Als Mitarbeiter der IT-Abteilung eines Unternehmens haben Sie die Verantwortung für eine Vielzahl der eingesetzten Endgeräte Ihrer Kollegen. Systeme für das Remotemonitoring und -management (RMM) unterstützen Sie dabei, den Überblick über die Geräte zu behalten, bei Problemen mit einem Endgerät direkt informiert zu werden und dann auch zeitnah reagieren und unterstützen zu können. Während bereits viele kommerzielle und proprietäre Angebote auf dem Markt aktiv sind, tritt mit NetLock RMM [1] nun ein Open-Source-Projekt Made in Germany an, um einen umfassenden Schutz zu bieten. In diesem Security-Tipp beleuchten wir die Funktionalität von NetLock RMM und probieren die Funktionsweise aus.

Bevor wir auf NetLock im Detail eingehen, lohnt ein kurzer Blick auf RMM-Angebote im Allgemeinen. Als zentrale Steuerungsinstanz für Endgeräte stellen sie sowohl einen enormen Gewinn an Effizienz, aber auch ein potenzielles Sicherheitsrisiko dar. Über ein RMM haben Administratoren vollständigen Zugriff auf Clients, Server, Dienste und oft auch sensible Daten. Gelangen Angreifer in die RMM-Konsole Ihres Unternehmens, verfügen sie in der Regel sofort über weitreichende Rechte auf vielen Endgeräten. Ein Szenario, das bei Angeboten mit Cloudinstanzen in der Vergangenheit durchaus auch zu größeren Sicherheitsvorfällen geführt hat.

Die NetLock-RMM-Plattform basiert auf ASP.NET Core und nutzt Kestrel als Webserver. Für die Bereitstellung bietet der Entwickler ein Docker-basiertes Setupskript an, das innerhalb weniger Minuten eine lauffähige Installation auf einem Linux-Server aufsetzt. Das erleichtert es uns, NetLock im weiteren Verlauf einfach auszuprobieren. Die Anbindung von Endgeräten erfolgt über plattformspezifische Agents, die grundsätzlich für Windows, Linux und macOS verfügbar sind. Unter Windows steht ein One-Click-Installer bereit, während unter Linux und macOS ein Shell-Skript mit administrativen Rechten zum Einsatz kommt.

NetLock RMM bietet eine zentrale Webkonsole als Schnittstelle und ermöglicht die Benutzung und das Monitoring der Endgeräte. Diese bietet verschiedene Fernzugriffs- und Verwaltungswerkzeuge. Dazu zählen Remote Shell, Dateiübertragung, Task- und Service-Manager sowie eine Remotedesktop-Funktion mit Sitzungsaufzeichnung und Tastatursteuerung. Ein integrierter Dateiserver ermöglicht das zentrale Verteilen von Dateien auf die Endpunkte. Zur Automatisierung kennt NetLock das Konzept von Jobs, dabei handelt es sich um Skripte in PowerShell oder Linux-Shells wie Bash, die zeitgesteuert oder ereignisgesteuert ablaufen.

Zum Monitoring der Geräte lassen sich Systemressourcen (CPU, RAM, Festplatten), Dienste, Event-Logs und Netzwerkverbindungen überwachen. Ein benutzerdefiniertes Monitoring ist durch eigene Skripte – NetLock RMM nennt diese Sensoren – ebenfalls möglich. Das Alerting sendet Benachrichtigungen per E-Mail, Microsoft Teams, Telegram oder ntfy.sh. Multimandantenfähigkeit, etwa für Managed Service Provider (MSPs), steht dank eines rollenbasierten Benutzermanagements zur Verfügung. Damit trennen Sie unterschiedliche Kundenumgebungen voneinander und weisen Zugriffsrechte granular zu.

Um NetLock RMM auszuprobieren, benötigen Sie einen Server mit überschaubaren Ressourcen: 4 GByte Arbeitsspeicher und zwei CPUs genügen für Tests mit einer Handvoll Endgeräten vollkommen. Die Entwickler empfehlen ein aktuelles Ubuntu als Grundlage für die Installation. Wichtig ist, dass Sie eine Subdomain im DNS hinterlegen können, die sich für die Kommunikation der Agenten mit dem Server nutzen lässt.

Für die Installation laden Sie aus dem Git-Repository das Installationsskript [2] herunter. Außerdem benötigen Sie lokal einen API-Key im "Members Portal" der Entwickler. Dieser erlaubt Ihnen die kostenfreie Verwendung von bis zu 25 Geräten. Registrieren Sie sich dort mit Ihrer E-Mail-Adresse und erhalten Sie unter "My Products" den API-Key für Ihre Open-Source-Instanz. Bei der Ausführung fragt der Installer neben dem API-Key weitere Details zu Ihrer Instanz ab. Geben Sie auch die Domain an, die Sie im DNS verwenden können. Der Installer fordert Sie dann auf, für die Subdomains "nl-webconsole" und "nl-server" Einträge zu hinterlegen.

Als Nächstes entscheiden Sie, ob der Webserver von NetLock RMM direkt über das Internet (oder ihr lokales Testintranet) erreichbar ist oder hinter einen Web-Proxy wie Nginx laufen soll. Im ersten Fall wird automatisch ein Let's-Encrypt-Zertifikat für den Server erzeugt, damit dieser verschlüsselte Verbindungen verwendet. Betreiben Sie einen Webproxy für die beiden Subdomains, müssen Sie an dieser Stelle für eine entsprechende Absicherung sorgen.

Zum Abschluss weist Sie der Installer darauf hin, dass Sie die entsprechenden Ports in der Firewall freigeben müssen, damit Sie auch auf das RMM zugreifen können. Nach der Bestätigung sehen Sie, wie die Docker-Umgebung vorbereitet wird, und können sich nach dem Start der Software direkt im Webinterface anmelden. Hier wählt der Anbieter die Loginkombination "admin:admin", natürlich müssen Sie das Passwort direkt ändern. Das ginge heute eigentlich sicherer, etwa mit der einmaligen Anzeige eines generierten Passworts im Installer.

Schauen Sie sich im Backend um und aktualisieren Sie bei Bedarf die Informationen des automatisch angelegten Tenants. Um diesem Tenant Geräte für das Monitoring hinzuzufügen, wählen Sie im Kopfbereich oben rechts das Symbol "Agent Download". Im folgenden Dialog erstellen Sie eine Konfiguration für die Geräte. Hinterlegen Sie vor allem die Server, von denen die Agenten weitere Software herunterladen und über die sich die Agenten mit dem System verbinden.

Bei unserem Testsetup tragen Sie dort einfach wie im Bild gezeigt die "nl-server"-Subdomain und den Port 7443 ein. Wählen Sie nun das Betriebssystem des Gerätes aus und laden Sie mit einem Klick auf "Download Installer" den für Ihre Agents erzeugten Installer herunter. In unserem Beispiel verwenden wir dafür ein Windows-System. Führen Sie dort mit Admin-Rechten den Installer aus und beobachten Sie die Ausgabe. Ist die Installation durchgelaufen, sehen Sie im Webinterface das neue Gerät unter dem Punkt "Unauthorized". Hier können Sie jetzt prüfen, ob das Gerät zu dem korrekten Tenant gehört und es für die weitere Verwaltung zulassen.

Wenn Sie in der Geräteliste eines der Devices auswählen, erscheint im unteren Bereich der Webseite die Detailansicht zu diesem Gerät. Hier sehen Sie unter "General" die IP-Adresse, Betriebssysteminformationen, Firewall- und Antivirus-Status und die aktuelle Auslastung von CPU, RAM und verbundenen Festplatten. Klicken Sie sich hier durch die verschiedenen Ansichten, erhalten Sie Informationen zu Anwendungen, laufenden und geplanten Tasks oder installierten Treibern. Die angebotenen Funktionen von Remote Shell, File Browser und Remote Screen Control bieten Ihnen genau das, was Sie erwarten. Sie erhalten Zugriff auf die lokale Konsole des Geräts, das Dateisystem und auch die grafische Oberfläche. Das klappt natürlich nur, wenn das Gerät auch online ist.

Unter dem Punkt "Automatisierung" konfigurieren Sie die automatische Anwendung von Richtlinien. Diese wiederum erstellen Sie unter dem Menüpunkt Policies. Hier legen Sie fest, welche Sensoren oder Skripte auf den verwalteten Geräten laufen. Eigene Skripte lassen sich unter "Collections" anlegen. Dabei kann es sich um PowerShell, Bash oder Zsh-Skripte handeln. Wenn Sie diese nicht selbst erstellen möchten, können Sie hier auch auf eine Sammlung an Skripten zurückgreifen, die von der NetLock-Community angefertigt wurden.

Die Auswahl ist noch nicht besonders groß, ein Blick kann sich aber lohnen. Neben eigenen Skripten können Sie auch selbst definierte Jobs, etwa geplante Tasks oder eigene Sensoren, anlegen. Sensoren sind im Grunde einfach hinterlegte Skripte, die zu bestimmten Zeitpunkten oder in festen Zeitintervallen laufen und bei bestimmten Werten Warnungen auslösen. Hierfür wählen Sie die Benachrichtigungsmöglichkeiten aus, sobald Sie diese unter "Settings / Notifications" konfiguriert haben.

NetLock RMM ist eine deutsche Open-Source-Alternative in einem großen Markt von Anwendungen für das Remotemonitoring und -management. Sollten Sie noch über eine Einführung eines RMM-Tools nachdenken, bieten die grundlegende Funktionalität von NetLock RMM und die problemlosen Erweiterungsmöglichkeiten eine gute Ausgangsbasis für den Einstieg. Die Beschränkung auf 25 kostenlose Geräte dürfte allerdings auch in kleinen Umgebungen schnell erreicht sein.