Mithilfe von TeamViewer Richtlinien ist es möglich, Aufzeichnungen von Remote-Sessions automatisch in einen selbst gehosteten oder cloudbasierten SFTP-Speicher hochzuladen. Das Speichern von Aufzeichnungen zur späteren Überprüfung kann für Qualitätsbewertungen, Schulungen und Audits nützlich sein. In diesem Artikel wird erläutert, wie Sie die erforderlichen TeamViewer Richtlinienregeln einrichten, um dies zu erreichen. Weitere Informationen zum Start einer Aufzeichnung einer Remote-Session finden Sie in diesem Artikel.
Dieser Artikel gilt für alle mit einer TeamViewer Tensor-Lizenz, wobei Windows sowohl eingehende als auch ausgehende Session-Aufzeichnungen unterstützt, während Linux nur ausgehende Aufzeichnungen unterstützt.
TeamViewer unterstützt die Aufzeichnung und das Hochladen von eingehenden und ausgehenden Remote-Sessions mithilfe separater Richtlinienregeln. Die Aufzeichnungs- und Upload-Funktionen unterscheiden sich je nach Session-Richtung und Betriebssystem.
|
Betriebssystem
|
Session-Richtung
|
Aufzeichnung unterstützt
|
Upload unterstützt
|
|---|---|---|---|
|
Windows |
Incoming |
|
|
|
|
Outgoing |
|
|
|
macOS |
Incoming |
|
|
|
|
Outgoing |
|
|
|
Linux |
Incoming |
|
|
|
|
Outgoing |
|
|
Einrichtung der TeamViewer Richtlinie
Um Ihre Einstellungen für das automatische Hochladen von Session-Aufzeichnungen zu konfigurieren, müssen Sie entweder eine neue Richtlinie erstellen oder eine bestehende TeamViewer Richtlinie aktualisieren und die in den folgenden Abschnitten genannten Richtlinienregeln hinzufügen. Sie können mehrere Richtlinienregeln innerhalb einer Richtlinie kombinieren, um Ihr spezifisches Ziel zu erreichen. Sobald die Richtlinie auf die gewünschten Geräte angewendet wurde, wird die Konfiguration wirksam.
Erfahren Sie, wie Sie Richtlinien erstellen/aktualisieren und anwenden können, und erhalten Sie weitere Informationen zu Richtlinienregeln.
TeamViewer kann sowohl eingehende als auch ausgehende Session-Aufzeichnungen mithilfe von zwei separaten Richtlinienregeln aufzeichnen und hochladen, wobei die Unterstützung vom jeweiligen Betriebssystem abhängt. In den folgenden Abschnitten wird die Einrichtung der einzelnen Richtlinienregeln erläutert. Beide Regeln können, sofern unterstützt, kombiniert werden, um das Hochladen sowohl eingehender als auch ausgehender Aufzeichnungen zu ermöglichen.
Ausgehende Sessions
Die primäre Richtlinie für die Aufzeichnung ausgehender Sitzungen heißt Laden Sie Aufzeichnungen ausgehender Sessions in den benutzerdefinierten Speicher hoch und bietet die Möglichkeit, Aufzeichnungen auf Ihren SFTP-Server hochzuladen. Die Einrichtung dieser Richtlinie wird im folgenden Abschnitt ebenfalls erläutert. Es gibt zwei weitere Regeln, die berücksichtigt werden sollten, da sie die Kontrolle über Start und Ende von Aufzeichnungen weiter verbessern.
Die Richtlinienregel Automatische Aufzeichnung für ausgehende Sessions erzwingen startet die Aufzeichnung automatisch, sobald eine ausgehende Verbindung von dem Gerät hergestellt wird, auf das die Richtlinie angewendet wird. Wenn Sie verhindern möchten, dass der Benutzer die Aufzeichnung vor Beendigung der Remote-Session stoppt oder pausiert, können Sie zusätzlich die Richtlinienregel Stoppen und Pausieren von Session-Aufzeichnung deaktivieren hinzufügen. Beide Regeln können ohne weitere Einstellungen hinzugefügt und aktiviert werden.
Eingehende Sessions
Wenn Sie eingehende Sessions aufzeichnen möchten, benötigen Sie die Richtlinienregel Eingehende Remote-Sessions automatisch aufzeichnen, die die Aufzeichnung automatisch startet, sobald eine Verbindung zu dem Gerät hergestellt wird, auf das die Richtlinie angewendet wird.
Um diese Aufzeichnungen auch auf Ihren SFTP-Server hochzuladen, muss die Richtlinienregel Laden Sie Aufzeichnungen eingehender Sessions in den benutzerdefinierten Speicher hoch hinzugefügt werden. Die Einrichtung dieser Richtlinienregel wird im folgenden Abschnitt ebenfalls erläutert.
So richten Sie die Richtlinienregel für automatische Aufzeichnungs-Uploads ein
Wenn Sie die Regel Laden Sie Aufzeichnungen ausgehender Sessions in den benutzerdefinierten Speicher hoch oder Laden Sie Aufzeichnungen eingehender Sessions in den benutzerdefinierten Speicher hoch zu Ihrer Richtlinie hinzufügen, müssen Sie einige erforderliche und optionale Felder konfigurieren, die in den folgenden Abschnitten näher erläutert werden.
Erforderliche Felder
Derzeit werden nur SFTP-Server, die in einem lokalen Rechenzentrum oder in einer cloudbasierten Umgebung wie Azure oder Amazon Web Services gehostet werden können, als Service-Typ unterstützt.
Es stehen zwei Authentifizierungstypen zur Verfügung:
- Passwortauthentifizierung
- Authentifizierung mit öffentlichem Schlüssel
Wählen Sie die gewünschte Option aus und prüfen Sie, ob sie von Ihrem SFTP-Server oder -Service unterstützt wird. Sie sollten das neue Konto und dessen Authentifizierung konfigurieren, bevor Sie fortfahren, da das Passwort oder der private Schlüssel in den nächsten Abschnitten benötigt wird.
Geben Sie den Benutzernamen des Kontos ein, das für die Authentifizierung bei Ihrem Server und das Hochladen der Aufzeichnung verwendet werden soll. Geben Sie Ihre Ziel-URL an, bei der es sich um eine SFTP-URL für Ihren Server handeln muss, einschließlich des Pfads zu dem Ordner, in den die Aufzeichnungen der Remote-Sessions hochgeladen werden sollen. Es wird empfohlen, die Berechtigungen des ausgewählten Kontos zu minimieren und nur Schreibzugriff auf den spezifischen Ordner zu gewähren, der für das Hochladen von Aufzeichnungen vorgesehen ist.
Feld für verschlüsseltes Passwort oder verschlüsselten privaten Schlüssel
Um die Anmeldedaten des SFTP-Kontos sicher zu übermitteln, sodass nur Sie und das hochladende Gerät darauf zugreifen können, müssen das Passwort oder der private Schlüssel mit einem benutzerdefinierten Zertifikat verschlüsselt werden. Die verschlüsselten Anmeldedaten werden dann als verschlüsseltes Passwort oder verschlüsselter privater Schlüssel zur Richtlinienregel hinzugefügt. Der Grund, warum Sie ein Zertifikat für die Verschlüsselung benötigen, ist, dass es später auf mehrere Geräte übertragen wird. Ihr SFTP-Server verarbeitet die verschlüsselten Anmeldedaten nicht, da die TeamViewer App sie zuvor mit dem Zertifikat entschlüsselt. In der folgenden Dokumentation wird davon ausgegangen, dass OpenSSL auf Ihrem System installiert ist.
Es gibt verschiedene Methoden zur Erstellung von Zertifikaten, abhängig vom Betriebssystem und den verwendeten Tools. Alle sollten funktionsfähig sein, wenn die wichtigen Parameter, die für das x509-Zertifikat erforderlich sind, korrekt angegeben werden:
- Key Usage: KeyEncipherment, DataEncipherment, KeyAgreement
- Type/Extended Key Usage: DocumentEncryptionCert, also known as 1.3.6.1.4.1.311.80.1
Wenn Sie selbstsignierte Zertifikate verwenden möchten, können Sie den Befehl openssl req verwenden (die Dokumentation finden Sie hier) und <CertificateAndKeyName> durch einen Namen Ihrer Wahl ersetzen:
openssl req -x509 \ -newkey rsa:2048 \ -keyout <CertificateAndKeyName>.pem \ -out <CertificateAndKeyName>.crt \ -addext keyUsage='keyEncipherment, dataEncipherment, keyAgreement' \ -addext extendedKeyUsage='1.3.6.1.4.1.311.80.1'
Dieser Befehl generiert ein CRT-Zertifikat und eine PEM-Datei mit einem privaten Schlüssel, mit denen Daten verschlüsselt und entschlüsselt werden können. Diese Dateien müssen in das PFX-Format konvertiert werden, bevor sie auf Windows-Geräten bereitgestellt werden können, wie im weiteren Verlauf erläutert wird.
Sobald Sie Ihre Zertifikatsdatei haben, können Sie deren Schlüsselparameter überprüfen, indem Sie den folgenden Befehl ausführen und <CertificateAndKeyName> durch Ihr tatsächliches Zertifikat ersetzen, um zu prüfen, ob es kompatibel ist. Dies ist besonders wichtig, wenn Sie überprüfen möchten, ob ein vorhandenes Zertifikat oder ein Zertifikat eines Drittanbieters verwendet werden kann:
openssl x509 -text -in <CertificateAndKeyName>.crt
Wenn die Schlüsselgenerierung erfolgreich war, werden die folgenden Zeilen in der Ausgabe Ihres Terminals angezeigt. Sind sie nicht vorhanden, schlägt die Ver- und Entschlüsselung Ihrer Anmeldedaten fehl.
X509v3 Key Usage: critical Key Encipherment, Data Encipherment, Key Agreement X509v3 Extended Key Usage: 1.3.6.1.4.1.311.80.1
Die von Ihnen gewählten Anmeldedaten müssen mit Ihrem Zertifikat unter Verwendung der Cryptographic Message Syntax (CMS) gemäß RFC 5652 verschlüsselt werden. Dies kann durch Ausführen des Befehls openssl cms erfolgen (die Dokumentation dazu finden Sie hier). Bei den folgenden Befehlen können Sie auch -out <FileName> angeben, um die Ausgabe vom Terminal stattdessen in eine Datei umzuleiten.
Um das verschlüsselte Passwort zu generieren, müssen Sie <Password> durch das Passwort Ihres SFTP-Serverkontos und <CertificateAndKeyName> durch den Namen Ihrer Zertifikatsdatei ersetzen. Verwenden Sie unter Linux bitte echo -n, um zu vermeiden, dass am Ende Ihres Passworts ein Zeilenumbruch hinzugefügt wird:
echo "<Password>" | openssl cms -encrypt -outform PEM <CertificateAndKeyName>.crt
Wenn Sie stattdessen den verschlüsselten privaten Schlüssel verwenden möchten, müssen Sie <PathToPrivateKey> durch den relativen oder absoluten Pfad zu Ihrem privaten Schlüssel des SFTP-Serverkontos ersetzen.
openssl cms -encrypt -in <PathToPrivateKey> -outform PEM <CertificateAndKeyName>.crt
Sobald die Anmeldedaten erfolgreich verschlüsselt wurden, sieht die Ausgabe wie im folgenden Beispiel aus:
-----BEGIN CMS-----
MIIBwgYJKoZIhvcNAQcDoIIBszCCAa8CAQAxggFqMIIBZgIBADBOMDoxCzAJBgNVBAYTAkRFMSsw
(...)
hvcNAQcBMB0GCWCGSAFlAwQBKgQQddXx6ufF4KafytY5RKIZqYAQtpGNqX/eU+Oz+lxUnYUTJQ==
-----END CMS-----
Kopieren Sie die jeweilige Ausgabe des von Ihnen gewählten Befehls in das Regel-Feld, einschließlich der Kopf- und Fußzeile der Ausgabe, die den Anfang und das Ende der Nachricht kennzeichnen.
Die Vorbereitungen für die Richtlinienregel unter Verwendung dieses Zertifikats sind abgeschlossen, aber die generierten PEM- und CRT-Dateien werden weiterhin benötigt, wenn das Zertifikat auf den Geräten bereitgestellt wird. In der Richtlinienregel gibt es zusätzliche optionale Felder, die in den folgenden Abschnitten erläutert werden.
Optionale Felder
Die Download-Präfix-URL ist ein optionales Feld, das angegeben werden kann, um direkte Downloads von Aufzeichnungen von Ihren Servern anzubieten. Diese Informationen sind dann über unsere Web-API (weitere Informationen dazu finden Sie hier) oder in unseren Integrationen mit Salesforce und ServiceNow verfügbar. Das Feld erwartet eine Web-URL einschließlich des Pfads, der Ihre Aufzeichnungen enthält. Da TeamViewer keinen Zugriff auf Ihren Speicher hat, müssen die Aufzeichnungen ihren ursprünglichen Namen aus dem Upload beibehalten, damit die Pfade gültig bleiben.
Während TeamViewer den öffentlichen Host-Schlüssel Ihres SFTP-Servers bei der ersten Verbindung zwischenspeichert, um die Identität des Servers zu überprüfen und Man-in-the-Middle-Angriffe zu verhindern, können Sie diesen auch explizit über die optionalen Einstellungen für den öffentlichen SSH-Host-Schlüssel angeben, der dann stattdessen zur Überprüfung der Serveridentität verwendet wird. Dies ist besonders nützlich, wenn Sie den Host-Schlüssel Ihres SFTP-Servers zu einem bestimmten Zeitpunkt ersetzen und den Geräten mitteilen müssen, dass sie einen anderen Host-Schlüssel als den ursprünglich zwischengespeicherten erwarten sollen.
In den meisten Fällen können Sie den öffentlichen Host-Schlüssel während der Einrichtung Ihres SFTP-Servers angeben oder ihn in den Konfigurationsdateien oder Dashboards Ihres SFTP-Servers nachschlagen. Wenn Sie keinen Zugriff auf diese Werte haben, können Sie sie auch von Ihrem aktuellen Gerät abrufen.
Falls Sie sich zuvor über SSH mit dem Server verbunden haben, finden Sie ihn in der Datei known_hosts in Ihrem .ssh-Ordner. Alternativ können Sie den folgenden Befehl verwenden, wobei Sie <SftpServerDomain> durch Ihren Server ersetzen:
ssh-keyscan <SftpServerDomain>
Wenn Sie den Host-Schlüssel in das Einstellungsfeld kopieren, achten Sie darauf, dass Sie nur den Fingerabdruck des Host-Schlüssels kopieren, nicht den Namen des Servers, die IP-Adresse, den Schlüsseltyp oder den Kommentar.
Damit ist die Einrichtung der Richtlinieneinstellung abgeschlossen. Sie können die Richtlinie um weitere Einstellungen ergänzen oder sie jetzt speichern.
Vorbereiten und Ausrollen des Zertifikats
Damit die TeamViewer App Aufzeichnungen von Remote-Sessions auf den SFTP-Server hochladen kann, muss sie in der Lage sein, die Anmeldedaten zu entschlüsseln. Dazu muss das erstellte Zertifikat in das Format des Betriebssystems des Geräts konvertiert werden, auf das die Richtlinie angewendet wird. Dieselbe Richtlinie für das Hochladen ausgehender Sessions kann sowohl auf Windows- als auch auf Linux-Rechnern eingesetzt werden, sofern die zugrunde liegenden Schlüssel identisch sind. Die Richtlinie für eingehende Sessions wird nur auf Windows-Betriebssystemen unterstützt.
Ausrollen der Zertifikate
Wenn Sie dies auf Windows-Geräten ausrollen, müssen Sie Ihre PEM- und CRT-Dateien mit dem folgenden Befehl in das PFX-Format konvertieren, wobei Sie <CertificateAndKeyName> und <CertificateName> durch die entsprechenden Dateinamen ersetzen:
openssl pkcs12 \
-inkey <CertificateAndKeyName>.pem \
-in <CertificateAndKeyName>.crt \
-export \
-out <CertificateName>.pfx
Das erstellte PFX-Zertifikat kann mithilfe Ihrer Endpoint Management-Lösung in den lokalen Zertifikatsspeicher der Zielgeräte übertragen werden. Nach der Übertragung sollte das Zertifikat im Zertifikat-Manager des lokalen Computers (suchen Sie nach Computerzertifikate verwalten) im Ordner Persönlich/Zertifikate angezeigt werden.
PowerShell bezeichnet diesen Speicherort als:
cert:\LocalMachine\My
Um den Zugriff auf den privaten Schlüssel zu minimieren, beschränken Sie die Berechtigungen auf das SYSTEM-Konto und nur die erforderlichen Administratorkonten. Sie können dies im Zertifikats-Manager für den lokalen Computer überprüfen, indem Sie mit der rechten Maustaste auf das Zertifikat klicken, Alle Aufgaben auswählen, dann Private Schlüssel verwalten… und sicherstellen, dass nur die erforderlichen Konten Zugriff haben.
Wenn Sie dies auf Linux-Geräten ausrollen, sind keine Änderungen erforderlich. Sie sollten die PEM-Datei des privaten Schlüssels in /etc/teamviewer/ssl/private und die CRT-Datei des öffentlichen Zertifikats in /etc/teamviewer/ssl/certs ablegen. Stellen Sie sicher, dass sowohl das öffentliche Zertifikat als auch der entsprechende private Schlüssel denselben Basisdateinamen haben, z.B. <CertificateAndKeyName>.pem und <CertificateAndKeyName>.crt. Bitte stellen Sie sicher, dass root der Eigentümer der privaten Schlüsseldatei ist. Es wird empfohlen, den Zugriff auf root selbst zu minimieren.
Testen und Anwenden der Richtlinie
Da die Einrichtung dieser Funktion kompliziert ist, sollte sie getestet werden, bevor sie vollständig auf andere Geräte übertragen wird. Dies kann getestet werden, indem das Zertifikat auf einem lokalen Gerät installiert und die Richtlinie auf dasselbe Gerät angewendet wird.
Um die Aufzeichnung der ausgehenden Session hochzuladen, starten Sie eine Remote-Session vom Gerät aus und beginnen Sie dann mit der Aufzeichnung. Für das Hochladen der Aufzeichnung der eingehenden Session starten Sie eine Verbindung zum Gerät und prüfen Sie, ob die Aufzeichnung automatisch gestartet wird. Überprüfen Sie anschließend, ob die Datei nach Beendigung der Aufzeichnung erfolgreich auf den SFTP-Server hochgeladen wurde. Dadurch wird bestätigt, dass die Verschlüsselung, Entschlüsselung und SFTP-Einrichtung sowie die Verbindung zum Server vom hochladenden Gerät aus ordnungsgemäß funktionieren.
Wenn ein Upload fehlschlägt, wird er nach einer kurzen Zeitspanne erneut versucht, wobei sich diese Zeitspanne mit jedem weiteren fehlgeschlagenen Versuch bis zu einer maximalen Dauer von einer Stunde verlängert. Durch die Zeitüberschreitung wird die Anzahl fehlerhafter Anfragen an den SFTP-Server reduziert. Insbesondere während der Testphase, in der die Konfiguration noch aktiv angepasst wird, erfolgt der nächste Versuch möglicherweise nicht unmittelbar nach Beendigung einer Aufzeichnung. Um sofort erneut zu versuchen, einen Upload vorzunehmen, kann ein vollständiger Neustart von TeamViewer durchgeführt werden (z.B. durch einen Neustart des Computers).
Sobald der Test erfolgreich ist, rollen Sie zunächst das Zertifikat mit Ihrer Endpoint Management-Lösung auf alle Geräte aus und wenden Sie dann die Richtlinie auf diese Geräte an. Sobald diese Geräte Remote-Sessions aufzeichnen, werden alle Aufzeichnungen von diesen Geräten automatisch auf Ihren Server hochgeladen.