Vuoi vedere il sito in un'altra lingua?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Cambia lingua
Indice

Introduzione

L'accesso remoto è un requisito quotidiano nell'amministrazione di Windows Server, che il carico di lavoro venga eseguito in locale, in una VM cloud o in un ambiente ibrido. Questa guida mostra come abilitare il protocollo Desktop remoto (RDP) in modo sicuro su Windows Server 2008-2025, oltre a quando utilizzare PowerShell, quali regole del firewall verificare e come evitare di esporre un accesso RDP rischioso.

TSplus Remote Access Prova Gratuita

Alternativa definitiva a Citrix/RDS per accesso a desktop/app. Sicuro, conveniente, on-premises/cloud

Inizia una prova gratuita

Qual è il Remote Access in Windows Server?

Accesso remoto consente agli amministratori o agli utenti autorizzati di connettersi a un server Windows da un altro computer attraverso una rete o Internet. Questa funzionalità è fondamentale per l'amministrazione centralizzata, la gestione dell'infrastruttura cloud e gli ambienti IT ibridi.

Tecnologie core di accesso remoto in Windows Server

Diverse tecnologie abilitano l'accesso remoto all'interno dell'ecosistema Windows, e ognuna ha uno scopo diverso.

Le opzioni più comuni includono:

  • Protocollo Desktop Remoto (RDP): sessioni desktop grafiche per amministratori o utenti
  • Servizi Desktop Remoto (RDS): infrastruttura di distribuzione di applicazioni o desktop multi-utente
  • Servizio di Routing e Accesso Remoto (RRAS): connettività VPN a reti interne
  • PowerShell Remoting: gestione remota da riga di comando utilizzando WinRM

Quando RDP è la scelta giusta

Per la maggior parte delle attività amministrative, abilitare Remote Desktop (RDP) è la soluzione più veloce e pratica. RDP consentire agli amministratori di interagire con l'interfaccia grafica completa di Windows come se fossero alla console.

RDP è anche la superficie di gestione remota più comunemente attaccata quando esposta in modo improprio. Il resto di questa guida tratta "abilitare RDP" e "abilitare RDP in modo sicuro" come lo stesso compito. Le stesse indicazioni di Microsoft sottolineano di abilitare Remote Desktop solo quando necessario e di utilizzare metodi di accesso più sicuri quando possibile.

Quali sono i requisiti prima di abilitare l'accesso remoto?

Prima di attivare l'accesso remoto su un server Windows, verifica alcuni prerequisiti. Questo riduce i tentativi di connessione non riusciti e evita di aprire percorsi di accesso rischiosi come soluzione dell'ultimo minuto.

Permessi amministrativi e diritti degli utenti

Devi essere connesso con un account che ha privilegi di amministratore locale. Gli account utente standard non possono abilitare il Desktop Remoto o modificare le impostazioni del firewall.

Pianifica anche chi dovrebbe essere autorizzato ad accedere tramite RDP. Per impostazione predefinita, gli amministratori locali possono connettersi. Tutti gli altri dovrebbero ricevere l'accesso deliberatamente tramite il gruppo Utenti Desktop Remoto, idealmente utilizzando un gruppo di dominio negli ambienti Active Directory.

Accessibilità della rete e risoluzione dei nomi

Il server deve essere raggiungibile dal dispositivo che avvia la connessione. Gli scenari comuni includono:

  • Accesso alla rete locale (LAN)
  • Connessione tramite un tunnel VPN
  • Accesso a Internet pubblico tramite un indirizzo IP pubblico

Se intendi connetterti utilizzando un nome host, conferma la risoluzione DNS. Se ti connetti utilizzando un indirizzo IP, conferma che sia stabile e instradabile dal segmento di rete del client.

Considerazioni su Firewall e NAT

Remote Desktop utilizza TCP porta 3389 per impostazione predefinita. Nella maggior parte dei casi, Windows abilita automaticamente le regole del firewall necessarie quando RDP è attivato, ma gli amministratori dovrebbero comunque verificare lo stato della regola.

Se la connessione attraversa un firewall perimetrale, un dispositivo NAT o un gruppo di sicurezza cloud, quegli strati devono anche consentire il traffico. Una regola del firewall di Windows da sola non può risolvere un blocco a monte.

Preparazioni di sicurezza prima di abilitare RDP

L'apertura dell'accesso remoto introduce una superficie di attacco. Prima di abilitare RDP, implementa queste protezioni di base:

  • Abilita l'autenticazione a livello di rete (NLA)
  • Limita l'accesso utilizzando regole di ambito del firewall o filtraggio IP
  • Usa un VPN o Gateway Desktop Remoto per accesso basato su internet
  • Implementa l'autenticazione multi-fattore (MFA) al confine di accesso quando possibile
  • Monitora i registri di autenticazione per attività sospette

Con NLA abilitato, gli utenti si autenticano prima che venga stabilita una sessione completa, il che riduce l'esposizione e aiuta a proteggere l'host.

Come abilitare l'accesso remoto su Windows Server?

In quasi tutte le versioni di Windows Server, abilitare il Desktop Remoto richiede solo pochi passaggi. Il Interfaccia grafica il flusso di lavoro è rimasto sostanzialmente coerente da Windows Server 2012.

Passo 1: Apri Server Manager

Accedi al server Windows utilizzando un account amministratore.

Apri Server Manager, che è la console di amministrazione centrale per gli ambienti Windows Server. È tipicamente disponibile nel menu Start, sulla barra delle applicazioni e spesso si avvia automaticamente dopo il login.

Passo 2: Naviga alle impostazioni del server locale

Dentro Server Manager:

  • Clicca su Server Locale nel pannello di navigazione a sinistra
  • Individua la proprietà Remote Desktop nell'elenco delle proprietà del server

Per impostazione predefinita, lo stato appare spesso come Disabilitato, il che significa che le connessioni Desktop Remoto non sono consentite.

Passaggio 3: Abilitare il Desktop Remoto e richiedere NLA

Clicca Disabilitato accanto all'impostazione Desktop Remoto. Questo apre Proprietà di sistema nella scheda Remota.

  • Seleziona Consenti connessioni remote a questo computer
  • Abilita l'autenticazione a livello di rete (consigliato)

NLA è un forte default perché l'autenticazione avviene prima dell'avvio di una sessione desktop completa, riducendo il rischio e l'esposizione delle risorse.

Passo 4: Verifica le regole del firewall di Windows Defender

Quando il Remote Desktop è abilitato, Windows attiva solitamente automaticamente le regole del firewall necessarie. Tuttavia, verificalo manualmente.

Apri Windows Defender Firewall con Advanced Security e conferma che queste regole in entrata siano abilitate:

  • Desktop Remoto – Modalità Utente (TCP-In)
  • Desktop Remoto – Modalità Utente (UDP-In)

La guida alla risoluzione dei problemi di Microsoft evidenzia queste regole esatte come controlli chiave quando RDP non funziona.

Passo 5: Configura gli utenti autorizzati

Per impostazione predefinita, ai membri del gruppo degli Amministratori è consentito connettersi tramite Remote Desktop. Se altri utenti necessitano di accesso, aggiungili esplicitamente.

  • Clicca Seleziona Utenti
  • Scegli Aggiungi
  • Inserisci il nome dell'utente o del gruppo
  • Conferma le modifiche

Questo aggiunge le identità selezionate al gruppo Utenti Desktop Remoto e riduce la tentazione di concedere diritti più ampi del necessario.

Passo 6: Connettersi al server da remoto

Dal dispositivo client:

  • Avvia connessione desktop remoto (mstsc.exe)
  • Inserisci il nome host del server o l'indirizzo IP
  • Fornire le credenziali di accesso
  • Inizia la sessione

Se il tuo team utilizza l'app "Remote Desktop" di Microsoft Store per i servizi cloud, tieni presente che Microsoft ha spostato gli utenti verso la nuova app Windows per Windows 365, Azure Virtual Desktop e Dev Box, mentre la connessione desktop remoto integrata (mstsc) rimane lo standard per i flussi di lavoro RDP classici.

Come abilitare l'accesso remoto utilizzando PowerShell?

Negli ambienti più grandi, gli amministratori raramente configurano i server manualmente. Gli script e l'automazione aiutano a standardizzare le impostazioni e ridurre la deriva di configurazione.

Abilita RDP e regole del firewall con PowerShell

Esegui PowerShell come amministratore ed esegui: 

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -Value 0  
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Questo approccio rispecchia le linee guida comuni di Microsoft: abilitare RDP e assicurarsi che le regole del firewall siano attivate per il gruppo Remote Desktop.

Note per l'automazione e la standardizzazione (GPO, modelli)

Per i server uniti al dominio, la Group Policy è di solito il modo più sicuro per scalare l'accesso remoto:

  • Applica NLA in modo coerente
  • Controlla l'appartenenza degli utenti di Desktop Remoto utilizzando i gruppi AD
  • Standardizza il comportamento delle regole del firewall
  • Allinea la politica di auditing e di blocco su flotte di server

PowerShell è ancora utile per la fornitura di pipeline, la configurazione di emergenza in reti controllate e script di convalida.

Qual è la configurazione di Remote Access per la versione di Windows Server?

Il stack RDP è coerente, ma l'interfaccia utente e le impostazioni predefinite variano. Usa queste note per evitare di perdere tempo a cercare impostazioni.

Windows Server 2008 e 2008 R2

Windows Server 2008 utilizza l'interfaccia amministrativa più vecchia:

  • Apri Pannello di Controllo
  • Seleziona Sistema
  • Clicca su Impostazioni Remote
  • Abilita le connessioni remote

Questa versione supporta Remote Desktop per l'amministrazione, consentendo tipicamente due sessioni amministrative più la sessione della console, a seconda della configurazione e dell'edizione.

Windows Server 2012 e 2012 R2

Windows Server 2012 ha introdotto il modello centrato su Server Manager:

  • Server Manager → Server locale → Desktop remoto

Questo è il flusso di lavoro che rimane familiare attraverso le versioni successive.

Windows Server 2016

Windows Server 2016 mantiene lo stesso flusso di configurazione:

  • Server Manager → Server Locale
  • Abilita Desktop Remoto
  • Conferma le regole del firewall

Questa versione è diventata una base comune per l'impresa grazie alla stabilità a lungo termine.

Windows Server 2019

Windows Server 2019 ha migliorato le capacità ibride e le funzionalità di sicurezza, ma l'abilitazione del Remote Desktop rimane lo stesso flusso di lavoro del Server Manager.

Windows Server 2022

Windows Server 2022 enfatizza la sicurezza e un'infrastruttura rinforzata, ma la configurazione di Remote Desktop segue ancora lo stesso schema in Server Manager.

Windows Server 2025

Windows Server 2025 continua lo stesso modello amministrativo. La documentazione Microsoft per la gestione di Windows Firewall copre esplicitamente Windows Server 2025, inclusa l'attivazione delle regole del firewall tramite PowerShell, che è importante per l'abilitazione standardizzata di RDP.

Come risolvere i problemi delle connessioni Desktop Remoto?

Anche quando il Remote Desktop è configurato correttamente, si verificano ancora problemi di connessione. La maggior parte dei problemi rientra in alcune categorie ripetibili.

Controlli del firewall e delle porte

Inizia con la raggiungibilità della porta.

  • Conferma che le regole in entrata siano abilitate per Remote Desktop
  • Confermare che i firewall upstream, NAT e i gruppi di sicurezza cloud consentano la connessione
  • Conferma che il server stia ascoltando sulla porta prevista

La guida alla risoluzione dei problemi RDP di Microsoft evidenzia il firewall e lo stato delle regole come causa principale di fallimento.

Stato del servizio e conflitti di policy

Conferma che il Desktop Remoto sia abilitato nelle Proprietà di Sistema nella scheda Remota. Se la Criteri di Gruppo disabilita RDP o limita i diritti di accesso, le modifiche locali potrebbero essere annullate o bloccate.

Se un server è unito a un dominio, controlla se la politica è in fase di applicazione:

  • Impostazioni di sicurezza RDP
  • Utenti e gruppi autorizzati
  • Stato della regola del firewall

Test del percorso di rete

Utilizzare test di base per isolare dove si verifica il guasto:

  • ping server-ip (non definitivo se ICMP è bloccato)
  • Test-NetConnection server-ip -Port 3389 (PowerShell sul client)
  • telnet server-ip 3389 (se il client Telnet è installato)

Se la porta non è raggiungibile, il problema è probabilmente di routing o firewall, non di configurazione RDP.

Problemi relativi all'autenticazione e NLA

Se puoi raggiungere la porta ma non riesci ad autenticarti, controlla:

  • Se l'utente è negli Amministratori o negli Utenti di Desktop Remoto
  • Se l'account è bloccato o limitato dalla politica
  • Se NLA sta fallendo a causa di dipendenze di identità, come un problema di connettività del dominio in alcuni scenari VM

Quali sono le migliori pratiche di sicurezza per l'accesso remoto?

Il Desktop Remoto è ampiamente scansionato su Internet pubblico e le porte RDP aperte sono obiettivi frequenti per attacchi basati su credenziali. L'accesso remoto sicuro è un problema di design a strati, non un semplice controllo da selezionare.

Non esporre 3389 direttamente a Internet

Evitare di pubblicare TCP 3389 su Internet pubblico ogni volta che è possibile. Se è necessario l'accesso esterno, utilizzare un servizio di confine che riduca l'esposizione e fornisca punti di controllo più robusti.

Preferisci RD Gateway o VPN per l'accesso esterno

Remote Desktop Gateway è progettato per fornire accesso remoto sicuro senza esporre direttamente gli endpoint RDP interni, utilizzando tipicamente HTTPS come trasporto.

Una VPN è appropriata quando gli amministratori necessitano di un accesso di rete più ampio oltre RDP. In entrambi i casi, considera il gateway come un confine di sicurezza e rinforzalo di conseguenza.

Riduci il rischio delle credenziali con MFA e igiene dell'account

Aggiungi MFA al punto di accesso, come il VPN, il gateway o il fornitore di identità. Mantieni l'accesso RDP limitato ai gruppi amministrativi, evita di utilizzare account condivisi e disabilita gli account amministrativi locali non utilizzati dove possibile.

Monitora e rispondi ad attività di accesso sospette

Al minimo, monitorare:

  • Fallimenti di accesso consecutivi
  • Accessi da geografie o intervalli IP insoliti
  • Tentativi ripetuti contro account disabilitati

Se l'ambiente ha già un SIEM, inoltra i registri di sicurezza e avvisa sui modelli piuttosto che su eventi singoli.

Come TSplus offre un'alternativa più semplice e sicura per l'accesso remoto?

RDP nativo funziona bene per l'amministrazione di base, ma molte organizzazioni hanno anche bisogno di accesso basato su browser, pubblicazione di applicazioni e un onboarding degli utenti più semplice senza esporre RDP in modo ampio. TSplus Remote Access fornisce un approccio centralizzato per fornire applicazioni e desktop Windows, aiutando i team a ridurre l'esposizione diretta ai server e a standardizzare i punti di accesso remoti, supportando nel contempo più utenti in modo efficiente.

Conclusione

Abilitare l'accesso remoto su Windows Server 2008 fino al 2025 è semplice: attivare il Desktop Remoto, confermare le regole del firewall e concedere l'accesso solo agli utenti giusti. La vera differenza tra un'implementazione sicura e una rischiosa è come viene esposto RDP. Preferire i modelli RD Gateway o VPN per l'accesso esterno, richiedere NLA, aggiungere MFA dove possibile e monitorare continuamente gli eventi di autenticazione.

TSplus Remote Access Prova Gratuita

Alternativa definitiva a Citrix/RDS per accesso a desktop/app. Sicuro, conveniente, on-premises/cloud

Inizia una prova gratuita

Condividi :

Facebook Twitter LinkedIn

Il tuo team TSplus

Ulteriori letture

back to top of the page icon