GUIDE ADMINISTRATEUR SUR L ASSISTANCE A DISTANCE WINDOWS : CAS DE EXCENT GROUPE

1 GUIDE ADMINISTRATEUR SUR L ASSISTANCE A DISTANCE WINDOWS : CAS DE EXCENT GROUPE

TABLE DES MATIERES CHAPITREI : GENERALITES SUR L ASSISTANCE A DISTANCE WINDOWS.......4 I. L assistance à distante Windows.........4 II. L algorithme RC4.........4 III. Les protocoles et ports de transmission utilisés......5 IV. Les modes de fonctionnemenst de l assistance à distance Windows........7 1. Mode de fonctionnement automatique........7 2. Mode de fonctionnement manuelle.......9 3. Mode de fonctionnement manuelle assisté.........11 CHAPITREII : ETUDE DE L ASSISTANCE A DISTANCE WINDOWS....13 I. Déploiement de l assistance à distance Windows par GPO sur Windows serveur 2008 R2...........13 1. Assistance à distance sollicitée.........14 2. proposer l assistance à distance...... 16 II. Les autres paramètres de l assistance à distance Windows configurables par stratégie de groupe.....17 1. autoriser uniquement les connexions d ordinateurs Windows vista ou de version ultérieure........17 2. Activer l optimisation de la bande passante........19 3. Activer la journalisation de session...20 4. Personnaliser les messages d avertissement......21 III. IV. Configuration de l assistance à distance Windows en mode manuelle....22 Configuration du mode assistance manuelle assistée.....24 V. Configuration du Pare Feu relatif à l assistance à distance Windows...27 CHAPITRE III : IMPLEMENTATION DE L ASSISTANCE A DISTANCE WINDOWS AU SEIN DU DOMAINE EXCENT GROUPE..........30 I. Choix du mode d assistance à distance Windows à déployer.....31 II. 1. Architecture du domaine Excent Groupe...... 31 2. La solution retenue..........32 Maquettage....... 32 1. Schéma du Laboratoire de test......32 2. Description du cadre de travail... 33 2

III. Déploiement de l assistance à distance Windows au sein du domaine EXcent Groupe.......34 1. Configuration de l assistance à distance proposé Windows.......... 34 1.1 Activer l optimisation de la bande passante..........36 1.2 Personnaliser les messages d avertissements......37 1.3 Proposer l assistance à distance..........38 2. Configuration des droits d élévations pour les comptes d administrateur......39 3. Création de raccourci pour l assistance à distance.......40 CHAPITRE VI : MODE DE FONCTIONNEMENT ET TEST PERFORMENCE ET SCENARIO......41 I. Mode d utilisation de l assistance à distance Windows.....41 1. Action à mener sur la machine du conseiller........41 2. Actions à mener sur la machine de l utilisateur.........42 3. Les outils à dispositions du conseiller et de l utilisateur.....43 II. Mise en situation et scenarios........44 ANNEXE....46 3

CHAPITRE I: GENERALITE SUR L ASSISTANCE A DISTANCE WINDOWS I. L assistance à distance Windows Les systèmes Microsoft Windows intègrent depuis Windows XP, nativement deux outils de prise en main à distance assez simple d usage et qui s appuient tous deux sur le protocole RDP (Remote Desktop Protocol) : L outil de Connexion Bureau à distance, basé uniquement sur RDP qui lui-même peut s appuyer sur des mécanismes d authentification au niveau réseau (Kerberos par exemple) ; l outil d Assistance à distance, utilisant entre autres les protocoles MS-RA (Remote Assistance Protocol) et MS-RAI (Remote Assistance Initiator) et ne faisant appel à RDP que pour le déport d affichage une fois la connexion établie. À titre d exemple, l utilisation de la "Connexion Bureau à distance" standard nécessite l emploi du compte de l utilisateur téléassisté et requiert la connaissance du login et du mot de passe par le télé-assistant. Elle empêche de fait de distinguer dans les journaux un accès illégitime à des ressources locales (données, périphériques) et donc, d identifier toute fuite d information. Au contraire, une "Assistance à distance", qui serait par exemple à l initiative de l utilisateur depuis le centre d aide et de support, génère un jeton d accès unique qui est transmis à la personne en charge de la téléassistance. Par ce biais, l utilisateur ne communique pas son mot de passe. Il conserve le contrôle des opérations effectuées par le biais d un affichage partagé et, en cas d incident, l exploitation ultérieure des journaux d événements en est facilitée. L outil d "Assistance à distance" s avère donc bien plus adapté à un usage de téléassistance que ne l est celui de "Connexion Bureau à Distance" plus adapté à des tâches d administration. II. L algorithme RC4 RC4 a été conçu par Ronald Rivest de RSA Security en 1987. Officiellement nommé Rivest Cipher 4, l'acronyme RC est aussi surnommé Ron's Code comme dans le cas de RC2, RC5 et RC6. RC4 fonctionne de la façon suivante : la clef RC4 permet d initialiser un tableau de 256 octets en répétant la clef autant de fois que nécessaire pour remplir le tableau. Par la suite, des opérations très simples sont effectuées : les octets sont déplacés dans le tableau, des additions sont effectuées, etc. Le but est de mélanger autant que possible le tableau. Finalement on obtient une suite de bits pseudo-aléatoires qui peuvent être utilisés pour chiffrer les données via un XOR 4

III. Les protocoles et port de transmission utilisés L assistance à distance Windows s appuie sur le protocole MS-RA (Microsoft- assistance à distance) pour maintenir la communication à distance entre deux machines lors d une session d assistance à distance ; pour ce faire elle s appuie sur deux protocoles qui sont MS- RAI et MS-RDPBGCR. Voir figure ci-dessous Figure1 : interaction entre les différents protocoles utilisés pour assistance à distance Windows Le protocole d assistance à distance MS-RA est le protocole, utilisé après l établissement de la connexion d assistance à distance entre deux ordinateurs. Après l établissement de la connexion d assistance à distance, ce protocole est utilisé pour maintenir la communication et le contrôle entre les deux ordinateurs. Les fonctions prises en charge par le modèle d assistance à distance sont : Initialisation de la session Transfert de fichiers Le chat (texte échanges de message) 5

Le contrôle du partage Contrôle de la Voip Le protocole MS-RAI est le protocole d initiation de l assistance à distance. Il fournit un ensemble d interface DCOM utilisé pour initier la connexion d assistance à distance vers un autre ordinateur. En effet ces interfaces DCOM permettent au conseiller (personne qui vient en aide) de récupérer les données de connexion d assistance à distance spécifique à l ordinateur du novice (personne aidé). Ces données spécifiques à la connexion d assistance à distance sont ensuite utilisées pour établir une connexion d assistance à distance. Cependant le protocole MS- RA s appuie sur d autre programme qui sont le MS-DPBCGR, MS-RAI Le conseiller doit être muni d un fichier ID (fichier d invitation à l assistance à distance), ou de l adresse IP de la machine ou du FQDN de la machine du novice Le conseiller joue le rôle du client DCOM, La machine du novice joue le rôle du serveur DCOM Avant l exécution du client DCOM sur la machine distante, le serveur DCOM (machine distance) vérifie que le conseiller est sur la liste des utilisateurs autorisé à l assistance à distance (cas de l assistance automatique voir plus loin dans le document) Le protocole MS-RDPBCGR est le protocole bureau à distance : connectivité basic et affichage distant qui facilite l interaction de l utilisateur avec le bureau distant ; ceux en transférant les données d affichage graphique de l ordinateur distant pour l utilisateur, et aussi le transport des périphériques d entrées (clavier et souris) de l utilisateur de l ordinateur distant. RDP fournit également un mécanisme de transport extensible qui permet la communication spécialisée qui aura lieu entre les composants de l ordinateur de l utilisateur et des composants en cours d exécution sur l ordinateur distant. Le protocole OAUT : est le protocole d automatisation d objets et liens sur objet, il utilise le modèle de composant objet distribué (DCOM) comme couche de transport ; c est un mécanisme de communication interprocessus qui permet à des logiciels de communiquer entre eux Le protocole DCOM : Le modèle de composant objet distribué assure la transparence au niveau du réseau, DCOM utilise les RPC («Remote Procedure Call», ou «Appels de procédures à distance»). Il facilite ainsi énormément la gestion du réseau pour les programmeurs. En particulier, il prend en charge les communications et le marshalling, c'est à dire l'encapsulation du côté client des paramètres donnés par le client à la fonction appelée, ainsi que la reconstitution de ces paramètres du coté serveur pour l'appel de la fonction. Bien entendu, 6

DCOM reste ouvert et permet au programmeur de réaliser son propre marshalling, ou de contrôler son propre protocole de communication Le protocole RPCE : extension d appel de procédure, est un protocole réseau permettant de faire des appels de procédures sur un ordinateur distant IV. Mode de fonctionnement de l assistance sous Windows On distingue trois grands modes de fonctionnements lors de l'utilisation l assistance à distance de Windows : Le mode automatique de l assistance à distance Windows ou assistance à distance proposée Le mode manuelle assisté de l assistance à distance Windows ou assistance à distance Windows par messagerie Le mode manuelle de l assistance à distance Windows ou assistance à distance sollicitée 1. Fonctionnement du mode automatique de l assistance à distance Windows Figure2 : Schéma du mode fonctionnement automatique 7

Dans le mode de fonctionnement automatique de l assistance à distance Windows une stratégie de groupe est créé sur serveur active directory, cette stratégie permet d activée l assistance à distance proposée dans un domaine, ou des domaines ayant des relations d approbations entre eux. Ci-dessous schéma représentant l assistance à distance Windows proposé Phase1 : le conseiller utilise l adresse IP ou le FQDN de la machine de l utilisateur pour avoir la liste des services terminal actif s exécutant sur la machine de l utilisateur. Phase2 : l utilisateur envoie une requête au serveur AD afin de vérifier que le conseiller appartient à la liste des utilisateurs autorisé à proposer l assistance à distance Phase3 : le serveur AD vérifie et envoie ensuite une confirmation Phase4 : l utilisateur envoie ensuite ces identifiants au conseiller : Session de terminal serveur Nom de domaine Nom utilisateur ID de la session terminal service Sessionstate du terminal serveur Phase5 : demande d initiation de connexion d assistance Phase6 : la machine de l utilisateur envoie un jeton de connexion d assistance à distance ce jeton contient les données suivants : «protocolversion»,«protocoltype», «machineaddresslist»,«assistantaccountpwd», «RAsessionID», «RASessionName» «RAsessionpwd» «protocolspecificparms» Phase7 : affichage de l écran de la machine distance et connexion, le mode de communication utilisé est le peer to peer 8

2. Fonctionnement du mode manuelle Dans le mode de fonctionnement manuelle de l assistance à distance Windows l utilisateur (personne sollicitant de l aide) crée puis envoie une invitation (fichier ID) au conseiller (personne sollicité pour l assistance). Pour se connecter à la machine de l utilisateur, le conseiller aura juste à cliquer sur l invitation afin d initialiser une communication avec le poste distant. Ci-dessous schéma description Figure3 : schéma du mode de fonctionnement automatique Description classique du mode de fonctionnement lors de l utilisation du fichier ID Phase1 : un fichier d identification est crée sur la machine de l utilisateur puis envoyé au conseiller ; ce fichier contient : La version de protocole qui identifie le protocole utilisé la valeur est de «65,538» Le type de protocole : identifie le type de protocole la valeur est de «1» List d adresse IP de la machine : identifie l adresse IP de la machine de l utilisateur ou le nom de la machine 9

protocolversion»,«protocoltype», «machineaddresslist»,«assistantaccountpwd», «RAsessionID», «RASessionName» «RAsessionpwd» «protocolspecificparms ETC Ci dessous l image d un fichier d identification Phase2 : Le conseiller aura juste à utiliser le fichier ID reçu pour initialiser la communication vers la machine à distance afin d assister l utilisateur Phase3 : après l initiation de la communication entre la machine du conseiller et de l utilisateur, un mot de passe est demandé au conseiller Phase4 : le conseiller à un aperçu sur le bureau de l utilisateur 10

3. Fonctionnement du mode manuelle assisté Dans ce mode de fonctionnement l utilisateur crée une invitation (fichier ID) qui est directement rattaché par courrier électronique pour être ensuite envoyé au conseiller. Figure4: schéma du mode de fonctionnement manuelle assisté Phase1 : le fichier d identification est créé sur la machine de l utilisateur puis automatiquement conseiller ; ce fichier contient : La version de protocole qui identifie le protocole utilisé la valeur est de «65,538» Le type de protocole : identifie le type de protocole la valeur est de «1» List d adresse IP de la machine : identifie l adresse IP de la machine de l utilisateur ou le nom de la machine protocolversion»,«protocoltype», «machineaddresslist»,«assistantaccountpwd», «RAsessionID», «RASessionName» «RAsessionpwd» «protocolspecificparms ETC Phase2 : Le conseiller aura juste à utiliser le fichier ID reçu pour initialiser la communication vers la machine à distance afin d assister l utilisateur 11

Phase3 : après l initiation de la communication entre la machine du conseiller et de l utilisateur, un mot de passe est demande au conseiller Phase4 : le conseiller à ensuite un aperçu sur le bureau de l utilisateur Remarque : Lorsqu un utilisateur crée une invitation par courrier électronique, la norme SMAPI (Simple MAPI) est utilisée pour relier le fichier d invitation dans le courrier, ce qui signifie que l invitation est jointe à ce courrier. Le courrier électronique utilisé doit être du Microsoft. 12

CHAPITREII : ETUDE DE L ASSISTANCE A DISTANCE WINDOWS Dans cette partie nous détaillerons les différentes méthodes de configuration de l assistance à distance Windows dans un domaine, ou dans une communication Peer to Peer. I. Déploiement de l assistance à distance Windows par GPO sur Windows serveur 2008 R2 L une des meilleures solutions de déploiement de l outil d assistance Windows dans un domaine Microsoft est le déploiement par stratégie de groupe. En effet plusieurs paramètres de Stratégie de groupe peuvent être configurés afin de contrôler l utilisation de l assistance à distance, notamment les paramètres suivants : Assistance à distance manuelle (assistance à distance sollicitée) Assistance à distance automatique (proposition d assistance à distance) Autoriser uniquement les connexions d ordinateurs Windows Vista ou de version ultérieure Ces paramètres de stratégie se trouvent dans Configuration ordinateur, sous Stratégies (le cas échéant), dans Modèles d administration\système\assistance à distance. Lorsque la stratégie de groupe est appliquée, la valeur par défaut des champs suivant situés dans HKLM\System\CurrentControlSet\Control\TerminalServer peuvent être modifiés : FAllowToGetHelp indique que l'utilisateur peut demander l'aide d'un ami ou d'un professionnel de support. fallowfullcontrol spécifie si un ami ou un professionnel de soutien peuvent prendre le contrôle complet de l'ordinateur de l'utilisateur pour traiter des questions que l'utilisateur n'est pas en mesure de résoudre. MaxTicketExpiry spécifie la longueur maximum d'un billet dans les unités définies par la MaxTicketExpiryUnits réglage. La valeur de la MaxTicketExpiryUnits paramètre peut être définie en minutes, heures ou jours. Par défaut, un ticket expire dans six (6) heures. 13

1. Assistance à distance sollicité Lorsque ce paramètre de stratégie est activé, un utilisateur peut créer une invitation d assistance à distance dont un conseiller sur un autre ordinateur peut se servir pour se connecter à l ordinateur de l utilisateur demandant à être aidé. S il en a l autorisation, le conseiller peut visualiser l activité de la souris, du clavier et de l écran en temps réel. Figure4 : configuration du paramètre de l assistance à distance sollicitée 14

D autres options de configuration sont disponibles lorsque vous activez ce paramètre de stratégie. Assistance à distance sollicitée (désactivée) : lorsque ce paramètre de stratégie est défini sur Désactivé, l utilisateur de l ordinateur en question ne peut pas demander d assistance à distance. Assistance à distance sollicitée (non configurée) : lorsque ce paramètre de stratégie est défini sur Non configuré, la configuration de l assistance à distance sollicitée est déterminée par les paramètres du Panneau de configuration. Le champ duré maximale du ticket : permet de définir la durée maximale pour laquelle le ticket est valable. Avantage : L avantage de la configuration du mode assisté, de l assistance à distance Windows par GPO, est que lorsque l option «permettre aux conseillers de contrôler l ordinateur à distance» est activée, le conseiller peut prendre le contrôle total de la machine de l utilisateur sans passer par les demandes d accord de l utilisateur distant. Cette option peut être désactivée en choisissant l option «ne permettre aux conseillers que de voir l ordinateur». Remarque : Lorsque cette fonctionnalité est définie avec la valeur Non configuré, l'utilisateur peut tout de même envoyer des invitations d'assistance à distance. Si nécessaire, vous pouvez configurer la fonctionnalité Assistance à distance sollicitée dans le Panneau de configuration. Pour cela, ouvrez les propriétés système, puis cliquez sur l'onglet Distant. Les paramètres par défaut sont les suivants : Assistance à distance sollicitée est activée. Contrôle à distance est activé. Cliquez sur Paramètres avancés pour afficher ce paramètre. Durée maximale du ticket est défini sur 30 jours. 15

2. proposer l assistance à distance Lorsque le paramètre «proposer l assistance à distance» est activé, un utilisateur ou administrateur distant peut proposer une assistance à distance à l utilisateur d un ordinateur affecté par ce paramètre. L activation d une suit Proposition d assistance à distance (désactivée ou non configurée) : Figure5 : configuration du paramètre proposant l assistance à distance Lorsque vous configurez ce paramètre, vous devez également définir la liste des utilisateurs ou des groupes d utilisateurs autorisés à proposer une assistance à Avantage : Lorsque ce paramètre est désactivé ou n est pas configuré, un membre du support ou un autre conseiller ne peut pas proposer une assistance à distance non sollicitée à l utilisateur d un ordinateur affecté par ce paramètre. Remarque : Afin que le paramètre assistance à distance proposé fonctionne correctement il faut aussi indiquer le(s) groupe(s) et/ou le(s) utilisateur(s) qui auront le droit de prendre 16

contrôle à distance des différents ordinateurs. Par défaut, les administrateurs d un ordinateur donné peuvent proposer une assistance à distance. Vous n avez pas besoin de les ajouter à la liste. II. Les autres paramètres de l assistance à distance Windows configurables par stratégie de groupe D autres paramètres d amélioration de l outil d assistance à distance Windows sont aussi configurables par stratégies de groupe : Autoriser uniquement les connexions d ordinateurs Windows vista ou de version ultérieure Activer la journalisation de session Activer l optimisation de la bande passante Personnalisation du message d avertissement 1. autoriser uniquement les connexions d ordinateurs Windows vista ou de version ultérieure Si le paramètre de stratégie «autoriser uniquement les connexions d ordinateurs Windows vista ou de version ultérieure» est activé, Figure 6 : paramètre d autorisation des connexions d ordinateur Windows vista et version ultérieures 17

lorsqu une invitation à une assistance à distance sollicitée est envoyée depuis un ordinateur exécutant Windows Vista ou WINDOWS SERVER 2008, elle inclut l adresse IP de l utilisateur au Format chiffré uniquement et non également en texte clair comme il est requis pour Windows XP et WINDOWS SERVER 2003. En effet Ce paramètre de stratégie permet de gérer des invitations d assistance à distance avec un chiffrement renforcé de sorte que seuls les ordinateurs cette version (ou les versions ultérieures) du système d exploitation peuvent se connecter. NB : lorsque le paramètre «autoriser uniquement les connexions d ordinateurs Windows vista ou de version ultérieure» est désactivé ou n est pas configuré, pour l assistance à distance sollicitée, les invitations incluent l adresse IP de l utilisateur en texte clair (comme il est requis pour des raisons de comptabilité avec Windows XP et Windows Server 2003), et non uniquement au format chiffré utilisé par Windows Vista et Windows Server 2008. 18

2. Activer l optimisation de la bande passante Le paramètre «Activer l'optimisation de la bande passante» activé permet d'éviter d'avoir les fenêtres grises ou trop de latence pendant la prise de main à distance ; il est conseillé d utilisé l'option : Optimisation complète. Figure7 : paramètre d activation de la bande passante En générale ce paramètre de stratégie permet d améliorer les performances dans les scénarios ou la bande passante est faible. 19

3. Activer la journalisation de session Ce paramètre de stratégie permet d activer ou de désactiver la journalisation des sessions d assistance Windows sur le serveur. Les fichiers journaux sont situés dans le dossier Documents de l utilisateur sous Assistance à distance. Figure8 : paramètre de journalisation de session 20

D autres options de configuration sont disponibles lorsque vous activez ce paramètre de stratégie : Si le paramètre de stratégie «activer la journalisation de session» est désactivé, les fichiers journaux ne sont pas générés Si le paramètre de stratégie «activer la journalisation de session» n est pas configuré, les paramètres basés sur l application sont utilisés 4. Personnaliser les messages d avertissement Ce paramètre de stratégie «personnaliser les messages d avertissement»permet de spécifier l affichage d un message personnalisé avant qu un utilisateur n autorise une connexion à son ordinateur Figure9 : paramètres de personnalisation des messages d avertissement 21

Ce paramètre est composé de deux options dont : Affichage d un message d avertissement avant le partage du contrôle, permet de spécifier l affichage personnalisé avant qu un utilisateur ne partage le contrôle de son ordinateur. Affichage d un message d avertissement avant la connexion, permet de spécifier l affichage d un message personnalisé avant qu un utilisateur n autorise une connexion à son ordinateur. Si ce paramètre est activé pour désactiver, l utilisateur voit s afficher le message d avertissement par défaut. III. Configuration de l assistance à distance Windows en mode manuelle L assistance à distance sollicitée sous Windows est créée depuis le menu démarrer, dans assistance et support ; ou en tapant à l invite de commande «helpctr» pour Windows XP, et «msra» sous Windows vista, seven, huit. En effet le mode de fonctionnement manuelle de l assistance à distance Windows est le même sous Windows. Ci-dessous un exemple de configuration (cas Windows 7). Puis cliqué sur «inviter une personne de confiance à vous aider» (voir figure ci-dessous) Figure 10: image assistance sous Windows7 22

A la suite de cela nous avons trois moyens d envois d invitation sollicitée à un conseiller afin de nous dépanner (voir figure dessous) Figure11 : Image de l enregistrement de fichier d invitation sous Windows7 Puis on sélectionne «Enregistrer cette invitation en tant que fichier» pour enregistrer l invitation en tant que fichier, et l envoyer par messagerie, ou partage réseau. Apres la création du fichier d'assistance à distance Windows une fenêtre indiquant l'état de la demande d'assistance à distance apparait en indiquant le mot de passe à communiquer au conseiller. Figure12 : image d exemple de mot de passe pour fichier d invitation sous Windows7 23

IV. Configuration du mode assistance manuelle assistée La configuration du mode d assistance manuelle assistée de Windows se configure de la même manière sous les systèmes d exploitation Windows. Pour créer l assistance manuelle assistée on clique sur «envoyer une invitation par courrier électronique» voir ci-dessous. Figure13 : Image configuration d un fichier d invitation rattaché à un courrier électronique Pour crée le fichier d invitation (fichier ID), on clique sur l option «envoyer une invitation par courrier électronique». Cependant cette option ne fonctionne qu avec des courriers de messagerie Microsoft. 24

Après avoir choisi l option «envoyé une invitation par courrier électronique» on a la boite électronique qui s ouvre avec le fichier ID rattaché, il faut juste remplir le champ de l adresse email du conseiller pour envoyer l invitation. Figure14 : Image d un fichier d invitation rattaché à un email Apres la création du fichier d'assistance à distance Windows une fenêtre indiquant l'état de la demande d'assistance à distance apparait en indiquant le mot de passe à communiquer au conseiller. Figure15 : Image de mot de passe pour invitation 25

Remarque : Une nouvelle option de configuration de l assistance à distance est apparue depuis Windows7, cette option se nomme Easy Connect. En effet l option «utiliser Easy Connect» : permet de connecter facilement deux ordinateurs Windows 7 (au minimun) qui exécutent l Assistance à distance Windows sans qu il soit nécessaire d envoyer un fichier d invitation. La première fois que vous utilisez Easy Connect, la personne qui demande de l aide reçoit un mot de passe qu elle doit fournir à la personne lui offrant son aide. Ce mot de passe permet à la personne offrant son aide de connecter directement les deux ordinateurs. Une fois qu une connexion a été établie entre les deux ordinateurs par le biais d Easy Connect, des informations de contact sont échangées entre les ordinateurs. Voir figure ci-dessous. Figure15 : Image utilisation d Easy Connect 26

VI.Configuration du Pare Feu relatif à l assistance à distance Windows Le port 135 du pare-feu Windows doit être ouvert afin d autoriser la proposition d assistance à distance sur les ordinateurs. Figure16 : image configuration du port 135 Dans le cas d un domaine il faut cocher le champ domaine pour autoriser la communication entrante entre les ordinateurs du domaine de l entreprise 27

Il faut ensuite autoriser les connexions entrantes des ordinateurs de l entreprises les uns vers les autres Figure17 : Image de l autorisation des connexions entrantes Par la suite on doit créer une règle de pare feu afin d autoriser la connexion au programme d assistance à distance Figure 18 : image de la restriction de programme dans le pare feu 28

Pour faire la restriction de logiciel il faut choisir le programme depuis %SystemRoot%system32 Figure19 : Image restriction logiciel 29

CHAPITRE III : IMPLEMENTATION DE L ASSISTANCE ADISTANCE WINDOWS AU SEIN DU DOMAINE EXCENT GROUPE I. Choix du mode d assistance à distance Windows à déployer 1. Architecture du domaine EXcent Groupe Ci-dessous schéma représentant l architecture du domaine EXcent Groupe. Figure 20:schéma représentatif du domaine Excent Groupe 30

2. La solution retenue Le domaine d EXcent Groupe se compose d un ensemble de sites repartis en Europe, et d un parc informatique composé de plus de cinq cents machines ; Il fallait donc trouver une manière pour déployer l assistance à distance d une façon judicieuse. utilisateurs utilisateurs du domaine utilisateurs VPN utilisateurs externes 0 100 200 300 400 500 600 Figure21 : Diagramme pourcentage d utilisateurs internes, externe, vpn C est dans ce contexte que nous avons optés pour un déploiement de la solution d assistance à distance Windows par Stratégie de Groupe (GPO). Deux options se proposent à nous : L assistance à distance sollicitée L assistance à distance proposé Le temps de créer une invitation, l enregistrer et l envoyé est au minimum de huit minutes pour un utilisateur. Afin de facilité la tâche de l utilisateur et lui éviter une perte de temps notre choix c est porté sur l assistance à distance proposé. 31

Pour ce faire nous avons simule le site de Colomiers sur une maquette afin de déployer l outil d assistance à distance Windows et de faire des tests de performances. II. Maquettage Une maquette a été réalisé afin de déployer l assistance à distance Windows par stratégie de groupe et d effectuer les tests. 1. Schéma du Laboratoire de test Figure22 : Schéma representatif du laboratoire de test 32

2. Description du cadre de travail Les postes de travail utilisé : PCtest1: OS Windows XP; Adresse IP: 192.168.1.11 PCtest2: OS Windows7; Adresse IP: 192.168.1.10 PCtest3: OS Windows 7: Adresse IP: 192.16.1.13 PCtest4: OS Windows8: Adresse IP: 192.168.1.12 PCtest5: OS Windows vista; Adresse IP: 192.168.1.14 Le serveur Pokeball, Domain controller, Windows serveur 2008R2 Stratégies de groupe nommé téléassistance est l unité d organisation sur laquelle sera appliquée la stratégie de groupe de l assistance Windows. GDLAssistant : Groupe de domaine local assistant: est le groupe dont les utilisateurs membres pourront jouer le rôle de conseiller sur les autres ordinateurs. 33

III. Déploiement de l assistance à distance Windows au sein du domaine EXcent Groupe 1. Configuration de l assistance à distance proposé Windows Depuis le menu démarrer aller dans outils d administration, puis gestion de stratégies de groupe, ensuite click sur l unité d organisation téléassistance et faire modifier. Figure22 : image représentatif de la création de la stratégie de groupe 34

Par la suite on se rend dans configuration ordinateur, modèle d administration, système, assistance à distance voir figure -ci dessous Figure 23 : image représentatif de l édition de la stratégie de groupe Dans notre cas d étude les paramètres qui ont étés configuré sont les suivants : Activer l optimisation de la bande passante Personnaliser les messages d avertissement Proposer l assistance à distance Autoriser uniquement les connexions Windows Vista ou de version ultérieure 35

1.1 Activer l optimisation de la bande passante L activation de ce paramètre dans la stratégie de groupe TestAssistance va permettre de continuer l assistance à distance sur les postes des utilisateurs du domaine Excent Groupe même en cas de latence dans le réseau. Figure 24 : image de configuration de l optimisation de la bande passante 36

1.2 Personnaliser les messages d avertissements L activation du paramètre «personnaliser les messages d avertissement» va permettre de personnalisé les messages d affichages avant la prise de mains visuelle ou totale du poste de l utilisateur distant. Les messages choisis sont les suivant : Le message d avertissement avant le partage du contrôle est Le service informatique du Groupe Excent vous remercie de votre collaboration Le message d avertissement avant la connexion est merci de votre coopération Ces messages personnalisés permettront de mettre les utilisateurs en confiance. Figure25 : image personnalisation des messages d avertissements 37

1.3 Proposer l assistance à distance L activation du paramètre «proposé l assistance à distance» par permettre aux membres du groupe gdlassistancedistance de proposer de l assistance à tous les utilisateurs du domaine Excent Groupe. Figure 26 : image configuration de l assistance à distance proposée 38

2. Configuration des droits d élévations pour les comptes d administrateur du groupe GDLAssistanceDistance Par défaut au cours d une assistance à distance, lorsque vous êtes en assistance et que vous faites une action qui nécessite une élévation de privilège, le système cache cette demande à l'administrateur qui assiste l utilisateur. En d autres termes, lorsque l invite apparaît, le Bureau devient «le Bureau sécurisé» et ne peut pas être visualisé à distance Cette action à été mené sur l unité d organisation téléassistance Toujours dans configuration ordinateur, se rendre sous stratégie de groupe, paramètre Windows, paramètre de sécurité, stratégie locales, option de sécurité, contrôle de compte d utilisateur : autoriser les applications UIAccess à demander l élévation sans utiliser le bureau sécurisé (voir fi figure ci-dessous) Figure27 : image configuration de l UIAccess 39

3. Création de raccourci pour l assistance à distance Un raccourci à été créer sur les postes administrateurs, afin de faciliter l utilisation de l assistance à distance Windows sur les postes des utilisateurs. Pour cela, nous avons créé un raccourci qui pointe à l emplacement C:\Windows\System32\msra.exe\offerRA Figure28 : image de la création raccourci msra sur le bureau 40

CHAPITRE VI : MODE DE FONCTIONNEMENT ET TEST PERFORMENCE ET SCENARIO I. Principe de fonctionnement 1. Action à mener sur la machine du conseiller Après un clique sur le raccourci msra crée sur son bureau, une fenêtre apparait sur l écran du conseiller l invitant à rentrer l adresse IP ou le nom de la machine distante ; cette fenêtre à la particularité d afficher l historique de l adresse et le nom des ordinateurs à qui on a prêté de l aide. Figure29 : image utilisation de l assistance à distance 41

2. Les actions à mener sur la machine de l utilisateur L utilisateur voir à son écran une fenêtre qui lui demande son autorisation, pour permettre à l utilisateur AdminKBM membre du groupe gdlassistance d avoir une vue visuelle sur son écran. L utilisateur au choix d accepter ou de refuser la requête Figure30 : image du message d avertissement avant le partage d écran Après lorsque le conseiller demande le contrôle total de la machine, l utilisateur distant voir à nouveau une fenêtre qui lui demande son autorisation pour avoir le contrôle totale de sa machine voir figure ci-dessous Figure31 : image du message d avertissement avant le contrôle total de l assistance à distance 42

3. les outils à dispositions du conseiller et de l utilisateur Figure32 : image des outils à disponible pour le conseiller et l utilisateur Arrêter le partage : permet au conseiller ou à l utilisateur de mettre fin au partage d écran Interrompre permet de mettre au conseiller ou à l utilisateur de stopper momentanément la visualisation de l écran distant dans ce cas de figure on a un écran noir qui s affiche coté conseiller Converser : Permet aux deux parties de s envoyer des messages instantanés Paramètres permet de personnaliser l assistance à distance ci-dessous la liste des paramètres : Pour cesser le partage du contrôle appuyer sur echap : lorsque ce paramètre est activé la touche echap permet d arrêter le partage de l écran Enregistrer le journal de session : permet d avoir les logs de la session d assistance à distance Echanger les coordonnées lors de l utilisation d Easy Connet permet : L utilisation de la bande passante : Barre haute : la bande passante n est pas optimiser Barre moyennement haute : permet de ne pas autoriser l agrandissement de fenêtre Barre moyenne : Désactive l arrière-plan, n autorise pas l agrandissement de fenêtre Barre faible : Utiliser la couleur de 16 bits, désactive le lissage de police Désactive l arrière-plan, n autorise pas l agrandissement de fenêtre 43

II. Mise en situations et scenarios Des scenarios simulant le cadre de travail de l informatique à Excent Group, et le fonctionnement de l outil de prise à main de dis ont été réalisé. SCENARIO1 Environnement technique : Machine PCtest1 Machine PCtest2 Compte utilisateur toto Compte utilisateur administrateur EXPERIENCE1 :L utilisateur toto vient de fermer sa session il y a environ six minutes L administrateur connecté sur la machine PCtest2 lance l assistance à distance Windows, et essaie de prendre le contrôle de la machine PCtest1 Observation : Lorsque l utilisateur test1 redémarre sa machine, l utilisateur test 2 perd la vue sur sa l machine pc1, il lui faut que l utilisateur test2 utilise à nouveau le fichier d invitation pour se connecter à nouveau sur le PC de test2 avec son autorisation (si le bail d invitation est encore valable). Conclusion La prise à mains à distance avec l outil d assistance Microsoft demande d abord un bail d invitation valable et l autorisation du client qui envoie l invitation afin de prendre le contrôle totale de son PC. SCENARIO2 : Environnement technique 1 machine Windows XP Compte utilisateur test1 administrateur 1 machine Windows7 Compte d utilisateur test3 administrateur EXPERIENCE 2 :L utilisateur test 1 envoie une invitation à l utilisateur test3 afin que ce celui-ci lui vienne en aide pour l installation de lotus Notes Observation L utilisateur test 1 procède d abord à l envoi du fichier d installation de lotus sur le compte de l utilisateur test3 ; il procède ensuite à l installation et la configuration du client lotus Conclusion L outil d assistance Microsoft permet de faire l envoie de fichier, et l installation de logicielle à distance 44

SCENARIO 3 Environnement technique 1 machine Windows XP Compte utilisateur test1 administrateur 1 machine Windows7 Compte d utilisateur test3 administrateur 1 machine Windows 7 compte d utilisateur test4 administrateur EXPERIENCE4 :l utilisateur test1 envoie une invitation de 30 minutes à l utilisateur test3, l utilisateur test3 arrive à se connecter sur la machine de test1 avec son autorisation ; après 15 minutes n ayant puis résoudre le problème l utilisateur test3 décide de transmettre l invitation à l utilisation test4 OBSERVATION L utilisateur Test4 utilise le fichier d invitation envoyé au préalable à test3 CONCLUSION Le fichier d invitation peut être utilisé autant de fois qu il est voulu ; il faut juste avoir un temps de bail disponible CONCLUSION Tout au long de l'intervention, vous pouvez suivre à l'écran les différentes opérations effectuées par l'opérateur. L'échange, le dialogue téléphonique est toujours possible bien-sûr! Une fois l'intervention terminée, l'opérateur (ou vous-même) met fin à la connexion. Il est utile de préciser qu'ultérieurement aucune connexion à distance n'est possible sans votre accord! 45

ANNEXE Vue d ensemble : utilisation de l assistance à distance dans un environnement géré Avant de pouvoir utiliser l assistance à distance, sur un serveur exécutant Windows Server 2008, vous devez installer la fonctionnalité Assistance à distance, puis démarrer l Assistant Assistance à distance via Démarrer\Tous les programmes\maintenance\assistance à distance Windows. L Assistant Assistance à distance vous guide à travers les étapes suivantes : Création d une invitation, par courrier électronique ou sous forme de fichier, à une assistance à distance, puis définition d un mot de passe pour la session Proposition d assistance à distance pour un ordinateur spécifique (identifié par son nom et son adresse IP) Dans un environnement géré, il est probable qu un pare-feu sur le réseau de l entreprise empêche les ordinateurs hors de votre réseau de se connecter directement à un ordinateur de ce réseau (en bloquant les connexions d assistance à distance entrantes aux ordinateurs qui se trouvent derrière le pare-feu). Cependant, pour plus de sécurité, vous pouvez également contrôler l assistance à distance en désactivant tous ses types ou en autorisant uniquement certains types. Par exemple, vous pouvez autoriser uniquement une proposition d assistance à distance au sein de votre domaine, en spécifiant une liste de membres du support de votre entreprise capables de proposer une assistance. Dans ce cas, seules les personnes de la liste seraient autorisées à aider les utilisateurs via l assistance à distance. (La proposition d assistance à distance ne fonctionne qu au sein d un environnement de domaine.) Pour obtenir la liste des paramètres Stratégie de groupe permettant de contrôler l assistance à distance dans un environnement géré, voir «Contrôle de l assistance à distance via la fonctionnalité Stratégie de groupe», plus loin dans cette section. Invitation et session d assistance à distance L assistance à distance se déroule en deux étapes : Établissement d une communication entre les deux ordinateurs : correspond à l envoi d une invitation ou d un «ticket» depuis un ordinateur vers un autre, suivi de leur communication. Pour en savoir plus sur l établissement d une communication entre les deux ordinateurs, voir «Types d assistance à distance», plus loin dans cette section. 46

Conduite de la session d assistance à distance : correspond au moment où le conseiller visualise ou modifie la configuration de l ordinateur d une autre personne. Communication via Internet de l assistance à distance La liste suivante fournit des détails sur le mode de communication de l assistance à distance via Internet : Envoi ou réception d informations spécifiques : le nom de l utilisateur, l adresse IP et le nom de l ordinateur figurent parmi les informations transmises au sein d un ticket d assistance à distance. Les informations transmises au cours d une session d assistance à distance dépendent des fonctionnalités utilisées (par exemple, le partage de l écran et le transfert de fichiers) et sont envoyées en temps réelle à l aide de connexions point à point. Notez que, dans le cadre de l assistance à distance sollicitée, lorsqu un utilisateur crée une invitation par courrier électronique, la norme SMAPI (Simple MAPI) est utilisée dans le courrier, ce qui signifie que l invitation est jointe à ce courrier. Paramètres par défaut : par défaut, la fonctionnalité d assistance à distance n est pas installée sur un serveur exécutant Windows Server 2008. Vous devez l installer pour qu une session d assistance à distance (sollicitée ou proposée) puisse commencer. Les paramètres par défaut du Pare-feu Windows ont également un impact important sur l assistance à distance, comme indiqué sous «Paramètres du Pare-feu Windows relatifs à l assistance à distance» plus haut dans cette section Toutefois, l Assistant Assistance à distance détecte si les paramètres du Pare-feu Windows local bloquent l assistance à distance. Si tel est le cas, l Assistant vous permet de commencer à sélectionner des options, mais affiche ensuite une notification vous informant que le Pare-feu Windows bloque son accès. Des informations sur le déblocage (ouverture du Pare-feu Windows et sélection de l exception relative à l assistance à distance) vous sont fournies. Dans de nombreux cas, cette notification permet de savoir facilement si le Pare-feu Windows bloque vos actions. Toutefois, si, en tant que membre du support, vous essayez d utiliser la proposition d assistance à distance pour un ordinateur dont le Pare-feu Windows bloque la session, cette dernière n est pas établie et aucune notification ne s affiche sur les ordinateurs. 47

Quels que soient les autres paramètres définis, les utilisateurs peuvent toujours empêcher quelqu un de se connecter à leur ordinateur en refusant les invites de lancement de session d assistance à distance. Pour plus d informations sur un paramètre par défaut, voir «Chiffrement» dans la liste. Déclencheurs : dans le cadre de l assistance à distance sollicitée, vous établissez le contact avec le conseiller en envoyant une invitation par courrier électronique, en l enregistrant sous forme de fichier puis en la transférant manuellement (sur une disquette, par exemple) ou par messagerie instantanée. Le logiciel de messagerie instantanée utilisé doit être basé sur l API Rende zvous pour être compatible (par exemple, Windows Live Messenger 8.0). La proposition d assistance à distance permet d offrir une assistance non sollicitée à un utilisateur (qui peut la refuser). Pour ce faire, vous devez être administrateur sur l ordinateur de l utilisateur ou figurer dans la liste de proposition d assistance à distance définie pour l ordinateur de l utilisateur. Notification de l utilisateur : si l utilisateur dispose d un serveur exécutant Windows Server 2008, il reçoit une notification lorsqu une autre personne lui propose une assistance (sollicitée ou non). Il doit accepter l invitation pour que cette personne puisse visualiser son serveur. Ensuite, l utilisateur doit indiquer s il autorise cette personne à prendre le contrôle du serveur. Il est également possible de configurer l assistance à distance de sorte que l autre personne puisse uniquement visualiser le serveur sans en prendre le contrôle. Journalisation : sur les ordinateurs exécutant Windows Server 2008, les événements d assistance à distance sont consignés dans le journal système de l Observateur d événements et dans les fichiers journaux d assistance à distance situés sous \Users\nom_utilisateur\Documents\RemoteAssistanceLogs. Les événements tels que le lancement d une connexion ou l acceptation ou le refus d une invitation par un utilisateur sont enregistrés dans les journaux d assistance à distance. Les détails incluent la prise de contrôle et sa fin, l envoi et l acceptation de fichiers, ainsi que la création et la suppression des tickets. Des informations détaillées 48

sur le caractère sollicité ou non de l assistance à distance, ainsi que le nom de l utilisateur et l adresse IP sont également enregistrées. Chiffrement : l algorithme de chiffrement RDP (Remote Desktop Protocol) est utilisé. Il s agit d un algorithme RC4 128 bits. Accès : aucune information n est enregistrée au niveau de Microsoft. Protocole et port de transmission : dans le cadre de l assistance à distance, le port est dynamiquement sélectionné et le protocole RDP est utilisé. Le modèle DCOM est également utilisé avec la proposition d assistance à distance. Désactivation : vous pouvez désactiver l assistance à distance sollicitée, la proposition d assistance à distance ou les deux à l aide de la fonctionnalité Stratégie de groupe ou localement, via le Panneau de configuration. Vous pouvez également désactiver ces options en utilisant un fichier de réponse dans le cadre d une installation sans assistance. Pour plus d informations, Contrôle de l assistance à distance en vue d empêcher le flux d informations vers et depuis Internet Lorsque vous réfléchissez à la méthode de contrôle de l assistance à distance à adopter, prenez en considération les types d assistance à distance disponibles sous Windows Server 2008. Vous trouverez, dans la liste ci-dessous, des suggestions d utilisation ou de contrôle de chaque type dans un environnement géré : Contrôle de l assistance à distance par messagerie instantanée : ce type d assistance est en fait une forme d assistance à distance sollicitée. Ainsi, lorsque vous désactivez l assistance à distance sollicitée, l assistance à distance par messagerie instantanée est également désactivée. Vous pouvez procéder à sa désactivation via le Panneau de configuration, la fonctionnalité Stratégie de groupe ou un fichier de réponse dans le cadre d une installation sans assistance. Une autre solution consiste à exclure le logiciel de messagerie instantanée des configurations standard des ordinateurs de l entreprise et à s assurer que les utilisateurs ne disposent pas de comptes d administration afin qu ils ne puissent pas installer de logiciels sur leurs ordinateurs. 49

Contrôle de l assistance à distance sollicitée avec envoi d une invitation par courrier électronique ou sous forme de fichier : sur les ordinateurs exécutant Windows Server 2008, vous pouvez choisir de ne pas installer l assistance à distance, ce qui désactive toutes les formes d assistance à distance. Si vous installez l assistance à distance, vous pouvez désactiver l assistance à distance sollicitée via la fonctionnalité Stratégie de groupe ou en utilisant un fichier de réponse dans le cadre d une installation sans assistance. Cela désactive également l assistance à distance par messagerie instantanée, qui est une forme d assistance à distance sollicitée. Pour limiter l assistance à distance sollicitée sans la désactiver, vous pouvez la configurer de sorte que l adresse IP incluse dans l invitation soit uniquement au format chiffré. Une telle invitation ne fonctionne pas si elle est transmise à un utilisateur dont l ordinateur exécute Windows XP ou Windows 2003. Une autre solution consiste à autoriser l assistance à distance sollicitée en permettant uniquement au conseiller de visualiser l ordinateur de l utilisateur et non à en prendre le contrôle. Contrôle de la proposition d assistance à distance : sur les ordinateurs exécutant Windows Server 2008, vous pouvez choisir de ne pas installer l assistance à distance, ce qui désactive toutes les formes d assistance à distance. Si vous installez l assistance à distance, vous pouvez désactiver la proposition d assistance à distance via la fonctionnalité Stratégie de groupe ou en utilisant un fichier de réponse dans le cadre d une installation sans assistance. Toutefois, vous souhaiterez peut-être autoriser uniquement la proposition d assistance à distance et contrôler la liste des membres du support autorisés à la proposer. Sous Windows Server 2008 (et plusieurs autres systèmes d exploitation antérieurs), vous pouvez contrôler cette liste sur un ordinateur individuel ou via la fonctionnalité Stratégie de groupe. Si vous procédez ainsi, vous devez également activer l exception Assistance à distance dans le Pare-feu Windows via la fonctionnalité Stratégie de groupe. Si vous autorisez la proposition d assistance à distance, une autre solution consiste à permettre uniquement au conseiller de visualiser l ordinateur de l utilisateur et non à en prendre le contrôle. 50

51