Connessione a desktop remoto di Windows (protocollo MS RDP)

Connessione a desktop remoto di Windows (protocollo MS RDP)

Anche se questo argomento potrebbe essere incluso nel thread dedicato alle configurazioni e alle raccomandazioni per i PC, penso che sia abbastanza importante da avere un thread tutto suo per essere più facile da trovare per i principianti di SQ, specialmente dopo aver visto che c'è un crescente interesse qui su questo forum per l'utilizzo di un PC in remoto.

Per essere molto brevi e diretti al punto, per citare un ottimo articolo:

Cosa potete fare se dovete mettere RDP su Internet? Innanzitutto, non fatelo. Davvero, non fatelo.

Per proteggere le connessioni RDP, si raccomanda quanto segue:

-Modificare la porta 3389 predefinita nel registro di Windows e nel menu delle impostazioni del router.
-Abilita l'autenticazione a livello di rete NLA
-Installare un software antivirus/sicurezza internet
-Inserire password complesse (è obbligatoria una passphrase lunga, contenente più di 15 caratteri, senza frasi legate all'azienda, ai nomi dei prodotti o agli utenti).

Le precedenti sono semplici e gratuite, le seguenti sono più complesse e alcune richiedono un abbonamento a pagamento.

-Installare l'autenticazione a due fattori (2FA), un tipo di autenticazione a più fattori (MFA), con password e SMS.
-Installare un gateway di rete privata virtuale (VPN) per mediare tutte le connessioni RDP dall'esterno della rete locale.
- Un server Remote Desktop Gateway

alcuni articoli molto buoni e utili:

Proteggere il computer modificando il numero di porta RDP predefinito | Alexander's Blog (zubairalexander.com)

https://www.zubairalexander.com/blog/secure-your-computer-by-modifying-the-default-rdp-port-number/

Avventure di un Honeypot RDP - Prima parte: sicurezza RDP | TrustedSec

https://www.trustedsec.com/blog/adventures-of-an-rdp-honeypot-part-one-rdp-security/

Avventure di una Honeypot RDP - Parte seconda: conosci il tuo nemico | TrustedSec

https://www.trustedsec.com/blog/adventures-of-an-rdp-honeypot-part-two-know-you-enemy/

quindi lasciare un RDP con una semplice configurazione predefinita è un vero e proprio suicidio.

Vorrei aggiungere alcune informazioni supplementari

Non ho specificato, ma tutte queste misure per RDP si riferiscono alla situazione in cui l'utente deve connettersi al di fuori della rete locale, da un'altra posizione.

Oltre alle misure sopra descritte, se ne possono implementare altre:

https://tweaks.com/windows/39140/create-an-account-lockout-policy/

- Creare un criterio di blocco dell'account: La creazione di un criterio di blocco dell'account protegge l'account limitando il numero di volte in cui un'applicazione remota o un utente malintenzionato può tentare di indovinare la password. Questo funziona bloccando automaticamente l'account dopo un determinato numero di password errate immesse. Il vostro account rimarrà bloccato per un determinato periodo di tempo prima di essere sbloccato automaticamente e di potervi accedere nuovamente. Questa funzione rappresenta una valida aggiunta alla sicurezza dell'account, in quanto può rendere inutili gli attacchi con password a forza bruta.

- In nessun caso, non concedete l'accesso a RDP all'account con il nome utente "Administrator" e, se possibile, non utilizzate o create mai un utente con il nome utente Administrator.

Data la vecchiaia di RDP in Windows e i numerosi passaggi necessari per renderlo sicuro, è comprensibile che le alternative siano molto più affidabili e sicure e, in futuro, scriverò qui e presenterò le migliori alternative.

Qui scriverò anche di un'altra funzione molto utile, Wake On LAN.

Sui miei server VPS sto facendo solo due cose: cambiare la porta e usare una password forte.

4 anni di attività - nessun problema

Sì, gli utenti più avanzati/esperti possono usarlo, ma soprattutto i principianti dovrebbero capire bene la differenza tra qualcosa aperto a Internet e non aperto. Infatti, per quanto RDP sia sicuro, è aperto per sua stessa concezione. Una volta inoltrata la porta, è aperta. È una distinzione molto importante.

Al contrario, qualsiasi software remoto di terze parti, gratuito o a pagamento, non richiede che il computer sia aperto su Internet, senza port forwarding.

Quindi, per i principianti, si tratta di un servizio VPN o di un software remoto di terze parti affidabile.

Anch'io lo uso attualmente, momentaneamente, ma sono in procinto di passare definitivamente a qualcosa di più sicuro nel prossimo futuro perché, dopo aver letto molti articoli affidabili, è troppo insicuro e costantemente in pericolo di essere violato e molti virus moderni possono diffondersi all'interno della rete locale una volta entrati.

Un abbonamento VPN è anche un'alternativa interessante

Provate TeamViewer!

 

https://www.teamviewer.com/

 

Si tratta di una soluzione gratuita e molto più semplice per accedere da remoto al vostro PC in una casa di lavoro da qualsiasi luogo!