaubt.
Warum das so funktioniert? Eine Ausschlussprinzip-Regelung bei der Konfiguration von Sicherheitssystemen ist den meisten Admins (auch mir) zu aufwändig.

Da Teamviewer nicht in den Viren-Signaturen der AV-Programmhersteller als Bedrohung auftaucht, wird es auch von diesen Programmen nicht geblockt/der Zugriff gesperrt.

Einige Sicherheitssoftware erlaubt anhand von Datei-Signaturen, Ermittlung von Hash-Werten (Checksummen) der Software eine Identifizierung der Software/der Kommunikationswege und kann diese danach sperren.
Beispiele:
• NOD32-Antivirus (von mir getestet)
• Sophos-ApplicationControl
• CynapsPro ApplicationPro (von mir getestet)

Andere Programme wie Hamatchi und Skype funktionieren nach einem ähnlichen Prinzip wie Teamviewer und lassen sich daher genauso schwierig handhaben, oder einschränken. Diese Anwendungen nur dem Datei-Namen nach zu sperren ist zwecklos. Es ist bekanntlich unwirksam, da man ja einfach die .exe-Datei umbenennen, oder eine portable Version starten lassen könnte usw. Tricks gibt es genug.

Die Firma TeamViewer GmbH sagt in einem Telefongespräch aus, dass es kaum möglich ist, dieses Programm zu stoppen. Außer den Möglichkeiten die oben beschrieben sind kann man noch die IP-Adressen der Teamviewer-Server sperren, die eine Verbindung vermitteln. Allerdings gibt es mit einem gewissen Aufwand die Möglichkeit einen solchen Server selber zu hosten. Womit die Sperrung der Server-IP-Adressen nur bedingt eine Lösung darstellt. Die Teamviewer GmbH gibt zudem keine Garantie, dass die Server-IP-Adressen sich nicht ändern.

Ein weiter Lösungsansatz (von der TeamViewer GmbH selbst so ausgegeben) wäre,
• Teamviewer zu installieren
• eine Konfiguration einzurichten, die jede Kommunikation nicht erlaubt
• Teamviewer nur mit Adminrechten beenden/konfigurieren zu dürfen
Da Teamviewer immer nur über eine Instanz läuft und nicht zweimal gestartet werden kann, würde ein weiteres starten eines Clients mit eigener Konfiguration nicht möglich sein. Teamviewer wäre somit Flügellahm. Das Problem, da sich Teamviewer somit auf den Rechnern finden lassen würde, müssten wir es Lizenzieren, was auch mit Kosten verbunden wäre.

Nicht gerade praktikabel.

Wie jetzt jemand mit diesem Problem umgeht, bleibt jedem Admin selbst überlassen. Ich sehe diese Programme, alleine der Möglichkeiten für Standard-User (ohne Admin-Rechte) wegen, als extreme Sicherheitslücke. Was nützt mir die totale Kontrolle von Speichermedien (USB-Sticks/ext. HDDs) im Unternehmen, wenn die User mit solchen Programmen Daten im GB-Bereich gleich entführen, zur Bildzeitung hin schaufeln können?!
Ich werde wohl noch ein wirksames Tool, welches auf Checksumme ein Programm zu sperren vermag, einsetzen.

Mit freundlichen Grüßen

Ithi

PS: Ich hatte mich dazu ausführlich mit Kaspersky und der Teamviewer GmbH auseinander gesetzt...
Meine Forenbeiträge dazu im Kaspersky-Forum findet ihr hier: http://forum.kaspersky.com/index.php?showtopic=125127