Agent-Verschlüsselung

Datto RMM bietet ein mehrstufiges Sicherheitskonzept, zu dem auch die Verschlüsselung von Agenten gehört. Für jede Datto RMM Agent-Installation wird ein eindeutiger Verschlüsselungsschlüssel generiert, um bei der Kommunikation eines Agenten mit der Plattform sicherzustellen, dass der Datenverkehr von dem Gerät stammt, auf dem der Agent ursprünglich installiert wurde, und dass kein Identitätswechsel stattfindet.

WICHTIG  Die Einführung der Agent-Verschlüsselung mit der Datto RMM-Version 9.6.0 kann unter Umständen Ihr Benutzererlebnis beeinträchtigen. Weitere Informationen hierzu finden Sie in diesem Community-Post.

Authentifizierung von Agent zur Plattform

Der Datto RMM-Agent und die Datto RMM-Plattform haben einen gemeinsamen geheimen Schlüssel, und die Plattform verfügt über eine Karte mit Geräte-IDs, die mit diesen Schlüsseln verknüpft sind. Durch die Verknüpfung eines Schlüssels mit einer Geräte-ID können Daten vom Agenten signiert und die Kommunikation von der Plattform verschlüsselt oder verweigert werden.

Verschlüsselungsschlüssel-Genehmigung

In den folgenden Szenarien müssen Verschlüsselungsschlüssel nicht genehmigt werden:

  • Neu generierte und zugewiesene Verschlüsselungsschlüssel werden automatisch genehmigt. Dazu gehören vorhandene Geräte ohne zugeordneten Verschlüsselungsschlüssel oder neue Gerätedatensätze von neu installierten Agenten.
  • Wenn ein Gerät eine Anfrage zum Ändern des Verschlüsselungsschlüssels von einer IP-Adresse aus einreicht, von der Ihr Datto RMM-Konto in den letzten 60 Tagen mindestens vier andere Änderungsanfragen genehmigt hat, wird der Verschlüsselungsschlüssel automatisch genehmigt.

  • Wenn ein Gerät eine Anfrage zum Ändern des Verschlüsselungsschlüssels von derselben IP-Adresse aus einreicht, für die Sie die Anfrage zuletzt genehmigt haben, wird der Verschlüsselungsschlüssel automatisch genehmigt.

  • Wenn ein Gerät eine Anfrage zum Ändern des Verschlüsselungsschlüssels von derselben IP-Adresse aus sendet wie die aktuelle externe IP-Adresse des Geräts, wird der Verschlüsselungsschlüssel automatisch genehmigt.

In Situationen, in denen die Plattform über eine gespeicherte Geräte-ID mit einer bereits vorhandenen Verschlüsselungsschlüsselzuordnung verfügt und der Agent versucht, mithilfe eines falschen oder fehlenden Verschlüsselungsschlüssels zu kommunizieren, ist eine manuelle Genehmigung erforderlich. Diese Anfrage muss von einem Administrator in der Liste Agent-Verschlüsselungsschlüssel geändert auf der Seite Geräte, die Genehmigung erfordern in der neuen UI genehmigt werden. Siehe Agent-Verschlüsselungsschlüssel geändert.

Es wird empfohlen, alle Verschlüsselungsschlüssel-Genehmigungen zu validieren, da ein Agent niemals spontan seinen Schlüssel ändern sollte. Falls eine Diskrepanz vorliegt, überprüfen Sie die Prüfungsdatensätze des neuen Geräts, um zu sehen, ob sie wie erwartet lauten. Wenn dies nicht der Fall ist oder Sie sich nicht sicher sind, wenden Sie sich bitte an den Datto Support.

Wenn ein Gerät auf Genehmigung einer Änderung am Agent-Verschlüsselungsschlüssel wartet oder abgelehnt wird, erhält es keine Überwachungs- und Softwareverwaltungsdaten, und Sie können mithilfe von Web Remote keine Verbindung zu ihm herstellen. Geräte in der Liste Agent-Verschlüsselungsschlüssel geändert, die abgelehnt werden, werden aus der Liste entfernt und eine Stunde später erneut in der Liste angezeigt. Ein Administrator kann sie genehmigen oder ablehnen. Alternativ können in der Liste angezeigte Geräte aus dem Konto gelöscht werden. Siehe Ein Gerät löschen - neue UI.

Genehmigte Geräte erhalten eine Stunde nach der Genehmigung Überwachungs- und Softwareverwaltungsdaten. Sie können außerdem mithilfe von Web Remote eine Verbindung zu ihnen herstellen.

Wichtige Hinweise

  • Es ist notwendig, dass Geräte den Verschlüsselungsschlüssel lokal speichern, damit der Wert auch nach einem Neustart erhalten bleibt. Auf diese Datei kann nur mit Systemberechtigungen zugegriffen werden, und es ist notwendig, dass sie vorhanden und korrekt ist, damit die Authentifizierung von Agent zu Plattform unterbrechungsfrei erfolgen kann. Wenn die Datei entfernt wird (beispielsweise durch eine Neuinstallation des Betriebssystems), muss eine manuelle Genehmigung erfolgen.
  • Geräte sollten niemals die gleiche ID haben, was jedoch in seltenen Fällen vorkommen kann. Wenn zum Beispiel ein Image-basiertes Verfahren für die Bereitstellung des Betriebssystems verwendet wird, ohne vorher die Geräte-ID aus dem System zu entfernen, würde die ID geklont werden. Nach dem ersten Gerät würde jedes Gerät, das mit der Plattform kommuniziert und die geklonte ID verwendet, eine Genehmigungsanfrage senden. In diesem Fall sollten die geklonten IDs entfernt werden, damit sie automatisch neu generiert werden können.
  • Wenn ein Netzwerkknoten aufgrund einer Anfrage zum Ändern des Agentenverschlüsselungsschlüssels auf die Gerätegenehmigung wartet, werden alle zugehörigen Netzwerkgeräte offline angezeigt, bis der Netzwerkknoten genehmigt ist.