În cadrul articolului, voi adera la următoarea terminologie:
· Un administrator este un angajat care se conectează de la distanță pentru a efectua orice acțiune pe computerul utilizatorului, de exemplu, o persoană de suport tehnic. Nu este necesar ca această persoană să aibă autoritate administrativă la o stație la distanță.
· Utilizator - orice persoană care lucrează într-o sesiune locală în spatele unui computer și care are nevoie de ajutor.
Primele două sunt modalități obișnuite de a oferi acces la distanță la Windows. Se recomandă ca mecanismul de asistență la distanță să fie utilizat pentru a asista utilizatorul. De exemplu, este necesar să se observe acțiunile utilizatorului, care duc la o eroare sau invers, pentru a arăta utilizatorului ceva. Spațiul de lucru la distanță este util atunci când trebuie să efectuați activități administrative care nu necesită participarea utilizatorilor. De exemplu: instalați aplicația, actualizați securitatea, modificați setările de sistem ale Windows. Deoarece sistemele de client Windows pot fi utilizate de un singur utilizator la un moment dat, conectarea utilizând Desktop la distanță va deconecta utilizatorul curent. Să analizăm ce se întâmplă atunci când încercați să vă conectați prin RDP la mașina pe care se face intrarea locală.
În momentul în care administratorul inițiază o conexiune la stația de lucru utilizând Desktop la distanță, acesta este anunțat că este detectat un utilizator activ.
Dacă administratorul selectează opțiunea "Da", apoi pe stația de lucru utilizatorul curent afișează un mesaj despre încercarea de a se conecta la desktopul la distanță.
Voi spune imediat că utilizatorul poate respinge conexiunea selectând opțiunea "Anulare" și apoi administratorul va vedea următorul mesaj:
Acest mecanism nu poate fi eludat și, în acest caz, va fi mai corect să se recurgă la măsuri administrative și organizatorice.
Dacă utilizatorul selectează opțiunea "Da" sau nu a selectat nicio opțiune în decurs de 30 de secunde, sesiunea la distanță este conectată, sesiunea utilizatorului curent merge în fundal și utilizatorul vede ecranul de întâmpinare Ctrl-Alt-Ștergere.
Utilizatorul poate încerca să intre în sesiunea sa și va fi anunțat că un utilizator de la distanță lucrează cu computerul
Administratorul din sesiunea RDP va fi rugat să se conecteze
Administratorul, la fel ca și utilizatorul, poate respinge cererea.
Încă o dată, vreau să mă concentrez asupra faptului că sesiunea utilizatorului nu se termină, dar se îndepărtează în fundal. Astfel, toate aplicațiile lansate de utilizator vor continua să funcționeze.
Pe consola din fiecare casă!
Conexiunea la computerul client folosind toate cele trei metode (Remote Tools, Remote Assistance, Remote Desktop) este posibilă atunci când utilizați Consola de administrare ConfigMgr. Pe lângă accesarea gestionării la distanță, atunci când utilizați consola, specialiștii în asistență pot primi, de asemenea, informații despre inventar prin intermediul Resource Explorer. Desigur, dacă biroul de asistență are un număr mare de angajați care au nevoie doar de funcționalitate de acces la distanță, instalarea consolei de administrare SCCM în acest scenariu poate să nu pară o soluție ușoară. Există câteva modalități de a rezolva această problemă.
Asistență la distanță
Accesul la asistență la distanță este posibil la începutul asistentului: Asistență la distanță Windows (% windir% \ system32 \ msra.exe)
Același expert poate fi pornit pornind comanda:% windir% \ system32 \ msra.exe / offerra
Instrumente de la distanță
Utilizând Consola de administrare ConfigMgr, Consola de administrare este singura modalitate recomandată și acceptată de a obține acces prin Remote Tools. Cu toate acestea, dacă nu doriți să instalați consola SCCM doar pentru a permite personalului de asistență să se conecteze la clienți, puteți migra manual fișierele de care aveți nevoie pentru a lucra. Pentru a porni Remote Tools, aveți nevoie de următoarele fișiere: rdpencom.dll și rc.exe localizate în folderul% Console_Path% \ AdminUI \ bin \ i386.
Pentru ca instrumentele de asistență la distanță să funcționeze pe paravanul de protecție pentru a deschide un anumit set de porturi. Pentru simplitatea prezentării, în tabelul de mai jos, serverul este înțeles ca orice computer pe care administratorul execută instrumentul de ajutor de la distanță, iar sub clientul computerul la care sunt conectate.
Dacă un anumit personal de suport este responsabil pentru a sprijini clienții numai în anumite departamente sau sucursale, este recomandabil să adăugați conturile acestor angajați grupurilor de securitate numai pe acele computere pe care acest lucru este cu adevărat necesar. Pentru a face acest lucru, puteți utiliza politicile de grup și, în special, mecanismul Grupurilor Restricționate.
Controlul contului de utilizator (UAC)
UAC a apărut pentru prima dată în Windows Vista și apoi a fost modificat în Windows 7. În mod ideal, UAC ar trebui să fie configurat astfel încât să nu permită utilizatorului să-și mărească drepturile. Din păcate, realitatea este departe de a fi ideală. Răul mai mic (în comparație cu dezactivarea UAC) va stabili UAC pentru a solicita acreditări. Astfel este de dorit să folosiți SecureDesktop - aceasta este doar umbra care apare atunci când fereastra UAC apare cerând acreditări. Utilizarea Desktopului de securitate vă permite să apărați cu succes împotriva unui anumit set de atacuri de falsificare, deoarece ieșirea din fereastra UAC atunci când se utilizează Secure Desktop are loc cu drepturi de sistem și într-un spațiu separat de programele utilizatorului.
În politica de grup există mai mulți parametri care definesc comportamentul UAC (pentru detalii):
· Control cont de utilizator: Mod de aprobare de administrator pentru contul Administrator încorporat
· Control cont de utilizator: Permiteți aplicațiilor UIAccess să solicite altitudine fără a utiliza desktopul securizat
· Control cont de utilizator: Comportamentul promptului de elevare pentru administratori în Mod de aprobare administrator
· Control cont utilizator: Comportamentul promptului de elevație pentru utilizatorii standard
· Control cont de utilizator: Detectați instalările aplicațiilor și solicitați elevație
· Control cont utilizator: Numai executabile crescute care sunt semnate și validate
· Control cont de utilizator: să ridice numai aplicațiile UIAccess instalate în locații sigure
· Control cont utilizator: Rulați toți administratorii în Mod de aprobare de administrator
· Control cont de utilizator: Comutați la un desktop securizat atunci când solicitați o altitudine
· Control cont de utilizator: Virtualizați eșecurile de scriere a fișierelor și registrilor în locațiile per utilizator
Sunt evidențiate parametrii pe care trebuie să le schimbați. Faptul este că Remote Assistance și Remote Tools, datorită particularităților lor, nu pot afișa fereastra de solicitare UAC dacă utilizați Secure Desktop.
În cazul în care ofițerul de sprijin încearcă să efectueze acțiuni care necesită ridicarea drepturilor și afișarea UAC (în modul Secure Desktop), atunci el va vedea un ecran negru în cazul Asistenței la distanță și o sugestie de a utiliza Desktop la distanță în cazul utilizării Remote Tools.
Modul corect și sigur de a rezolva această problemă va fi utilizarea desktopului la distanță pentru toate cazurile în care sunt necesare privilegii ridicate. Desktopul de la distanță acceptă pe deplin funcționarea UAC în toate modurile. În plus, utilizarea Remote Desktop este o modalitate sigură de a lucra cu creșterea dreptului asupra clientului, din punctul de vedere că utilizatorul final nu poate deconecta sesiunea de la distanță și astfel nu poate obține nici temporar privilegii ridicate pe computer. Dacă este folosită funcția Remote Assistance sau Remote Tools, utilizatorul poate să deconecteze administratorul din sistem în orice moment și să rămână una la alta, de exemplu cu linia de comandă care rulează cu drepturi administrative. Prin urmare, încercați să utilizați Remote Desktop ori de câte ori este posibil.
Dacă totuși trebuie să utilizați Remote Assistance \ Remote Tools pentru a lucra cu UAC, există două moduri de a face acest lucru.
Pentru instrumentele de la distanță
Trebuie să configurați următoarele setări:
Spune UAC să treacă la modul Secure Desktop înainte de a solicita ridicarea drepturilor
Agentul ConfigMgr, când se conectează la Remote Tools, dezactivează temporar Desktopul securizat. Astfel, în timpul unei sesiuni de lucru, o persoană de suport tehnic poate îmbunătăți drepturile. După terminarea sesiunii Remote Tools, ConfigMgr Agent reactivează Desktopul securizat. Dezavantajul acestei abordări este că, dacă utilizatorul anulează (utilizatorul finalizează procesul prin Task Manager), Secure Desktop va rămâne dezactivat până la următoarea aplicație de politică.
Pentru asistență la distanță
În Politica de grup, există opțiunea "Permiteți aplicațiilor UIAccess să solicite altitudine fără a utiliza desktopul securizat", care, dacă este activat, permite Asistenței la distanță să dezactiveze temporar Desktopul securizat. Avantajul acestei abordări este că, chiar dacă utilizatorul finalizează procesul de asistență la distanță de pe computerul său, sistemul va activa în mod automat Secure Desktop.
Trimiteți-le prietenilor: