Windows Vista: Hỗ trợ người dùng sử dụng Remote Assistance

Remote Assistance (RA) trong Windows Vista gồm một số các cải thiện trong vấn đề kết nối, hiệu suất, khả năng sử dụng và tính bảo mật, ngoài ra cùng với một số tính năng nâng cao khác sẽ làm cho nó trở nên hữu dụng hơn trong bản Windows XP. Với sự hỗ trợ của Group Policy, khả năng kịch bản dòng lệnh, bản ghi session, tối ưu băng thông và một số thứ khác sẽ làm cho RA trở thành một công cụ cần thiết cho các doanh nghiệp nhằm hỗ trợ người dùng trong kịch bản Help Desk. Phần một này của bài viết chúng tôi sẽ giới thiệu cho các bạn RA làm việc như thế nào trong Vista, làm thế nào sử dụng nó để hỗ trợ cho người dùng, cách quản lý nó bằng Group Policy và kịch bản như thế nào.

Tìm hiểu về Remote Assistance

Việc hỗ trợ người dùng là một chức năng cần thiết của các phòng CNTT và Help Desk. Tuy nhiên, việc hỗ trợ kỹ thuật thông thường cung cấp trên hệ thống điện thoại hoặc các công cụ “chat” nhìn chung không tạo được nhiều hiệu quả cao. Chính vì vậy, việc hỗ trợ người dùng thường gây tốn nhiều thời gian và chi phí cho các doanh nghiệp lớn. Ví dụ, người dùng thường gặp phải khó khăn khi mô tả chính xác bản chất của vấn đề mà họ đang mắc phải. Vì sự thiếu kinh nghiệm và kiến thức kỹ thuật, người dùng có thể cố gắng mô tả vấn đề của họ theo tính phi kỹ thuật, ngôn ngữ không chính xác. Chính vì vậy, Help Desk giảm rất nhiều hiệu quả vì phải hỏi một loạt các câu hỏi đơn giản để xác định vấn đề mà người dùng đang mắc phải. Việc thực hiện nhiều câu hỏi này đôi khi gây cho cảm giác không tốt đối với Help Desk, làm giảm hiệu quả đối với những kinh nghiệm mà họ có được, đôi khi nó còn làm cho người dùng có xu hướng tránh liên lạc với đội hỗ trợ khi các vấn đề phát sinh.

Người dùng cũng thường gặp phải nhiều khó khăn bởi các hướng dẫn từ phía Help Desk trong khi họ đang được hỗ trợ. Những thành viên đội hỗ trợ được đào tạo tốt sẽ cố gắng tránh sử dụng thuật ngữ kỹ thuật khi giao tiếp với người dùng, nhưng mặc dù sử dụng ngôn ngữ giải thích có thể cải thiện kinh nghiệm hỗ trợ nhưng nó có thể gây ra mất nhiều thời gian và mệt mỏi. Ví dụ, việc nói cho một người dùng về cách sử dụng Disk Cleanup từ các công cụ hệ thống System Tools trong Accessories có thể cần đến nhiều lời giải thích hơn thông thường, cách truyền thông này có thể mất nhiều thời gian cho tình huống hỗ trợ, làm cho họ cảm thấy tốn về mặt chi phí cho phía công ty.

Remote Assistance (RA) giúp bạn giải quyết các vấn đề này bằng cách cho phép thành viên trong đội hỗ trợ có thể xem được desktop của người dùng bằng thời gian thực. Người dùng đang tìm kiếm sự hỗ trợ có thể minh chứng bản chất của vấn đề cho thành viên trợ giúp. Điều này sẽ nhanh hơn và hiệu quả hơn để trao đổi vấn đề so với sử dụng email. Nếu cần thiết, người dùng còn có thể trao cho thành viên hỗ trợ quyền truy cập để thừa nhận quyền điều khiển được chia sẻ của máy tính người dùng, qua đó thể hiện cho người dùng cách giải quyết vấn đề một cách dễ dàng. Chính vì vậy Remote Assistance cho phép giải quyết các vấn đề nhanh hơn, cải thiện kinh nghiệm hỗ trợ và giảm giá thành tổng chi phí cho việc hỗ trợ người dùng trong một môi trường cộng tác lới.

Remote Assistance và Remote Desktop

Remote Assistance và Remote Desktop là các tính năng khác nhau có trong Windows Vista. Remote Desktop dựa cơ bản vào các dịch vụ đầu cuối của Microsoft và là một công cụ cho việc đăng nhập từ xa vào các máy tính điều khiển xa. Khi bạn sử dụng Remote Desktop để kết nối đến một máy tính điều khiển xa, một session người dùng mới sẽ được thành lập. Remote Desktop cũng có thể thành lập các session với máy tính mà không có session tương tác đang chạy (không có người dùng đăng nhập cục bộ) như các máy chủ không có máy dẫn đường.

Còn Remote Assistance là một công cụ trợ giúp các vấn đề khắc phục sự cố cho người dùng đối với máy tính của họ. Để sử dụng Remote Assistance, cả người dùng và người trợ giúp phải hiện diện trên máy tính của họ. Không giống như Remote Desktop, Remote Assistance không tạo một session mới mà thay vì đó nó cho phép người trợ giúp có thể làm việc trong session đang tồn tại của người dùng. Desktop của người dùng được điều khiển xa bởi người trợ giúp, người trợ giúp có thể xem desktop của người dùng với sự đồng ý của người dùng, chia sẻ quyền điều khiển trên desktop.

Đây là một cách hoàn toàn khác để tóm tắt sự khác nhau giữa hai tính năng này: Trong Remote Assistance, cả người dùng liên quan đang tìm kiếm tại cùng một desktop bằng sử dụng cùng các thông tin đăng nhập và có thể chia sẻ quyền điều khiển trên desktop đó; còn đối với Remote Desktop, khi người điều khiển xa đăng nhập, người dùng đã đăng nhập phải đăng xuất.

Những cải thiện của RA trong Windows Vista

Windows Vista gồm có một số tính năng mới và nâng cao của RA hơn so với trong Windows XP là:

  • Cải thiện kết nối bằng sử dụng Teredo và IPv6.
  • Cải thiện giao diện người dùng, cho phép dễ dàng khởi chạy và sử dụng.
  • File thực thi độc lập (msra.exe) áp dụng các đối số dòng lệnh và có thể dễ dàng được kịch bản hóa.
  • Cải thiện hiệu suất với việc khởi động và các lần kết nối nhanh hơn, hiệu suất băng thông được tối ưu hóa cho các nâng cấp màn hình.
  • Nâng cao tính bảo mật với mật khẩu và sự tích hợp bắt buộc với UAC (User Account Control).
  • Offer RA mới thông qua kịch bản IM (Instant Message) và một API mở cho việc tích hợp các ứng dụng ngang hàng.
  • Các thiết lập Group Policy truyền thống được cải thiện để có thể quản lý dễ dàng.

Remote Assistance trong Vista không có các tính năng sau đã có trong XP:

  • Không hỗ trợ nhiều cho phương pháp MAILTO của Remote Assistance
  • Không hỗ trợ nhiều cho các session voice.

Remote Assistance làm việc như thế nào

Trong Remote Assistance, người cần giúp được quy thành người dùng (User (hoặc Novice)) và người hỗ trợ cung cấp các hỗ trợ cho người dùng (Helper (hoặc Expert)). RA được khởi chạy từ menu Start bằng cách chọn All Programs, kích Maintenance, sau đó chọn Windows Remote Assistance. Bạn cũng có thể khởi chạy nó từ cửa sổ lệnh bằng cách đánh msra.exe.

Remote Assistance có hai chế độ hoạt động cơ bản:

1. Solicited RA. Trong Solicited RA (cũng được hiểu là Escalated RA) người dùng yêu cầu sự hỗ trợ từ người trợ giúp bằng cách khởi tạo một session RA bằng email, IM hoặc bằng cách cung cấp cho người trợ giúp bản copy của một file đã được lưu (*.MsRcIncident). Các phương pháp đó sử dụng một cơ chế khác:

- Solicited RA Using E-mail (Solicited RA sử dụng Email) Phương pháp này yêu cầu máy khách email đang được sử dụng bởi giao diện ứng dụng mail đơn giản hỗ trợ người dùng - User support Simple Mail Application Programming Interface (SMAPI). Một trong các ví dụ về máy khách email có hỗ trợ SMAPI là Windows Mail có trong Windows Vista. Các ví dụ khác là Microsoft Outlook và các máy khách của nhóm thứ ba. Trong phương pháp này, người dùng khởi chạy giao diện người dùng RA để tạo một thông báo email có file RA (*.MsRcIncident) được gắn kèm với thông báo. Người dùng phải nhập vào đó một mật khẩu cho session RA, mật khẩu này phải được truyền thông đến người trợ giúp bằng một phương pháp khác (OOB) chẳng hạn như quay số gọi điện thoại cho người trợ giúp. Khi người trợ giúp nhận được lời mời RA của người dùng, họ sẽ mở thẻ đính kèm, nhập vào mật khẩu mà đã được người dùng cho, khi đó session RA bắt đầu. Người trợ giúp phải đáp ứng lời mời từ người dùng bên trong một khoảng thời gian giới hạn nào đó (mặc định là 6 giây) hoặc lời mời sẽ hết hạn và một lời mời mới sẽ cần thiết được gửi đến. Trong môi trường miền, thời gian sống của thẻ này cũng có thể được cấu hình bằng Group Policy, chúng tôi sẽ giới thiệu cho các bạn về việc quản lý Remote Assistance bằng Group Policy trong một số bài sau.

- Solicited RA Using File Transfer (Solicited RA sử dụng bộ truyền tải File) Phương pháp này yêu cầu cả người dùng và người trợ giúp đều phải truy cập vàp một thư mục chung (như một mạng chia sẻ trên một máy chủ file) hoặc họ sử dụng một số phương pháp khác để truyền tải thông tin file (ví dụ, bằng cách sử dụng một khóa USB để truyền tải file hoặc upload file lên một site FTP). Người dùng tạo một file mời RA và lưu lại nó trong một thư mục chia sẻ. Người dùng phải cung cấp một mật khẩu, mật khẩu này được dùng để truyền thông với người trợ giúp bằng sử dụng phương pháp gọi điện thoại như đã nói trên. Người trợ giúp lấy được thẻ và phải đáp ứng lại cho lời mời bên trong một khoảng thời gian cụ thể hoặc lời mời đó sẽ hết hiệu lực và phải chờ đến lời mời sau. (thời hạn được cấu hình trong Group Policy).

- Solicited RA Using Instant Messaging (Solicited RA bằng IM) Phương pháp này cần đến các ứng dụng IM đang được sử dụng bởi cả người dùng và người trợ giúp có hỗ trợ Rendezvous API mới của Microsoft. Windows Live Messenger là một ví dụ của một ứng dụng IM có hỗ trợ Rendezvous (trao đổi). Windows Live Messenger có sẵn trên mạng để các bạn có thể download. Trong phương pháp này, người dùng yêu cầu sự hỗ trợ từ một ai đó trên danh sách bạn thân của anh ta. Để bảo đảm rằng người điều khiển xa thực sự là bạn thân của người dùng này (không phải là ai đó giả làm bạn thân để lừa bạn), Remote Assistance yêu cầu một mật khẩu được tiếp sóng từ người dùng đến người trợ giúp bằng các cách khác nhau (chẳng hạn như gọi điện thoại) trước khi người trợ giúp có thể kết nối. Để có thể tìm hiểu sâu hơn về Rendezvous API, bạn có thể xem Windows SDK trên MSDN tại địa chỉ http://windowssdk.msdn.microsoft.com/en-us/library/default.aspx.

2. Unsolicited RA. Trong Unsolicited RA (cũng được biết đến như Offer RA), người trợ giúp giúp đỡ người dùng bằng cách khởi tạo một session RA.

- Offer RA using DCOM (Tạo RA bằng sử dụng DCOM) Đây là kịch bản Help Desk điển hình trong đó tất cả người dùng đều trong một miền. Người trợ giúp nhập vào tên đầy đủ của họ (FQDN) hoặc địa chỉ IP của máy tính để kết nối vàp máy tính của người dùng. Phương pháp này yêu cầu người trợ giúp phải được xác thực quyền quản trị miền để có thể cung cấp RA cho người dùng. Phương pháp này cũng yêu cầu người trợ giúp biết tên (tên máy chủ trên subnet cục bộ; tên đầy đủ) hoặc địa chỉ (IPv4 hoặc IPv6) của máy tính người dùng.

- Offer RA using Instant Messaging (Tạo RA bằng IM) Phương pháp này yêu cầu đến ứng dụng instant messaging (IM) được sử dụng bởi cả người dùng và người trợ giúp có hỗ trợ Rendezvous API. Trong phương pháp này, người trợ giúp hỗ trợ ai đó trong danh sách bạn thân của anh ta. Nếu người này đồng ý thì anh ta phải nhập vào một mật khẩu để người trợ giúp sử dụng. Mật khẩu phải được chuyển bằng một phương pháp khác để bảo đảm người điều ở xa thực sự là bạn thân của người dùng (tránh trường hợp là một ai đó giả mạo). Để có thêm thông tin chi tiết về Rendezvous API, bạn có thể xem tại địa chỉ http://windowssdk.msdn.microsoft.com/en-us/library/default.aspx.

Các file mời RA làm việc như thế nào

Các file mời RA (.MsRcIncident) là các file định dạng XML gồm có thông tin được sử dụng bởi máy tính của người trợ giúp, máy tính sẽ thực hiện một kết nối. Thông tin thẻ này được mã hóa để ngăn chặn người dùng không hợp lệ truy cập, sử dụng email hoặc truyền tải file được sử dụng để gửi lời mời trên mạng không an toàn.

Nếu phương pháp email được sử dụng để gửi file mời đến người trợ giúp thì file mời được gửi như một đính kèm email với một tên file là RATicket.MsRcIncident. Còn nếu phương pháp truyền tải file được sử dụng thì file mời sẽ được tạo mặc định trên desktop của máy tính người dùng và tên file của file mời này là Invitation.MsRcIncident.

Trạng thái hoạt động của RA

Remote Assistance có ba trạng thái hoạt động sau:

- Waiting For Connect (Đợi kết nối) Trạng thái này xuất hiện khi:

  • Người trợ giúp đã cung cấp RA cho người dùng nhưng người dùng vẫn chưa đồng ý cho phép người trợ giúp kết nối đến máy tính của anh ta.
  • Người dùng đã gửi đến người trợ giúp một lời mời nhưng người trợ giúp vẫn chưa đáp trả bằng cách mở nó hoặc đã mở file mời và người dùng vẫn chưa đồng ý cho phép người trợ giúp kết nối tới máy tính của anh ta.

Trong trạng thái đợi kết nối, người trợ giúp không thể xem hoặc điều khiển màn hình máy tính của người dùng cho tới khi một kết nối RA được thiết lập và cả hai máy tính đều đã vào trạng thái màn hình chia sẻ. Khi ứng dụng RA được bắt đầu và đang chạy trong trạng thái đợi kết nối, ứng dụng sẽ không được đóng cho tới khi nhóm khác đáp ứng và thiết lập kết nối. Ví dụ, nếu người dùng sử dụng phương pháp Solicit RA Using E-mail và gửi một file mời đến người trợ giúp, ứng dụng RA mở trên máy tính của người dùng và đợi cho tới khi người trợ giúp chấp nhận lời mời. Nếu người dùng đóng RA trên máy tính của anh ta trước khi người trợ giúp chấp nhận lời mời thì người trợ giúp sẽ không thể kết nối được với người dùng và người dùng cần phải gửi một lời mời mới.

- Screen Sharing (Màn hình chia sẻ) Trạng thái này xuất hiện khi người dùng đã đồng ý cho phép người trợ giúp kết nối đến máy tính của anh ta – sau khi người dùng đã gửi đến người trợ giúp một file mời hoặc người trợ giúp đã cung cấp RA cho người dùng. Trong trạng thái màn hình chia sẻ, session RA được thiết lập và người trợ giúp có thể xem nhưng không thể điều khiển màn hình của máy tính người dùng. Khi người dùng được nhắc đồng ý cho phép người trợ giúp kết nối với máy tính của anh ta thì một thông báo sẽ xuất hiện trên máy tính của người dùng, thông báo này cho biết rằng người trợ giúp muốn kết nối đến máy tính của anh ta. Thông báo này có thể tùy chỉnh bằng sử dụng Group Policy.

- Control Sharing (Chia sẻ điều khiển) Trạng thái này xuất hiện sau trạng thái màn hình chia sẻ, khi người trợ giúp đã yêu cầu quyền điều khiển của máy tính người dùng và người dùng đã đồng ý để người trợ giúp có thể điều khiển máy tính. Trong chế độ này, người trợ giúp có cùng mức truy cập đối với máy tính mà người dùng có và người trợ giúp có thể sử dụng chính chuột và bàn phím của anh ta để thực hiện các hành động trên máy tính của người dùng. Đặc biệt:

  • Nếu người dùng là một người dùng chuẩn trên máy tính thì người trợ giúp chỉ có thể thực hiện các hành động trên máy tính của người dùng như một người dùng chuẩn.
  • Nếu người dùng là một quản trị viên cục bộ trên máy tính thì người trợ giúp có thể thực hiện các hành động trên máy tính của người dùng như một quản trị viên.

Để có thêm thông tin chi tiết về mức điều khiển mà người trợ giúp có trên máy tính của người dùng, bạn có thể theo dõi trong các bài sau.

Chức năng của người dùng và người trợ giúp

Khi kết nối RA đã được thành lập và cả hai máy tính đã đều vào trạng thái màn hình chia sẻ thì người dùng và người trợ giúp có thể thực hiện các nhiệm vụ được liệt kê trong bảng dưới đây:

Mô tả các nhiệm vụ Người dùng Người trợ giúp

Chat

YesYes

Gửi file

YesYes

Lưu bản ghi hành động session

Yes (default)Yes (default)

Cấu hình sử dụng băng thông

YesNo

Dừng (màn hình ẩn tạm thời)

YesNo

Yêu cầu quyền điều khiển được chia sẻ

NoYes

Từ bỏ quyền điều khiển chia sẻ

YesYes

Hủy kết nối

YesYes

Hủy kết nối bằng phím Esc

YesNo
Bảng 1: Các nhiệm vụ có thể được thực hiện bởi người dùng và người trợ giúp trong suốt một session RA

Remote Assistance và NAT Traversal

Remote Assistance làm việc bằng cách thiết lập kết nối ngang hàng giữa máy tính người dùng và máy tính của người trợ giúp. Một khó khăn trong kết nối này là rất khó có thể thiết lập kết nối ngang hàng nếu một hoặc cả hai máy tính này nằm phía sau gateway hoặc router có sử dụng Network Address Translation (NAT). NAT là một công nghệ định tuyến được mô tả bởi RFC 1631, được sử dụng để dịch các địa chỉ IP và số cổng TCP/UDP trong các gói tồn tại được chuyển tiếp. NAT điển hình được sử dụng để ánh xạ một tập các địa chỉ IP riêng thành một địa chỉ IP cộng cộng (hoặc thành nhiều địa chỉ công cộng). Các mạng gia đình đang sử dụng router chạy dây hoặc không dây cũng sử dụng công nghệ NAT này.

Để vượt qua được khó khăn này, Vista đã được xây dựng kèm theo sự hỗ trợ của Teredo, một kỹ thuật chuyển tiếp IPv6 được mô tả trong RFC 4380, kỹ thuật này sẽ cung cấp chỉ định địa chỉ và tự động tạo đương hầm cho kết nối unicast IPv6 thông qua toàn mạng Internet IPv4. Khả năng của NAT traversal được cung cấp bởi Teredo trong Vista cho phép kết nối RA khi một hoặc cả hai người dùng trong một session RA bị ẩn đằng sau NAT. Cảm nhận về RA là trong suốt xét trên phối cảnh của người dùng có liên quan, không quan tâm đến NAT nào đang được sử dụng trên mạng của người dùng. Với hầu hết các doanh nghiệp nhỏ và môi trường người dùng gia đình, RA của Vista sẽ liên tục đi theo NAT-enabled router không cần cấu hình router bổ sung.

Lưu ý: Việc cung cấp RA bằng sử dụng DCOM không thường xuyên là kịch bản Teredo vì người dùng doanh nghiệp luôn ở đằng sau tường lửa của công ty và không được phân biệt với nhau bởi các NAT. RA sẽ không kết nối trong một số cấu hình nào đó. Đặc biệt:

  • Teredo không thể đi theo một NAT đối xứng. RA chỉ có thể kết nối xuyên qua các NAT bị hạn chế và NAT hình nón. Trong một số trường hợp, điều này không phải là một hạn chế quan trọng bởi vì phần lớn các NAT được triển khai là loại bị hạn chế hoặc hình nón.
  • RA sẽ không làm việc nếu NAT-enabled router được cấu hình để khóa các cổng nào đó được sử dụng bởi RA.
  • RA sẽ không làm việc nếu NAT-enabled router của người dùng được cấu hình để khóa tất cả lưu lượng UDP.

Lưu ý: Để xác định kiểu của NAT mà một mạng đang sử dụng, bạn mở cửa sổ lệnh và đánh vào đó netsh interface teredo show state.

Remote Assistance và các cổng IP được sử dụng

Các cổng được sử dụng bởi session RA phụ thuộc vào session giữa các máy tính Vista hoặc giữa máy tính Vista và một máy tính XP. Cụ thể:

  • Vista với Vista: Các cổng động được định vị bởi hệ thống trong dải TCP/UDP 49152–65535
  • Vista với XP: Cổng 3389 TCP (cục bộ/từ xa)

Thêm vào đó, kịch bản Offer RA thông qua DCOM sử dụng cổng 135 (TCP).

Remote Assistance và Windows Firewall

Windows Firewall được cấu hình với một ngoại lệ nhóm cho RA. Ngoại lệ nhóm này có nhiều thuộc tính được gộp vào thành một phần của ngoại lệ RA. Các thuộc tính ngoại lệ RA sẽ thay đổi phụ thuộc vào vị trí mạng của máy tính (riêng, công cộng, hoặc miền). Ví dụ, ngoại lệ RA mặc định khi máy tính trong các điểm công cộng sẽ chính xác hơn khi máy tính trong vị trí riêng. Trong điểm công cộng (như sân bay), ngoại lệ RA bị vô hiệu hóa mặc định, không mở các cổng Universal Plug-and-Play (UpnP) và lưu lượng Simple Service Discovery Protocol (SSDP). Trong mạng riêng (mạng gia đình chẳng hạn) ngoại lệ RA sẽ được kích hoạt mặc định và lưu lượng uPnP và SSDP được cho phép.

Bảng tổng hợp 2 là các trạng thái ngoại lệ đi vào của tường lửa RA cho mỗi location mạng. Mặc dù vậy, Ngoại lệ RA cũng có các thuộc tính đi ra, Windows Firewall không được cấu hình mặc định để kích hoạt các thuộc tính ra.

Vị trí mạng

Trạng thái của ngoại lệ RA

Các thuộc tính mặc định của ngoại lệ RA

Mạng riêng (gia đình hoặc nơi làm việc)

Được kích hoạt mặc định

  • Ngoại lệ ứng dụng Msra.exe
  • uPnP được kích hoạt cho việc truyền thông với uPnP NATs
  • Edge traversal được kích hoạt để hỗ trợ Teredo

Công cộng

Bị vô hiệu hóa mặc đinh – phải được kích hoạt bởi quyền quản trị viên

  • Ngoại lệ ứng dụng Msra.exe
  • Edge traversal được kích hoạt để hỗ trợ Teredo

Miền

Bị vô hiệu hóa mặc định – được kích hoạt bởi Group Policy

  • Ngoại lệ ứng dụng Msra.exe
  • Ngoại lệ ứng dụng RAServer.exe (RA COM server)
  • DCOM cổng 135
  • uPnP được kích hoạt cho việc truyền thông với uPnP NATs

Bảng 2: Trạng thái mặc định của ngoại lệ đầu vào Remote Assistance Firewall cho mỗi kiểu vị trí mạng

Trong các hồ sơ Windows Firewall, cấu hình mặc định của ngoại lệ RA như sau:

- Private profile Ngoại lệ RA trong Windows Firewall được kích hoạt mặc định khi location máy tính được thiết lập là “private.” Nó được cấu hình NAT traversal bằng sử dụng Teredo mặc định để người dùng trong môi trường kết nối mạng riêng (ví dụ, môi trường gia đình) có thể có được sự giúp đỡ từ người dùng khác, những người có thể cũng ở đằng sau NAT. Hồ sơ riêng gồm các ngoại lệ thích hợp cần cho truyền thông với thiết bị uPnP NAT. Nếu có một uPnP NAT trong môi trường này, RA sẽ sử dụng uPnP cho NAT traversal. Offer RA thông qua DCOM không được cấu hình trong profile này.

- Public profile Ngoại lệ RA bị vô hiệu hóa mặc định và không cho phép lưu lượng RA vào. Windows Firewall được cấu hình theo cách này mặc định để có thể bảo vệ tốt hơn người dùng trong môi trường mạng công cộng (như quán cà phê hoặc sân bay). Khi ngoại lệ RA được kích hoạt, NAT traversal sử dụng Teredo được kích hoạt. Mặc dù vậy, lưu lượng đến các thiết bị uPnP không được kích hoạt và Offer RA thông qua DCOM cũng không được kích hoạt.

- Domain Profile. Ngoại lệ RA khi máy tính trong môi trường miền được chuyển tiếp sang kịch bản Offer RA. Ngoại lệ này bị vô hiệu hóa mặc định và được kích hoạt thông qua Group Policy. Teredo không được kích hoạt trong hồ sơ này bởi vì mạng công ty thường có một tường lửa để khóa lưu lượng Teredo UDP. Mặc dù vậy, uPnP được kích hoạt để các uPnP NAT có thể truyền thông.

Remote Assistance và Secure Desktop

Khi người dùng đồng ý để người trợ giúp có thể chia sẻ được quyền điều khiển trên máy tính của anh ta trong suốt một session RA, người dùng có tùy trọn để cho phép người trợ giúp đáp ứng các nhắc nhở UAC (hình 1). Điển hình, các nhắc nhở User Account Control (UAC) xuất hiện trên Secure Desktop (thành phần không được điều khiển xa) và vì vậy người trợ giúp không thể thấy được hoặc đáp trả các nhắc nhở Secure Desktop. Chế độ Secure Desktop giống với chế độ mà người dùng nhìn thấy khi đăng nhập vào máy tính hoặc nhấn tổ hợp phím (Ctrl+Alt+Delete). Các nhắc nhở UAC được hiển thị trên Secure Desktop thay vì desktop thông thường của người dùng để bảo vệ họ tránh phải các hiểm họa gây ra bởi malware. Người dùng phải tuân theo nhắc nhở UAC để trở về desktop thông thường của họ và tiếp tục làm việc. Sự đồng thuận này yêu cầu cả việc kích Continue (nếu người dùng là một quản trị viên cục bộ trên máy tính) hoặc bằng nhập vào các thông tin quản trị cục bộ (nếu anh ta là một người dùng chuẩn).


Hình 1: Người dùng có tùy chọn để cho phép người trợ giúp đáp ứng các nhắc nhở
UAC khi session RA trong trạng thái chia sẻ điều khiển.

Bên cạnh đó việc hiểu Secure Desktop trên máy tính người dùng không được điều khiển xa đối với máy tính của người trợ giúp cũng rất quan trọng. Nói cách khác, người trợ giúp chỉ có thể đáp trả các nhắc nhở UAC trên máy tính của người dùng bằng sử dụng chính các thông tin của người dùng. Điều đó có nghĩa, nếu người dùng là người dùng chuẩn trên máy tính trong khi đó người trợ giúp là một quản trị viên cục bộ trên máy tính của người dùng thì người trợ giúp chỉ có thể có quyền quản trị trên máy tính người dùng nếu người dùng cung cấp cho anh ta các thông tin cần thiết.

Việc đưa ra hạn chế này là cần thiết để bảo đảm bảo mật cho các máy tính Vista. Lý do ẩn đằng sau quyết định thiết kế này là nếu RA được thiết kế để cho phép người trợ giúp điều khiển xa với các quyền của người dùng thì người dùng có thể sẽ dừng session RA và vì vậy có thể lấy các thông tin quản trị cục bộ từ phía người trợ giúp.

Việc ghi log của RA

Remote Assistance có thể ghi session các hành động liên quan đến RA. Việc ghi session này được kích hoạt mặc định và gồm có các bản ghi time-stamped để nhận dạng các hành động liên quan đến RA trên mỗi máy tính. Các bản ghi session gồm thông tin về các hành động liên quan đến chức năng của RA, như ai đã khởi tạo session,… Các bản ghi session này không có thông tin về nhiệm vụ hiện tại mà người dùng và người trợ giúp đã thực hiện trong suốt một session. Ví dụ, nếu người trợ giúp nhận được quyền điều khiển chia sẻ, bắt đầu một nhắc nhở lệnh quản trị và thực hiện các bước để cấu hình lại TCP/IP trên máy tính của người dùng trong suốt một session RA thì các bản ghi session sẽ không có bản ghi của hành động này.

Các bản ghi session gồm có cả các hành động chat được trao đổi trong suốt một session RA. Bản ghi đã tạo ra trong suốt một session cũng được hiển thị bên trong cửa sổ chat để cả người dùng và người trợ giúp có thể nhìn thấy những gì đã được ghi trong suốt session. Các bản ghi này cũng gồm có hành động trao đổi file xảy ra trong suốt session, và cũng ghi lại khi session bị dừng.

Mục đích của việc ghi session RA

Các bản ghi session cho RA được dự định chính cho hoạt động kinh doanh yêu cầu duy trì các bản ghi hệ thống và hành động người dùng cho mục đích ghi chép. Chúng không được dự định để ghi các hành động được thực hiện bởi cá nhân trợ giúp khi các vấn đề khắc phục sự cố với máy tính của người dùng. Một môi trường điển hình trong việc ghi chép session là ở các ngân hàng, tại đây các tình huống tài chính bị yêu cầu bằng luật là phải giữ các bản ghi của những người đã truy cập vào máy tính và thời điểm nào.

Vì ACL tên các bản ghi session này cho phép toàn quyền điều khiển của người dùng trên các bản ghi đã được lưu trên máy tính của chính họ, mặc định các bản ghi session được tạo ra trên cả máy tính của người dùng và người trợ giúp để người trợ giúp có thể bảo vệ và thực hiện chúng khi bị xáo trộn.

Trong môi trường doanh nghiệp, Group Policy có thể được sử dụng để kích hoạt hoặc vô hiệu hóa việc ghi session. Nếu việc ghi chép này không được cấu hình bằng Group Policy, thì cả người dùng và người trợ giúp hoàn toàn vô hiệu hóa việc ghi chép session trên máy tính của chính họ.

Đường dẫn bản ghi session và việc đặt tên thông thường

Bản ghi session là các tài liệu XML để chúng có thể dễ dàng tích hợp vào các kiểu dữ liệu khác – ví dụ, bằng cách import chúng thành một cơ sở dữ liệu được quản lý bởi Microsoft SQL Server 2005. Tất cả các bản ghi session đều được lưu trong thư mục Documents của người dùng bên trong đường dẫn sau:

Users\user_name\Documents\Remote Assistance Logs

File bản ghi session duy nhất này được tạo cho mỗi session RA trên máy tính. Các file bản ghi đã lưu bên trong thư mục này được định dạng XML và được đặt tên với đuôi thông thường YYYYMMDDHHMMSS.xml. Nội dung bên trong của một file bản ghi session điển hình được cho dưới đây:

<?xml version="1.0" ?>
<SESSION>
<INVITATION_OPENED TIME="3:24 PM" DATE="Wednesday, August 09, 2006" EVENT="A Remote Assistance invitation has been opened." />
<INCOMING_IP_ADDRESS TIME="3:26 PM" DATE="Wednesday, August 09, 2006">fe80::2856:e5b0:fc18:143b%10</INCOMING_IP_ADDRESS>
<CONNECTION_ESTABLISHED TIME="3:26 PM" DATE="Wednesday, August 09, 2006" EVENT="A Remote Assistance connection has been established.">jdow</CONNECTION_ESTABLISHED>
<EXPERT_REQUEST_CONTROL TIME="3:27 PM" DATE="Wednesday, August 09, 2006" EVENT="jdow has requested to share control of the computer." />
<EXPERT_GRANTED_CONTROL TIME="3:27 PM" DATE="Wednesday, August 09, 2006" EVENT="jdow has been granted permission to share control of the computer." />
<EXPERT_CONTROL_STARTED TIME="3:27 PM" DATE="Wednesday, August 09, 2006" EVENT="jdow is sharing control of the computer." />
<EXPERT_CONTROL_ENDED TIME="3:27 PM" DATE="Wednesday, August 09, 2006" EVENT="jdow is not sharing control of the computer." />
<CHAT_MESSAGE TIME="3:30 PM" DATE="Wednesday, August 09, 2006">jdow: test</CHAT_MESSAGE>
<CHAT_MESSAGE TIME="3:30 PM" DATE="Wednesday, August 09, 2006">jchen: ok</CHAT_MESSAGE>
<CONNECTION_ENDED TIME="3:30 PM" DATE="Wednesday, August 09, 2006" EVENT="The Remote Assistance connection has ended." />
<INVITATION_CLOSED TIME="3:30 PM" DATE="Wednesday, August 09, 2006" EVENT="A Remote Assistance invitation has been closed." />
</SESSION>

Windows Vista: Hỗ trợ người dùng sử dụng Remote Assistance (Phần 2)
Windows Vista: Hỗ trợ người dùng sử dụng Remote Assistance (Phần 3)

Thứ Tư, 25/07/2007 09:53
31 👨 1.423
0 Bình luận
Sắp xếp theo