Per permettere agli utenti dell'ufficio di casa o di altre località remote di accedere ai dati e ai programmi nella rete aziendale, l'uso dell'applicazione Remote Desktop App e del protocollo Remote Desktop (RDP) è un mezzo di scelta. Nel farlo, tuttavia, gli utenti possono rapidamente e incautamente innescare problemi.
È improbabile che ci sia un amministratore IT che non usi RDP per accedere a un sistema Windows in remoto di tanto in tanto: che si tratti del server che è stato bandito nel seminterrato o del PC di un utente in un altro edificio aziendale, questo tipo di accesso fornisce un modo facile e veloce per lavorare "in remoto".
RDP si basa su TCP e viene solitamente fornito sulla porta TCP 3389. Dalla versione 8 del protocollo, che ha raggiunto i computer con Windows 8 e Windows 2012, è stata aggiunta la porta UDP 3389.
Siccome ogni sistema Windows viene consegnato con un programma RDP o un'app RDP, il suo uso ora ha anche senso quando si tratta di offrire agli utenti un modo semplice per accedere ai loro sistemi in remoto nella rete aziendale.
Alto beneficio nonostante qualche rischio
Ma prima, è anche un fatto che RDP è stato ripetutamente un gateway per gli attacchi in passato. Non da ultimo, la vulnerabilità BlueKeep permetteva agli aggressori di accedere in remoto ai computer senza l'intervento dell'utente del PC. Anche se, secondo Microsoft, questa lacuna non esiste più nei sistemi Window 10 e Server 2019, continuano ad emergere segnalazioni di ulteriori vulnerabilità (per esempio: kb.cert.org #576688 dal 04.06.2019), che potrebbero rappresentare un pericolo anche nell'uso remoto.
Nonostante questi problemi generali, l'accesso tramite desktop remoto è ancora molto popolare nella pratica - anche perché tale connessione può essere impostata molto rapidamente e facilmente. Tuttavia, altri problemi pratici possono sorgere nell'uso quotidiano, uno dei quali vorremmo esaminare più da vicino qui e suggerire anche alcune possibili soluzioni.
Se l'utente clicca "sbagliato"...
Chi ha già usato RDP nelle versioni precedenti di Windows fino a Windows 7 forse ricorderà che un utente con questo sistema operativo aveva la possibilità di uscire dalla sessione remota quando cliccava sul menu di avvio del sistema Windows nella finestra remota, ma il sistema remoto rimaneva poi attivo. A quel tempo, se l'utente voleva spegnere il sistema host da remoto, il comando "Shutdown" doveva essere specificamente chiamato dalla linea di comando. Uno spegnimento accidentale quando l'utente voleva solo disconnettersi era quindi abbastanza improbabile.
Al contrario, con gli attuali sistemi Windows 10, l'utente ha la possibilità di spegnere il computer host direttamente sul sistema remoto dopo aver selezionato "Start" e "On/Off". Specialmente quando si suppone che gli utenti lavorino in remoto sui sistemi dell'azienda, per esempio durante il fine settimana o quando gli home office sono generalmente disponibili, questo può portare alla spiacevole situazione che un amministratore (o anche l'utente stesso) debba viaggiare in azienda più tardi per riavviare il computer.
Wake on LAN spesso non è una soluzione
Solo se i sistemi dell'azienda sono impostati per WOL (Wake On LAN) questo non è necessario. Purtroppo, però, ci sono ancora molte schede di rete in uso che non supportano questa funzione. Inoltre, la configurazione delle schede di rete e dei sistemi BIOS di molti computer è di solito macchinosa e richiede tempo. Inoltre, alcuni router bloccano il cosiddetto "Magic Packet" per ragioni di sicurezza, che dovrebbe innescare l'avvio del computer tramite Wake on LAN. Naturalmente, questo è particolarmente vero se questo comando proviene dall'esterno della rete aziendale.
Così può avere senso rimuovere semplicemente la voce per lo spegnimento dal menu di avvio in modo che uno spegnimento accidentale del computer remoto non possa più accadere così facilmente. Una politica di gruppo corrispondente può poi aiutare la distribuzione su tutti i computer. Questo può essere assegnato alla OU (unità organizzativa) corrispondente sul server o impostato direttamente nella console locale del sistema richiamando "gpedit.msc". Gli amministratori possono trovare la politica dal nome molto ingombrante:
Rimuovi i comandi "Spegnimento", "Riavvio", "Risparmio energetico" e "Ibernazione" e nega l'accesso ad essi
sotto il percorso "Configurazione dell'utente" Modelli amministrativi" Menu di avvio e barra delle applicazioni". Per impostazione predefinita, questa politica non è attivata. Se l'amministratore di sistema l'ha impostato su "Enabled" e ha confermato questa impostazione con "Apply" e "OK", viene adottato immediatamente senza un riavvio. In seguito, l'utente non troverà più queste impostazioni nel menu Start. Anche se richiama la schermata "Sicurezza di Windows" usando "CTRL-ALT-ENTF", l'interruttore di accensione non viene più visualizzato.
Nascondere con l'aiuto del registro
Chi trova l'approccio troppo radicale che dopo l'attivazione della policy si trovi solo "Disconnetti" sotto "On/Off" nel menu Start, deve ricorrere al registro. Con l'aiuto del registro, la voce "Shut down" può essere specificatamente nascosta. Tuttavia, ci sono differenze da considerare a seconda della versione di Windows 10 utilizzata sul sistema. Se la versione 1803 (o una versione ancora precedente) è ancora in uso, l'amministratore deve impostare il seguente valore di registro su "1":
HKLMSOFTWAREMicrosoftPolicyManagercurrentdeviceStartHideShutdown
Se, invece, è in uso una versione di Windows 10 dalla 1809 (abbiamo usato la versione attuale 2004 per questo articolo), questo valore di registro deve essere impostato su "1":
HKLMSOFTWAREMicrosoftPolicyManagerdefaultStartHideShutdownvalue
Gli amministratori di un dominio gestito possono naturalmente usare GPP (Group Policy Preference) per applicare tali impostazioni di registro ai rispettivi computer client.
Grazie al sistema
Tutti i metodi descritti finora non impediscono agli utenti di spegnere comunque il computer con un comando "shutdown" dalla linea di comando se hanno i diritti appropriati per farlo. Se volete impedire anche questo, potete usare un criterio di gruppo per gestire i diritti utente corrispondenti. Si può trovare sotto il percorso:
Configurazione del computer Impostazioni di Windows Impostazioni di sicurezza Politiche localiAllocazione dei diritti utente
. A questo punto, gli amministratori di sistema possono revocare il diritto di spegnere un sistema a certi utenti o gruppi di utenti facendoli uscire. Per impostazione predefinita, Windows inserisce gli amministratori, l'utente principale del sistema e gli operatori di backup come autorizzati.
Con tutti questi cambiamenti, tuttavia, gli amministratori di sistema non dovrebbero dimenticare che tali cambiamenti possono anche portare ad altri problemi. Se, per esempio, l'helpdesk dell'home office consiglia all'utente di riavviare semplicemente, questo non può essere fatto perché l'impostazione corrispondente non è semplicemente disponibile sul sistema. In questi casi, è quindi consigliabile che l'IT documenti su quali macchine sono state fatte tali modifiche.
Problemi on-site
E un altro aspetto complica la decisione se e quando una tale misura ha senso: con tutte queste soluzioni, i pulsanti corrispondenti nel menu di avvio rimangono nascosti anche se l'utente non vuole accedere al suo sistema host da casa o da un altro luogo remoto, ma è lui stesso on-site in azienda. E al più tardi quando questa diventa di nuovo la regola, i computer che non possono essere spenti o riavviati scatenano problemi altrove.
Nascondere selettivamente i pulsanti di spegnimento e riavvio nel menu di avvio a seconda del login - cioè remoto o in loco - è possibile in linea di principio, ma complicato.