Remote Assistance i Windows 7

Øyvind Sørbye, SVLIT

• Dropper XP• To hovedtyper:• Hjelper-initiert (Unsolicited)

– IT-ansvarlig starter sesjonen– Innad UiO

• Bruker-initiert (Solicited)– Brukeren starter– Hjemmemaskiner/bærbare

• Oppsett og konfigurasjon

Oversikt

Hvorfor Remote Assistanse?

• Remote desktop kan bare brukes av en• Tivoli RC virker ikke lenger• Vista innførte sesjons-isolering• Tivoli RC var treeeg• Fjernstyring effektiv brukerstøtte

Hjelper-initiert

• IT-ansvarlig starter sesjonen• Startes fra lita-ts• Lita-ts går på tvers av subnettene

Hjelper-initiert forts.

• IT-ansvarlig banker inn maskinnavn

• Brukeren blir spurt om, og må bekrefte

Kontrolleres av hjelperen

Kontrolleres av brukeren

RA sett fra lita-ts

Hjelper-initiert forts.

• Brukeren må også godkjenne overtagelse

Brukeren ser: IT-ansvarlig ser:

Hjelper-initiert forts.

• UAC - User Account Control:• Secure Desktop – låser ned alle andre programmer• Hjelperen kan ikke få større rettigheter enn brukeren:

• Brukeren eleverer egne rettigheter

• Løsninger:a) Bruk Tivoli eller Remote desktop istedenb) Group Policy - UIAccess:

• Unntak fra Secure Desktop• Styring av f.eks pekeutstyr• RA et slikt program

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Allow UIAccess Applications To Prompt For Elevation Without Using The Secure Desktop

Hjelper-initiert oppsett

• Hva må konfigureres• Vista: Brannmur• Remote Assistance (DCOM-In) via port 135 er allerede åpnet fra lita-ts

• Vista og Win7: • Computer Configuration\Policies\Administrative

Templates\System\Remote Assistance:

1. "Offer Remote Assistance" settes til "Enabled".

2. Liste over hjelpere

• Primært mot hjemmemaskiner• Brukeren starter selv sesjonen:

Bruker-initiert

Institutt for statsvitenskap

Forbindelsesmåter

• Filoverføring– Med webmail

• IM – Messenger– Kontakter må settes opp

• E-post– Fil som blir sendt som vedlegg

• Easy Connect– Direkteforbindelse via nettskyen

RA via e-post• RA sender en fil som vedlegg • Generer et engangspassord

Easy Connect

• RA via e-post: UPnP– RA får en global IPv4-adresse som ruteren

videresender til maskinen innenfor:RA-ticket: «192.168.0.188:56611;81.191.197.243:35536»

– Teredo - IPv6 over IPv4 mellom maskiner bak NAT

NAT - En ipadresse utad, mange innad - Hvordan få kontakt med maskiner bak?

• Easy Connect: P2P– PNRP – Peer Name Resolution Protocol

• Serverfri navneoppløsning– Teredo

• Messenger: Allerede en forbindelse

Domain

Private

Public

Nettverksprofiler i Win 7

Mindrerestriktiv

Merrestriktiv

• Setter automatisk innstillinger basert på type nettverk• Windows brannmur og remote assistanse

Automatisk

• Brukere vil automatisk havne i Public profil• Innmelding i andre profiler krever adminpassord• Gir problemer for RA og Homegroup

A. Brukeren må velge Hjemmeprofil:

B. Vi kan åpne RA i Public profil:

Nettverksprofiler og RA

• Remote Assistance-hjelperen kan kun bruke Vista eller bedre: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Remote Assistance" /v

CreateEncryptedOnlyTickets /t REG_DWORD /d 1 /f

• RA-ikon på skrivebord: copy "%PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\Maintenance\

Remote Assistance.lnk" %PUBLIC%\Desktop

• Skrur på Remote Assistance også på Public nett: netsh advfirewall firewall set rule name="Remote Assistance (PNRP-In)" profile=public

new enable=yes netsh advfirewall firewall set rule name="Remote Assistance (TCP-In)" profile=public new

enable=yes

Oppsett av hjemmemaskin

• Windows 7 Resource Kit• HomeGroup (Hjemmegruppe)• Remote Assistance i Vista og Windows 7• Internet Connectivity Evaluation Tool

Litteratur og linker

?