Remoteunterstützung - Remote Assistance Netzwerkweit anbieten
a) Die Konfiguration der GPO für
Remoteunterstützung
b) Wie kann der Benutzer eine Einladung
versenden oder wie kann die Remoteunterstützung angeboten werden?
c) Remoteunterstützung selber anbieten ohne
vorherige Einladung
d) Einrichtung der Remoteunterstützung in
Kombination mit der integrierten Firewall.
Update: Einrichtung unter Vista mit der neuen Firewall *hier klicken*
Wenn die Remoteunterstützung aktiviert ist, kann der Administrator oder ein als
"Helfer" definierter Benutzer, bzw. Sicherheitsgruppe, einen Computer im
Netzwerk fernsteuern und im Gegensatz zum Remotedesktop die aktuelle Sitzung und
damit die geöffenten Programmen des Benutzers einsehen. Die Steuerung dieser
Sitzung kann ebenfalls übernommen werden. Das Administrator hat damit die
Möglichkeit effektive Hilfe im eigenen Netzwerk anzubieten und zu realisieren.
Aus Sicht des Betriebsrates ist diese Form der Steuerung absolut in Ordnung, da
der Benutzer bei jedem Zugriff zuerst seine Zustimmung geben muss. Sowohl um dem
Helfer Einsicht zu gewähren und dann ein 2tes Mal, wenn der Helfer die Sitzung
steueren soll, sodass die Tastatur und Maus vom Admin übernommen werden kann.
Nach Konfiguration der Gruppenrichtlinie, hat der Benutzer 2 Möglichkeiten zur
Auswahl. Er kann dem Administrator eine Einladung für eine Unterstützung per
Mail senden oder der eingetragenen Helfer kann die RA (Remote Assistance) von
sich aus anbieten. Ein kleines Sicherheitsloch in dieser Konfiguration ist, daß
eine per Mail versendete Einladung an jeden gerichtet werden kann und die
Verbindung käme zustande. Die Konfiguration der "Helfer" ist an dieser Stelle
aussen vor. Der Einzige Unterschied ist, daß nur eingetragenen Helfer die
Verbindung von sich aus initiieren können. Was auf der einen Seite als
Sicherheitsproblem darstellt hat den großen Vorteil, daß ich als Dienstleister
von extern die Möglichkeit habe die Unterstützung wahrzunehmen, um einem Kunden
zu helfen.
Die Konfiguration der GPO ist relativ simpel:
| Bild: |
|
Als Default Wert sind die Administratoren schon vordefiniert, diese Liste der
Helfer habe ich nur beispielhalber um eine eigene Sicherheitsgruppe und einen
speziellen Benutzer erweitert. Die Frage, ob eine Einladug mehr oder weniger als
eine Stunde gültig ist kann nur über die Reaktionszeit eines Helfers definiert
werden. Das kann vertraglich mit einem externen Dienstleister geregelt worden
sein, oder es existieren hausinterne Regelungen.
Wie kann der Benutzer eine Einladung versenden oder wie kann die
Remoteunterstützung angeboten werden?
Die Funktion die Remoteunterstützung anzubieten ist leider im Hilfe und Support
Center gut versteckt. Die Einladung ist direkt in der internen Hilfe einer XP
Workstation oder eines 2003 Servers verlinkt.
| 1. | Remoteunterstützung per Email Einladung anfordern |
 |
|
| 2. |
 |
| 3. | Die Einladung kann über 3 Wege übermittelt werden: |
| - | Per Windows Messenger, wenn ein Passport Konto existiert |
| - | per Mail, das StandardMail Programm wird aufgerufen |
| - | als Datei, dann wird das Attachment, da in der Mail wäre als einzelne Datei gespeichert. |
 |
|
| 4. | Die Dauer der Gültigkeit der Einladung muss definiert werden und ein Kennwort wird noch einmal nur für die Einladung vergeben. Wie in dem Screenshot dokumentiert, ist wohl klar, daß dieses Kennwort weder in der Mail mitgeteilt wird, noch daß es das eigene Anmeldekennwort ist. Das Kennwort sollte am Telefon übermittelt werden. |
 |
|
| 5. | Die Mail wird direkt erstelle und kann versendet werden. Die oben genannten Hinweise sind noch einmal explizit enthalten |
 |
|
| 6. | Man kann sich noch eine aktuelle Übersicht aller Einladungen geben lassen und diese eventuell schon vor dem Ablauf der Frist zurückziehen |
 |
Schauen wir uns mal den Inhalt des Attachments an, denn dieser ist in einer
einfachen Textdatei verpackt, die nur aufgrund ihrer Datei-Endung
.MsRcIncident automatisch mit dem
Hilfe und Support Center geöffnet wird.
<?xml version="1.0" encoding="Unicode" ?><UPLOADINFO TYPE="Escalated"><UPLOADDATA
RCTICKET="65538,1,192.168.200.108:3389;rechnername.domain.tld:3389,*,QOYAEJKKDTZe2KQcpGYPoYjGJM0gIWtO/KFUafrCiwM=,*,*,iBBQkyonMGnhU5xtMsxHkf1zHxU="
RCTICKETENCRYPTED="1" DtStart="1119612103" DtLength="60" PassStub="QOYAEJKKDTZe2KQcpGYPoYjGJM0gIWtO/KFUafrCiwM="
L="0" /></UPLOADINFO>
Dieser kann natürlich editiert werden, denn es ist nur darin dokumentiert,
welcher Rechner (IP und DNS Name ist dokumentiert) als Ziel für die Einladung
hinterlegt ist. Dieser kann z.B. auf die externe IP eines Firmenzugangs umgelegt
werden, wenn man von einem externen Rechner aus zugreifen muss. Nachteil: Der
Router/Firewall muss UPnP unterstützen, damit er die Anfrage nach innen zulässt
und der RDP Port 3389 muss zugänglich sein.
Zur Zeit wird von Microsoft als einzige remoteunstützungstaugliche UPnP Lösung
das eigene ICS (Internet Connection Sharing) dokumentiert. Diese kommt aber
i.d.R. nur in Heimnetzen zum Einsatz. Wenn ich als Externer also das Ticket
verwenden möchte, so muss ich für einen lokalen Zugriff auf das Netzwerk sorgen.
Am einfachsten per VPN, danach ist die interne IP direkt zu verwenden, da der
Zugriff über das VPN in den privaten IP Nummern Kreis möglich ist.
Remoteunterstützung selber
anbieten ohne vorherige Einladung
Vorraussetzung ist, daß der von Microsoft als "Helfer" titulierte Benutzer über
die Gruppenrichtlinien oder über die lokale Sicherheitsrichtlinie als solcher
eingetragen ist. Ist er auf dem Zielrechner nicht als solcher definiert, dann
erhält man ein Zugriff verweigert. Das Problem ist nur, wie oben erwähnt, daß
der Link/Aufruf des aktiven Unterstützungsangebots gut versteckt ist. Entweder
bemüht man die interne Hilfe mit einer Suchanfrage, oder man verwendet folgenden
Link:
hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/Unsolicited/Unsolicitedrcui.htm
| 1. |
 |
| 2. | Nach dem Verbindungsaufbau wird die aktuelle Sitzung des Zielsystems angezeigt. Erst jetzt kann der Verbindungsaufbau gestartet werden |
 |
|
| 3. | Während der Helfer auf die Verbindung wartet, erscheint bei User ein Informationsfenster, ob er der Verbindung zustimmen möchte. |
 |
|
 |
|
| 4. | Danach öffnet sich der Bildschirm mit einer Steuerungsleiste. Zu diesem Zeitpunkt kann der Administratoren nur zuschauen, um die Kontrolle zu übernehmen muss er es explizit wieder angeben und auch dann wird der Benutzer erst um Zustimmung gefragt. Ebenfalls in dem Hilfesystem ist ein Chat verfügbar, oder wenn vorhanden auch der Austausch per Microfon und Lautsprecher möglich, sodass auch gerade bei einem externen Zugriff weitere Telefonkosten gespart werden können. |
 |
Einrichtung der
Remoteunterstützung in Kombination mit XP Service Pack 2 oder Windows Server
2003 Service Pack1 und der integrierten Firewall.
Wer in seinem Netzwerk nicht mit einer deaktivierten Windows Firewall arbeitet,
muss für die Remoteunterstützung diese im "Domänenprofil" noch entsprechend
anpassen.
Deaktivierung der integrierten Firewall im eigenen Netzwerk:
Computerkonfiguration \ Administrative Vorlagen \
Netzwerk \ Netzwerkverbindungen
"Verwendung des Internetverbindungsfirewalls im eigenen DNS-Domänennetzwerk
nicht zulassen" = Aktiviert
Konfiguration bei aktivierter Firewall:
| 1. | Beispeil: Zugriff auf RA von jedem PC auf, auch von extern (vorrausgesetzt die davor liegende Firewall lässt es zu ...) |
 |
|
| 2. | Beispiel: Zugriff auf RA nur für Rechner des internen Netzwerkes. Der "*" wird durch die Variable "localsubnet" ersetzt. |
 |
|
| 3. | Beispiel: Zugriff auf RA nur von einem bestimmten PC und einem bestimmten IP Nummerkreis aus |
 |
(c) 2003 - heute, Mark Heitbrink,
weitere Informationen unter WebSite-Info\Copyright