В рамках статті я буду дотримуватися такої термінології:
· Адміністратор- співробітник, який підключається віддалено для виконання будь-яких дій на комп'ютері користувача, наприклад співробітник техпідтримки. Не обов'язково, щоб ця людина володів адміністративними повноваженнями на віддаленій станції.
· Пользователь- будь-яка людина, який працює в локальному сеансі за комп'ютером і яким потрібно надати допомогу.
Перші два - штатні способи надання віддаленого доступу в Windows. Механізм Remote Assistance рекомендується використовувати для надання допомоги користувачеві. Наприклад, необхідно поспостерігати за діями користувача, які призводять до помилки або навпаки показати користувачеві щось. Remote Desktop доцільно використовувати коли необхідно виконати будь-які адміністративні завдання, які не потребують участі користувача. Наприклад: встановити додаток, оновлення безпеки, змінити системні настройки Windows. Оскільки клієнтські системи Windows можуть бути використані одночасно тільки одним користувачем, то підключення за допомогою Remote Desktop викличе відключення поточного користувача. Розглянемо, що ж відбувається при спробі підключення по RDP до машини, на яку виконано локальний вхід.
У той момент, коли адміністратор ініціює підключення до робочої станції за допомогою Remote Desktop, йому відображається повідомлення про те, що виявлений активний користувач.
Якщо адміністратор вибирає варіант «Так», то на робочій станції активного користувача відображає повідомлення про спробу підключення до віддаленого робочого столу.
Скажу відразу, користувач може відхилити підключення, вибравши варіант «Скасування» і тоді адміністратор побачить наступне повідомлення:
Обійти цей механізм не можна, і в такому випадку краще за все буде вдатися до адміністративно-організаційним заходам.
Якщо користувач вибрав варіант «Так» або протягом 30 секунд не вибрав жоден з варіантів, відбувається підключення віддаленого сеансу, при цьому сеанс поточного користувача відходить в фон і користувач бачить екран вітання Ctrl-Alt-Delete.
Користувач може спробувати увійти в свій сеанс, при цьому він буде повідомлений про те, що з комп'ютером працює віддалений користувач
Адміністратору в сеансі RDP буде запропоновано про підключення
Адміністратор, точно так само як і користувач, може відхилити запит.
Ще раз хочу акцентувати увагу на тому, що сеанс користувача не завершується, а відходить в фон. Таким чином, всі запущені користувачем додатки будуть продовжувати працювати.
За консолі в кожен дім!
Підключення до клієнтського комп'ютера за допомогою всіх трьох методів (Remote Tools, Remote Assistance, Remote Desktop) можливо при використанні консолі адміністрування ConfigMgr Management Console. Крім доступу до віддаленого управління, при використанні консолі наші спеціалісти можуть отримувати так само інформацію інвентаризації через Resource Explorer. Звичайно, якщо служба підтримки налічує велику кількість співробітників, яким необхідний тільки функціонал віддаленого доступу, установка консолі адміністрування SCCM в такому сценарії може здатися не зовсім зручним рішенням. Є кілька спосіб вирішення цієї проблеми.
Remote Assistance
Доступ до Remote Assistance можливий при запуску майстра: Windows Remote Assistance (% windir% \ system32 \ msra.exe)
Цей же майстер можна запустити, виконавши команду:% windir% \ system32 \ msra.exe / offerra
Remote Tools
Використання консолі адміністрування ConfigMgr Management Console є єдиним рекомендованим і підтримуваним способом отримання доступу через Remote Tools. Однак, якщо ви не хочете встановлювати консоль SCCM тільки для того, щоб дозволити співробітникам підтримки підключатися до клієнтів, ви можете вручну перенести файли, необхідні для роботи. Для запуску Remote Tools необхідні файли: rdpencom.dll і rc.exe розташовані в папці% Console_Path% \ AdminUI \ bin \ i386.
Для того щоб кошти віддаленої допомоги працювали необхідно на межсетевом екрані відкрити певних набір портів. Для простоти викладу, в таблиці нижче, під сервером розуміється будь-який комп'ютер, на якому адміністратор запускає засіб віддаленої допомоги, а під клієнтом - комп'ютер, до якого підключаються.
Якщо певні співробітники підтримки відповідають за підтримку клієнтів тільки в певних підрозділах або філіях доцільно додавати облікові записи цих співробітників в групи безпеки тільки на тих комп'ютерах, на яких це дійсно необхідно. Для цього можна використовувати групові політики і зокрема, механізм Restricted Groups.
User Account Control (UAC)
UAC вперше з'явився в Windows Vista, а потім був доопрацьований в Windows 7. У ідеалі, UAC повинен бути налаштований таким чином, щоб не дозволяти користувачеві підвищувати свої права. На жаль, реальність далека від ідеалу. Меншим злом (в порівнянні з відключенням UAC) буде настройка UAC на запит облікових даних. При цьому бажано використовувати SecureDesktop - це якраз те затінення, яке з'являється при спливанні вікна UAC із запитом облікових даних. Використання Security Desktop дозволяє успішно захищатися від деякого набору спуфинг-атак, оскільки сам висновок вікна UAC при використанні Secure Desktop відбувається з правами системи і в окремому просторі від програм користувача.
У груповій політиці існує декілька параметрів, які задають поведінку UAC (докладніше):
· User Account Control: Admin Approval Mode for the built-in Administrator account
· User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop
· User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
· User Account Control: Behavior of the elevation prompt for standard users
· User Account Control: Detect application installations and prompt for elevation
· User Account Control: Only elevate executables that are signed and validated
· User Account Control: Only elevate UIAccess applications that are installed in secure locations
· User Account Control: Run all administrators in Admin Approval Mode
· User Account Control: Switch to the secure desktop when prompting for elevation
· User Account Control: Virtualize file and registry write failures to per-user locations
Виділено параметри, які вам, можливо, доведеться змінити. Справа в тому, що Remote Assistance та Remote Tools, в силу своїх особливостей, не можуть відобразити вікно запиту UAC, якщо використовується Secure Desktop.
Якщо співробітник підтримки спробує виконати дії, які вимагають підвищення прав і відображення UAC (в режимі Secure Desktop), то він побачить чорний екран у випадку з Remote Assistance та пропозиція, скористатися Remote Desktop, в разі використання Remote Tools.
Знову ж правильним і безпечним способом вирішення цієї проблеми буде використання Remote Desktop, для всіх випадків, коли необхідні підвищені привілеї. Remote Desktop повністю підтримує роботу UAC у всіх режимах. Крім того, використання Remote Desktop є безпечним способом роботи з підвищенням права на клієнті, з тієї точки зору, що кінцевий користувач не може відключити віддалений сеанс і таким чином, не зможе навіть тимчасово отримати підвищені привілеї на комп'ютері. У разі використання Remote Assistance або Remote Tools користувач в будь-який момент часу може відключити адміністратора від системи, і залишитися один на один, наприклад із запущеною з адміністративними правами командним рядком. Тому намагайтеся використовувати Remote Desktop завжди, коли це можливо.
Якщо вам все-таки необхідно використовувати Remote Assistance \ Remote Tools для роботи з UAC існує два способи зробити це.
Для Remote Tools
Необхідно встановити такі параметри
Вказує UAC, що необхідно переходити в режим Secure Desktop, перед запитом про підвищення прав
ConfigMgr Agent, при підключенні по Remote Tools, самостійно тимчасово відключає Secure Desktop. Таким чином, під час сеансу роботи співробітник технічної підтримки може підвищувати права. Після того, як сеанс Remote Tools завершено, ConfigMgr Agent знову включає Secure Desktop. Мінус даного підходу полягає в тому, що при позаштатному завершенні (користувач завершив процес через диспетчер задач) Secure Desktop залишиться вимкненим до наступного застосування політики.
Для Remote Assistance
У груповій політиці є параметр «Allow UIAccess applications to prompt for elevation without using the secure desktop», який в разі включення дозволяє Remote Assistance тимчасово відключати Secure Desktop. Плюс даного підходу в тому, що навіть якщо користувач завершить процес remote assistance на своєму комп'ютері, система автоматично включить Secure Desktop.