Come abilitare e proteggere Desktop remoto su Windows
Mentre ci sono molte alternative, Microsoft Remote Desktop è un'opzione perfettamente valida per accedere ad altri computer, ma deve essere adeguatamente protetta. Dopo aver adottato le misure di sicurezza raccomandate, Remote Desktop è un potente strumento per i geek da utilizzare e consente di evitare l'installazione di app di terze parti per questo tipo di funzionalità.
Questa guida e gli screenshot che lo accompagnano sono fatti per Windows 8.1 o Windows 10. Tuttavia, dovresti essere in grado di seguire questa guida fino a quando utilizzi una di queste edizioni di Windows:
- Windows 10 Professional
- Di Windows 8.1 Pro
- Di Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Abilitazione di Desktop remoto
Innanzitutto, dobbiamo abilitare Remote Desktop e selezionare quali utenti hanno accesso remoto al computer. Premi il tasto Windows + R per visualizzare il prompt Esegui e digita "sysdm.cpl."
Un altro modo per accedere allo stesso menu è digitare "Questo PC" nel menu Start, fare clic con il pulsante destro del mouse su "Questo PC" e andare su Proprietà:
In entrambi i casi verrà visualizzato questo menu, in cui è necessario fare clic sulla scheda Remoto:
Seleziona "Consenti connessioni remote a questo computer" e l'opzione sottostante "Consenti connessioni solo da computer che eseguono Desktop remoto con Autenticazione a livello di rete".
Non è necessario richiedere l'autenticazione a livello di rete, ma farlo rende più sicuro il tuo computer proteggendoti dagli attacchi Man in the Middle. I sistemi anche vecchi come Windows XP possono connettersi agli host con l'autenticazione a livello di rete, quindi non c'è ragione per non usarlo.
È possibile ricevere un avviso sulle opzioni di alimentazione quando si abilita Desktop remoto:
In tal caso, assicurati di fare clic sul collegamento a Opzioni risparmio energia e configurare il computer in modo che non si addormenti o si iberna. Consulta il nostro articolo sulla gestione delle impostazioni di alimentazione se hai bisogno di aiuto.
Quindi, fai clic su "Seleziona utenti".
Tutti gli account nel gruppo Administrators avranno già accesso. Se devi concedere l'accesso a Desktop remoto a qualsiasi altro utente, fai clic su "Aggiungi" e digita i nomi utente.
Fai clic su "Controlla nomi" per verificare che il nome utente sia stato digitato correttamente, quindi fai clic su OK. Fare clic su OK anche nella finestra Proprietà del sistema.
Protezione del desktop remoto
Il tuo computer è attualmente collegabile tramite Remote Desktop (solo sulla tua rete locale se sei dietro un router), ma ci sono alcune altre impostazioni che dobbiamo configurare per ottenere la massima sicurezza.
Innanzitutto, affrontiamo l'ovvio. Tutti gli utenti a cui hai fornito l'accesso a Desktop remoto devono avere password complesse. Ci sono molti robot che effettuano costantemente la scansione di Internet per PC vulnerabili che eseguono Desktop remoto, quindi non sottovalutare l'importanza di una password complessa. Utilizzare più di otto caratteri (si consiglia 12+) con numeri, lettere minuscole e maiuscole e caratteri speciali.
Vai al menu Start o apri un prompt Esegui (tasto Windows + R) e digita "secpol.msc" per aprire il menu Criterio di sicurezza locale.
Una volta lì, espandere "Politiche locali" e fare clic su "Assegnazione diritti utente".
Fare doppio clic sul criterio "Consenti accesso tramite Servizi Desktop remoto" elencato a destra.
È nostra raccomandazione rimuovere entrambi i gruppi già elencati in questa finestra, Amministratori e Utenti di Desktop remoto. Successivamente, fai clic su "Aggiungi utente o gruppo" e aggiungi manualmente gli utenti a cui desideri concedere l'accesso a Desktop remoto. Questo non è un passaggio essenziale, ma ti dà più potere su quali account utilizzare Remote Desktop. Se, in futuro, crei un nuovo account Administrator per qualche motivo e ti dimentichi di inserire una password sicura, stai aprendo il tuo computer agli hacker di tutto il mondo se non ti sei mai preoccupato di rimuovere il gruppo "Administrators" da questa schermata.
Chiudere la finestra di politica di sicurezza locale e aprire l'Editor dei criteri di gruppo locale digitando "gpedit.msc" nel prompt Esegui o nel menu Start.
Quando viene visualizzato l'Editor criteri gruppo locale, espandere Criteri computer> Modelli amministrativi> Componenti di Windows> Servizi Desktop remoto> Host sessione Desktop remoto, quindi fare clic su Sicurezza.
Fare doppio clic su qualsiasi impostazione in questo menu per modificare i loro valori. Quelli che consigliamo di cambiare sono:
Imposta il livello di crittografia della connessione client: impostalo su Alto livello in modo che le sessioni del desktop remoto siano protette con crittografia a 128 bit.
Richiedi comunicazioni RPC protette - Impostare su Abilitato.
Richiedere l'uso di un livello di sicurezza specifico per le connessioni remote (RDP) - Impostare su SSL (TLS 1.0).
Richiedere l'autenticazione utente per le connessioni remote utilizzando l'autenticazione a livello di rete - Impostare su Abilitato.
Una volta apportate tali modifiche, è possibile chiudere l'Editor criteri di gruppo locale. L'ultima raccomandazione sulla sicurezza che abbiamo è quella di cambiare la porta predefinita su cui Desktop remoto è in ascolto. Questo è un passaggio facoltativo ed è considerato una sicurezza attraverso la pratica dell'oscurità, ma il fatto è che la modifica del numero di porta predefinito riduce notevolmente la quantità di tentativi di connessione malevola che il computer riceverà. La tua password e le tue impostazioni di sicurezza devono rendere il desktop remoto invulnerabile indipendentemente dalla porta su cui è in ascolto, ma potremmo anche ridurre la quantità di tentativi di connessione se possiamo.
Sicurezza attraverso l'oscurità: modifica della porta RDP predefinita
Per impostazione predefinita, Desktop remoto è in attesa sulla porta 3389. Scegliere un numero a cinque cifre inferiore a 65535 che si desidera utilizzare per il numero di porta del desktop remoto personalizzato. Tenendo presente questo numero, apri l'Editor del Registro di sistema digitando "regedit" in un prompt Esegui o nel menu Start.
Quando si apre l'Editor del Registro di sistema, espandere HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> quindi fare doppio clic su "PortNumber" nella finestra a destra.
Con la chiave di registro PortNumber aperta, selezionare "Decimale" sul lato destro della finestra e quindi digitare il numero di cinque cifre in "Dati valore" a sinistra.
Fare clic su OK e quindi chiudere l'editor del Registro di sistema.
Poiché abbiamo modificato la porta predefinita utilizzata da Desktop remoto, sarà necessario configurare Windows Firewall in modo che accetti le connessioni in entrata su quella porta. Vai alla schermata Start, cerca "Windows Firewall" e fai clic su di esso.
All'apertura di Windows Firewall, fai clic su "Impostazioni avanzate" sul lato sinistro della finestra. Quindi fai clic destro su "Regole in entrata" e scegli "Nuova regola".
Verrà visualizzata la "Creazione guidata nuove regole in entrata", selezionare Porta e fare clic su Avanti. Nella schermata successiva, assicurati che TCP sia selezionato e inserisci il numero di porta che hai scelto in precedenza, quindi fai clic su Avanti. Fai clic due volte più avanti perché i valori predefiniti nelle prossime coppie di pagine andranno bene. Nell'ultima pagina, seleziona un nome per questa nuova regola, ad esempio "Porta RDP personalizzata", quindi fai clic su Fine.
Ultimi passi
Il tuo computer dovrebbe ora essere accessibile sulla tua rete locale, basta specificare l'indirizzo IP della macchina o il suo nome, seguito da due punti e il numero della porta in entrambi i casi, in questo modo:
Per accedere al tuo computer dall'esterno della tua rete, è molto probabile che tu debba inoltrare la porta sul tuo router. Successivamente, il tuo PC dovrebbe essere accessibile da remoto da qualsiasi dispositivo che abbia un client Desktop remoto.
Se ti stai chiedendo come tenere traccia di chi accede al tuo PC (e da dove), puoi aprire il Visualizzatore eventi per vedere.
Una volta aperto il Visualizzatore eventi, espandere Registri applicazioni e servizi> Microsoft> Windows> TerminalServices-LocalSessionManger, quindi fare clic su Operativo.
Fare clic su uno degli eventi nel riquadro di destra per visualizzare le informazioni di accesso.