Users Guide
Authentifizierungsmodusauf"Vertraut"oder"NurWindows"zuändern.
ITAssistanthintereinerFirewallausführen
Abbildung11-1 zeigt eine typische Installation, bei der sowohl IT Assistant als auch die zu verwaltenden Systeme hinter einer Firewall liegen. Die Firewall
blockiertdenVerkehrzwischendemgeschütztenNetzwerkundderAußenweltüberbestimmteAnschlüsse.DieKommunikationzwischeneinemAdministrator
und IT Assistant, bzw. dem verwalteten System, wird jedoch zugelassen.
ZudentypischenSicherheitseinrichtungenfürdasSystem,aufdemITAssistantineinerUmgebunghintereinerFirewallausgeführtwird,zählen:
l VerwendungvertrauenswürdigerKontenanstellevonbenanntenodergemischtenKontenfürdieDatenbank.
l BegrenzungvonBenutzeroberflächenverbindungenzueinembekanntenSystem.
Abbildung 11-1.TypischeInstallationhintereinerFirewall
ErweiterteSicherheitfürITAssistant-Zugriff einrichten
Bisher wurde das Thema Sicherheit in diesem Abschnitt in Bezug auf die vorhandene TCP/IP-Verbindung zwischen IT Assistant und dem verwalteten System
behandelt.ZusätzlichzudiesenSicherheitsmaßnahmenstehendieMicrosoft-TerminaldienstezurVerfügung.DieseDiensteermöglichendieHerstellungvon
unangemeldeten Remote-Verbindungen nur durch Benutzer mit Administratorkonten (administrativer Modus) und die Systeme, auf denen die IT Assistant-
Benutzeroberflächeund-Diensteausgeführtwerden.DasBeispieleinesNetzwerks,dasdieseTerminaldienstenutzt,istinAbbildung11-2 dargestellt.
Abbildung 11-2.TerminaldienstefürzusätzlicheSicherheitverwenden
In Abbildung11-2könnteeinBenutzerdieVerbindungzurITAssistant-ManagementStationübereinenlokalinstalliertenTerminaldienste-Clientoderüber
eine Windows XP-Remote-Desktop-Verbindungherstellen.DieseVerbindungerforderteinegültigeDomäne/Benutzername/Kennwort.WeitereInformationen
finden Sie auf der Microsoft-Website.
ZusätzlicheSicherheitwirderreicht,indemaufallenverwaltetenSystemenBeschränkungeneingerichtetwerden,damitausschließlichSNMP-Verkehr von der
IP-Adresse des Systems, auf dem die IT Assistant-Benutzeroberfläche(Netzwerk-Management-Station)ausgeführtwird,zugelassenwird.Terminaldienste-
und Remote-Desktop-Sitzungen emulieren Verkehr, der direkt von der Netzwerk-Management-Stationkommt,daherwirdderZugriffaufITAssistantnurfür
Terminaldienste-ClientsoderfürdenBenutzereinerlokalenNetzwerk-Management-Stationerlaubt.JedeandereVerbindung,wiez.B.eineandereRemote-
Installation der IT Assistant-Benutzeroberfläche,könntekeineeffektiveVerbindungmitkorrektkonfiguriertenverwaltetenSystemenimNetzwerkherstellen,
daVerkehrabgelehntwürde,dervoneinemanderenSystemalsderNetzwerk-Management-Station stammt.