gg581071(v=msdn.10).md gg581071(v=msdn.10).md https://msdn.microsoft.com/pl-pl/library/windows-na-wyciagniecie-reki--remote-desktop
Windows na wyciągnięcie ręki - Remote Assistance .png \\"Udostępnij na: Facebook\\")
Autor: Paweł Pławiak
Opublikowano: 2011-01-20
Usługa Remote Assistance umożliwia zdalne podłączanie się do komputera w celu udzielenia pomocy. Ponieważ istotą usługi jest zapewnienie stałej interakcji miedzy połączonymi użytkownikami zachowanych jest wiele podstawowych aspektów zabezpieczeń:
- Remote Assistance wykorzystuje protokół RDP z szyfrowaniem end-to-end (RC4 128-bit),
- Połączenie sesji Remote Assistance wymaga ustanowienia i wprowadzenie hasła (min. 6 znaków),
- Użytkownik komputera, do którego realizowane jest połączenie Remote Assistance musi zezwolić na możliwość wykonywania zdalnych czynności,
- Sesja Remote Assistance może być w dowolnej chwili zatrzymana.
W środowisku Windows Server 2008 R2 Remote Assistance jest dodatkowym komponentem, który należy wcześniej doinstalować.
.png "Kreator instalacji Remote Assistance w środowisku Windows Server 2008 R2")
Rys.2. Kreator instalacji Remote Assistance w środowisku Windows Server 2008 R2.
Konfiguracja usługi Remote Assistance sprowadza się do włączenia w ramach ustawień zaawansowanych systemu zgody na połączenia zdalne (Rys.3) oraz określenia sposobu nawiązania połączenia. Standardowo realizuje się to za pomocą tzw. zaproszenia. Drugą opcją jest wykorzystanie ustawień GPO pozwalających na dołączanie się w dowolnej chwili do komputera.
.png "Opcja Allow Remote Assistance connections to this computer")
Rys.3. Opcja Allow Remote Assistance connections to this computer.
Zaproszenie można utworzyć z poziomu Windows Help and Support wybierając opcję More support options a następnie Windows Remote Assistance. (Rys.4).
.png "Dostęp do Remote Assistance w Windows Help and Support")
Rys.4. Dostęp do Remote Assistance w Windows Help and Support.
W celu utworzenia zaproszenia należy wybrać opcję Invite someone you trust to help you (Rys.5).
.png "Okno startowe kreatora Remote Assistance")
Rys.5. Okno startowe kreatora Remote Assistance.
Następnie określamy jeden ze sposobów przekazania zaproszenia (Rys.6).
.png "Okno wyboru sposobu przekazania zaproszenia")
Rys.6. Okno wyboru sposobu przekazania zaproszenia.
Oprócz możliwości zapisania zaproszenia w pliku lub wysłania pocztą elektroniczną można skorzystać z opcji Easy Connect. Pozwala ona na nawiązanie sesji Remote Assistance bez konieczności wysyłania zaproszenia. Aby opcja Easy Connect była dostępna należy spełnić następujące warunki:
- Komputery nawiązujące połączenie musza pracować pod kontrolą Windows 7 i/lub Windows Server 2008 R2.
- Musi być zapewnione połączenie do sieci Internet.
- Routery muszą zapewniać wsparcie dla protokołu Peer Name Resolution Protocol.
- Istnieje możliwość sprawdzenia czy router obsługuje protokół PNRP za pomocą narzędzia Internet Connectivity Evalutaion Tool (https://www.microsoft.com/windows/using/tools/igd/default.mspx). W praktyce pomyślnie muszą zakończyć się testy dla Network Address Translator Type oraz UPnP Support (Rys.7).
.png "Narzędzie Internet Connectivity Evaluation Tool")
Rys.7. Narzędzie Internet Connectivity Evaluation Tool.
Jeśli router zainstalowany jest w ramach Windows Server 2008 R2 należy doinstalować protokół PNRP.
Na koniec pojawia się okno z wygenerowanym hasłem, które jest potrzebne przy tworzeniu połączenia (Rys. 8). Domyślnie tworzone jest hasło o długości 12 znaków.
.png "Okno w wygenerowanym hasłem dla połączenia Remote Assistance")
Rys.8. Okno w wygenerowanym hasłem dla połączenia Remote Assistance.
Zaproszenie może być przekazane na kilka sposobów:
- za pomocą Windows Live Messenger,
- z wykorzystaniem poczty elektronicznej,
- za pomocą Easy Connect.
Jeżeli wybierzemy opcję zapisywania zaproszenia do pliku jest ono tworzone pod domyślną nazwą Invitation.msrcIncident. Zawartość pliku jest zapisywana w formacie XML (Rys.9).
.png "Plik zaproszenia i jego zawartość")
Rys.9. Plik zaproszenia i jego zawartość.
Zaproszenie domyślnie ważne jest 6 godzin. Oczywiście istnieje możliwość określenia czasu ważności a realizuje się to poprzez ustawienia zaawansowane lub zasadę Solicited Remote Assistance (Rys.10). Maksymalny czas trwania zaproszenia wynosi 30 dni.
.png "Konfiguracja ustawień określających okres ważności zaproszenia")
Rys.10. Konfiguracja ustawień określających okres ważności zaproszenia.
Konfigurację połączeń Remote Assistance za pomocą GPO realizuje się w ramach ustawień komputera w oparciu o zasadę Offer Remote Assistance (Rys.11). Po włączeniu tej zasady można wywołać żądanie pomocy dla użytkowników i/lub grup określonych w ramach listy Helpers.
.png "Konfiguracja ustawień określających okres ważności zaproszenia")
Rys.11. Konfiguracja ustawień określających okres ważności zaproszenia.
Zezwolenie na połączenie Remote Assistance może być skonfigurowane na dwa sposoby:
- Allow helpers to remotely control the computer– opcja umożliwia pełną kontrolę nad komputerem
- Allow helpers to only view the computer – opcja zezwala wyłaczenie na podgląd pulpitu komputera
Połączenie zdalnej pomocy wymaga aby w ramach zapory ogniowej ustawiony został wyjątek Windows Remote Assistance. Wyjątek niezależnie od bieżącego profilu sieciowego mapuje na plik msra.exe (Rys.12).
.png "Konfiguracja wyjątku dla pliku msra.exe (Remote Assistance)")
Rys.12. Konfiguracja wyjątku dla pliku msra.exe (Remote Assistance).
Dodatkowo w przypadku profilu domenowego otwierany jest port 135 dla protokołu TCP. Jeżeli nie planujemy otwierać dostępu na porcie 135 możemy skorzystać z mechanizmu IPSec bypass, dopuszczającego ruch za pomocą protokołu IPSec. W tym celu można wykorzystać dedykowaną zasadę w GPO (Rys.13). Definiowaną wartość zapisujemy w formacie SDDL (ang. Security Descriptor Definition Language).
.png "Ustawienia IPSec bypass w GPO")
Rys.13. Ustawienia IPSec bypass w GPO.
Usługa Remote Assistance zapisuje zdarzenia w Event Viewer w gałęzi System oraz do plików w lokalizacji \Users\%username%\Documents\Remote Assistance Logs (Rys.14).
.png "Plik zdarzeń usługi Remote Assistance")
Rys.14. Plik zdarzeń usługi Remote Assistance.
Połączenia Remote Assistance mogą być inicjowane za pomocą skrótu Windows Remote Assistance (Rys.15) lub z wykorzystaniem pliku msra.exe.
.png "Skrót do konsoli Windows Remote Assistance")
Rys.15. Skrót do konsoli Windows Remote Assistance.
Listę przełączników dla polecenia msra.exe przedstawia rysunek 16.
.png "Lista przełączników dla polecenia msra.exe")
Rys.16. Lista przełączników dla polecenia msra.exe.
Przykład utworzenia pliku zaproszenie z hasłem pass@word1 przedstawia rysunek 17.
.png "Przykładowe wywołanie msra.exe i plik zaproszenia")
Rys.17. Przykładowe wywołanie msra.exe i plik zaproszenia.
Po nawiązaniu połączenia Remote Assistance pojawia się okno sesji, które przedstawia rysunek 18.
.png "Okno sesji Remote Assistance")
Rys.18. Okno sesji Remote Assistance.
W oknie połączenia dostępne są następujące opcje:
- Request control – pozwala na wysłanie żądania przejęcia kontroli przez użytkownika (Rys.19).
.png "Okno żądania przejęcia kontroli")
Rys.19.Okno żądania przejęcia kontroli.
- Actual size/Fit to screeen – ustawienia pozwalające na dopasowanie ekranu.
- Chat – umożliwia przekazywanie wiadomości w ramach czatu.
- Settings – ustawienia sesji Remote Assistance (Rys.20) pozwalające na określenie czy mają być zapisywane zdarzenia oraz wymieniane informacje w trakcie połączenia Easy Connect.
.png "Ustawienia sesji Remote Assistance")
Rys.20. Ustawienia sesji Remote Assistance.
Help – pomoc.
gg581071(v=msdn.10).md gg581071(v=msdn.10).md https://msdn.microsoft.com/pl-pl/library/windows-na-wyciagniecie-reki--remote-desktop