Remote-Support in Windows 10 mit Quick Assist (Remotehilfe)

    Authentifizierung bei Remotehilfe über das Microsoft-Konto.Mit Windows 10 1607 kam ein Programm für den Remote-Support hinzu. Es eignet sich auch für Sessions über das Inter­net, bietet aber im Ver­gleich zu anderen Tools nur rudi­mentäre Funktionen. Die Nutzung fällt da­durch recht leicht. Sie ist an ein Microsoft-Konto gebunden.

    Windows bietet bekanntlich mit der Remote­unterstützung schon seit XP-Zeiten ein integriertes Feature für die Fernwartung von PCs. Es ist auch weiterhin in Windows 10 enthalten. Diese RDP-basierte Support-Funktion eignet sich jedoch primär für das LAN, alleine schon wegen der Firewall-Problematik.

    Remotehilfe ist standardmäßig aktiviert

    Bei der neuen Remotehilfe (engl. Quick Assist) handelt es sich um ein Feature, das per Voreinstellung aktiviert ist. Am einfachsten startet man es, indem man in das Suchfeld "Remotehilfe" eingibt.

    Remotehilfe ist per Voreinstellung aktiviert und lässt sich über die App Einstellungen entfernen.

    Bevor man loslegt, sollte man indes folgende Aspekte bedenken:

    • Der Remote-Support klappt nur, wenn die Gegenstelle ebenfalls unter Windows 10 1607 oder höher läuft. Das Tool ist für ältere Versionen des OS nicht verfügbar, so dass man erst klären muss, ob diese Bedingung erfüllt ist.
    • Der Einladende, und das ist immer derjenige der die Unterstützung leistet, muss über ein Microsoft-Konto verfügen.
    • Die Sound-Ausgabe des betreuten Rechners wird nicht an den Support-Rechner übertragen, so dass etwa eine mündliche Kommunikation auf diesem Weg nicht erfolgen kann.

    Verbindung aufbauen

    Wenn man die Remotehilfe startet, dann präsentiert sie zwei Optionen, nämlich Unterstützung gewähren und Unterstützung anfordern. Entscheidet man sich für Letztere, dann erscheint im nächsten Schritt ein Eingabefeld für einen Code.

    Startbildschirm der Remotehilfe mit der Auswahl zwischen Support geben und erhalten.

    Diesen erhält der Benutzer von der Gegenseite, wo sich der User nach Auswahl von Unterstützung gewähren mit einem Microsoft-Konto anmelden muss. Eine dafür eventuell konfigurierte 2-Faktor-Authentifizierung wird ebenfalls erlaubt. Nach dem Login generiert die App diesen Schlüssel, den man etwa per Mail oder Telefon übermitteln kann.

    Die App erzeugt auf der Seite des Support-Leisters einen Code, den er an den User des Remote-PC übermitteln muss.

    Nach dessen Eingabe erwartet die Remotehilfe die Zustimmung durch den Benutzer auf dem übernommenen PC, danach startet die Session. Daher lässt sich dieses Feature nicht als universelle Remote-Control-Software einsetzen, weil auf der Gegenseite immer ein User die Eröffnung der Sitzung erlauben muss.

    Der Zugriff auf den Remote-Rechner ist erst nach der Bestätigung dieses Dialogs durch den Anwender möglich.

    Helpdesk erhält immer Kontrolle über Remote-PC

    Anders als die herkömmliche Remote­unterstützung, die auch einen nur "lesenden" Zugriff kennt, übernimmt der User-Support mit Quick Assist immer gleich die Kontrolle über den Remote-PC. Der lokale Benutzer hat aber weiterhin die Möglichkeit, das Gerät mit Maus und Tastatur zu steuern.

    Außerdem steht es ihm frei, durch Klick auf die entsprechende Schaltfläche die Session zu pausieren. Dies ist etwa nützlich, wenn er sich an einer Anwendung authentifizieren muss oder vertrauliche Mails öffnen möchte.

    Unterstützung durch Anmerkungen

    Auf der Seite des Unterstützenden bietet die Kontrollleiste von Quick Assist neben dem Anhalten der Sitzung noch weitere Funktionen. Dazu zählt Bildschirm anpassen, so dass man nicht mehr über den Desktop scrollen muss. Außerdem kann man den Task-Manager remote starten, was aber den lokalen Benutzer zur Eingabe des Passworts in den UAC-Prompt zwingt.

    Dem Unterstützer stehen in der Steuerleiste einige Funktionen zur Verfügung.

    Schließlich besitzt das Tool noch eine Anmerkungs­funktion, die mit Kommentieren bezeichnet wird. Sie erlaubt dem Unterstützer, mit einem Stift in einer von 6 Farben auf den Remote-Bildschirm zu zeichnen. Nach Klicken des Beenden-Buttons für dieses Feature verschwinden die Kritzeleien wieder von der Oberfläche.

    Anmerkungen helfen bei Support-Sitzungen

    Keine zentrale Verwaltung

    Schließlich stellt sich natürlich die Frage, wie Administratoren die Remotehilfe zentral verwalten können. Eine Steuerung über Gruppenrichtlinien ist nicht vorgesehen, ebenso wenig die Möglichkeit, den Kreis der zugelassenen Support-Rechner über eine Whitelist einzugrenzen.

    Daher könnte dieses Feature in Unternehmen für gezielte Angriffe missbraucht werden, bei denen Angreifer unter einem Vorwand einzelne Mitarbeiter anrufen und diese auffordern, nach dem Start von Quick Assist den von ihnen angegebenen Code einzutippen.

    Remotehilfe deinstallieren

    Wenn man hier eine Gefahr sieht oder für den Remote-Support ohnehin ein anderes Tool verwendet, dann sollte man Quick Assist deinstallieren. Interaktiv klappt das nur über die App Einstellungen, die System­steuerung ist dazu nicht in der Lage. In zentral verwalteten Umgebungen kann man stattdessen auf eine Script-Lösung setzen.

    Dabei muss man in DISM oder PowerShell unter Windows Capabilities nachsehen, die Remotehilfe scheint weder über Get-AppxPackage noch Get-WindowsOptionalFeature auf, auch wenn sie in der App Einstellungen als optionales Feature bezeichnet wird. Der Befehl

    Get-WindowsCapability -online | ? Name -like *QuickAssist*|
    Remove-WindowsCapability -Online

    ermittelt die Remotehilfe und übergibt sie gleich an das Cmdlet für die Deinstallation.

    Quick Assist mit PowerShell deaktivieren

    Möchte man sie wiederherstellen, dann hilft das Kommando

    Add-WindowsCapability -Online -Name "App.Support.QuickAssist~~~~0.0.1.0"

    Alternativ könnte man überlegen, die Remotehilfe installiert zu lassen und sie zentral über ein GPO zu blockieren, indem man eine entsprechende Regel für die Windows-Firewall einrichtet.

    1 Kommentar

    Bild von Kurt Stettler
    6. September 2019 - 16:07

    Remote-Hilfe in Windows 10 ist super:
    Aber wenn ich im unteren Teil des ersten Bildschirmes auf den Button "Unterstützen einer anderen Person" klicken will ist dieser nicht sichtbar, weil ich das Anzeigen auf 150 eingestellt habe. Kann ich den Code auf andere Art erzeugen?
    Wenn ich die Anzeige auf 100 einstelle sehe ich den Button, aber alle Buttons auf dem Desktop werden verschoben.