Howto 12.03.2026 8 Min. Lesezeit

Unattended Access einrichten — Schritt für Schritt

Wie Sie WinDesk Unattended Access auf Windows, macOS und Linux einrichten — Host als Dienst, hardware-gebundene Token, sicherer Zugriff ohne Endnutzer-Bestätigung.

Was Unattended Access ist

Im Attended-Modus muss jemand am Zielgerät die Verbindung explizit erlauben — Session-ID + PIN durchgeben. Im Unattended-Modus läuft der WinDesk Host als Dienst dauerhaft im Hintergrund, und Sie können sich jederzeit verbinden, ohne dass jemand zustimmt.

Use-Cases:

  • Server-Wartung ausserhalb der Bürozeiten
  • IT-Dienstleister mit Kundengeräten, die Sie betreuen
  • Edge-Devices, Pi-basierte Setups, Build-Maschinen
  • Familien-Mac, den Sie für Eltern oft remote unterstützen

Voraussetzungen

  • WinDesk Pro-Abonnement (CHF 29.90/Monat) — Free + Light haben kein Unattended
  • Administratorrechte auf dem Zielgerät (für die Dienstinstallation)
  • Internet-Zugang am Zielgerät
  • Jeweils 5 Minuten pro Gerät

Setup auf Windows

1. WinDesk Host als Pro-User installieren (deinstalliert eine
   evtl. existierende Free-Variante automatisch)
2. Beim ersten Start: Anmeldung mit Pro-Konto
3. Im Host-Fenster: "Unattended Access aktivieren" wählen
4. UAC-Dialog bestätigen — installiert Windows-Dienst
5. Im Web-Portal app.windesk.ch prüfen:
   Geräte → neue Zeile mit Hostname + "online"
6. Optional: Gerät einer Gruppe zuweisen, Notiz hinzufügen

Token-Speicherung: TPM 2.0-verschlüsselt unter C:\ProgramData\WinDesk\. Hardware-Bindung an die TPM-Endorsement-Key-ID. Kopieren auf einen anderen Rechner ist nutzlos.

Setup auf macOS Apple Silicon

1. WinDesk Host.app aus DMG nach /Applications ziehen
2. Bei erstem Start: Apple-Notarisation-OK, kein Gatekeeper-Drama
3. Bildschirmaufnahme + Bedienungshilfen erlauben (Wizard führt durch)
4. Anmeldung mit Pro-Konto im Host-Fenster
5. "Unattended Access aktivieren" — installiert launchd-Agent als
   ~/Library/LaunchAgents/ch.windesk.host.plist
6. Token wird mit der Secure Enclave verschlüsselt (Apple Silicon)

Auf Apple Silicon: Token via Secure Enclave hardware-gebunden. Kopieren auf einen anderen Mac → ungültig.

Setup auf Linux (Ubuntu/Debian)

1. sudo apt install ./WinDesk\ Host_0.5.0_amd64.deb
   (Postinst-Skript setzt udev-Regel für /dev/uinput)
2. systemctl --user enable --now windesk-host.service
3. windesk-host setup --pro --account=ihre@email.ch
   (interaktiv: Passkey oder Passwort)
4. Im Portal verifizieren: Geräte → Hostname → online

Auf Linux mit TPM 2.0: tpm2-tools-Binding für den Token. Ohne TPM (z.B. Pi 4): libsecret/keyring-Fallback. Pi 5 hat kein TPM, gleicher Fallback.

Setup auf Raspberry Pi (Pi 4/5)

1. sudo apt install ./WinDesk\ Host_0.5.0_arm64.deb
2. systemctl --user enable --now windesk-host.service
3. windesk-host setup
4. Wenn der Pi ohne Display laufen soll: --headless-Flag

Headless-Pi-Setups sind ein expliziter Use-Case für Maker und Education-Labs.

Zugriff vom Client

Im Client-Portal links: Geräte. Sie sehen alle Hosts mit Online-Status. Doppelklick → Verbindung wird aufgebaut. Keine Session-ID, kein PIN nötig — der hardware-gebundene Token authentifiziert das Gerät.

Sicherheits-Konfiguration

Per Default ist Unattended-Access auf:

  • ✅ AES-256-GCM verschlüsselt
  • ✅ Audit-Trail aktiv (alle Verbindungen geloggt)
  • ✅ Token rotiert alle 90 Tage automatisch
  • ✅ Bei Hardware-Wechsel: Token wird invalidiert

Im Portal können Sie zusätzlich konfigurieren:

  • IP-Whitelist (nur aus Ihrem Büro-Netz erlaubt)
  • Erlaubte Techniker-Rollen pro Host (Admin / Supporter / Read-only)
  • Notification per E-Mail bei jedem Verbindungs-Aufbau (Anti-Scam)
  • Zwangsweise Session-Aufzeichnung für Compliance

Notfall: Token kompromittiert

Wenn Sie vermuten, dass ein Host-Gerät kompromittiert ist:

  1. Im Portal: Geräte → [Hostname] → Sperren
  2. Token wird sofort invalidiert; aktive Sessions werden getrennt
  3. Auf dem Host: WinDesk Host neu starten + neu pairen

Häufige Probleme

«Host zeigt nicht online» trotz laufendem Dienst. Firewall-Frage: ausgehender UDP-Verkehr zu *.windesk.ch:443 muss erlaubt sein. Plus ggf. zur Schweizer TURN-Relay-IP-Range.

«Token wird ungültig nach Reboot». Auf Windows: Bitlocker-Recovery- Reset hat möglicherweise den TPM-State invalidiert. Lösung: neu pairen.

«Mehrere Hosts mit gleichem Namen». Wenn Sie einen Host neu installiert haben, steht der alte oft noch im Portal. Manuell löschen.

WinDesk Pro starten · Pro-Funktionen im Detail · Bei Setup-Problemen: support@windesk.ch.

WinDesk in 30 Sekunden ausprobieren

Free-Plan ohne Konto, ohne Kreditkarte. Cross-Platform Windows + Mac + Linux + Pi.

Jetzt herunterladen Mehr Artikel