Использование удаленного помощника с включенным брандмауэром Windows

Получите свою копию Windows Server Hacks!

Рассматриваемые темы включают использование групповой политики для создания исключения удаленного помощника для настольных компьютеров, настройку компьютеров для получения предложений удаленного помощника и советы по использованию удаленного помощника.

Удаленный помощник — одна из тех функций, которая не совсем оправдала свое первоначальное обещание. Впервые он появился в Windows XP и продвигался Microsoft двумя способами: как способ для отделов службы поддержки сэкономить на стоимости поддержки пользователей и как инструмент для домашних пользователей, позволяющий получать помощь от «экспертов» через Интернет. К сожалению, второе использование оказалось не таким полезным, как предполагалось изначально. Причины этого в основном связаны с сетевым оборудованием. С появлением домашних сетей, имеющих широкополосное подключение к Интернету и защищенных маршрутизаторами с поддержкой NAT, простой факт заключается в том, что удаленный помощник не всегда работает. В частности, если и Новичок (пользователь/компьютер, нуждающийся в помощи), и Эксперт (пользователь/компьютер, оказывающий помощь) скрыты за NAT, тогда традиционный удаленный помощник на основе приглашения просто не работает. И даже если только один из них находится за маршрутизатором с поддержкой NAT, удаленный помощник обычно не будет работать, если маршрутизатор не совместим с Universal Plug and Play (UPnP), чтобы входящие пакеты, направленные на порт 3389, могли быть сопоставлены клиенту, нуждающемуся в помощи.. Наконец, существуют проблемы с брандмауэром, связанные с удаленным помощником, и суть здесь в том, что, как правило, компьютеры экспертов и новичков должны иметь свои брандмауэры, настроенные так, чтобы разрешать как входящий, так и исходящий трафик через порт 3389. Для брандмауэра Windows это означает открытие порта 3389. только для входящих соединений, так как исходящая фильтрация не выполняется, но это скоро изменится в Vista, где брандмауэр будет фильтровать как исходящий, так и входящий трафик. Все это — аппаратные трудности и сложность брандмауэра — делает удаленную помощь сложной функцией для многих домашних пользователей, и я лично не знаю никого, кто использовал бы ее дома, чтобы получить помощь в решении проблем с компьютером.

Однако снижение затрат на поддержку служб поддержки — это другое дело, и именно в этом действительно помогает удаленный помощник. Однако не так хорошо известно, что службы поддержки могут использовать удаленную помощь двумя способами: пользователи могут запрашивать помощь, когда они в ней нуждаются, и эксперты могут предлагать помощь, когда они считают, что пользователи могут получить от нее пользу. Давайте кратко рассмотрим первый тип удаленной помощи (приглашения), а затем продолжим и посмотрим, как реализовать второй тип (предложения удаленной помощи) на предприятии, где групповая политика используется для управления параметрами конфигурации рабочего стола.

Приглашения удаленного помощника

Первый тип удаленного помощника — это когда новичок запрашивает помощь у эксперта. Как только эксперт получает и принимает приглашение, он может просматривать рабочий стол компьютера новичка, общаться с ним и — при условии, что новичок дает разрешение — управлять компьютером новичка и исправлять ошибки. Новички могут отправить Экспертам приглашение тремя способами: с помощью Windows Messenger, отправки вложения электронной почты или передачи файла. Чтобы отправить приглашение, Новичок нажимает «Пуск», «Все программы», «Удаленный помощник». Откроется страница удаленного помощника в центре справки и поддержки:

Рисунок 1. Отправка приглашения с запросом помощи через удаленный помощник

Щелчок по ссылке «Пригласить кого-нибудь помочь вам» дает новичку три варианта: отправить приглашение через Messenger, по электронной почте или сохранить файл с именем RAInvitation.msrcincient на дискете или в сетевой папке, где к нему может получить доступ эксперт. Вложения электронной почты и сохраненные файлы могут быть защищены паролем для защиты содержащейся в них информации, которая в противном случае представлена в виде простого текста XML, как в этом приглашении, отправленном новичком Бобом Смитом эксперту Мэри Джонс:

[удаленный]

Чтобы принять приглашение, эксперту достаточно открыть его и нажать «Да», после чего на компьютере эксперта откроется консоль удаленного помощника. Тем временем на компьютере новичка появляется диалоговое окно, в котором сообщается, что эксперт принял приглашение, и спрашивается, хочет ли новичок позволить эксперту увидеть свой рабочий стол и пообщаться с ним. Если новичок соглашается, консоль удаленного помощника открывается в инструменте, который открыт на рабочем столе новичка, а эксперт теперь видит рабочий стол новичка в консоли удаленного помощника на своем рабочем столе. Вот снимок экрана с использованием Virtual PC, на котором рабочий стол новичка показан вверху слева, а эксперта — внизу справа:

Рисунок 2: Боб (новичок) вверху слева и Мэри (эксперт) внизу слева

Если Мэри нужно вмешаться и взять под свой контроль компьютер Боба, чтобы что-то исправить, она может нажать кнопку Взять на себя управление на панели инструментов в левом верхнем углу своей консоли удаленного помощника. Это побудит Боба дать ей разрешение на это, и если он согласится, то клавиатура и мышь Боба теперь находятся под контролем и его, и Мэри, поэтому лучше, если перед тем, как взять на себя управление, Эксперт посоветует Новичку не использовать свою клавиатуру и мыши, пока эксперт не закончит исправлять ситуацию и не вернет управление новичку (любой пользователь может нажать ESC, чтобы прекратить контроль эксперта над сеансом и вернуться к помощи только для просмотра).

Предлагая удаленную помощь

Однако бывают случаи, когда служба поддержки может захотеть предложить помощь пользователю, даже если пользователь не запрашивал ее. Это известно как функция «Предложение удаленной помощи», и вам нужно кое-что узнать о ней, прежде чем пытаться ее реализовать. Во-первых, это работает только тогда, когда компьютеры новичка и эксперта принадлежат к одному и тому же домену или доверительному домену, т. е. это не будет работать в сценарии рабочей группы и, следовательно, бесполезно для большинства домашних пользователей. Конечно, это исключает и Windows XP Home Edition, поэтому работает только с Windows XP Professional (или Windows Server 2003). Во-вторых, вы должны явно разрешить компьютерам-новичкам получать и принимать предложения удаленной помощи, и обычно это делается с помощью групповой политики, которая объясняется ниже. В-третьих, прежде чем настраивать параметры групповой политики для предложения удаленной помощи, необходимо определить список экспертов, уполномоченных помогать пользователям в вашей сети. Этот последний шаг очень важен, поскольку вы не хотите, чтобы кто угодно мог предложить удаленную помощь вашим пользователям, поскольку хакер, взломавший одну из ваших машин, может затем предложить «помощь» вашим пользователям, и вы знаете, что это будет означать.

Итак, давайте начнем с настройки групповой политики, чтобы включить предложение удаленной помощи на некоторых компьютерах-новичках. В нашем сценарии наш эксперт (Мэри Джонс) находится в Ванкувере, а новичок (Боб Смит) — в Виннипеге, поэтому мы начнем с создания и связывания объекта групповой политики (GPO) с именем WinnipegGPO с подразделением Winnipeg в нашем домене.:

Рисунок 3. Использование групповой политики для настройки предложения удаленной помощи на компьютерах-новичках в Виннипеге

Откройте WinnipegGPO с помощью редактора объектов групповой политики и перейдите в раздел Конфигурация компьютераАдминистративные шаблоныСистемаУдаленная помощьПредложение удаленной помощи:

Рисунок 4: Параметр политики «Предложение удаленной помощи»

Откройте эту политику, включите ее и выберите «Разрешить помощникам удаленно управлять компьютером» (по умолчанию) или «Разрешить помощникам только просматривать компьютер» по желанию:

Рисунок 5: Включение предложения удаленной помощи в режиме управления

Нажмите кнопку Показать и добавьте Мэри Джонс в список помощников (Экспертов) в виде имя_доменаимя_пользователя, например r2.localmjones:

Рисунок 6: Добавление Мэри Джонс в список пользователей, которым разрешено предлагать удаленную помощь

Обратите внимание, что вы также можете добавить группы помощников в форме имя_доменагруппа, если хотите. Нажмите OK, чтобы настроить политику, и подождите, пока она применится к компьютерам-новичкам во время следующего обновления групповой политики.

Примечание:
В Windows XP члены локальной группы администраторов на компьютере по умолчанию автоматически становятся помощниками. В среде домена это означает, что члены группы «Администраторы домена» по умолчанию являются помощниками и поэтому могут предлагать удаленную помощь, не добавляя их в список помощников в этой политике.

Примечание:
Возможно, вы заметили другую политику на рисунке 4, которая называется «Запрашиваемая удаленная помощь». Вы можете настроить эту политику, чтобы разрешить или запретить новичкам отправлять приглашения на удаленную помощь экспертам в вашей сети, если вы хотите. Также обратите внимание, что до пакета обновления 2 отключение этой политики также приводило к сбою предложений удаленной помощи, но эта проблема была устранена в пакете обновления 2.

Теперь, когда вы настроили групповую политику для включения предложения удаленной помощи на компьютерах-новичках в Виннипеге, вам нужно будет сделать еще кое-что, пока вы это делаете: настроить брандмауэр Windows на этих же компьютерах, чтобы разрешить получение предложений удаленной помощи.. Вы можете использовать групповую политику для этой же цели следующим образом. Для этого снова используйте редактор объектов групповой политики, по-прежнему фокусируясь на WinnipegGPO, и перейдите в раздел Конфигурация компьютераАдминистративные шаблоныСетьСетевые подключенияБрандмауэр WindowsПрофиль доменаБрандмауэр Windows: Определить исключения портов:

Рисунок 7. Настройка политики брандмауэра Windows на компьютерах-новичках для разрешения предложений удаленного помощника

Откройте эту политику, включите ее, нажмите «Показать» и определите исключение для TCP-порта 135, как показано ниже:

Рисунок 8: Создание исключения порта для входящего трафика на TCP-порту 135 для получения предложений удаленной помощи

Теперь выберите политику Брандмауэр Windows: определить исключения программ, включите ее, нажмите «Показать» и определите три исключения программ, показанные ниже:

Рисунок 9: Создание программных исключений для предложения удаленной помощи

Повторите описанную выше процедуру со стандартным профилем, если он вам нужен, а затем нажмите кнопку ОК, чтобы настроить политики и дождаться их применения к компьютерам-новичкам во время следующего обновления групповой политики.

Теперь Мэри сможет предложить Бобу помощь с помощью предложения удаленной помощи. Для этого Мария открывает Справку и поддержку и щелкает ссылку «Использовать инструменты для просмотра информации о компьютере и диагностики проблем» на главной странице справки и поддержки. На следующей странице (под названием «Инструменты») она затем щелкает ссылку «Предложить удаленную помощь», и открывается страница «Предложить удаленную помощь», где она вводит имя компьютера (или IP-адрес) компьютера Боба:

Рис. 10. Мэри предлагает удаленную помощь пользователям компьютера с именем XP191.

Когда Мэри нажимает кнопку «Подключиться», ей предоставляется возможность выбрать пользователя на удаленном компьютере, которому она хочет помочь:

Рис. 11. Мэри предлагает удаленную помощь Бобу

Затем Мэри нажимает кнопку «Начать удаленный помощник», и на ее компьютере открывается консоль удаленного помощника. Тем временем на машине Боба появляется подсказка с вопросом, хочет ли он принять предложение от Мэри:

Рисунок 12: Боб должен принять предложение Мэри помочь

Как только Боб примет предложение, Мэри сможет просматривать рабочий стол Боба и общаться с ним в чате, а также — если политика настроена надлежащим образом — нажать кнопку Взять на себя управление, чтобы взять на себя управление компьютером Боба, чтобы что-то исправить (Боб, конечно, по-прежнему может сказать «Нет» на это). если он предпочитает, т. е. политика «взять под контроль» не применяется, а только активируется).