Remote Desktop di Windows

L’utility di connessione remota offerta da Windows è il RDP (Remote Desktop Protocol).
Questo programma di telemanutenzione è molto performante e usato da molti utenti, specialmente per connettersi ad un server.
Per questo è soggetta ad attacchi da parte di malintenzionati alla ricerca dei dati di login per l’accesso.

Premesso che il modo più sicuro è di utilizzarla con una connessione VPN, vediamo come renderla abbastanza sicura.

  • Generare dati di login robusti:
    • Utente – imposta il nome utente con qualcosa di non troppo ovvio, es: xxxxxxx-zz-pcnn (nome utente-codice azienda-pc numero)
    • Password – utilizzane una robusta con una combinazione di caratteri maiuscoli e minuscoli, numeri e caratteri jolly (!”£$%&?*), es: XXxxynnnny
  • Abilitare il RDP.
  • Impostare regole di firewall che permettano l’accesso da determinati ip.
  • Test di collegamento.
  • Modificare la porta di ascolto standard.
  • Aprire la porta sul modem.

Abilitare il RDP

Per abilitare il RDP sul pc Windows al quale connettersi (es. MS Windows Server 2012):

  • apri [Pannello di controllo]/[Sistema]/[Impostazioni avanzate] + tab [Connessione remota].
  • spunta (o) Consenti connessioni remote + disattiva [  ] Consenti connessioni solo.
  • per default solo gli utenti amministratori sono autorizzati ad accedere per aggiungere altri utenti:
    • click [Seleziona utenti].
    • click [Aggiungi] + click [Avanzate] + click [Trova].
    • seleziona l’utente da aggiungere + click [Ok] + click [Ok] + click [Ok].
  • click [Ok] per concludere e chiudere la finestra.

Impostare il Firewall

Per impostare le regole di firewall:

  • apri il Firewall di Windows.
  • click [Advanced security] / [Inbound rules].
  • scorri l’elenco fino a Remote Desktop (TCP-In) + click [Proprieties].
  • tab [Scope].
  • in Local IP address digita il range di ip della rete locale che vuoi abilitare al Remote Desktop (attenzione! l’immissione del range impedisce l’accesso dall’esterno della rete).
  • in RemoteIP address digita l’ip del pc esterno alla rete locale che vuoi abilitare al Remote Desktop.
    per conoscere l’ip pubblico del pc esterno apri un browser (Firefox, Chrome, Edge) e digita l’indirizzo “mioip.it”.

Test di collegamento

Esegui un test di collegamento utilizzando il programma di Windows [Connessione Desktop Remoto].

  • computer: l’ip pubblico del server a cui ti vuoi collegare, es. 81.56.112.85
    per conoscere l’ip pubblico del server apri un browser (Firefox, Chrome, Edge) e digita l’indirizzo “mioip.it”.
  • click [Connetti].
  • digita le credenziali utente e password + click [Ok].

  • per connettersi da un OS Linux usa il programma Remmina.

Visualizzare il log accessi

Se non sei sicuro dell’ip del computer esterno da cui stai tentando l’accesso al server, puoi vedere il log degli accessi effettuati al server tramite Remote Desktop e individuare da quale ip viene effettuato il tentativo di accesso:

  • in [Start] digita “Event viewer” e lancia l’applicazione.
  • nel menu di sinistra segui la gerarchia:
    • [Application and Service Logs] / [Microsoft] / [Windows] / [TerminalServices-RemoteConnectionManager] / [Operational].
  • sulla destra click [Filter curretn log].
  • nel campo dove visualizzi ‘<All Event IDs>’ digita “1149” e click [Ok].
  • otterrai la lista di tutti i logs di connessione tramite Remote Desktop e selezionandone uno appariranno informazioni aggiuntive tra cui l’ip da cui è stato effettuato il tentativo di connessione.

Modificare la porta standard

La porta di ascolto del RDP di default è la 3389 ; per aumentare la sicurezza della connessione cambia la porta di ascolto di RDP.

  • modifica il valore della porta:
    • avvia il programma Regedit come amministratore.
    • naviga attraverso il menu fino alla subkey: [HKEY_LOCAL_MACHINE] \ [System[ \ [CurrentControlSet] \ [Control] \ [Terminal Server[ \ [WinStations] \ [RDP-Tcp].
    • sulla destra seleziona [PortNumber] + click [Edit/Modify] e poi click [Decimal].
    • digita il nuovo valore della porta, facendo attenzione che non sia usato da altri servizi.
      per un elenco delle porte già utilizzate da servizi e aziende vedi Elenco porte standard usate in Internet.
      per un check delle porte vedi Scansione delle porte online.
    • click [Ok] per confermare.
    • chiudi il programma [Regedit] e riavvia il computer.
  • apri la porta sul firewall di Windows.
    • avvia il programma [Windows Firewall].
    • click [Impostazioni avanzate].
    • click [Regole connessioni in entrata] per creare una nuova regola + click [Nuova regola].
    • tab [Generale].
      • nome: ZiS Remote Desktop Protocol TCP XXXX (nome della nuova porta).
      • descrizione: regola in entrata per RDP.
      • [v] Abilitato , (o) Consenti la connessione.
    • tab [Programmi e servizi].
      • (o) Questo programma: %SystemRoot%\system32\svchost.exe
    • tab [Protocolli e porte].
      • Tipo protocollo: TCP
      • Porte specifiche: XXXX (nome della nuova porta ).
      • Porta remota: Tutte le porte.
    • tab [Ambito].
      • (o) Questi indirizzi IP.
      • click [Aggiungi] + digita l’ip del computer dal quali effettuerai la connessione.
    • tab [Avanzate].
      • [v] Dominio , [v] Privato, [v] Pubblico
    • click [Ok] per confermare.

      click sull’immagine per ingrandire
    • per maggior sicurezza disabilita le regole di default del firewall di Windows relative alla porta standard di RDP.

Aprire la porta sul modem

  • sul modem che connette il server ad internet apri la porta che hai modificato in modo che possa essere raggiunta dall’esterno.
    • entra nel modem e cerca l’area dove puoi aprire le porte, ogni modem ha una sua diversa configurazione.
      • assegna al protocollo il valore TCP.
      • assegna alla porta interna/wan il nuovo valore che hai precedentemente modificato.
      • assegna alla porta esterna/lan il nuovo valore che hai precedentemente modificato.
      • assegna all’IP di destinazione l’ip del server.

Poichè la porta di ascolto di RDP del server è cambiata e non è più quella standard, quando ti connetti dovrai specificare questa porta subito dopo l’ip pubblico, es. 81.56.112.85:6123

Conclusioni

Tieni presente che accedere in Desktop Remoto da pc non verificati in termini di sicurezza è sempre una pessima idea, poichè potrebbe essere attivo un keylogger che intercetta così i tuoi dati di login.

In linea di principio l’uso di Remote Desktop deve essere eseguito tra computer verificati, limitando l’autorizzazione degli ip chiamanti e possibilmente all’interno di una VPN.
Se questo non è possibile meglio utilizzare strumenti professionali di telemanutenzione come Anydesk e Teamviewer.