Использование Удаленного помощника в сетях с брандмауэром
Использование Удаленного помощника совместно с устройствами NAT
Использование Групповой политики для Удаленного помощника
Блокировка Удаленного помощника на отдельном компьютере
Предложение Удаленной помощи
Заключение
Связанные ресурсы
Введение
Удаленный помощник позволяет доверенному лицу (другу, специалисту технической поддержки или ИТ администратору) удаленно в активном режиме помочь кому-либо в решении компьютерной проблемы. Помощник (в дальнейшем именуемый "эксперт") может видеть экран на компьютере пользователя, запросившего помощь, оказывать консультации и предлагать пути решения проблемы. С разрешения пользователя эксперт сможет управлять его компьютером, используя мышь и клавиатуру на своем компьютере. Для работы Удаленного помощника требуется, чтобы оба компьютера работали под управлением операционной системы Windows XP.
Типы подключений Удаленного помощника
Удаленный помощник может быть использован в следующих ситуациях:
В пределах локальной сети (LAN).
Через Интернет.
Между отдельным компьютером в Интернет и компьютером за брандмауэром в Локальной сети. Соединения в сетях с брандмауэром требуют, чтобы TCP порт 3389 был доступен.
Организация защиты Удаленного помощника
С разрешения пользователя и при соответствующих настройках Групповой политики эксперт может управлять его компьютером и выполнять на нем любые задачи, доступные пользователю, включая работу в сети. Перечисленные ниже настройки помогут укрепить безопасность в Вашей организации:
Брандмауэр. Разрешая или запрещая с помощью брандмауэра трафик через порт 3389, Вы можете определить, смогут ли служащие вашей организации запрашивать помощь за ее пределами. Для получения дополнительной информации обратитесь к разделу
Использование Удаленного помощника в сетях с брандмауэром далее в этой статье.
Групповая политика. Вы можете настроить Групповую политику, чтобы разрешить или запретить пользователям запросы помощи с использованием Удаленного помощника. Также есть возможность определить, в каких случаях пользователи разрешат кому-либо контролировать их компьютер или только наблюдать за ним. Кроме того, Вы можете настроить Групповую политику, чтобы разрешить или, наоборот, запретить эксперту предложения удаленной помощи без предварительного запроса от пользователя. Для получения дополнительной информации обратитесь к разделу
Использование Групповой политики для Удаленного помощника далее в этой статье.
Отдельный компьютер. Администратор отдельного компьютера может выключить запросы удаленного помощника, заблокировав тем самым отправку приглашений удаленного помощника любым пользователем этого компьютера. Для получения дополнительной информации обратитесь к разделу
Блокировка Удаленного помощника на отдельном компьютере далее в этой статье.
ПредложениеУдаленнойпомощи
Как правило, работа с Удаленным помощником начинается с запроса пользователем помощи по электронной почте или с использованием Windows Messenger. Тем не менее, эксперт может предложить помощь без предварительного запроса от новичка. Для получения дополнительной информации обратитесь к разделу
Предложение удаленной помощи далее в этой статье.
Использование удаленного помощника в сетях с брандмауэром
Для соединения между пользователем, запрашивающим помощь, и экспертом Удаленный помощник использует протокол Remote Desktop Protocol (RDP). В этом соединении протокол RDP использует TCP порт 3389. Следовательно, для того, чтобы пользователи в Вашей организации могли запрашивать помощь за ее пределами, порт 3389 должен быть открыт на корпоративном брандмауэре. Чтобы запретить пользователям запросы помощи за пределами организации, данный порт должен быть закрыт. Обратитесь к инструкции по администрированию брандмауэра, чтобы узнать, как открыть или закрыть порт 3389.
Примечания:
Закрыв порт 3389, Вы запретите все не только все соединения Удаленного рабочего стола, но и соединения Терминальных служб. Если необходимо ограничить только запросы Удаленного помощника, используйте Групповую политику.
Брандмауэр подключения к Интернету компании Microsoft, разработанный для использования только на автономных компьютерах или компьютерах в рабочих группах, не блокирует соединения Удаленного помощника.
Использование Удаленного помощника совместно с NAT
ЧтотакоеNAT?
Преобразование сетевых адресов (Network Address Translation – NAT) – это стандарт инженерной группы по развитию Интернета (Internet Engineering Task Force - IETF). Он используется в случаях, когда необходимо предоставить в общий доступ одни глобальный маршрутизируемый адрес IPv4 нескольким компьютерам или сетевым устройствам в частной сети (использующих адресацию из частных диапазонов, таких, как 10.0.x.x, 192.168.x.x, 172.x.x.x). Наиболее распространенной причиной развертывания NAT является недостаточное количество сетевых адресов текущего поколения IPv4. NAT используется на устройствах, выполняющих роль шлюза на границе между публичной (Internet) и частной локальной сетью (LAN). Когда IP-пакет из частной локальной сети проходит сквозь шлюз, NAT преобразует частный IP адрес и порт в публичный IP адрес и порт, отслеживая данное преобразование, для поддержания целостности каждого соединения. Общий доступ к подключению Интернета в операционных системах Windows XP и Windows Me совместим с большинством Интернет шлюзов, использующих NAT (особенно для подключения к широкополосным сетям при помощи технологии DSL или кабельных модемов). Использование NAT наиболее популярно в большинстве домашних малых офисных сетях, где компьютеры имеют только одно подключение к сети Интернет.
УдаленныйпомощникиNAT
Удаленный помощник поддерживает стандарт UPnP, позволяя осуществлять соединения через NAT-устройства, за исключением случаев, когда компьютеры новичка и эксперта находятся за NAT-устройством, не поддерживающим UPnP. В настоящее время брандмауэр подключения к Интернету, входящий в поставку Windows XP, поддерживает работу с UPnP.
Ниже описано как Удаленный помощник работает с UPnP:
1. Удаленный помощник определит общий Интернет IP адрес и номер порта TCP на UPnP NAT-устройстве, и вставит его в билет Удаленного помощника.
2. Общий Интернет адрес и номер TCP порта будут использованы для осуществления соединения через устройство NAT рабочей станцией новичка или эксперта с целью установки соединения удаленного помощника.
3. Запрос на соединение Удаленного помощника будет перенаправлен клиенту NAT-устройством.
Примечание: Удаленный помощник не сможет установить соединение, если новичок, в сети которого установлено не-UPnP NAT-устройство, использовал для отправки приглашения электронную почту. При отправке приглашения посредством Windows Messenger соединение удаленного помощника будет работать через NAT-устройство, не поддерживающее UPnP, даже если эксперт находится за NAT устройством. Если оба компьютера - новичка и эксперта - находятся за NAT-устройствами, не поддерживающими UPnP, то соединение удаленного помощника установить не удастся. Ниже в Таблице 1 ниже показаны соединения Удаленного помощника, работающего совместно с устройствами NAT. Примечание: брандмауэр подключения к Интернету Windows 2000 не поддерживает UPnP.
Таблица 1. Подключения Удаленного помощника и устройства NAT
Брандмауэр подключения к Интернет WindowsXP
Не-UPnP NAT устройство
UPnP NATустройство
Связь по Windows Messenger
Новичок
Да
Да
Да
Эксперт
Да
Да
Да
Новичок и Эксперт вместе
Да
Нет
Да
Связь по электронной почте
Новичок
Да
Нет
Да
Эксперт
Да
Да
Да
Новичок и эксперт вместе
Да
Нет
Да
Использование Групповой политики для Удаленного помощника
В сетевом окружении Active Directory Windows 2000 Server для управления Удаленным помощником вы можете использовать параметры Групповой политики – разрешающие или полностью блокирующие его использование. Используйте политику
Запрошенная удаленная помощь (
SolicitedRemoteAssistance), расположенную в оснастке Групповой политики (Конфигурация компьютера\Административные шаблоны\Система\Удаленный помощник) (Computer
Configuration\Administrative Templates\System\Remote Assistance), как показано на Рисунке 1 ниже.
Рисунок 1: . Управление Удаленным помощником с использованием Групповой политики
Запрошенная Удаленная помощь происходит в случае, когда пользователь компьютера посылает приглашение Удаленной помощи пользователю другого компьютера (эксперту).
Блокировка Удаленного помощника
Параметры политики
Запрошенная удаленная помощь (
SolicitedRemoteAssistance) по умолчанию не сконфигурированы, что позволяет отдельным пользователям настраивать Запрошенную удаленную помощь, используя Панель управления. По умолчанию из Панели управления доступны следующие настройки:
Запрошенная удаленная помощь (
SolicitedRemoteAssistance) включена;
Allow buddy supportразрешена;
Удаленное управление этим компьютером(
Permitremotecontrol of this computer) включено;
Предельный срок, который приглашение может оставаться открытым (
Maximumticket time), равен 30 дней.
Следовательно, чтобы заблокировать пользователям доступ к Удаленному помощнику, Вы должны выключить политику
Запрошенная удаленная помощь (
SolicitedRemoteAssistance)
. Это запретит работу удаленного помощника для любого компьютера или пользователя, на которого распространяются данные параметры объекта Групповой политики (GPO). Например, Вы можете захотеть заблокировать некоторым группам доступ к Удаленному помощнику. Пользователь, принадлежащий к целевому Подразделению (OU), для которого применена политика, не сможет использовать Удаленного помощника.
Управлениеудаленнымпомощником
Включение параметра
Запрошенная удаленная помощь (
SolicitedRemoteAssistance)
позволяет Вам устанавливать разрешения, отличные от настроек по умолчанию, доступные, когда эта политика не задана. Как было описано ранее, у Вас может возникнуть необходимость определить, какие группы или пользователи смогут использовать Удаленного помощника. Пользователь, являющийся членом заданного Подразделения (OU), на которое распространяются параметры данной политики, сможет использовать Удаленного помощника, соответственно заданным Вами разрешениям.
Примечание: Отправка приглашения Удаленного помощника не дает явного разрешения эксперту подключаться к компьютеру и/или контролировать его. Когда эксперт пытается подключиться, пользователь может либо принять, либо отказать в подключении (тем самым, предоставляя эксперту возможность только наблюдения за рабочим столом пользователя). Затем пользователь должен явно нажать на кнопку, чтобы разрешить эксперту удаленно управлять рабочим столом, если удаленное управление разрешено. Если этот параметр включен, Вы можете установить следующие настройки:
Allowbuddysupport. Установка данного флажка подразумевает, что пользователь может запрашивать помощь у других пользователей (у друзей или коллег с использованием электронной почты или системы мгновенных сообщений), также, как и через канал, предустановленный производителем оборудования или программного обеспечения, корпоративной службой технической поддержки и так далее. Снятие данного флажка подразумевает, что пользователи смогу запрашивать помощь только по официальному каналу.
Разрешить удаленное управление. Данный параметр позволяет выбирать, в каких случаях эксперт сможет удаленно управлять компьютером, а когда сможет только наблюдать за рабочим столом пользователя.
Максимальноевремябилета. Этот параметр определяет максимальное время, в течение которого запрос пользователя на удаленную помощь будет действителен. После истечения времени билета (запроса помощи) пользователь должен послать новый запрос для того, чтобы эксперт мог подключиться к его компьютеру.
Блокировка удаленного помощника на отдельном компьютере
Пользователи могут заблокировать Удаленного помощника на своих собственных компьютерах, установив необходимые параметры в Панели управления. Для того чтобы, заблокировать запросы удаленной помощи на отдельном компьютере
Откройте
Панель управления (
ControlPanel), щелкните
Производительность и обслуживание (
PerformanceandMaintenance), затем
Система (
System).
На вкладке Удаленные сеансы, в панели Удаленный помощник, снимите флажок
Разрешить отправку приглашений удаленному помощнику, как показано ниже на Рисунке 2.
Рисунок 2: Блокировка удаленного помощника
Чтобы запретить удаленное управление этим компьютером с использованием Удаленного помощника
Откройте
Система в Панели управления.
На закладке Удаленные сеансы, в панели Разрешить отправку приглашения удаленному помощнику, щелкните
Дополнительно.
Снимите флажок
Разрешить удаленное управление этим компьютером, как показано ниже, на Рисунке 3.
Рисунок 3: Предотвращение доступа к Вашему компьютеру посредством удаленного помощника
Предложение Удаленной помощи
Иногда лучшим способом решения проблемы является наглядная демонстрация того, как можно решать проблемы подобного рода. Будучи экспертом или профессионалом в области технической поддержки, Вы можете инициировать запрос удаленной помощи без приглашения. Например, Вы можете обсуждать с другом компьютерную проблему и выбрать использование Удаленного помощника для ее решения. После того, как подключение будет выполнено, Вы увидите экран компьютера пользователя и обсуждать то, что Вы оба видите на нем. С разрешения пользователя Вы можете использовать Ваши мышь и клавиатуру для управления его компьютером.
Примечания:
Брандмауэры могут блокировать соединения Удаленного помощника. Попробуйте использовать Windows Messenger вместо электронной почты, чтобы установить соединение. Если и в этом случае не удается установить соединение, попросите системного администратора открыть для Вас порт 3389.
Если на пользовательском компьютере параметр Групповой политики параметр
Запрошенная удаленная помощь включен, эксперт может предлагать Удаленную помощь этому пользователю без предварительного приглашения. В редакторе Групповой политики на этом компьютере эксперт должен быть добавлен в список Помощники или входить в локальную группу Администраторы.
Вы можете увеличить производительность работы во время сеанса связи Удаленного помощника, уменьшив качество цветопередачи на пользовательском компьютере. Используйте настройку
Качество цветопередачи на вкладке
Параметры, значок
Экран в
Панели управления, чтобы уменьшить количество цветов отображаемых на экране пользователя.
Чтобы предложить удаленную помощь без приглашения
Нажмите кнопку
Пуск, затем щелкните
Справка и поддержка.
Под пунктом
Выбор задания, щелкните
Использование Служебных программ для просмотра информации о компьютере и диагностики неполадок.
Под меню
Сервис в панели слева щелкните
Предложение удаленной помощи.
Введите имя или IP-адрес компьютера, к которому Вы хотите подключиться, после чего нажмите кнопку
Подключиться, как показано ниже на Рисунке 4.
Рисунок 4: Предложение удаленной помощи
Чтобы предложить удаленную помощь пользователю, не приславшему приглашение, включите на компьютерах параметр Групповой политики
Предложение удаленной помощи, как показано ниже на Рисунке 5.
Рисунок 5: Включение Групповой политики для предложения удаленной помощи
Кроме того, Вы должны быть или членом группы Администраторы на данном компьютере, или присутствовать в списке Помощников в параметре
Разрешить предложение удаленной помощи, как показано ниже на Рисунке 6.
Рисунок 6: Настройка политики Запрошенная удаленная помощь
Чтобы включить Предложение удаленной помощи
Нажмите кнопку
Пуск, выберите
Выполнить, введите
gpedit.msc и нажмите
OK.
В левой панели редактора Групповой политики под пунктом
Конфигурация компьютера дважды щелкните
Административные шаблоны, выберите пункт
Система, после чего щелкните
Удаленный помощник.
В правой панели дважды щелкните
Предложение удаленной помощи и щелкните
Включен. Включив политику, Вы можете выбирать, позволено ли эксперту управление компьютером или только наблюдение за ним.
Несмотря на то, что эксперт может предлагать Удаленную помощь без предварительного запроса, пользователь должен дать разрешение на наблюдение за своим компьютером. Кроме того, пользователь должен дать разрешение на управление своим компьютером в случае, если такая возможность сконфигурирована.
Заключение
Управление Удаленным помощником может потребовать выполнения настроек для порта 3389, объектов Групповой политики и выполнения ряда других административных задач. Для управления Удаленным помощником администраторам доступны следующие технологии:
Брандмауэр. Открывая или перекрывая брандмауэром соединения через порт 3389, администраторы могут определять, может ли служащий Вашей организации запрашивать помощь за ее пределами.
Групповая политика. С помощью Групповой политики Вы можете разрешать или запрещать запросы помощи с использованием Удаленного помощника. Также Вы можете определить, смогут ли пользователи разрешать эксперту контролировать их компьютер, или только наблюдать за ним. Кроме того, Вы можете настроить Групповую политику, чтобы разрешить или запретить эксперту предлагать удаленную помощь без предварительного запроса от пользователя.
Отдельный компьютер. Администратор отдельно взятого компьютера может выключить на нем возможность отправки приглашений удаленного помощника, что предотвратит его использование кем бы то ни было.
Благодарности
Mike Seamans, Технический Писатель, Microsoft Corporation
Alvin Loh, Менеджер программных продуктов, Microsoft Corporation
John Kaiser, Технический Редактор, Microsoft Corporation