DaaS spiegato: come funziona il Desktop as a Service e perché è importante
Comprendere come funziona il Desktop as a Service (DaaS) dietro le quinte. Esplora l'infrastruttura, il modello di consegna e le alternative sicure con TSplus Remote Access.
Vuoi vedere il sito in un'altra lingua?
TSPLUS BLOG
Abilitare il Protocollo Desktop Remoto (RDP) attraverso il Registro Remoto è una tecnica potente per gli amministratori IT che devono gestire macchine Windows 10 attraverso una rete. Questo metodo è particolarmente prezioso in scenari in cui l'accesso tramite GUI non è disponibile o è necessaria l'automazione. In questo articolo tecnico, esamineremo come configurare RDP tramite il Registro di Windows, sia localmente che da remoto. Tratteremo anche alternative PowerShell, configurazione del firewall e considerazioni sulla sicurezza.
Prima di apportare modifiche tramite il registro, è fondamentale verificare che il tuo ambiente supporti l'amministrazione remota e che tutti i servizi e le autorizzazioni necessari siano configurati.
Windows 10 Home Edition non include il componente server RDP (TermService). Tentare di abilitare RDP su un dispositivo con edizione Home non porterà a una sessione RDP funzionante, anche se le chiavi di registro sono configurate correttamente.
Puoi verificare l'edizione da remoto tramite PowerShell:
Le modifiche al registro e la gestione dei servizi richiedono privilegi di amministratore locale. Se si utilizzano credenziali di dominio, assicurarsi che l'account utente faccia parte del gruppo degli Amministratori sulla macchina remota.
Il Registro Remoto e RDP si basano su porte specifiche:
Esegui un controllo della porta:
Controlla lo stato del servizio Registro remoto
Il servizio Registro remoto deve essere impostato su Automatico e avviato:
Il servizio Registro di sistema remoto è spesso disabilitato per impostazione predefinita per motivi di sicurezza. I professionisti IT devono abilitarlo e avviarlo prima di tentare qualsiasi operazione di registro di sistema remoto.
Puoi impostare il servizio per avviarsi automaticamente e avviarlo immediatamente:
Questo garantisce che il servizio rimanga attivo dopo il riavvio.
Se il remoting di PowerShell non è disponibile:
Una volta che il servizio è in esecuzione, la modifica del registro da una console remota diventa possibile.
Al centro dell'abilitazione di RDP c'è un singolo valore di registro: fDenyTSConnections. Cambiare questo da 1 a 0 abilita il servizio RDP sulla macchina.
Questo è un metodo basato su GUI adatto per compiti ad hoc:
Nota: Questa modifica non configura automaticamente il firewall di Windows. Questo deve essere fatto separatamente.
Per l'automazione o la scrittura di script, si preferisce PowerShell:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }
Puoi anche verificare che il valore sia stato modificato:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }
Per impostazione predefinita, il firewall di Windows blocca le connessioni RDP in entrata. Devi esplicitamente consentirle attraverso il gruppo di regole appropriato.
Questo consente a tutte le regole predefinite del gruppo "Remote Desktop".
Se il remote PowerShell non è disponibile, PsExec di Sysinternals può aiutare:
bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes
Suggerimento di sicurezza: Se utilizzi GPO di dominio, puoi applicare l'accesso RDP e le regole del firewall tramite una politica centralizzata.
Per confermare la tua configurazione:
Controlla se porta 3389 sta ascoltando:
Dovresti vedere TcpTestSucceeded: True
Apri mstsc.exe, inserisci il nome host o l'indirizzo IP di destinazione e connettiti utilizzando le credenziali di amministratore.
Se vedi un prompt di credenziali, la tua sessione RDP è stata avviata con successo.
Controlla il Visualizzatore eventi sul sistema remoto:
Cerca errori relativi ai tentativi di connessione o ai fallimenti del listener.
Abilitare RDP apre una superficie di attacco significativa. È fondamentale indurire l'ambiente, specialmente quando si espone RDP attraverso le reti.
La chiave fDenyTSConnections è comunemente modificata da malware e attaccanti per abilitare il movimento laterale. Utilizzare strumenti di monitoraggio come:
Assicurati che tutti gli account con accesso RDP abbiano:
Se RDP non funziona ancora dopo aver configurato il registro e il firewall, ci sono diverse possibili cause da indagare:
Usa il seguente comando per verificare che il sistema stia ascoltando le connessioni RDP:
Se non c'è alcun ascoltatore, i Servizi Desktop Remoto (TermService) potrebbero non essere in esecuzione. Avvialo manualmente o riavvia la macchina. Inoltre, assicurati che le impostazioni della Criteri di Gruppo non stiano disabilitando il servizio inavvertitamente.
Assicurati che l'utente previsto sia un membro del gruppo Utenti Desktop Remoto o abbia accesso tramite Criteri di Gruppo:
Pgsql: Configurazione computer > Politiche > Impostazioni di Windows > Impostazioni di sicurezza > Politiche locali > Assegnazione diritti utente > Consenti accesso tramite Servizi Desktop Remoti
Puoi verificare l'appartenenza al gruppo utilizzando:
Conferma anche che nessuna politica conflittuale stia rimuovendo gli utenti da questo gruppo.
Controlla che:
Per una visibilità più ampia, utilizzare strumenti come wbemtest o Get-WmiObject per convalidare la comunicazione RPC.
Sebbene la configurazione manuale del registro e del firewall sia potente, può essere complessa e rischiosa su larga scala. TSplus Remote Access offre un'alternativa sicura, centralizzata ed efficiente alle configurazioni RDP tradizionali. Con accesso basato sul web, supporto multi-utente e funzionalità di sicurezza integrate, TSplus è la soluzione ideale per le organizzazioni che desiderano semplificare la consegna e la gestione del desktop remoto.
Abilitare RDP tramite il Registro di sistema remoto su Windows 10 offre agli amministratori IT un metodo flessibile e a basso livello per fornire accesso remoto. Che tu stia configurando dispositivi su larga scala o risolvendo problemi di accesso a sistemi senza interfaccia, questo metodo fornisce una soluzione precisa e scriptabile. Abbinalo sempre a regole di firewall robuste, permessi a livello utente e monitoraggio della sicurezza per garantire la conformità e proteggere contro l'uso improprio.
TSplus Remote Access Prova Gratuita
Alternativa definitiva a Citrix/RDS per l'accesso a desktop/app. Sicuro, conveniente, on-premises/cloud
Accesso Remoto con un Clic
L'alternativa ideale a Citrix e Microsoft RDS per l'accesso desktop remoto e la distribuzione di applicazioni Windows.
Provalo gratuitamenteAFFIDATO A OLTRE 500.000 AZIENDE