tom's networking guide
 
Anzeige

Fernsteuerung für Windows PCs durchs Netzwerk

Remotedesktop mit Windows XP

Der lange Finger durchs Netzwerk

Einschränkungen

Die Remotedesktop-Funktion bietet einige leistungsfähige Optionen, allerdings nicht uneingeschränkt. Sie erlaubt lediglich eine einzige aktive Verbindung zu einem Rechner. Die Konsole des Remote-Hosts ist während der Verbindung verriegelt und in dieser Zeit kann niemand lokal auf diesem Rechner arbeiten.

Meldet sich ein lokaler Benutzer wieder auf dem Rechner an, so geht die Remote-Verbindung zwangsläufig verloren. Für den Aufbau einer Sitzung zu einem Rechner, auf dem bereits ein anderer Anwender angemeldet ist, muss sich der Remote-Benutzer entweder mit dem Benutzerkonto des lokalen Benutzers anmelden oder mit einem Konto, das auf dem Remote-Host zur Gruppe der Administratoren gehört. Durch die Administratoranmeldung erscheint in solchen Fällen die Nachricht dass der aktuell am Remote-Host angemeldete lokale Benutzer abgemeldet wird.

Je nach dem, wie die Abmelde-Optionen im Startmenü des Remote-Host-Systems eingerichtet sind, steht möglicherweise die Funktion Abmelden dem Remotedesktop-Benutzer nicht zur Verfügung.

Mit der Funktion Trennen über das Startmenü auf dem Hostsystem (vom Client aus während einer aktiven Sitzung), verbleibt die aktuelle Sitzung in einem verriegelten Zustand geöffnet. Erkennbar ist dies daran, dass weiterhin das Fenster Remotedesktopverbindung geöffnet ist ? mit allen notwendigen Einstellungen für einen schnellen Wiederaufbau der Sitzung.

Probleme bereiten auch drahtlose Eingabesysteme wie Funkmaus oder Funktastatur am lokalen Remote-Host, die in diesem "schwebenden" Verbindungszustand nicht ihre komplette Funktionsfähigkeit bieten.

Diese Probleme lassen sich durch den Befehl Logoff zum Trennen der Verbindung vermeiden.

Sicherheitsmaßnahmen

Der Aufbau einer Remotedesktopverbindung über ein öffentlliches Netzwerk hinweg erfordert eine sichere VPN-Verbindung (Virtual Private Network) zwischen den beiden Systemen. Sollen Remotedesktopverbindungen über eine Unternehmensfirewall zu externen System erlaubt werden, ist wahrscheinlich der Einsatz eines entsprechend eingerichteten Proxy-Servers notwendig. Durch ihn kann dann der Rechner innerhalb des Netzwerks mit dem externen System kommunizieren.

Weitere Sicherheitseinstellungen lassen sich in den lokalen Gruppenrichtlinien (GPOs) oder den GPOs für die Domäne vornehmen. GPOs werden über die MMC (Microsoft Management Console) aufgerufen (eingeben von "mmc" im Fenster "Ausführen"; Aufrufen von Datei/Snap-In hinzufügen/entfernen.../Hinzufgen/Gruppenrichtlinie/Hinzufügen/Fertigstellen/Schließen/OK). Folgende Einstellungen sind dringend anzuraten:

  • Maximal möglichen Verschlüsselungsstufe erzwingen
  • Passwort-Authentifizierung bei der Anmeldung erzwingen
  • Dateiumleitung abschalten
  • Druckerumleitung abschalten
  • Gemeinsame Nutzung des Zwischenspeichers deaktivieren.
  • Moderne Remotedesktop-Clients, wie der von Windows XP Professional bieten eine 128-Bit-Verschlüsselung. Manche älteren Windows-Systeme unterstützen dies nicht. Zur Einstellung der nutzbaren Verschlüsselngstiefe wird in den GPOs der Knoten "Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Terminaldienste/Verschlüsselung und Sicherheit" geöffnet. Dort ist die Option "Verschlüsselungsstufe der Clientverbindung festlegen" zu finden, deren Eigenschaftenfenster durch Doppelklick aktivier wird. Für die Verschlüsselungsstufe lassen sich drei Werte vorgeben: Niedrige Stufe (56-Bit-Verschlüsselung), Kompatibel mit dem Client (automatisch mit den Clients maximal erreichbare Verschlüsselungsstufe) oder Höchste Stufe (verhindert Verbindungen von Clients, die nicht die 128-Bit-Verschlüsselung unterstützen).

    Die Verschlüsselung der Verbindung kann über die GPOs in drei Stärken erzwungen werden.

    Rubriken
    Anzeige
    Anzeige
    Anzeige
    Anzeige
    Mehr zum Thema
    Netzwerk-Überwachung per Port Reporter
    Immer mehr Anwendungen sind netzwerkfähig und bauen oft selbständig und unbemerkt Verbindungen ins Internet auf. Microsoft stellt mit dem "Port Reporter" ein kostenloses Tool zur Analyse der Netzwerkaktivitäten von Windows-Rechnern bereit. [mehr]
    iSCSI im Praxistest
    Dank iSCSI lässt sich zusätzlicher Speicherplatz über eine vorhandene Netzwerkinfrastruktur in bestehende Systeme integrieren, als ob dieser lokal zur Verfügung stünde. Wir haben Hard- und Softwarelösungen auf Performance und Praxistauglichkeit geprüft. [mehr]
    Innominate mGuard und Watchguard Firebox X Edge
    Im zweiten Teil vergleichen wir Security-Appliances für Arbeitsgruppen und kleinere Unternehmen. Im Testlabor konnten sie zeigen, wie gut Internet-Zugänge schützen VPN-Verbindungen aufbauen können. [mehr]
    Innominate mGuard
    Knallrot, mausgroß wie eine Computermaus und keine Form zu pressen ? das kann kein richtiges Sicherheits-Appliance sein! Wir haben uns das Gerät angeschaut und bemerkenswertes festgestellt. [mehr]
    Anti-Spyware
    Neben Viren und Spam quälen Ad- und Spy-Ware die Internet-Benutzer. Diese Werbe- und Ausspähprogramme befallen PCs oft im Huckepack mit beliebter Shareware. Wir haben die Wirksamkeit von vier Anti-Spyware-Tools untersucht. [mehr]
    Personal Firewalls unter Windows XP
    Schutz vor Viren und Würmern ist heutzutage wichtiger denn je. Das Service Pack 2 für Windows XP verbessert dafür die Systemsicherheit. Doch kann sich die neue Microsoft-Firewall gegen Produkte von der Konkurrenz durchsetzen? [mehr]
    Client-basierte Spam-Filter
    Unerwünschte Emails mit dubiosen Versprechungen stören im Arbeitsalltag. Besonders für kleinere Büros eignen sich dafür Client-basierte Spam-Filter. Wir haben vier dieser Lösungen unter die Lupe genommen. [mehr]
    Anzeige