Entfernt verwaltet mit Apple Remote Desktop
admintheadmin

Entfernt verwaltet mit Apple Remote Desktop

Wer Macs in einem größeren Netzwerk verwaltet, hat unter anderem mir Apple Remote Desktop ein passendes Fernwartungstool. Gepaart mit weiterer Software wie der Casper Suite und einem vielleicht internationalem Admin-Team mit diversen unterschiedlichen Datenschutzregeln im Kopf, kann das Konstrukt aber ziemlicher Unfug sein. Zumindest für den User.

In der Regel wird gesteuert welcher Benutzer – ob mit lokalen Adminrechten oder ohne – welche Systemeinstellungen vornehmen darf. So lässt sich beispielsweise auch der Punkt unter Systemeinstellungen > Freigaben kurzerhand ausgrauen, bzw. für den Anwender unzugänglich machen. Ist das der Fall, kann der Benutzer nicht mehr einsehen welche Fernwartungseinstellungen von der IT vorgenommen werden. Betroffen sind unter anderem die Punkte »Entfernte Verwaltung« und »Entfernte Anmeldung«.

Apple Remote Desktop mit Admin-User

Dazu kommt in der Regel ein Admin-User, der auf jedem Mac sein Dasein rein für administrativen Zugriff fristet. Dieser User verwendet auf allen Maschinen das selbe Passwort und wird unter »Entfernte Verwaltung« und »Entfernte Anmeldung« unter »Zugriff erlauben für …« eingetragen. Somit stellt man sicher, dass alle Maschinen im Netz über Apple Remote Desktop erreichbar sind.

Das Konstrukt ist also recht praktisch für den Admin. Die IT hat dann auch die Möglichkeit dem Benutzer zu zeigen, wann auf seine Maschine gesehen wird. Leider passiert das unter Apple Remote Desktop nicht automatisch, sondern über eine optionale Einstellung. Unter »Entfernte Verwaltung« > »Computereinstellungen« lässt sich der Haken unter »Status von Entfernte Verwaltung in der Menüleiste anzeigen« setzen. Ist das der Fall – und das sollte so sein – sieht man in der Finderleiste rechts oben ein Fernglas-Symbol. Bei Zugriff durch einen Admin verändert sich das Symbol, was nicht sehr auffällig ist und leicht übersehen werden kann:

Apple Remote Desktop Statusanzeige
Rot markiert: Die Statusanzeige von Apple Remote Desktop. Einmal mit (unten) und einmal ohne Zuschauer (oben).

Zugriff ohne Bestätigung

Wer weder Fernglas in der Finderleiste noch ein anklickbares Freigaben-Menü hat um es zu aktivieren, weiß demnach nicht wann – und zu welchen Zweck – ein Admin auf den Mac sieht. Und genau hier liegt das Problem. Oder anders gesagt, die Freigaberegeln sind unschön konfiguriert. Jeder Admin, mit passendem Passwort, kann auf jeden x-beliebigen Mac sehen ohne das der User etwas davon mitbekommt. Im Sinne des Erfinders für die Fernwartung ist das eigentlich nicht.

Natürlich ist es auch möglich, dass die Freigaben-Einstellungen nur dazu dienen sollen Zugriff auf die Maschine für andere Systeme zu schaffen. Beispielsweise um Updates einzuspielen oder Berichte zu sammeln. Apple Remote Desktop und ähnliches ist also vielleicht gar nicht direkt im Einsatz. Helfen tut das allerdings wenig. Kommt dann noch auf Nachfrage ein »Keine Sorgen machen, wir haben eh keine Zeit zum Spaß auf deinen Rechner zu sehen« läuft richtig was schief. Der Vergleich mag etwas überspitzt sein, aber ein Admin mag bestimmt auch keine Überwachungskamera in seinem Büro. Selbst dann nicht, wenn man ihm versichert, dass man sie ohnehin nicht benutzt und die Kamera nur pro forma angebracht wird.

Screenshot der Apple Remote Desktop Einstellungen
Fernwartungseinstellungen in Apple Remote Desktop

Transparente Fernverwaltung

Wer Apple Remote Desktop oder angehängte Software nutzt, sollte also auch für die nötige Transparenz sorgen und wenigstens die Rückmeldung in der Finderleiste über das Icon zulassen. Und eigentlich ebenfalls selbstverständlich: Die Fernadministration sollte vorher beim Benutzer angekündigt werden. Besser noch man weicht direkt auf Systeme aus, die ohne eine Bestätigung vom User aus nicht funktionieren. Ein schönes Beispiel dafür – weil es die Meisten vom Ablauf her kennen – ist TeamViewer. Hier wird zur gegenseitigen Bestätigung ein kurzes Passwort ausgetauscht, ohne dass man keinen Zugriff auf den entfernten Rechner bekommt. Alles andere ist eigentlich nicht mehr zeitgemäß.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.