Come proteggere il desktop remoto di Windows
Esporre in rete pubblica, internet, il proprio Windows o uno dei server aziendali tramite Desktop Remoto, potrebbe essere un must … inevitabile.
Potrebbero però presentarsi problemi in merito a accessi non autorizzati / intrusioni. Il nostro Desktop Remoto potrebbe così trasformarsi in un cavallo di troia pericolosissimo per tutta la rete interna.
Come me ne accorgo? Come posso proteggere il server?
Ecco di cosa parleremo.
- Cosa controllare
- Come proteggo il mio Remote Desktop
- Firewall per proteggere il desk top remoto
- Consigli generali
Cosa controllare
Per monitorare i log di accesso, per eventuali attività sospette, dovete sapere che gli accessi al sistema vengono tracciati nel visualizzatore degli eventi (eventvwr). Cercando l’evento con ID 4642 potremo analizzare gli accessi eseguiti nel corso del tempo.
Il tempo è un fattore fondamentale quando si ha il sospetto di una intrusione, infatti, in genere il registro viene sovrascritto molto rapidamente. Quindi occhio alla sua dimensione.
Come vedere gli eventi.
Per accedere al Visualizzatore eventi con l’interfaccia di Windows si può passare per il Pannello di controllo. Quindi:
Sistema e manutenzione > Strumenti di amministrazione > Visualizzatore eventi.
Filtrando per ID 4642 si potranno avere tutte le informazioni che cerchiamo.
Come proteggo il mio Remote Desktop
Ecco una lista di soli 4 punti per proteggere efficacemente il vostro remote desktop.
- Password policy. Password robuste e cambiate obbligatoriamente almeno ogni 90 giorni.
- Ecco come fare:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc781633(v=ws.10)?redirectedfrom=MSDN
Ad esempio con le Local Security Policy
Vedi immagine sotto.
Poi dovremo certamente obbligare gli utenti a cambiare la prima volta le password.
- Ecco come fare:
- Limitare il numero massimo di accessi falliti per ogni account.
- Sempre nella Local Security Policy, trovano posto le Account Policies>Account Lockout Policy. Qui sarà possibile impostare il lockout threshold. Metterei un massimo di 4 tentativi.
- Molta molta attenzione! Se è il vostro account a venire bloccato … pensate alle conseguenze.
- Non consentire accesso remoto a utenti che appartengano al gruppo “administrators”.
- Non consentire accesso remoto a utenti del gruppo “everyone” e “guest” .
Per i punti 3 e 4 consiglio di leggere attentamente l’articolo https://techcommunity.microsoft.com/t5/ask-the-performance-team/8220-allow-logon-through-terminal-services-8221-group-policy-and/ba-p/374961
Firewall per proteggere il desk top remoto
Avremo senz’altro un firewall a monte del nostro host Windows, tramite il quale avremo impostato delle regole per esporre in nostro Desktop. In quella sede sarà opportuno provvedere a:
- Impostare delle regole limitare l’accesso ai soli IP autorizzati.
- Impostare eventuali regole basate sugli orari (in genere un desktop serve per lavorare in orari di ufficio).
- Valutare per l’accesso dall’esterno, la tecnologia VPN.
Se non avete un firewall a monte potete, in ultima scelta, avvalervi del firewall di Windows.
Consigli generali
In fine posso consigliare di riflettere su questi semplici punti.
- Isolare il server. Se necessario accedere ad altri sistemi, consiglio di non memorizzare password per l’accesso ad altri sistemi nella rete.
- Aggiornare il sistema operativo con le patch di sicurezza offerte. Inutile dire che anche le patch non sempre siano solutive: questo punto se applicato da solo, può risultare completamente inefficace.
Commenti? Volete discutere qualcosa? Scrivete qui sotto o contattatemi con ogni mezzo. Ciao!