Mit den TeamViewer Richtlinien ist es möglich, Aufzeichnungen von Remote Sessions automatisch auf einen selbst gehosteten oder in der Cloud gehosteten SFTP-Speicher hochzuladen. Das Speichern von Aufzeichnungen für die spätere Überprüfungen kann für Qualitätsbewertungen, Schulungen und Audits nützlich sein. Dieser Artikel erklärt Ihnen, wie Sie die dafür notwendigen TeamViewer Richtlinien einrichten. Wie Sie eine Aufzeichnung einer Remote Session initiieren, erfahren Sie in diesem Artikel.
Dieser Artikel richtet sich an alle mit einer Tensor Lizenz, die Windows und Linux verwenden.
Wie richte eine TeamViewer Richtlinie ein?
Um Ihr Setup für den automatischen Upload von Remote Session-Aufzeichnungen zu konfigurieren, müssen Sie eine neue TeamViewer Richtlinie erstellen oder eine bestehende aktualisieren und die folgende(n) Richtlinie(n) hinzufügen. Sie können mehrere Richtlinienregeln innerhalb der Richtlinie kombinieren, um Ihr spezifisches Ziel zu erreichen. Sobald die Richtlinie dann auf die gewünschten Geräte angewendet wird, wird die Konfiguration wirksam. Hier erfahren Sie, wie Sie eine Richtlinie auf Ihre Geräte anwenden können.
Dieser Artikel konzentriert sich hauptsächlich auf die Einrichtung der Richtlinie zur Session-Aufzeichnung in benutzerdefinierten Speicher hochladen, die das Hochladen von Aufzeichnungen auf Ihren SFTP-Server ermöglicht. Es gibt zwei weitere Regeln, die geprüft werden sollten, da sie die Kontrolle darüber, wann Aufzeichnungen gestartet und gestoppt werden, weiter verbessern.
Erzwingen Sie die automatische Aufzeichnung von Remote Sessions, wodurch die Aufzeichnung automatisch gestartet wird, sobald von dem Gerät, auf das die Richtlinie angewendet wird, eine ausgehende Verbindung hergestellt wird. Wenn Sie verhindern möchten, dass der Benutzer vor dem Gerät die Aufzeichnung vor dem Ende der Remote Session stoppt oder pausiert, können Sie auch die Richtlinie Stoppen und Pausieren von Session-Aufzeichnungen deaktivieren hinzufügen. Beide Richtlinien können ohne weiteres Setup hinzugefügt und aktiviert werden.
Wie richte ich die Regel für das automatische Hochladen von Aufzeichnungen ein?
Wenn Sie die Regel Session-Aufzeichnung in benutzerdefinierten Speicher hochladen zu Ihrer Richtlinie hinzufügen, müssen Sie einige erforderliche und optionale Felder konfigurieren, die in den folgenden Abschnitten näher erläutert werden.
Erforderliche Felder
Derzeit werden als Diensttyp nur SFTP-Server unterstützt, die in einem Rechenzentrum vor Ort oder in einer Cloud-basierten Umgebung wie Azure oder Amazon Web Services gehostet werden können.
- Passwort-Authentifizierung
- Public-Key-Authentifizierung
Wählen Sie Ihre bevorzugte Option und vergewissern Sie sich, dass sie von Ihrem SFTP-Server oder -Dienst unterstützt wird. Sie sollten das neue Konto und seine Authentifizierung konfigurieren, bevor Sie fortfahren, da das Passwort oder der private Schlüssel in den nächsten Abschnitten benötigt werden.
Geben Sie den Benutzernamen des Kontos ein, das zur Authentifizierung bei Ihrem Server und zum Hochladen der Aufzeichnung verwendet werden soll. Geben Sie die Ziel-URL an, bei der es sich um eine SFTP-URL handeln muss, die auf Ihren Server verweist, einschließlich des Pfads zu dem Ordner, in den die Aufzeichnungen der Remote Control Session hochgeladen werden sollen. Es wird empfohlen, die Berechtigungen des gewählten Kontos zu minimieren und nur Schreibzugriff auf den speziellen Ordner zu gewähren, der für das Hochladen der Aufzeichnungen vorgesehen ist.
Verschlüsseltes Passwort oder verschlüsseltes privates Schlüsselfeld
Nur Sie und das hochladende Gerät können sicher auf die Anmeldedaten des SFTP-Kontos zugreifen, und das Kennwort oder der private Schlüssel muss mit einem benutzerdefinierten Zertifikat verschlüsselt werden, um die Anmeldedaten des SFTP-Kontos sicher zu übermitteln.
Die verschlüsselten Anmeldeinformationen werden dann als verschlüsseltes Passwort oder verschlüsselter privater Schlüssel in die Richtlinienregel aufgenommen. Der Grund, warum Sie ein Zertifikat für die Verschlüsselung benötigen, ist, dass es später für die Entschlüsselung auf mehrere Geräte verteilt wird. Ihr SFTP-Server wird die verschlüsselten Anmeldedaten nicht verarbeiten, da die TeamViewer App sie vorher entschlüsselt. Es wird empfohlen, für diese Einrichtung OpenSSL auf Ihrem System zu installieren.
Es gibt viele Möglichkeiten, Zertifikate zu erzeugen, je nach Betriebssystem und den verwendeten Tools. Alle sollten praktikabel sein, wenn die wichtigen Parameter, die für das x509-Zertifikat erforderlich sind, korrekt angegeben werden:
-
Key Usage: KeyEncipherment, DataEncipherment, KeyAgreement
-
Type/Extended Key Usage: DocumentEncryptionCert, also known as 1.3.6.1.4.1.311.80.1
Wenn Sie selbstsignierte Zertifikate verwenden möchten, können Sie den Befehl openssl req verwenden (die entsprechende Dokumentation finden Sie hier), wobei Sie <CertificateAndKeyName> durch einen Namen Ihrer Wahl ersetzen:
openssl req -x509 \
-newkey rsa:2048 \
-keyout <CertificateAndKeyName>.pem \
-out <CertificateAndKeyName>.crt \
-addext keyUsage='keyEncipherment, dataEncipherment, keyAgreement' \
-addext extendedKeyUsage='1.3.6.1.4.1.311.80.1'
Mit diesem Befehl werden eine CRT-Zertifikats- und eine PEM-Schlüsseldatei erzeugt, mit denen Daten ver- und entschlüsselt werden können. Diese Dateien müssen in PFX konvertiert werden, bevor sie auf Windows-Geräte übertragen werden können, was in einem späteren Abschnitt erläutert wird.
Sobald Sie Ihre Zertifikatsdatei haben, können Sie ihre Schlüsselparameter überprüfen, indem Sie den folgenden Befehl ausführen und dabei <CertificateAndKeyName> durch Ihr echtes Zertifikat ersetzen, um zu prüfen, ob es kompatibel ist. Dies ist besonders wichtig, wenn Sie überprüfen wollen, ob ein vorhandenes Zertifikat oder ein Zertifikat eines Dritten verwendet werden kann:
openssl x509 -text -in <CertificateAndKeyName>.crt
Wenn die Schlüsselgenerierung erfolgreich war, können Sie die folgenden Zeilen in der Ausgabe Ihres Terminals sehen. Wenn sie nicht vorhanden sind, schlägt die Ver- und Entschlüsselung Ihrer Anmeldeinformationen fehl.
X509v3 Key Usage: critical
Key Encipherment, Data Encipherment, Key Agreement
X509v3 Extended Key Usage:
1.3.6.1.4.1.311.80.1
Der von Ihnen gewählte Berechtigungsnachweis muss mit Hilfe Ihres Zertifikats in der Cryptographic Message Syntax (CMS, mehr dazu finden Sie in RFC 5652) verschlüsselt werden. Dazu können Sie den Befehl openssl cms ausführen (die Dokumentation dazu finden Sie hier). Bei den folgenden Befehlen können Sie auch -out <FileName> angeben, um die Ausgabe aus dem Terminal in eine Datei umzuleiten.
Um das verschlüsselte Passwort zu erzeugen, müssen Sie <Password> durch das Passwort Ihres SFTP-Serverkontos und <CertificateAndKeyName> durch den Namen Ihrer Zertifikatsdatei ersetzen. Verwenden Sie unter Linux echo -n, um zu vermeiden, dass am Ende des Passworts ein Zeilenumbruch eingefügt wird:
echo "<Password>" | openssl cms -encrypt -outform PEM <CertificateAndKeyName>.crt
Wenn Sie stattdessen den verschlüsselten privaten Schlüssel verwenden möchten, müssen Sie <PathToPrivateKey> durch den relativen oder absoluten Pfad zu Ihrem privaten Schlüssel des SFTP-Serverkontos ersetzen.
openssl cms -encrypt -in <PathToPrivateKey> -outform PEM <CertificateAndKeyName>.crt
Sobald die Anmeldeinformationen erfolgreich verschlüsselt wurden, sieht die Ausgabe wie im folgenden Beispiel aus:
-----BEGIN CMS-----
MIIBwgYJKoZIhvcNAQcDoIIBszCCAa8CAQAxggFqMIIBZgIBADBOMDoxCzAJBgNVBAYTAkRFMSsw
(...)
hvcNAQcBMB0GCWCGSAFlAwQBKgQQddXx6ufF4KafytY5RKIZqYAQtpGNqX/eU+Oz+lxUnYUTJQ==
-----END CMS-----
Kopieren Sie die entsprechende Ausgabe des von Ihnen gewählten Befehls in das Regelfeld, einschließlich der Kopf- und Fußzeile der Ausgabe, die den Anfang und das Ende der Nachricht kennzeichnen.
Die Vorbereitungen für die Richtlinienregel, die dieses Zertifikat verwendet, sind abgeschlossen, aber die generierten PEM- und CRT-Dateien werden noch benötigt, wenn das Zertifikat auf die Geräte ausgerollt wird. Es gibt zusätzliche optionale Felder in der Richtlinienregel, die in den folgenden Abschnitten erläutert werden.
Optionales Feld
Download-Präfix-URL ist ein optionales Feld, das angegeben werden kann, um direkte Downloads von Aufzeichnungen von Ihren Servern anzubieten. Diese Informationen sind dann über unsere Web-API (lesen Sie hier mehr darüber) oder in unseren Integrationen mit Salesforce und ServiceNow verfügbar. Das Feld erwartet eine Web-URL mit dem Pfad, der Ihre Aufzeichnungen enthält. Da TeamViewer keinen Zugriff auf Ihren Speicher hat, müssen die Aufnahmen ihren ursprünglichen Namen vom Upload behalten, damit die Pfade gültig bleiben.
Während TeamViewer den öffentlichen Host-Schlüssel Ihres SFTP-Servers bei der ersten Verbindung zwischenspeichert, um die Identität des Servers zu überprüfen und Man-in-the-Middle-Angriffe zu verhindern, können Sie ihn auch explizit mit der optionalen SSH-Einstellung für den öffentlichen Host-Schlüssel angeben, der dann stattdessen zur Überprüfung der Serveridentität verwendet wird. Dies ist vor allem dann nützlich, wenn Sie den Host-Schlüssel Ihres SFTP-Servers irgendwann austauschen und den Geräten mitteilen müssen, dass sie einen anderen Host-Schlüssel erwarten sollen als den, den sie ursprünglich zwischengespeichert haben.
In den meisten Fällen können Sie den öffentlichen Host-Schlüssel während der Einrichtung Ihres SFTP-Servers angeben oder Sie können ihn in den Konfigurationsdateien oder den Dashboards Ihres SFTP-Servers nachschlagen. Wenn Sie keinen Zugriff auf diese Werte haben, können Sie sie auch von Ihrem aktuellen Gerät abrufen.
Falls Sie sich zuvor per ssh mit dem Server verbunden haben, können Sie sie aus der Datei known_hosts in Ihrem .ssh-Ordner abrufen. Alternativ können Sie auch den folgenden Befehl verwenden, wobei Sie <SftpServerDomain> durch Ihren Server ersetzen:
ssh-keyscan <SftpServerDomain>
Achten Sie beim Kopieren des Host-Schlüssels in das Einstellungsfeld darauf, dass Sie nur den Fingerabdruck des Host-Schlüssels kopieren, nicht aber den Namen des Servers, die IP-Adresse, den Schlüsseltyp oder den Kommentar.
Damit ist die Einrichtung der Richtlinieneinstellung abgeschlossen. Sie können die Richtlinie mit weiteren Einstellungen erweitern oder sie jetzt speichern.
Vorbereiten und Ausrollen des Zertifikats
Damit die TeamViewer App die Aufzeichnungen der Remote Control Session auf den SFTP-Server hochladen kann, muss sie in der Lage sein, die Anmeldedaten zu entschlüsseln. Dazu muss das erstellte Zertifikat in das Format des Betriebssystems des empfangenden Geräts konvertiert werden, bevor es ausgerollt wird. Dieselbe Richtlinie kann sowohl auf Windows- als auch auf Linux-Rechnern eingesetzt werden, wenn die zugrunde liegenden Schlüssel dieselben sind.
Ausrollen der Zertifikate
Wenn Sie die Zertifikate auf Windows-Geräte ausrollen, müssen Sie Ihre PEM- und CRT-Dateien mit dem folgenden Befehl in das PFX-Format konvertieren, wobei Sie <CertificateAndKeyName> und <CertificateName> durch die entsprechenden Dateinamen ersetzen:
openssl pkcs12 \
-inkey <CertificateAndKeyName>.pem \
-in <CertificateAndKeyName>.crt \
-export \
-out <CertificateName>.pfx
Das resultierende PFX-Zertifikat kann mit Hilfe Ihrer Endpunktverwaltungslösung in den Zertifikatspeicher der Zielgeräte (cert:\LocalMachine\My) ausgerollt werden. Um den Zugriff auf den privaten Schlüssel zu minimieren, empfiehlt es sich, den Zugriff auf das SYSTEM-Konto zu beschränken.
Testen der Funktion „Backticks“.
Wenn Sie diese Funktion auf Linux-Geräte ausweiten, sind keine Änderungen erforderlich. Sie sollten die privaten Schlüssel PEM in /etc/teamviewer/ssl/private und die öffentlichen Zertifikate CRT in /etc/teamviewer/ssl/certs ablegen. Stellen Sie sicher, dass sowohl das öffentliche Zertifikat als auch der zugehörige private Schlüssel denselben Basisdateinamen haben, z. B. <CertificateAndKeyName>.pem und <CertificateAndKeyName>.crt. Stellen Sie sicher, dass root der Eigentümer der privaten Schlüsseldatei ist. Es wird empfohlen, den Zugriff auf root selbst zu minimieren.
Testen und Anwenden der Richtlinie
Da der Einrichtungsprozess für diese Funktion kompliziert ist, sollte diese Einrichtung getestet werden, bevor sie auf andere Geräte ausgeweitet wird. Dies kann getestet werden, indem das Zertifikat auf einem lokalen Gerät installiert und die Richtlinie auf dasselbe Gerät angewendet wird. Anschließend wird eine Remote Session gestartet, eine Aufzeichnung begonnen und überprüft, ob die Datei nach Beendigung der Aufzeichnung erfolgreich auf den SFTP-Server hochgeladen wird. Damit wird bestätigt, dass die Verschlüsselung, die Entschlüsselung und die SFTP-Einrichtung sowie die Verbindung zum Server vom hochladenden Gerät aus funktionieren.
Wenn ein Upload fehlschlägt, wird er nach einer kurzen Zeitspanne erneut versucht, die sich mit jedem weiteren Fehlversuch bis zu einer Stunde erhöht. Durch die Zeitüberschreitung wird die Anzahl der fehlerhaften Anfragen an den SFTP-Server reduziert. Vor allem während der Testphase, wenn die Konfiguration noch aktiv angepasst wird, kann es vorkommen, dass der nächste Versuch nicht sofort nach Beendigung einer Aufzeichnung erfolgt. Um einen erneuten Upload sofort zu versuchen, kann ein vollständiger TeamViewer-Neustart durchgeführt werden (z.B. durch einen Neustart des Computers).
Wenn der Test erfolgreich war, rollen Sie das Zertifikat zunächst über Ihre Endpoint Management Lösung auf alle Zielgeräte aus und wenden Sie die Richtlinie auf diese Geräte an. Sobald diese Geräte alle Remote Sessions aufzeichnen, werden alle Aufzeichnungen von diesen Geräten automatisch auf Ihren Server hochgeladen.