Gestire un sistema senza essere fisicamente presenti: Desktop remoto e Assistenza remota

Amministratori di sistema e professionisti sentono spesso l’esigenza di dover accedere, da remoto, ai personal computer installati in ufficio oppure al proprio domicilio. Inoltre, chi lavora nel settore informatico può aver necessità – a vari livelli – di fornire supporto tecnico in tempo reale in modalità remota. Un approccio simile porta con sé notevoli benefici: è possibile risolvere ad esempio un problema software segnalato da un cliente senza la necessità di recarsi fisicamente presso la sede dello stesso.
In questo articolo ci proponiamo di analizzare due strumenti integrati in Windows: il primo è “Desktop remoto“, il secondo “Assistenza remota“. La prima puntata è interamente dedicata alle funzionalità offerte dal sistema operativo mentre prossimamente presenteremo alcuni strumenti software alternativi.

Condivisione del desktop remoto in Windows XP: impostazione lato server

Windows integra già due strumenti di base che consentono, agli utenti autorizzati, di visualizzare da remoto – attraverso la rete Internet – quanto mostrato sullo schermo del sistema remoto. La prima applicazione si chiama Condivisione desktop remoto ed è attivabile, nel caso di Windows XP, semplicemente accedendo al Pannello di controllo, facendo doppio clic sull’icona Sistema, sulla scheda Connessione remota quindi su Consenti agli utenti di connettersi in remoto al computer.
A questo punto si dovranno specificare, facendo riferimento al pulsante Seleziona utenti remoti… gli account utente che dovranno avere diritto ad accedere al desktop del personal computer in uso (“server”). Cliccando su Aggiungi…, si possono indicare gli utenti aventi titolo. Gli account dotati di diritti amministrativi (facenti parte del gruppo “Administrators”) possono già connettersi da remoto al desktop del personal computer. Il pulsante Aggiungi… consente di inserire ulteriori account, tra quelli non appartenenti agli amministratori.

La funzionalità per la condivisione del desktop remoto non potrà essere attivata per quegli account che non dispongono di una password associata.
Una volta attivata la casella Consenti agli utenti di connettersi in remoto al computer, Windows la funzionalità per la condivisione del desktop in modalità remota si porrà in ascolto sulla porta TCP 3389. Ciò significa che il sistema operativo accetterà le richieste di connessione dirette su tale porta e provvederà a verificare le credenziali di accesso inserite dall’utente remoto.

Il firewall di Windows viene automaticamente configurato in modo tale che il sistema sia in grado di accettare connessioni in ingresso sulla porta 3389 (la casella Non consentire eccezioni, all’interno della finestra Pannello di controllo, Windows Firewall deve essere disattivata).
Nel caso in cui si utilizzi un “personal firewall” sviluppato da terze parti al posto del firewall integrato in Windows, si dovrà configurare tale software cosicché permetta le connessioni in entrata sulla porta 3389.
Se il “personal firewall” contempla la possibilità di configurare regole di connessione molto strette, l’utente più smaliziato può agevolmente fare in modo che le connessioni dirette al personal computer da amministrare in modalità remota siano accettate solo ed esclusivamente nel caso in cui abbiano determinate caratteristiche (ad esempio, qualora provengano da un singolo IP o gruppi di indirizzi predefiniti). Se, per esempio, ci si collega tra due sedi che si affacciano sulla rete Internet usando il medesimo indirizzo IP (IP statico), il “personal firewall” sul sistema server può essere configurato in modo tale da acconsentire alle sole richieste di connessione che provengono da quell’unico IP.

Condivisione del desktop remoto in Windows Vista e Windows 7: impostazione lato server

La procedura per l’attivazione della condivisione desktop è identica anche nel caso di Windows Vista e di Windows 7, tenendo però presente che le versioni Home non includono il supporto per questa funzionalità. O meglio, da tutte le versioni di Windows è possibile collegarsi in modalità “client” ad un server Desktop remoto (vedere più avanti) ma non è permesso porre in ascolto l’applicazione, in attesa di connessioni in ingresso. In altre parole, dalle versioni Home di Windows ci si può collegare, attraverso l’applicazione Desktop remoto, a server remoti che condividano il desktop ma non è possibile fungere da server ossia condividere il desktop del sistema locale. In tutte le versioni di Windows è invece disponibile la funzionalità di “Assistenza remota“: mettere a fuoco, più avanti, le differenze.
In Rete è disponibile una patch per attivare la funzionalità “Desktop remoto” in modalità server anche sulle versioni Home di Windows Vista e Windows 7: si tratta di un file batch che si occupa di “patchare” il file termsrv.dll, presente nella directory di sistema di Windows (%systemroot%\system32\termsrv.dll) e di reintrodurre il file rdpclip.exe (assente nelle versioni meno “professionali” di Windows Vista e Windows 7). Precisiamo subito, però, che abbiamo preferito non dare spazio a questo tipo di intervento perché potrebbe costituire una violazione della licenza d’uso di Windows dal momento che implica la modifica del funzionamento di una libreria del sistema operativo e non è assolutamente supportato.

In Windows Vista ed in Windows 7 (escluse le versioni Home e Starter) la finestra per la configurazione della funzionalità “Desktop remoto” si presenta così come segue:

Per accedervi è necessario aprire il Pannello di controllo, cliccare sull’icona Sistema, quindi sul link Impostazioni connessione remota. Com’è possibile notare, nelle versioni più complete di Windows sono due i “riquadri” visualizzati: “Assistenza remota” e “Desktop remoto“. Per abilitare la funzione “Desktop remoto” e fare in modo che il personal computer in uso possa accettare connessioni dall’esterno (solamente dagli utenti autorizzati), è necessario selezionare l’opzione Consenti connessioni dai computer che eseguono qualsiasi versione di Desktop remoto oppure Consenti connessioni solo dai computer che eseguono Desktop remoto con Autenticazione a livello di rete.
Si può selezionare l’ultima opzione se si è sicuri che ci si connetterà alla macchina solamente da sistemi Windows Vista e Windows 7 mentre la seconda permette connessioni anche da sistemi Windows 2000 e Windows XP. Nel caso di Windows Vista e Windows 7, le regole firewall in ingresso vengono automaticamente configurate. Accedendo alla finestra delle regole firewall (la schermata che segue si riferisce ad un sistema Windows 7 Ultimate), è possibile notare come sia stata attivata una regola per consentire il traffico TCP in ingresso sulla porta 3389:

L’opzione Consenti connessioni solo dai computer che eseguono Desktop remoto con Autenticazione a livello di rete è considerata più sicura perché utilizza un metodo di autenticazione dell’utente che consente di completare questo controllo prima ancora che venga stabilita una connessione di Desktop remoto e che sia mostrata la schermata di accesso al sistema. L'”autenticazione a livello di rete” va ad impattare di meno, in termini di risorse macchina, sul sistema remoto rispetto alle precedenti versioni della funzionalità “Desktop remoto” ed offre un miglior livello di sicurezza riducendo nettamente il rischio di attacchi Denial of Service (DoS), generalmente sferrati per impedire il corretto funzionamento di un servizio.

Il pulsante Seleziona utenti… permette di stabilire attraverso quali account utente dovrà essere permesso l’accesso in modalità remota. Com’è riportato nella finestra, l’account in uso potrà già collegarsi da remoto utilizzando la medesima password impiegata per effettuare il login localmente.

Ovviamente, se la macchina server si affaccia su Internet utilizzando un router, l’IP da specificare è quello assegnato dal provider Internet al router stesso. Inoltre, ci si dovrà accertare che il traffico in entrata sulla porta TCP 3389 venga automaticamente reindirizzato, da parte del router, al computer sul quale è stata abilitata la funzionalità per la condivisione del desktop.
Se si desidera amministrare più computer della rete locale da remoto, si dovrà necessariamente optare – su ciascuna macchina “server” – per una porta diversa. Ad esempio, alla prima si potrà associare la porta di default 3389, alla seconda la 3390, alla terza la 3391 e così via.

La scelta di una porta differente rispetto a quella predefinita, può essere effettuata accedendo al registro di Windows (chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp; doppio clic sul valore DWORD PortNumber; scelta della base Decimale; introduzione del numero di porta da impiegare).

Connettersi al server Desktop remoto. La funzionalità “Assistenza remota”.

Connessione “Desktop remoto” in modalità client

Una volta attivata la componente “server” della funzionalità “Desktop remoto” di Windows, è possibile connettersi alla macchina da qualunque postazione avviando il software Connessione desktop remoto (Start, Tutti i programmi, Accessori, Connessione desktop remoto oppure Start, Esegui…, mstsc.exe).

Nella finestra che comparirà a video, basterà introdurre l’indirizzo IP assegnato al computer remoto che si desidera amministrare ed il nome utente da utilizzare (pulsante Opzioni).
Se il sistema da controllare è collegato in rete locale, è possibile limitarsi all’inserimento del nome ad esso associato; in alternativa si dovrà inserire l’indirizzo IP corretto.

Account sprovvisti di password non dovrebbero mai essere utilizzati, per nessun motivo. A maggior ragione, comunque, “Desktop remoto” non permette di collegarsi a server remoti impiegando account utente senza una password associata.
Ricorrendo alle schede Visualizza e Prestazioni si possono regolare alcune opzioni che consentono di ottimizzare il funzionamento di “Desktop remoto“, ad esempio, sulle connessioni più lente. Di default, “Desktop remoto” disabilita effetti grafici, antialiasing dei caratteri, sfondo del desktop ed altro ancora (scheda Prestazioni). Tutti i parametri sono comunque liberamente personalizzabili.
La scheda Risorse locali permette di stabilire quali dispositivi, collegati al computer client, si vogliano eventualmente sfruttare per interagire col sistema remoto. “Desktop remoto“, consente – ad esempio – di riprodurre l’audio del sistema in corso d’amministrazione sul personal computer locale oppure utilizzare stampanti ed area degli appunti (fondamentale per le operazioni di copia&incolla) del sistema locale.

Che cos’è e come si usa l'”assistenza remota”
Le edizioni più “economiche” di Windows Vista e Windows 7 (la medesima funzionalità è disponibile anche su Windows XP) offrono solamente la funzionalità “Assistenza remota“.

In che cosa differisce “Assistenza remota” rispetto al “Desktop remoto“? Pur condividendo la medesima tecnologia di base, Assistenza remota implica che due persone siano contemporaneamente davanti ai personal computer “client” e “server” perché le richieste di connessione provenienti dall’esterno debbono essere sempre espressamente ed esplicitamente accettate.
Nel caso del “Desktop remoto“, inoltre, il sistema rimane “bloccato” fintanto che è gestito dall’utente remoto mentre l’Assistenza remota mostra quanto avviene sullo schermo ad entrambe le parti.
Per utilizzare la funzionalità di Assistenza remota questa deve essere attivata nella finestra Sistema, Connessione remota (in Windows XP) o Sistema, Impostazioni di connessione remota (Windows Vista e Windows 7), presente nel Pannello di controllo di Windows.
Nelle versioni Home di Windows Vista e di Windows 7, la scheda Connessione remota si presenta così come segue:

Come si vede, il riquadro “Desktop remoto” è totalmente assente mentre viene mostrato esclusivamente “Assistenza remota“.
Spuntando la casella Consenti connessioni di Assistenza remota al computer si farà in modo che il sistema in uso possa inviare richieste di assistenza remota ed accettare le connessioni in ingresso. Con un clic sul pulsante Avanzate…, si può specificare anche per quanto tempo avranno validità gli inviti trasmessi alla persona che dovrà fornire assistenza. Scaduto il tempo indicato (per default, 6 ore), l’invito non avrà più validità e non potrà più essere usato per connettersi alla macchina “server”.

Dal computer “server”, ossia dal sistema sul quale è richiesta assistenza, qualunque sia la versione di Windows utilizzata, si deve inviare un Invito di assistenza remota.
In Windows XP ciò è possibile cliccando su Start, Guida in linea e supporto tecnico, Invita un amico a connettersi a questo computer con Assistenza remota, Invitare qualcuno ad offrire assistenza oppure Start, Tutti i programmi, Assistenza remota.

In Windows Vista così come in Windows 7 è possibile accedere rapidamente alla funzionalità di Assistenza remota cliccando il pulsante Start quindi digitando Assistenza remota nell’apposita casella. Cliccando su Assistenza remota di Windows si potranno inviare richieste od offrire il proprio supporto.

Dal sistema “server”, ove si necessita di assistenza, bisogna cliccare sulla voce Richiedi assistenza a una persona fidata. Nel caso in cui Windows dovesse informare che il sistema operativo non è configurato per la spedizione di inviti, è assai probabile che non sia stata spuntata la casella Consenti connessioni di Assistenza remota al computer.

L’invito può essere spedito via Messenger, per posta elettronica o salvato sotto forma di file. Esso avrà estensione .msrcIncident e dovrà essere trasmesso alla persona che dovrà fornire l’aiuto in modalità remota: egli, per aprirlo da Windows XP così come da Vista o Windows 7, dovrà semplicemente farvi doppio clic.
Completato questo passo, si dovrà informare l’utente che dovrà fornire assistenza remota della password visualizzata sul sistema “server”. Tale password (che varia ogni volta) dovrà essere obbligatoriamente digitata dopo aver aperto, sul sistema client, il file .msrcIncident.

Le due figure seguenti mostrano la connessione di assistenza remota da un sistema Windows XP (la macchina client è un sistema Windows 7 Home Premium):

Come si vede, la persona che fornisce l’assistenza in modalità remota deve introdurre la password comunicata dal proprietario della macchina server.

In figura, l’amministrazione da remoto (da un sistema Windows XP) di una macchina Windows XP Home Premium. Cliccando sul pulsante Assumi controllo, nella barra degli strumenti, l’utente remoto può iniziare a lavorare sul sistema ove è stata richiesta assistenza.
La funzionalità Easy Connect, introdotta in Windows 7, permette di evitare l’invio del file d’invito: l’utente remoto può fornire il supporto richiesto semplicemente digitando la password comunicatagli dal proprietario della macchina server.