Im Test: Tightvnc
Freeware-Tool zur Fernwartung
Tightvnc ist ein Fernwartungs-Tool für Desktops und andere Computer, bei dem Bildschirminhalte, Maus- und Tastatureingaben vollständig übertragen werden. Die Freeware aus der VNC-Familie zeigt im Unterschied zum Remote Desktop in Windows exakt den aktuellen Bildschirm des anderen Computers an, baut also keine eigene Sitzung auf. Im LANline-Test erwies es sich als unkompliziertes Tool, das allerdings in Sachen Sicherheit noch optimiert werden sollte.
Mit Tightvnc lassen sich Fehlermeldungen anzeigen, während der Benutzer auf der anderen Seite
mit dem Computer arbeitet und den gleichen Bildschirminhalt sieht wie der Techniker. Auch für
kleinere Schulungen auf Basis von Desktop-Sharing ist die Software geeignet.
Da Tightvnc nur etwa 1 MByte benötigt, lässt sich das Programm einfach über das Netzwerk
übertragen oder schnell aus dem Internet herunterladen, um auf die Schnelle eine Fernwartung zu
ermöglichen. Auch die Ersteinrichtung ist einfach. Ein großer Vorteil der Freeware – auch im
Vergleich zu den anderen VNC-Programmen – ist die sehr geringe Bandbreitennutzung, sodass der
Anwender damit auch über schmalbandige Netzwerke oder das Internet problemlos auf Rechner zugreifen
kann. Grafiken komprimiert die Software vor der Übertragung, wobei der Anwender den
Komprimierungsgrad beim Verbindungsaufbau mit dem Client auf seine Bedürfnisse anpassen kann. Zudem
ist es möglich, zwischen den Computern Dateien auszutauschen.
Verbindungen zu Linux-, Unix- oder Apple-Rechnern (Mac OS X) kann der Administrator über SSH
aufbauen, zum Beispiel mit OpenSSH. Die Bedienung der Software ist sehr einfach, sodass keine lange
Einarbeitungsphase nötig ist.
Varianten
Auf www.tightvnc.com stehen mehrere Dateien zum Download bereit. Dazu zählt die herkömmliche
Installer-Datei, mit der sich Tightvnc mit Client- und Server-Part auf dem Computer installieren
lässt. Die Installation legt eine eigene Programmgruppe an, die alle notwendigen Verknüpfungen
enthält. Wer die Software nicht installieren will, lädt sich nur die ausführbaren Dateien als
ZIP-Archiv herunter. Auch der Viewer, der nur den Zugriff auf andere Computer gestattet, aber
keinen Serverpart enthält, kann einzeln heruntergeladen werden. Neben den Windows-Varianten gibt es
auf der Seite Varianten für Linux oder eine Java-Edition, die nur in einem Browser ausführbar ist.
Die Windows-Versionen von Tightvnc funktionieren leider noch nicht unter Windows Vista und Windows
Server 2008. Da Microsoft bei diesen beiden Betriebssystemen einiges an den Netzwerkprotokollen und
der Sicherheit geändert hat, funktioniert der Verbindungsaufbau nicht. Wer eine günstige
Fernwartungslösung für diese beiden Betriebssysteme benötigt, könnte zum Beispiel auf den
Teamviewer (www.teamviewer.com) zurückgreifen. Unter Mac OS X funktioniert die Unix-Version von
Tightvnc, allerdings lassen sich in diesem Fall nur die Inhalte von X-Sessions über das Netzwerk
anzeigen.
Schnelltest
Für einen schnellen Test sind die ausführbaren Dateien am besten geeignet, da sich diese nach
der Arbeit wieder ohne Spuren vom System entfernen lassen. Den Zugriff auf einen Computer führt
dann die Datei WinVNC.exe aus. Sie startet den Server-Part von Tightvnc. Anschließend erscheint das
Tightvnc-Icon in der Taskbar. Per Doppelklick erscheint das englischsprachige
Konfigura-tionsfenster des Server-Parts. Über einen Klick mit der rechten Maustaste auf das Icon
stehen weitere Aktionen zur Verfügung, zum Beispiel die Möglichkeit, Verbindungen zu beenden oder
bestimmten Computern Zugriff zu gestatten oder zu verwehren.
Die wichtigsten Einstellungen befinden sich auf der Registerkarte "Server" im Bereich "Incoming
Connections". Nur wenn die Option "Accept Socket Connections" aktiviert ist, lässt der Computer
einen Zugriff über das Netzwerk zu. Beim Verbindungsaufbau mit dem Client wird ein Kennwort
verlangt. Vollen Zugriff auf den Computer erhält, wer das unter "Primary Password" hinterlegte
Kennwort eingibt. Soll der Zugriff über das Netzwerk ohne die Möglichkeit des direkten Eingreifens
auf den Computer stattfinden, wird das "View-only-Password" benötigt. Beide Kennwörter sollte der
Anwender aus Sicherheitsgründen am besten direkt nach der Einrichtung festlegen. Hat der Anwender
die Einstellungen mit "OK" bestätigt, sind sie aktiv, und das Fenster schließt sich.
Das Icon von Tightvnc erscheint dann auch weiterhin in der Taskleiste. Der Administrator kann es
aber über den Registrierungseditor für die Anwender ausblenden. Die Einstellungen dazu finden sich
unter HKLM\SOFTWARE\ORL\ WinVNC3. Mit dem neuen Dword-Wert "DisableTrayIcon" 1 verschwindet das
Icon. Nach einem Neustart der Software übernimmt das Tool alle neuen Registry-Einstellungen.
Ausführliche Anleitungen für die Konfiguration von Tightvnc sowie zur Steuerung der Berechtigungen
finden sich auf www.realvnc.com/products/free/ 3.3.7/winvnc.html.
Damit der Zugriff mit dem Tightvnc-Client funktioniert, startet der Administrator diesen
zunächst entweder über das Icon der Programmgruppe oder direkt über die ausführbare Datei "
vncviewer.exe". Nach dem Start des Clients öffnet sich ein Fenster, das nach der IP-Adresse oder
den Namen des VNC-Servers verlangt, also des Computers, auf den zugegriffen werden soll. Über die
Schaltfläche "Options" stehen zahlreiche Einstellungen zur Verfügung, um die Fernwartung zu
optimieren. Das Aktivieren der Option "Use 8-bit color" beispielsweise erhöht die Geschwindigkeit
bei sehr langsamen Leitungen auf Kosten der Farbdarstellung.
Sicherheitsaspekte
Das Tool benötigt für den Zugriff zwischen den Computern eine stabile Verbindung zwischen den
TCP-Ports 5800 und 5900. Diese Ports sollten daher bei den betroffenen Firewalls nicht geschlossen
sein. Für Verbindungen über das Internet per Router, zum Beispiel bei DSL, bietet sich eine
Port-Weiterleitung auf den beteiligten Routern zu den IP-Adressen der Computer und den Ports 5800
und 5900 an. Falls der Verbindungsaufbau nicht funktioniert, kann für den Zeitraum der Fernwartung
oder das Eintragen der entsprechenden Regeln die Windows-Firewall abgeschaltet werden. Insbesondere
bei Support-Aufgaben, bei denen auf der Seite des gewarteten Computers oft ein wenig geübter
Anwender sitzt, ist die Abschaltung häufig der schnellste Weg, wenn auch unsicher. Deshalb muss der
Administrator die Firewall nach der Sitzung unbedingt wieder aktivieren. Computer, die ohne
DSL-Router, Firewall oder Proxy mit dem Internet direkt verbunden sind, sollten nicht über diesen
Weg freigeschaltet werden. Alternativ bietet sich auch hier die Freeware Teamviewer an, die mit
Firewalls weniger Probleme hat als Tightvnc.
Zudem ist auch die Verschlüsselung keine Stärke von Tightvnc. Die Software verschlüsselt zwar
das Kennwort für den Zugriff auf Computer über das Netzwerk. Es darf maximal acht Zeichen lang
sein. Als Verschlüsselungsstandard verwendet das Tool 56-Bit-DES. Der restliche VNC-Datenverkehr
zwischen Client und Server wird allerdings nicht verschlüsselt, was durchaus ein Sicherheitsproblem
darstellen kann, vor allem beim Zugriff auf heikle Daten oder Server mit hohen
Sicherheitseinstellungen. Auch beim Zugriff über das Internet bestehen enorme Sicherheitsrisiken.
Um diese zu minimieren, bietet es sich an, vor dem VNC-Zugriff, zunächst eine VPN-Verbindung
aufzubauen, um den VNC-Verkehr darüber zu verschlüsseln. Unter Umständen helfen auch
SSH-Verbindungen, zum Beispiel mit OpenSSH. Der Entwickler will in zukünftigen Versionen von
Tightvnc eine direkte Verschlüsselung einbauen.
Tightvnc als Systemdienst
Der Anwender kann während der Installation des Tools die Software auch als Systemdienst
registrieren, damit sie automatisch mit dem Rechner gestartet wird. Diese Funktion ist jedoch mit
Vorsicht zu genießen, weil dies einen Serverzugriff ohne Kennwort ermöglicht: Vergisst ein
Administrator das Sperren des Bildschirms, kann jeder Benutzer mit dem Viewer auf den Server
zugreifen. Die Installation als Systemdienst ist auch nachträglich über die Programmgruppe und eine
entsprechende Verknüpfung möglich. Dann befindet sich in der Dienstesteuerung
(Start/Ausführen/services.msc) der Systemdienst "VNC Server". Damit der Zugriff auf die
eingetragenen Rechner gelingt, muss der Systemdienst gestartet sein. Zudem sollte der Anwender aus
Sicherheitsgründen in der Verwaltungsoberfläche für den Tightvnc-Server ein Kennwort
hinterlegen.
Fazit
Wer für seine Anwendung die Sicherheitsproblematik umgehen kann, erhält mit Tightvnc ein
bequemes und einfaches Fernwartungs-Tool. Sehr vorteilhaft ist dabei der geringe
Bandbreitenbedarf.
Info: Tightvnc Web: www.tightvnc.com
Anleitungen: www.realvnc.com/products/free/3.3.7/winvnc.html.
Info: Teamviewer Web: www.teamviewer.com
Lesen Sie mehr zum Thema
