Remote Tools и Windows 7

Remote Tools и Windows 7

  • Comments 5
  • Likes

pc-remote-supportПервоначально я хотел в этой статье рассказать только о Remote Tools, но по мере написания статьи я понял, что нужно осветить и остальные способы удаленного управления клиентом в ConfigMgr 2007.

В рамках статьи я буду придерживаться следующей терминологии:

Администратор – сотрудник, который подключается удаленно для выполнения каких-либо действий на компьютере пользователя, например сотрудник техподдержки. Не обязательно, чтобы этот человек обладал административными полномочиями на удаленной станции.

· Пользователь – любой человек, который работает в локальном сеансе за компьютером и которому требуется оказать помощь.

И так, в SCCM 2007 существует три варианта предоставления удаленного доступа к клиентской системе:

· Remote Desktop

· Remote Assistance

· Remote Tools

Первые два – штатные способы предоставления удаленного доступа в Windows. Механизм Remote Assistance рекомендуется использовать для оказания помощи пользователю. Например, необходимо понаблюдать за действиями пользователя, которые приводят к ошибке или наоборот показать пользователю что-то. Remote Desktop целесообразно использовать когда необходимо выполнить какие-либо административные задачи, не требующие участия пользователя. Например: установить приложение, обновление безопасности, изменить системные настройки Windows. Поскольку клиентские системы Windows могут быть использованы одновременно только одним пользователем, то подключение с помощью Remote Desktop вызовет отключение текущего пользователя. Рассмотрим, что же происходит при попытке подключения по RDP к машине, на которую выполнен локальный вход.

В тот момент, когда администратор инициирует подключение к рабочей станции с помощью Remote Desktop, ему отображается уведомление о том, что обнаружен активный пользователь.

clip_image001

Если администратор выбирает вариант «Да», то на рабочей станции текущему пользователю отображает сообщение о попытке подключения к удаленному рабочему столу.

clip_image002

Скажу сразу, пользователь может отклонить подключение, выбрав вариант «Отмена» и тогда администратор увидит следующее сообщение:

clip_image003

Обойти данный механизм нельзя, и в таком случае правильнее всего будет прибегнуть к административно-организационным мерам.

Если пользователь выбрал вариант «Да» или в течение 30 секунд не выбрал ни один из вариантов, происходит подключение удаленного сеанса, при этом сеанс текущего пользователя отходит в фон и пользователь видит экран приветствия Ctrl-Alt-Delete.

clip_image004

Пользователь может попробовать войти в свой сеанс, при этом он будет уведомлен о том, что с компьютером работает удаленный пользователь

clip_image005

Администратору в сеансе RDP отобразится запрос о подключении

clip_image006

Администратор, точно так же как и пользователь, может отклонить запрос.

Еще раз хочу акцентировать внимание на том, что сеанс пользователя не завершается, а отходит в фон. Таким образом, все запущенные пользователем приложения будут продолжать работать.

Remote Tools это механизм предоставления удаленного доступа в ConfigMgr 2007. Для работы Remote Tools могут использовать свой собственный видеодрайвер ConfigMgr. При использовании Windows 7 больше не требуется, чтобы служба Remote Desktop на клиентском компьютере была запущена. Кроме того, Remote Tools накладывает некоторые ограничения при своей работе. Во-первых, вы можете использовать Remote Tools только для подключения к активной сессии. Если вам нужно подключиться к рабочему столу, в тот момент, когда пользователь вышел из системы – используйте механизм Remote Desktop. Во-вторых, на клиентском компьютере сеанс работы Remote Tools запускается в контексте и с правами текущего пользователя, таким образом, пользователь может по своему желанию прервать сеанс Remote Tools. Сделать он это может двумя способами: штатным, если вы в настройках Remote Agent указали отображение клиента Remote Tools, либо завершив процесс RT.exe с помощью диспетчера задач. Рекомендую оставить значения по умолчанию и на клиенте отображать значок уведомления об использовании Remote Tools.

clip_image007

clip_image008

По консоли в каждый дом!

Подключение к клиентскому компьютеру с помощью всех трех методов (Remote Tools, Remote Assistance, Remote Desktop) возможно при использовании консоли администрирования ConfigMgr Management Console. Помимо доступа к удаленному управлению, при использовании консоли специалисты службы поддержки могут получать так же информацию инвентаризации через Resource Explorer. Конечно, если служба поддержки насчитывает большое количество сотрудников, которым необходим только функционал удаленного доступа, установка консоли администрирования SCCM в таком сценарии может показаться не совсем удобным решением. Есть несколько способ решения этой проблемы.

Remote Desktop
Я думаю, не секрет, что доступ к Remote Desktop вы можете получить, запустив штатное средство: Remote Desktop Connection или выполнив команду: mstsc. Подробнее о параметрах RDC можно узнать из статьи: Use command line parameters with Remote Desktop Connection.

clip_image009

Remote Assistance

Доступ к Remote Assistance возможен при запуске мастера: Windows Remote Assistance (%windir%\system32\msra.exe)

clip_image010

Если перейти в режим расширенных настроек (Advance connection option for help desk), то будет запущен мастер выбора компьютера по IP адресу или имени компьютера.

clip_image011

Этот же мастер можно запустить, выполнив команду: %windir%\system32\msra.exe /offerra

clip_image012

Remote Tools

Использование консоли администрирования ConfigMgr Management Console является единственным рекомендованным и поддерживаемым способом получения доступа через Remote Tools. Однако, если вы не хотите устанавливать консоль SCCM только для того, чтобы позволить сотрудникам поддержки подключаться к клиентам, вы можете вручную перенести файлы, необходимые для работы. Для запуска Remote Tools необходимы файлы: rdpencom.dll и rc.exe расположенные в папке %Console_Path%\AdminUI\bin\i386.

clip_image013

Права

Для того чтобы средства удаленной помощи работали необходимо на межсетевом экране открыть определенных набор портов. Для простоты изложения, в таблице ниже, под сервером понимается любой компьютер, на котором администратор запускает средство удаленной помощи, а под клиентом – компьютер, к которому подключаются.

Средство

Порт

Remote Desktop

TCP port 135

TCP port 3389

Remote Assistance

TCP port 135

TCP port 3389

Remote Tools

TCP port 135

TCP port 2701

TCP port 2702

Для того чтобы сотрудник поддержки мог подключиться к клиентскому компьютеру, его учетная запись должна быть членом одной из локальных групп на этом компьютере.

Средство

Локальная группа

Remote Desktop

«Remote Desktop Users»

Remote Assistance

«Offer Remote Assistance Helpers»

Remote Tools

«Remote Desktop Users»

Если определенные сотрудники поддержки отвечают за поддержку клиентов только в определенных подразделениях или филиалах целесообразно добавлять учетные записи этих сотрудников в группы безопасности только на тех компьютерах, на которых это действительно необходимо. Для этого можно использовать групповые политики и в частности, механизм Restricted Groups.

User Account Control (UAC)

UAC впервые появился в Windows Vista, а затем был доработан в Windows 7. В идеале, UAC должен быть настроен таким образом, чтобы не позволять пользователю повышать свои права. К сожалению, реальность далека от идеала. Меньшим злом (по сравнению с отключением UAC) будет настройка UAC на запрос учетных данных. При этом желательно использовать Secure Desktop – это как раз то затенение, которое появляется при всплытии окна UAC с запросом учетных данных. Использование Security Desktop позволяет успешно защищаться от некоторого набора спуфинг-атак, поскольку сам вывод окна UAC при использовании Secure Desktop происходит с правами системы и в отдельном пространстве от программ пользователя.

В групповой политике существует несколько параметров, которые задают поведение UAC (подробнее):

· User Account Control: Admin Approval Mode for the built-in Administrator account

· User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop

· User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

· User Account Control: Behavior of the elevation prompt for standard users

· User Account Control: Detect application installations and prompt for elevation

· User Account Control: Only elevate executables that are signed and validated

· User Account Control: Only elevate UIAccess applications that are installed in secure locations

· User Account Control: Run all administrators in Admin Approval Mode

· User Account Control: Switch to the secure desktop when prompting for elevation

· User Account Control: Virtualize file and registry write failures to per-user locations

Выделены параметры, которые вам, возможно, придется изменить. Дело в том, что Remote Assistance и Remote Tools, в силу своих особенностей, не могут отобразить окно запроса UAC, если используется Secure Desktop.

Если сотрудник поддержки попытается выполнить действия, которые требуют повышения прав и отображения UAC (в режиме Secure Desktop), то он увидит черный экран в случае с Remote Assistance и предложение, воспользоваться Remote Desktop, в случае использования Remote Tools.

Правильным и безопасным способом решения этой проблемы будет использование Remote Desktop, для всех случаев, когда необходимы повышенные привилегии. Remote Desktop полностью поддерживает работу UAC во всех режимах. Кроме того, использование Remote Desktop является безопасным способом работы с повышением права на клиенте, с той точки зрения, что конечный пользователь не может отключить удаленный сеанс и таким образом, не сможет даже временно получить повышенные привилегии на компьютере. В случае использования Remote Assistance или Remote Tools пользователь в любой момент времени может отключить администратора от системы, и остаться один на один, например с запущенной с административными правами командной строкой. Поэтому старайтесь использовать Remote Desktop всегда, когда это возможно.

Если вам все же необходимо использовать Remote Assistance\Remote Tools для работы с UAC существует два способа сделать это.

Для Remote Tools

Необходимо настроить следующие параметры

Параметр

Значение

Описание

Behavior of the elevation prompt for standard users

Prompt for credentials

Настраивает UAC на запрос учетных данных, при попытке повышения прав

Switch to the secure desktop when prompting for elevation

Enabled

Указывает UAC, что необходимо переходить в режим Secure Desktop, перед запросом о повышении прав

ConfigMgr Agent, при подключении по Remote Tools, самостоятельно временно отключает Secure Desktop. Таким образом, во время сеанса работы сотрудник технической поддержки может повышать права. После того, как сеанс Remote Tools завершен, ConfigMgr Agent снова включает Secure Desktop. Минус данного подхода состоит в том, что при нештатном завершении (пользователь завершил процесс через диспетчер задач) Secure Desktop останется выключенным до следующего применения политики.

Для Remote Assistance

В групповой политике есть параметр «Allow UIAccess applications to prompt for elevation without using the secure desktop», который в случае включения позволяет Remote Assistance временно отключать Secure Desktop. Плюс данного подхода в том, что даже если пользователь завершит процесс remote assistance на своем компьютере, система автоматически включит Secure Desktop.

Собственно на этом все. Надеюсь, что эта статья поможет вам лучше понимать те способы оказания удаленной помощи, которые вы можете использовать.

Technorati Tags: ,,,,,·

Alexey

Comments
  • Спасибо отличная статья

  • Спасибо, очень позновательно. Но в windows 7 удаленный помошник генерит приглошение не с 3389 портом, как в windows ХР, а в ренже, если не ошибаюсь в пределах 32000-65000

  • Да, спасибо что поправили. Выдержка из Windows 7 Resource Kit

    The ports used by a Remote Assistance session depend on which version of Windows is running on the two computers involved in the session. Specifically:

     Windows 7 to Windows 7, Windows 7 to Windows Vista, or Windows Vista to Windows Vista Dynamic ports allocated by the system in the range TCP/UDP 49152–65535

    Windows 7 Resource Kit Early Content – Subject to Change

    © 2009 Microsoft Corporation, Tulloch, Northrup, and Honeycutt Page 15

     Windows 7 to XP or Windows Vista to Windows XP Port 3389 TCP (local/remote)

    In addition, the Offer RA via DCOM scenario uses Port 135 (TCP).

  • При запуске Rc.exe не пишется аудит подключений в базу SCCM. Для того чтобы подключения отображались в отчетах SCCM необходим запуск rc.exe c параметрами (technet.microsoft.com/.../bb681027.aspx )

  • Также для подключения через Remote Tools пользователь, который подключается к компьютеру , должен входить не в группу «Remote Desktop Users», а в группу "ConfigMgr Remote Control Users" . В принципе это прописывается автоматически через политики SCCM при конфигурации параметров Remote Tools Client Agent вкладка Securitry

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment