domenica 26 marzo 2017

Centralino IP PBX su Windows - 3CX Phone System which links here: http://www.3cx.it/centralino/index.html

 

 

RSS Feed RSS Feed

Login

Newsletter Newsletter

Registrati

RisorseGuide e Articoli

 

11

Di Ermanno Goletto SysAdmin.it - Microsoft MVP Directory Services - MCTS - MCSA - MCP - MCBMSP - MCBMSS

A partire da Windows XP i sistemi operativi client offrono tre funzionalità native per consentire l'assistenza remota ovvero Assistenza remota, Offri Assistenza remota e Desktop Remoto. Assistenza remota è in realtà pensata per uno scenario rivolto principalmente ad un'utenza domestica e richiede che venga inviato tramite mail o messenger un invito a connettersi al computer. Offri Assistenza remota e Desktop Remoto consentono invece di connettersi al computer e in particolare la prima funzionalità permette anche l'interazione con l'utente, di conseguenza sono di maggiore interesse dal punto di vista dell'assistenza remota in scenari aziendali. In questo articolo analizzeremo appunto come configurare tramite tramite group policy le funzionalità Offri Assistenza remota e Desktop Remoto per dotare con un minimo carico amministrativo un'infrastruttura aziendale basata su Active Directory di uno strumento di assistenza remota sicuro e a costo zero.

Sommario

Abilitazione della funzionalità Offri Assistenza

La funzionalità Offri Assistenza remota consente di avviare una sessione assistenza remota, l'utilizzo di questa funzione presuppone che i computer tra cui si instaura la sessione siano membri dello stesso dominio oppure membri di domini trusted.

Per poter configurare il computer dell'utente che riceve assistenza in modo che accetti le offerte di Assistenza remota, è necessario che siano soddisfatti tre requisiti:

  • I criteri di gruppo del computer devono essere configurati per accettare le offerte di Assistenza remota.
  •  Il computer dell'utente esperto e dell'utente inesperto devono appartenere allo stesso dominio oppure essere membri di domini trusted.
  •  In entrambi i computer deve essere installato Windows XP o successivo.

Abilitando questa funzionalità un addetto all'assistenza o un amministratore di sistema non può collegarsi al computer senza annunciarlo, né assumerne il controllo senza l'autorizzazione dell'utente. Durante il tentativo di connessione, l'utente può accettare o rifiutare la connessione e deve consentire esplicitamente il controllo del desktop da remoto se tale funzionalità è attivata.

Per abilitare un computer ad accettare le offerte di assistenza remota è necessario configurare il criterio di gruppo:
Configurazione Computer \ Modelli amministrativi \ Sistema \ Assistenza remota \ Offri Assistenza remota

Quindi occorre abilitare tale criterio di gruppo specificando il tipo di controllo consentito (Consenti controllo remoto del computer o Consenti solo di visualizzare il computer) e selezionare Mostra specificando l'elenco degli utenti/gruppi potranno offrire assistenza assistenti utilizzando il formato Dominio\Utente o Dominio\Gruppo.

Abilitazione della funzionalità Desktop Remoto

La funzionalità Desktop Remoto consente di assumere il controllo remoto di un computer utilizzando un account utente configurato in modo da consentire l'accesso remoto nel computer remoto (membro del gruppo locale Utenti desktop remoto), per impostazione predefinita agli amministratori locali i privilegi di accesso remoto sono automaticamente concessi.  Per ulteriori informazioni si veda Utilizzo della funzionalità desktop remoto di Windows XP Professional.

Per abilitare Desktop Remoto è necessario abilitare il criterio di gruppo:
Configurazione Computer \ Modelli amministrativi \ Componenti di Windows \ Servizi terminal \ Consenti la connessione remota tramite Servizi terminal

Abilitando questo criterio di gruppo gli utenti possono effettuare una connessione remota ai computer di destinazione tramite Servizi terminal, mentre se lo stato è impostato su Non configurato (impostazione predefinita) Desktop Remoto utilizza l'opzione "Consenti agli utenti di connettersi in remoto a questo computer" nella scheda Connessione remota in Proprietà del sistema del computer di destinazione.

Per aumentare la sicurezza è possibile configurare il criterio di gruppo:
Configurazione Computer \ Modelli amministrativi \ Componenti di Windows \ Servizi terminal \ Crittografia e protezione \ Richiedi sempre password del client alla connessione

Per impostazione predefinita Desktop Remoto consente all'utente di connettersi automaticamente, una volta immessa la password nel client di Connessione desktop remoto, abilitando tale impostazione viene invece richiesta una password di accesso.

Configurazione delle eccezioni Windows Firewall necessarie per consentire la funzionalità Offri Assistenza

I computer verso cui si desidera aprire una sessione di assistenza dovranno:

  • accettare le connessioni in ingresso sulla porta TCP 135
  • consentire il traffico generato da
    %WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe (Offri Assistenza remota)
  • consentire il traffico generato da
    %WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe (Assistenza remota - Windows Messenger e conversazione)
  • i computer con Windows Server 2003 Service Pack 1 (SP1) necessitano dell'eccezione per Desktop remoto (porta TCP 3389).
  • i computer Windows XP SP2 e Windows XP 64-bit SP1 devono consentire il traffico generato da
    %WINDIR%\SYSTEM32\Sessmgr.exe (Assistenza remota)

L'eccezione per Desktop remoto funziona per i computer in cui sono in esecuzione tutte le versioni di Windows in cui è supportato questo criterio, ma lascia la porta TCP 3389 sempre aperta. Configurando un'eccezione programma per Sessmgr.exe, la porta 3389 viene invece aperta e chiusa in maniera dinamica, è possibile configurare questa eccezione in alternativa a quella per il Desktop remoto nei computer con Windows XP SP2 e Windows XP 64-bit SP1, tale eccezione non funziona per i computer Windows Server 2003 SP1.

Per configurare l'eccezione per la porta TCP 135 è necessario configurare il criterio di gruppo:
Configurazione Computer \ Modelli amministrativi \ Rete \ Connessioni di rete \ Windows Firewall \ Profilo di dominio \ Windows Firewall: definisci eccezioni porte

Quindi occorre abilitare tale criterio di gruppo specificando tramite Mostra l'eccezione per la porta TCP 135 mediante la sintassi:
135:TCP:*:enabled:Offri Assistenza remota (Porta TCP 135)

Per consentire agli amministratori locali di aggiungere porte all'elenco locale delle eccezioni di Windows Firewall occorre attivare il criterio di gruppo Windows Firewall: consenti eccezioni porte locali.

Per configurare le eccezioni per il traffico generato dai processi coinvolti dalla funzionalità Offri Assistenza remota è necessario configurare il criterio di gruppo:
Configurazione Computer \ Modelli amministrativi \ Rete \ Connessioni di rete \ Windows Firewall \ Profilo di dominio \ Windows Firewall: definisci eccezioni programmi

Quindi occorre abilitare tale criterio di gruppo specificando tramite Mostra l'eccezione per i processi Helpsvc.exe, Helpctr.exe e Sessmgr.exe mediante la sintassi:
%WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe:*:enabled:Offri Assistenza remota
%WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe:*:enabled:Assistenza remota - Windows Messenger e conversazione
%WINDIR%\SYSTEM32\Sessmgr.exe:*:enabled:Assistenza remota

Per consentire agli amministratori locali di aggiungere programmi all'elenco locale delle eccezioni di Windows Firewall occorre abilitare il criterio di gruppo Windows Firewall: consenti eccezioni programmi locali.

Configurazione delle eccezioni Windows Firewall necessarie per consentire la funzionalità Desktop Remoto

I computer verso cui si desidera aprire una sessione di Desktop Remoto dovranno accettare le connessioni in ingresso sulla porta TCP 3389.

Per configurare l'eccezione per il traffico generato dalla funzionalità Desktop remoto è necessario configurare il criterio di gruppo:
Configurazione Computer \ Modelli amministrativi \ Rete \ Connessioni di rete \ Windows Firewall \ Profilo di dominio \ Windows Firewall: Consenti eccezione per Desktop remoto

Quindi occorre abilitare tale criterio di gruppo specificando la sorgente da cui accettare il traffico in ingresso.

Specificando * di accetta il traffico da qualunque rete, specificando localsubnet si accetta il traffico dalla subnet locale. In alternativa è possibile specificare subnet (per esempio 10.3..x o 10.3.4.0/24) o un elenco di indirizzi IP e/o subnet separati da virgola. Per maggior sicurezza è consigliabile consentire l'accesso alla funzionalità Desktop Remoto solo a computer autorizzati a fornire assistenza.

Avvio delle sessioni di assistenza remota 

In Windows XP è possibile avviare una sessione Offerta di assistenza remota creando un collegamento al seguente comando:

"%ProgramFiles%\Internet Explorer\iexplore" hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/Unsolicited/Unsolicitedrcui.htm

In Windows Vista invece è possibile avviare una sessione di Offerta di assistenza tramite il comando:

%windir%\system32\msra.exe /expert

Per avviare una sessione di Desktop remoto è possibile utilizzare il collegamento Connessione desktop remoto oppure il comando %SystemRoot%\system32\mstsc.exe.

Configurazione delle eccezioni Windows Firewall necessarie per consentire l'amministrazione remota

Oltre all'assistenza remota o al desktop remoto in molte occasioni può essere utile poter accedere alle condivisioni amministrative o poter amministrare remotamente tramite Management Console i client dell'infrastruttura in modo centralizzato. Si pensi ad esempio a casi in cui sia necessario configurare servizi in modo remoto o distribuire file sui client.

Per consentire l'accesso alle share amministrative configurare l'eccezione per il traffico generato dalla funzionalità Desktop remoto è necessario configurare il criterio di gruppo:
Configurazione Computer \ Modelli amministrativi \ Rete \ Connessioni di rete \ Windows Firewall \ Profilo di dominio \ Windows Firewall: Consenti eccezione per condivisione file e stampanti

Dopo aver abilitato tale criterio di gruppo occorre specificare la sorgente da cui accettare il traffico in ingresso e per maggior sicurezza è consigliabile configurare l'eccezione solo per i computer autorizzati a fornire assistenza. Per maggiori informazioni sulle share amministrative si veda Creazione ed eliminazione di condivisioni nascoste o amministrative nei computer client.

Per consentire l'amministrazione remota del computer tramite strumenti di amministrazione come MMC (Microsoft Management Console) e WMI (Windows Management Instrumentation) configurare l'eccezione per il traffico generato dalla funzionalità Amministrazione remota:
Configurazione Computer \ Modelli amministrativi \ Rete \ Connessioni di rete \ Windows Firewall \ Profilo di dominio \ Windows Firewall: Consenti eccezione per amministrazione remota

Dopo aver abilitato tale criterio di gruppo occorre specificare la sorgente da cui accettare il traffico in ingresso anche in questo caso per maggior sicurezza è consigliabile configurare l'eccezione solo per i computer autorizzati a fornire assistenza dal momento che questa eccezione apre le porte TCP 135 e 445 normalmente utilizzate dai servizi per comunicare tramite RPC e DCOM. Inoltre consente questa impostazione consente a SVCHOST.EXE e a LSASS.EXE di ricevere messaggi non richiesti in ingresso e consente ai servizi ospitati di aprire altre porte assegnate in maniera dinamica, tipicamente nell'intervallo 1024 - 1034.

Si noti poi che se un'impostazione apre la porta TCP 445, Windows Firewall consentirà le richieste echo in ingresso, anche se l'impostazione "Windows Firewall: consenti eccezioni ICMP" le bloccherebbe. Le impostazioni che possono aprire la porta TCP 445 sono:

  • "Windows Firewall: consenti eccezione condivisione file e stampanti"
  •  "Windows Firewall: consenti eccezione amministrazione remota"
  •  "Windows Firewall: definisci eccezioni porte" (configurata per la porta TCP 445)

Conclusioni

In una infrastruttura basata su Active Directory e client Windows XP e successivi l'implementazione di una strategia di assistenza remota si può risolvere tramite configurazioni basate su Group Policy evitando in questo modo installazioni di prodotti specifici e configurazioni sui computer locali. Inoltre utilizzano le funzionalità di assistenza remota integrate nel sistema operativo si evita di aggiungere nell'infrastruttura applicativi che possono rappresentare falle di sicurezza.

Configurando opportunamente il firewall è possibile concedere la possibilità di accedere remotamente ai client  aziendali solo ai computer autorizzati, tipicamente quelli del appartenenti al personale dei reparto informatico. In questo modo si riesce ad ottenere un buon compromesso tra sicurezza di rete dei client e semplicità di accesso remoto.

Nel caso sia necessario prestare assistenza da un computer client esterno all'infrastruttura (si pensi al caso di un consulente informatico) si può concedere l'accesso via RDP ad un computer aziendale dal quale i client dell'infrastruttura accettano connessioni di assistenza remota. Per aumentare la sicurezza è possibile incapsulare l'accesso al computer dedicato all'assistenza remota all'interno di una connessione VPN (a riguardo si veda Configurazione di una VPN per accesso remoto con ISA Server 2006), inoltre si può pensare di avviare tale macchina (che può anche essere virtuale) solo all'occorrenza.

Per ulteriori informazioni si vedano:

 


Scritto in: Guide e Articoli
AZIONI: E-mail | Permalink |
CONDIVIDI: del.icio.us   Facebook   Digg   Google   Live Bookmarks   Newsvine   StumbleUpon   Technorati   Yahoo   DotNetKicks
blog comments powered by Disqus

Copyright 2011 by SysAdmin.it