Agentengeschichte

von Martin Loschwitz

Tactical RMM bietet eine Kombination aus Überwachung aus der Ferne und Management per Remoteverbindung. Dabei legt es eine große Vielseitigkeit an den Tag und unterstützt mit seinen Agenten neben Windows auch Linux und macOS. Doch was genau bedeutet "RMM" eigentlich und wie implementiert das Open-Source-Werkzeug die Funktionen, die Admins von einem solchen System erwarten? Wir beschreiben im Workshop, wie Sie die Software an den Start bringen.

Wer noch nichts von "Remote Monitoring & Management" (RMM) gehört hat, sei beruhigt: Es geht um die Verwaltung von vorrangig Clientcomputern aus der Ferne und deren umfassende Überwachung. RMM ist als Begriff leicht verwirrend, weil er insbesondere den etablierten Begriff "Monitoring" aus seinem üblichen Kontext reißt und anders verwendet. Denn die allermeisten Administratoren dürften beim Begriff "Monitoring" instinktiv wohl an Nagios oder Prometheus denken, an Werkzeuge also, die die eigenen Server im Rechenzentrum überwachen.

Genau darum geht es bei RMM aber nicht: Hier stehen die Clients eines Unternehmens im Fokus, die über verschiedene Metriken ebenfalls aus der Ferne im Auge behalten werden, sodass beim zuständigen Admin ein rotes Lichtlein angeht, wenn mit einem Rechner etwas nicht stimmt. Dabei liegt auf der Hand, dass die Überwachung und insbesondere die Verwaltung mobiler Clients andere Werkzeuge notwendig macht und andere Prozesse voraussetzt als die Überwachung ortsfester Server im Rechenzentrum.

Und hier setzen die Anbieter von RMM an: RMM ist sozusagen Überwachung per Agenten-Komponente aus der Ferne mit der Option, unmittelbare Aktionen auf dem Client aus der Ferne zu initiieren und notfalls per Desktop-Sharing auch beim Beheben eines Problems helfen zu können. Eine Art "TeamViewer on Steroids" also mit angeschlossener Überwachungsfunktion.

Im Doppelpack mit MeshCentral

Weil die Clientflotten von Unternehmen immer heterogener und immer mobiler werden, haben RMM-Werkzeuge sich in den vergangenen Jahren vielerorts zu einem zentralen Element der Systemadministration gemausert. Dabei gibt es passende Produkte sowohl in Form von Open-Source-Software als auch kommerziell. Ein Vertreter aus der freien Welt ist Tactical RMM [1]. Das Programm wirbt mit hoher Performance, wenig Wartungsaufwand und umfassender Funktionalität. Es liefert Agentenprogramme für Windows, macOS sowie Linux mit und deckt dadurch praktisch alle gängigen Betriebssysteme des Unternehmensalltags umfassend ab.

Zudem integriert Tactical RMM sich nahtlos in MeshCentral, eine Weboberfläche, mittels derer sich die Funktionen des Werkzeugs umfassend nutzen lassen. Mancher Administrator würde hier allerdings – zurecht – einwerfen, dass ein RMM-Tool auf der Höhe der Zeit eine webbasierte Verwaltung ermöglichen muss und Tactical RMM ohne MeshCentral entsprechend ziemlich nutzlos wäre. Und so dürften im Alltag der meisten Admins dann auch beide Tools gemeinsam zum Einsatz kommen.

Ganz praktische Auswirkungen hat die Trennung zwischen Tactical RMM und MeshCentral jedenfalls für jene Admins, die das Produkt installieren und nutzen wollen. Denn sie müssen sowohl Tactical RMM als auch MeshCentral aufspielen und konfigurieren, um die volle Tactical-Erfahrung zu genießen. Wie das funktioniert, worauf Administratoren achten müssen und welche Stolpersteine lauern, das verraten wir im Folgenden.

Implementierung als virtuelle Instanz

Die Autoren von Tactical RMM haben eine umfassende Dokumentation für ihr Tool erstellt, die mehrere Wege zum Erfolg aufzeigt. Der klassische Ansatz ist demnach bis heute die Installation in einer virtuellen Instanz mittels zuvor aus dem Netz heruntergeladenem Shell-Skript. Das ist durchaus bemerkenswert, denn gängige Praxis ist heute eigentlich eher das Deployment aller benötigten Dienste in Form von Docker-Containern. Die gibt es von Tactical RMM zwar auch, aber der Hersteller bezeichnet lediglich die "traditionelle" Installation per Skript in einer VM als offiziell unterstützt.

Wer mit Tactical RMM durchstarten möchte, benötigt also zunächst eine virtuelle Instanz mit möglichst viel Plattenplatz, mindestens vier CPU-Kernen und nicht weniger als 4 GByte RAM. Wer ein moderat großes Setup hat, sollte mit 500 GByte in etwa ein Jahr lang in der Lage sein, nicht nur neu anfallende Daten zu sichern, sondern auch die historischen Metrikdaten seiner Umgebung dauerhaft zu speichern. Obendrein empfiehlt Tactical RMM als technische Grundlage dringend Debian GNU/Linux 12. Wer es lieber mit Ubuntu zu tun hat, kann zu Ubuntu 22.04 greifen.

SSL und DSN müssen stehen

Bevor die eigentliche Installation losgeht, sind zudem ein paar Anforderungen zu erfüllen. Diese betreffen vor allem die Infrastruktur, die Tactical RMM selbst benötigt, um ordentlich zu funktionieren. Ein zentrales Thema beim Setup ist beispielsweise SSL. Freilich: Die Agenten, die später auf den Clients laufen und mit ihrem Mutterschiff kommunizieren möchten, können das nur transportverschlüsselt tun. Denn sie übermitteln ja durchaus sensible und oft auch personenbezogene Daten im Sinne der DSGVO, die besonderem Schutz unterliegen. Undenkbar also, diese Daten unverschlüsselt quer durchs Netz zu blasen. Stattdessen ist SSL-Verschlüsselung Pflicht. Und dies kann wiederum nur klappen, wenn der Server ein gültiges SSL-Zertifikat besitzt, das der Client beim Verbindungsaufbau validieren kann.

Die Hausaufgaben für den Administrator sind damit klar: Weil Tactical RMM sich, wenn der Admin während der Installation die Nutzung eines selbstsignierten Zertifikats vorgibt, später nicht mehr einfach auf ein "echtes" Zertifikat umstellen lässt, sollte das passende SSL-Zertifikat für Tactical RMM gleich zu Beginn der Installationsarbeiten vorliegen. Alternativ bietet Tactical RMM die Möglichkeit an, sich per Let's Encrypt automatisch mit validen Zertifikaten zu versorgen. Das ist zweifelsohne die günstigste Variante. Damit sie funktioniert, müssen Sie allerdings die Domäne vorbereiten, unter der Tactical RMM aufrufbar sein soll.

Ganz konkret ist Sorge dafür zu tragen, dass für die jeweilige Domäne zumindest die Host-Einträge "api", "mesh" und "rmm" funktionieren. Kommt als Domäne beispielsweise "example.net" zum Einsatz, müssen "api.example.net", "mesh. example.net" sowie "rmm.example.net" auf dieselbe IP-Adresse zeigen, unter der Tactical RMM später zu erreichen sein wird. Es ist übrigens durchaus machbar, Tactical RMM in einer virtuellen Instanz etwa in einem kleineren Büro zu installieren, dann üblicherweise hinter einem NAT-Router. Hier sollten Sie aber sicherstellen, dass es einen DynDNS-Eintrag mit der Option von Sub-Hosts gibt, der auf das jeweilige Setup zeigt und die zuvor beschriebenen drei DNS-Einträge hat. Obendrein müssen Sie in einem solchen Konstrukt dafür sorgen, dass Sie den HTTPS-Port 443 auf dem genutzten Router hin zur lokalen IP-Adresse durchreichen, unter der Tactical RMM läuft.

Ubuntu-Firewall nutzen

Ist die DNS-Konfiguration erledigt, stehen einige Vorbereitungen des künftigen Zielsystems auf der To-Do-Liste. Zu den guten Sitten der Systemadministration gehört es, das jeweilige System zunächst mittels apt update und apt dist-upgrade auf den letzten Updatestand zu hieven. Tactical RMM will zudem einen eigenen lokalen Benutzer, den Sie mittels useradd -m -G sudo -s /bin/bash tactical sowie passwd tactical anlegen. Für das zu nutzende Passwort gelten die üblichen Regeln.

Insbesondere auf Debian-Systemen sind ein paar zusätzliche Pakete zu installieren, die in der Standardinstallation fehlen: apt install -y wget curl sudo ufw holt alle benötigte Software. "ufw", also die Ubuntu-Firewall, ist dabei durchaus optional. Wer seine Firewallregeln auf Systemen anders hinterlegen möchte oder auf dem System selbst gar keine will, weil es eine der gesamten Umgebung vorangestellte Firewall gibt, kann auf "ufw" also verzichten. Wer die Ubuntu-Firewall nutzen möchte, sorgt nach der Installation des Pakets mit

dafür, dass eingehende Pakete grundsätzlich verworfen werden und nur Port 443 offen ist. Wer zudem in der Lage sein möchte, sich auf seinem Server mittels SSH einzuloggen, bedarf noch des Kommandos ufw allow ssh. Der Befehl ufw enable && ufw reload schaltet die Firewall mit ihrem aktualisierten Regelwerk schließlich scharf.

Tactical installieren

Dann geht es ans Eingemachte. Mittels su – tactical werden Sie als Administrator zunächst zum Nutzer "tactical". Der Befehlsdreiklang aus

lädt im Anschluss das Setup-Skript von Tactical herunter, macht es ausführbar und ruft es dann lokal auf. Wollen Sie sicherstellen, dass die Entwickler Ihnen nichts unterjubeln, kontrollieren Sie vor dem dritten Schritt – also dem Ausführen des Skripts – dieses zunächst im Editor. Es soll an dieser Stelle nicht der Eindruck entstehen, die Entwickler hätten sinistre Ansichten. Ganz grundsätzlich betrachten viele Administratoren den Ansatz, ein Skript aus dem Netz herunterzuladen und es ohne Kontrolle auszuführen, mittlerweile aber völlig zurecht als schlechte Praxis.

Direkt nach dem Start möchte das Installationsskript zunächst eine ganze Menge Details wissen. So müssen Sie die Subdomäne für das Backend ebenso angeben ("api.example.net") wie für das Frontend ("rmm.example.net") und für MeshCentral ("mesh.example.net"). Auch nach der übergeordneten Root-Domäne fragt der Assistent ("example.net"). Ebenso möchte er eine E-Mail-Adresse wissen, die im weiteren Verlauf als Kontaktpunkt für den Administrator im System hinterlegt bleibt. Dann fragt das Skript, ob es die Datei "/etc/hosts" um lokale Einträge für die angegebenen Hosts erweitern darf, was Sie idealerweise mit "y" bestätigen.

Haben Sie sich zur Nutzung von Let's Encrypt entschlossen, folgt nun ein zusätzlicher Zwischenschritt, der weitere Fummelei am eigenen DNS-Dienst bedingt. Denn Tactical RMM konfiguriert Let's Encrypt so, dass dieses die Eigentümerverhältnisse der genutzten (Sub-)Domäne per TXT-Eintrag im DNS überprüft. Zu diesem Zweck zeigt das Installationsskript von Tactical RMM einen passenden TXT-Eintrag an, den Sie einfach der DNS-Konfiguration der eigenen Domäne hinzufügen.

Dann heißt es warten: Je nach genutztem DNS-Anbieter kann eine Weile vergehen, bis neue DNS-Einträge durch das gesamte DNS-System propagiert sind. Erst wenn der TXT-Eintrag für Let's Encrypt abrufbar ist, stellt dieses das benötigte Zertifikat aus und ermöglicht dem Installationsskript dadurch, fehlerfrei mit seiner Arbeit fortzufahren.

Ist dieser Punkt abgeschlossen, geht der Rest ganz schnell: Der Assistent fragt noch nach einem Login und einem Passwort für die Weboberfläche. Fertig: Im nächsten Schritt steht der Login in MeshCentral als Frontend für Tactical RMM bereit. Folgerichtig beendet der Assistent sich nach diesem Schritt auch selbst. Hat er zwischenzeitlich keine Fehlermeldung angezeigt, dürfen Sie davon ausgehen, dass die Tactical-Installation mitsamt MeshCentral funktioniert hat. Die Bestätigung dafür bringt der erfolgreiche Login bei MeshCentral mit der eben angelegten Kombination aus Benutzername und Passwort.

Tactical RMM einrichten

Nach der ersten Installation von Tactical und dem ersten Login in MeshCentral steht zunächst die grundlegende Konfiguration von Tactical RMM an. Das Werkzeug ist intern in Sites (Bild 1) und Hosts organisiert, also in Standorte und zu verwaltende Systeme. Die Zuordnung eines Hosts zu einer Site ist dabei wichtig. Denn auf Basis der Sites lassen sich beispielsweise Batch-Operationen durchführen, die alle zu einer Site gehörenden Hosts erfassen.

Obendrein ist Tactical RMM mandantenfähig. Das Werkzeug kann also die Sites mehrerer Unternehmen verwalten, was besonders für Dienstleister praktisch ist: Wer namens und im Auftrag seiner Kunden deren Systeme per RMM betreut, benötig nur eine Tactical-Installation, weil diese die Struktur sinnvoll abbilden kann. Das setzt voraus, dass Sie die entsprechenden Daten in Tactical einpflegen. Hierzu begeben Sie sich in MeshCentral zunächst über "Settings / Clients" in den Kundenmanager und legen dort die zu verwaltenden Kunden an.

Angelegte Kunden tauchen im Anschluss im Aufklappmenü auf der linken Seite auf. Ein Rechtsklick öffnet das Kontextmenü, das den Punkt "Add Site" enthält. Über diesen lässt sich eine Site für den jeweiligen Kunden hinzufügen. Im Hinblick auf das Hinzufügen von Agenten empfiehlt es sich zudem, in Tactical RMM eine "Default"-Site anzulegen. Denn die lässt sich später mit einem "Deployment" kombinieren: Das ist im Tactical-RMM-Sprech die Liste aller auszuführenden Aufgaben für eine spezifische Site eines einzelnen Kunden, um dort den Agenten auf alle Systeme zu bringen.

Wichtig: "Deployments" haben eine Ablaufzeit, nach der sie erneuert werden müssen. Die Zeit, nach der ein Deployment erlischt, können Sie jedoch frei definieren. Das wird im Hinblick auf das Deployment des Tactical-Agenten später noch wichtig.

Hosts hinzufügen

Die schönste RMM-Umgebung ist nutzlos, wenn sie keine Hosts hat, die sie im weiteren Verlauf verwalten kann. Genau daraus besteht deshalb der nächste Schritt: In der Installation der nötigen Agenten auf den betroffenen Systemen. Auch hier gibt es ein paar Details zu beachten, diese sind allerdings betriebssystemspezifisch.

Gehen wir einmal davon aus, dass die im Netz regelmäßig veröffentlichten Statistiken zur Verbreitung der verschiedenen Desktop-Betriebssysteme in etwa zutreffen, dürfte das Gros der in freier Wildbahn verwalteten Systeme auf Windows basieren. Das sind einerseits gute Nachrichten. Denn der Windows-Agent von Tactical RMM bietet einiges an zusätzlichen Features, die für die Linux- und macOS-Agenten nicht zur Verfügung stehen. Dazu gehört zum Beispiel die Option, den aktuellen Patchstand des Systems aus der Ferne zu kontrollieren (Bild 2). Andererseits bringt das Setup des Tactical-RMM-Agenten unter Windows auch ein paar Besonderheiten mit sich.

Signierte Agenten nur gegen Bares

Eine dieser Besonderheiten liegt darin, dass Sie es unter Windows mit umfassendem Antiviren-Schutz zu tun bekommen. Der ist im Normalfall hilfreich, sorgt er doch dafür, dass das System gegen klassische, auf Viren basierte Angriffe aus dem Netz geschützt ist. Der Virenschutz beißt sich allerdings mit Tactical RMM. Denn das soll ja durchaus in der Lage sein, auf dem System eigenen Code auszuführen und zum Zweck der Fernwartung sogar die Kontrolle über dieses zu übernehmen. Damit sieht Tactical RMM beziehungsweise dessen Agent aus Sicht einer Antivirensoftware eben genauso aus wie ein Virus.

Um Probleme zu vermeiden, befolgen Sie idealerweise mehrere Vorgaben. Zunächst empfiehlt es sich, die digital signierten Pakete für die Installation des Tactical-Agenten zu nutzen [2]. Anders als ihr unsigniertes Gegenstück ist diese Option allerdings nur verfügbar, wenn der Betreiber der Tactical-RMM-Installation Sponsor des Projekts ist. Wichtig ist dabei zu verstehen, dass die Agenten nicht in generischen Paketen daherkommen. Stattdessen generiert Tactical RMM für jeden hinzuzufügenden Host dynamisch ein Installationspaket und spielt dieses auf das Zielsystem aus. Die digitale Signatur ist an ein Sponsoring des Projekts geknüpft.

Wer Zugriff auf die signierten Agenten haben will, also die meisten Corporate-Anwender, benötigt mindestens das Sponsorship-Level "Tier 1", das mit 55 Euro monatlich zu Buche schlägt – im Unternehmenskontext dürfte die Ausgabe im Normalfall zu verschmerzen sein, zumal sich laut Aussage von Tactical RMM bis zu 200 Zielgeräte mit diesem Sponsorship-Level sinnvoll überwachen lassen.

Ausnahmen für Antivirussoftware setzen

Zusätzlich zur Installation der signierten Agenten sollten Sie darauf achten, für das Binary des Tactical-RMM-Agenten im Antivirusprogramm eine Ausnahmeregel festzulegen – also dem Virenschutz explizit zu sagen, dass das genannte Werkzeug gerade kein Virus ist, sondern erlaubtermaßen Code auf dem Zielsystem ausführt. Wer den Windows-Defender nutzt, also das Standard-AV-Werkzeug unter Windows, erledigt das in der PowerShell so:

Sind diese Vorbereitungen getroffen, ist die weitere Installation des Agenten nicht mehr kompliziert. Nun kommt das zuvor bereits erwähnte Agenten-Deployment für die "Default"-Site ins Spiel. Dazu klicken Sie zunächst auf "Agents / Manage Deployments" und dann auf "New". Die Standardeinstellungen sind im Regelfall eins zu eins zu übernehmen. Danach taucht das neue Deployment auch schon in der Liste auf, zusammen mit einem "Copy Link"-Button. Diesen kopieren Sie und rufen ihn auf dem Zielsystem im Browser auf.

Es startet sodann der Download des signierten Agentenpakets. Per Doppelklick beginnen Sie dann die Installation des passend vorkonfigurierten Agenten, der nach erfolgreichem Abschluss des Vorgangs automatisch mit der ausgebenden Tactical-RMM-Instanz Kontakt aufnimmt. Der Arbeitsschritt lässt sich auch durch den jeweiligen Benutzer des Gerätes durchführen, falls der Admin der Umgebung das Device nicht unmittelbar vor sich hat. Das bedingt jedoch die Kooperation des Nutzers.

Linux- und macOS-Agenten mit Abstrichen

Ähnlich zur Installation der Windows-Clients verläuft die Installation von Agenten für Linux- und macOS-Systeme (Bild 3). Hier ist, wie bereits erwähnt, allerdings zu beachten, dass nur die Windows-Agenten den vollen Funktionsumfang von Tactical RMM unterstützen. Funktionen wie die Übersicht über die installierten Patches stehen weder für Linux noch für macOS zur Verfügung.

Der verfügbare Funktionsumfang von Tactical RMM ist beachtlich. Den Monitoringteil von RMM implementiert Tactical beispielsweise über umfassendes Reporting. Dabei lässt sich festlegen, welche Parameter von welchen Systemen zu erfassen sind und Teil eines Reports werden sollen. Obendrein lassen sich aus der Ferne sowohl Backup- als auch Recovery-Prozesse anstoßen. Einen detaillierten Überblick liefert die ausführliche und gut verfasste Tactical-Dokumentation [3].

Darüber hinaus würde es an dieser Stelle den Rahmen sprengen, auf sämtliche Funktionen von Tactical RMM detailliert einzugehen. Es schadet aus Sicht des Administrators aber nicht, sich selbst auf einen Rundgang durch das Werkzeug zu begeben. MeshCentral ist einigermaßen intuitiv nutzbar, Menüpunkte sind klar benannt und die dahinter verborgenen Informationen erschließen sich im Normalfall schnell.

Fazit

Tactical RMM präsentiert sich als Werkzeug für Remote Monitoring & Management auf der Höhe der Zeit. Seine Installation ist nicht ganz trivial, mit der richtigen Vorbereitung aber für einen erfahrenen Admin gut zu bewältigen. Dass es signierte Agenten für Windows nur gegen Bares gibt, stößt etwas bitter auf – denn eine sichere, standardgemäße und Compliance-konforme Überwachung von Microsoft-Systemen ist ohne signierte Agenten nicht möglich. Die aufgerufenen Beträge seitens des Herstellers halten sich aber zumindest im Rahmen.

Fernzugriff mit Tactical RMM