Aushebeln von Richtlinien durch Abmeldung - Hacker Angriff durch unbeaufsichtigten Zugriff

neininger · 2021-08-23T12:40:44+00:00

There was an error rendering this rich post.

Wir haben Richtlinien für unsere Anwender erstellt. Unter anderem um das Ändern von Optionen zu unterbinden. So lange der Anwender angemeldet ist, kein Problem. Meldet er sich ab, kann er unter Extras -> Optionen -> Erweitert -> Erweiterte Einstellungen ein Kennwort für den unbeaufsichtigten Zugriff eintragen. Auf dem Hauptformular des TeamViewers ist die Checkbox "unbeaufsichtigter Zugriff" inaktiv, eine Warnung oder ein Hinweis, dass der unbeaufsichtigte Zugriff dennoch möglich ist gibt es nicht. Auch wenn die Doku die Funktion exakt so erklärt, wägt das was der User, der die Doku nicht von A-Z gelesen hat, in einer trügerischen Sicherheit.

Festgestellt haben wir das ganze im Rahmen eines Cyber-Angriffs, bei dem sich die Angreifer in unserer TeamViewer Installation unbeaufsichtigte Zugriffskennwörter einrichten. So kommen Sie dann unbemerkt an jeder Firewall vorbei und melden sich Tag und Nacht nach freiem Gusto an.

Find more posts tagged with

Kommentare

Natascha

Hallo @neininger

vielen Dank für deine Rückmeldung.

Das, was du beschreibst, passt genau in die Anforderungen, die SSO für dich erfüllen kann:

https://community.teamviewer.com/German/kb/articles/30784-single-sign-on-sso

Falls du SSO nicht einsetzen möchtest, wäre der Aufwand erforderlich, dass du dich als Admin auf all die Geräte deiner Kunden verbindest und ein Optionspasswort für die jeweilige TeamViewer Installation einrichtest. (Aus Sicherheitsgründen können Passwörter aktuell nicht über eine Richtlinie ausgerollt werden) Somit verhinderst du die Einrichtung von unbeaufsichtem Zugriff oder das Erstellen persönlicher (dauerhafter) Passwörter, um jederzeit eine Verbindung aufbauen zu können.

Damit wären die Geräte deiner Kunden geschützt und keiner kann sich dauerhaften Zugang dort einrichten.

Alternativ kannst du eine Block- oder Allowliste einrichten, um damit bestimmte IDs zu definieren, die sich ausschließlich auf die jeweiligen Geräte verbinden können. Diese Option steht dir auch als Richtlinie zur Verfügung und du kannst sie zentral über die Management Console ausrollen:

https://community.teamviewer.com/German/kb/articles/29739-block-und-allowlist

Um die TeamViewer Konten deiner Mitarbeiter zu schützen, empfehle ich dir in jedem Fall, die Zwei-Faktor-Authentifizierung einrichten zu lassen.

Gerne stehe ich für weitere Fragen zur Verfügung und wünsche dir einen schönen Dienstag.

Viele Grüße

Natascha

neininger

Naja, den SSO Vorschlag hat Michael unterbreitet, ist aber meiner Meinung nach nicht die Lösung um dieses Problem zu beheben. Es ist ein Weg um die Benutzerverwaltung mit unserer Domain zusammen zu bringen. Aber mir gehts in erster Linie darum sicherzustellen, dass meine Benutzer sich auch nur an einem von mir personalisierten TeamViewer anmelden können. Dadurch stelle ich sicher, dass meine Richtlinie über die Installation angewendet wird. Andernfalls kann der User den normalen Full Client herunterladen und kann sich von einem X-beliebigen Gerät mit unseren Kunden verbinden. Das wollen wir nicht. Wir sehen aber auch nicht die Notwendigkeit TeamViewer und Domain deshalb zusammenwachsen zu lassen. Hier muss TeamViewer über ein Userattribut/-recht einstellbar machen, ob der User sich grundsätzlich, oder nur an bestimmten TeamViewer Clients (personalisierte MSI) anmelden darf.

Natascha

Hallo @neininger

vielen Dank für deinen Beitrag.

Ich habe mitbekommen, dass du deine Fragen mit meinem Kollegen @Michael heute Morgen bereits telefonisch klären konntest und ihr für deinen Anwendungsfall die passende Lösung gefunden habt. 👍

Als kleine Ergänzung dazu passt unser Artikel zu SSO:

https://community.teamviewer.com/German/kb/articles/30784-single-sign-on-sso

Solltest du weitere Fragen haben, stehen wir dir gerne jederzeit zur Verfügung.

Ich wünsche dir einen schönen Dienstag.

Viele Grüße

Natascha 🙋‍♀️