Remoteunterstützung - Remote Assistance netzwerkweit anbieten
Wenn die Remoteunterstützung aktiviert ist, kann der Administrator oder ein als "Helfer" definierter Benutzer, bzw. Sicherheitsgruppe, einen Computer im Netzwerk fernsteuern und im Gegensatz zum Remotedesktop die aktuelle Sitzung und damit die geöffenten Programmen des Benutzers einsehen. Die Steuerung dieser Sitzung kann ebenfalls übernommen werden. Das Administrator hat damit die Möglichkeit effektive Hilfe im eigenen Netzwerk anzubieten und zu realisieren.
Das Konstrukt ist 100% Betriebsratkonform. Der Benutzer muss seine Zustimmung geben, auch wenn er die Einladung verschickt hat. Beim Aufbau der Verbindung erfolgt zuerst eine Information. Erst dann bekomt der Helfer Einsicht in das System. Wenn der Helfer die Sitzung steuern soll, sodass die Tastatur und Maus vom Admin übernommen werden können, muss dem erneut zugestimmt werden.
Nach Konfiguration der Gruppenrichtlinie, hat der Benutzer 2 Möglichkeiten zur Auswahl. Er kann dem Administrator eine Einladung für eine Unterstützung per Mail senden oder der eingetragenen Helfer kann die RA (Remote Assistance) von sich aus anbieten. Ein kleines Sicherheitsloch in dieser Konfiguration ist, daß eine per Mail versendete Einladung an jeden gerichtet werden kann und die Verbindung käme zustande. Die Konfiguration der "Helfer" ist an dieser Stelle aussen vor. Der Einzige Unterschied ist, daß nur eingetragenen Helfer die Verbindung von sich aus initiieren können. Was sich auf der einen Seite als Sicherheitsproblem darstellt hat den großen Vorteil, daß ich als Dienstleister von extern die Möglichkeit habe die Unterstützung wahrzunehmen, um einem Kunden zu helfen, wenn seine Infrastruktur es denn zulässt.
Konfiguration der beiden Richtlinien:
Computerkonfiguration/Administrative Vorlagen/System/Remoteunterstützung
Angeforderte Remoteunterstützung = Aktiviert
Remoteüberwachung dieses Computers zulassen: Helfer dürfen den Computer remote steuern
Maximale Gültigkeitsdauer der Einladung (Wert): 1
Maximale Gültigkeitsdauer der Einladung (Einheiten): Stunden
Methode zum Senden von E-Mail-Einladungen: Senden an
Computerkonfiguration/Administrative Vorlagen/System/Remoteunterstützung
Remoteunterstützung anbieten = Aktiviert
Remoteüberwachung dieses Computers zulassen: Helfer dürfen den Computer remote steuern
Helfer:
RU-Helper
Eine Einladung per Mail würde mit der Endung .MsRcIncident generiert und damit öffnet sich automatisch das Hilfe und Support Center.
Sähe so aus:
<?xml version="1.0" encoding="Unicode" ?><UPLOADINFO TYPE="Escalated"><UPLOADDATA RCTICKET="65538,1,192.168.200.108:3389;rechnername.domain.tld:3389,*,QOYAEJKKDTZe2KQcpGYPoYjGJM0gIWtO/KFUafrCiwM=,*,*,iBBQkyonMGnhU5xtMsxHkf1zHxU=" RCTICKETENCRYPTED="1" DtStart="1119612103" DtLength="60" PassStub="QOYAEJKKDTZe2KQcpGYPoYjGJM0gIWtO/KFUafrCiwM=" L="0" /></UPLOADINFO>
Gehen wir davon aus, daß die User keine Einladung versenden, sondern der Administrator/Supporter/Helfer die Verbindung von sich aus initiieren möchte. Vorraussetzung ist, daß der von Microsoft als "Helfer" titulierte Benutzer über die Gruppenrichtlinien oder über die lokale Sicherheitsrichtlinie als solcher eingetragen ist. Ist er auf dem Zielrechner nicht als solcher definiert, dann erhält man ein Zugriff verweigert. Das Problem ist nur, wie oben erwähnt, daß der Link/Aufruf des aktiven Unterstützungsangebots gut versteckt ist.
In Server 2003:
hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/Unsolicited/Unsolicitedrcui.htm
Ab Server 2008 muss man das Feature Remoteunterstützung hinzufügen:
msra.exe /offerRA
Das einzige, was jetzt einem möglichen Verbindungsaufbau im Wege steht ist die Windows Firewall. Diese sollte so konfiguriert werden:
Computerkonfiguration\Netzwerk\Netzwerkverbindungen\Windows-Firewall\Domänenprofil
Programmausnahme:
%systemroot%\System32\raserver.exe:192.168.128.0/21:enabled:Remoteassistance
%systemroot%\System32\msra.exe:192.168.128.0/21:enabled:Remoteassistance anbieten
Portausnahme:
135:TCP:192.168.128.0/21:enabled:Port 135
Schöner geht es mit der neuen Firewall:
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit