Remote Desktop Protocol (RDP) è un protocollo di accesso remoto proprietario di Microsoft utilizzato dagli amministratori di sistemi Windows per gestire in remoto i sistemi Windows Server. Ciò che distingue RDP, ad esempio, dai servizi remoti di Windows PowerShell o Secure Shell (SSH) è la presenza del desktop grafico completo, come mostrato nella figura 1.
Per impostazione predefinita, il componente del server RDP è in ascolto per le connessioni in entrata sulla porta TCP 3389 per impostazione predefinita, sebbene ciò possa essere modificato dall’amministratore per motivi di sicurezza.
A dire il vero, l’attuale spinta di Microsoft è che gli amministratori riducano la loro dipendenza da RDP e invece (a) distribuiscano i server Windows in modalità Server Core o Nano; e (b) utilizzare l’amministrazione remota della riga di comando di Windows PowerShell anziché RDP.
La giustificazione di Microsoft per questo consiglio è duplice:
Un livello GUI consuma risorse di sistema non necessarie
Un livello GUI amplia la superficie di attacco dei tuoi server
Indipendentemente da ciò, molti amministratori sono abituati all’amministrazione remota basata su RDP e cercano di farlo anche nel sistema operativo Windows Server 2016 appena rilasciato. Impariamo come abilitare RDP in Server 2016 (tl; dr: il processo è identico a Windows Server 2012 R2).
Gestore del server
Aprire la console di Server Manager, passare al nodo Server locale e fare clic sul collegamento ipertestuale Desktop remoto come mostrato nella Figura 2.
Il collegamento ipertestuale Desktop remoto è semplicemente un collegamento al foglio delle proprietà del sistema dall’elemento del Pannello di controllo del sistema. Selezionare Consenti connessioni remote a questo computer e, facoltativamente, abilitare Consenti connessioni solo da computer che eseguono Destkop remoto con autenticazione a livello di rete (opzione consigliata).
L’autenticazione a livello di rete (NLA) protegge Windows Server dagli attacchi denial-of-service (DoS) richiedendo che l’autenticazione avvenga prima che qualsiasi sessione grafica venga stabilita dal server. NLA conserva anche le risorse di sistema del server.
Windows PowerShell
Da una prospettiva di livello inferiore, le connessioni RDP in ingresso sono abilitate su un server tramite due valori del Registro di sistema e una regola di Windows Firewall.
Aprire una sessione di Windows PowerShell con privilegi elevati ed eseguire i comandi seguenti. Questo primo crea il valore fDenyTSConnections e lo imposta su 0 (disattivato). Questo ha senso, perché non vogliamo negare le connessioni Terminal Services (TS).
New-ItemProperty -Percorso ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Nome ‘fDenyTSConnections’ -Valore 0 -PropertyType dword -Force
Il comando successivo crea e abilita il valore UserAuthentication (Network Layer Authentication); NLA è una buona idea e dovresti considerare di abilitarlo per impostazione predefinita sui tuoi server.
New-ItemProperty -Percorso ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Nome ‘UserAuthentication’ -Valore 1 -PropertyType dword -Force
Il comando successivo abilita la regola predefinita di Windows Firewall “Desktop remoto”. È quindi possibile richiamare il cmdlet di PowerShell Get-NetFirewallRule per la verifica, come illustrato nella figura 3.
Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’
Politica di gruppo
È molto probabile che tu voglia standardizzare il comportamento RDP su tutti i server dell’infrastruttura. Pertanto, ci rivolgiamo a Criteri di gruppo per raggiungere questo obiettivo.
Inizia creando, collegando e definendo un nuovo oggetto Criteri di gruppo (GPO) destinato ai server che dovrebbero condividere le impostazioni del server RDP.
Quindi, passare al seguente percorso di criteri di gruppo e aggiungere una nuova voce Gruppi con restrizioni (mostrata nella figura 4):
Configurazione computerPoliciesImpostazioni di WindowsImpostazioni di sicurezzaGruppi con restrizioni
È possibile personalizzare l’appartenenza al gruppo Utenti desktop remoto integrato nei server; i membri di questo gruppo possono stabilire sessioni RDP sul server. Si noti che al gruppo Administrators locale (e, per estensione, al gruppo globale Domain Admins) viene concesso automaticamente questo privilegio in Active Directory.
Le seguenti tre impostazioni di criteri di gruppo regolano:
Eccezioni RDP in ingresso di Windows Firewall
Diritto dell’utente di stabilire sessioni RDP
Necessità di NLA
Configurazione computerModelli amministrativiReteConnessioni di reteWindows FirewallProfilo di dominioWindows Firewall: Consenti eccezioni Desktop remoto in entrata
Configurazione computerModelli amministrativiComponenti di WindowsServizi Desktop remotoHost sessione desktop remotoConnessioniConsenti all’utente di connettersi in remoto utilizzando Servizi Desktop remoto
Configurazione computerModelli amministrativiComponenti di WindowsServizi desktop remotoHost sessione desktop remotoSicurezzaRichiedi l’autenticazione dell’utente per le connessioni remote tramite NLA
Creazione della connessione client
Windows Client e Windows Server includono entrambi il client Microsoft RDP, chiamato Connessione desktop remoto. Il mio modo preferito per invocare questo strumento è:
Premere TASTO WINDOWS+R
Digita mstsc (che sta per “Microsoft Terminal Services Client”)
Premere Invio
Vi mostro l’interfaccia utente di Connessione desktop remoto nella Figura 5.
La cosa interessante dei client RDP è che sono disponibili per quasi tutti i sistemi operativi desktop o mobili. Ecco un elenco rappresentativo:
Android: Desktop remoto Microsoft
iOS: Desktop remoto Microsoft
Linux: desktop
macOS: Desktop remoto Microsoft
Windows Phone: desktop remoto Microsoft
Si noti che Windows Server supporta solo due sessioni RDP simultanee contemporaneamente. Se hai bisogno di più, dovrai installare il ruolo del server Host sessione Servizi Desktop remoto (RDS) e acquistare licenze di connessione RDS aggiuntive da Microsoft.
Pensieri finali
Se hai configurato RDP su versioni precedenti di Windows Server, scoprirai che Windows Server 2016 si comporta esattamente allo stesso modo. Tieni presente, tuttavia, che l’adozione sempre più ampia da parte di Microsoft della posizione di sicurezza “assumere violazione” e lo scenario del cloud ibrido e la relativa filosofia “gestire le mandrie, non gli animali domestici” significa che l’enfasi è sull’automazione della riga di comando piuttosto che sull’RDP on-off Sessioni GUI.
10 migliori nuove funzionalità di Windows Server 2016
Windows 10 per professionisti IT: tutorial, suggerimenti e trucchi
Le 6 migliori app di Windows 10 per professionisti IT