mercoledì 22 settembre 2010 di Michele Nasi 30087 Letture

Gestire un sistema senza essere fisicamente presenti: Desktop remoto e Assistenza remota

Amministratori di sistema e professionisti sentono spesso l'esigenza di dover accedere, da remoto, ai personal computer installati in ufficio oppure al proprio domicilio. Inoltre, chi lavora nel settore informatico può aver necessità - a vari livelli - di fornire supporto tecnico in tempo reale in modalità remota. Un approccio simile porta con sé notevoli benefici: è possibile risolvere ad esempio un problema software segnalato da un cliente senza la necessità di recarsi fisicamente presso la sede dello stesso.
In questo articolo ci proponiamo di analizzare due strumenti integrati in Windows: il primo è "Desktop remoto", il secondo "Assistenza remota". La prima puntata è interamente dedicata alle funzionalità offerte dal sistema operativo mentre prossimamente presenteremo alcuni strumenti software alternativi.

Condivisione del desktop remoto in Windows XP: impostazione lato server


Windows integra già due strumenti di base che consentono, agli utenti autorizzati, di visualizzare da remoto – attraverso la rete Internet – quanto mostrato sullo schermo del sistema remoto. La prima applicazione si chiama Condivisione desktop remoto ed è attivabile, nel caso di Windows XP, semplicemente accedendo al Pannello di controllo, facendo doppio clic sull'icona Sistema, sulla scheda Connessione remota quindi su Consenti agli utenti di connettersi in remoto al computer.
A questo punto si dovranno specificare, facendo riferimento al pulsante Seleziona utenti remoti... gli account utente che dovranno avere diritto ad accedere al desktop del personal computer in uso (“server”). Cliccando su Aggiungi..., si possono indicare gli utenti aventi titolo. Gli account dotati di diritti amministrativi (facenti parte del gruppo “Administrators”) possono già connettersi da remoto al desktop del personal computer. Il pulsante Aggiungi... consente di inserire ulteriori account, tra quelli non appartenenti agli amministratori.

La funzionalità per la condivisione del desktop remoto non potrà essere attivata per quegli account che non dispongono di una password associata.
Una volta attivata la casella Consenti agli utenti di connettersi in remoto al computer, Windows la funzionalità per la condivisione del desktop in modalità remota si porrà in ascolto sulla porta TCP 3389. Ciò significa che il sistema operativo accetterà le richieste di connessione dirette su tale porta e provvederà a verificare le credenziali di accesso inserite dall'utente remoto.

Il firewall di Windows viene automaticamente configurato in modo tale che il sistema sia in grado di accettare connessioni in ingresso sulla porta 3389 (la casella Non consentire eccezioni, all'interno della finestra Pannello di controllo, Windows Firewall deve essere disattivata).
Nel caso in cui si utilizzi un “personal firewall” sviluppato da terze parti al posto del firewall integrato in Windows, si dovrà configurare tale software cosicché permetta le connessioni in entrata sulla porta 3389.
Se il “personal firewall” contempla la possibilità di configurare regole di connessione molto strette, l'utente più smaliziato può agevolmente fare in modo che le connessioni dirette al personal computer da amministrare in modalità remota siano accettate solo ed esclusivamente nel caso in cui abbiano determinate caratteristiche (ad esempio, qualora provengano da un singolo IP o gruppi di indirizzi predefiniti). Se, per esempio, ci si collega tra due sedi che si affacciano sulla rete Internet usando il medesimo indirizzo IP (IP statico), il “personal firewall” sul sistema server può essere configurato in modo tale da acconsentire alle sole richieste di connessione che provengono da quell'unico IP.

Condivisione del desktop remoto in Windows Vista e Windows 7: impostazione lato server

La procedura per l'attivazione della condivisione desktop è identica anche nel caso di Windows Vista e di Windows 7, tenendo però presente che le versioni Home non includono il supporto per questa funzionalità. O meglio, da tutte le versioni di Windows è possibile collegarsi in modalità "client" ad un server Desktop remoto (vedere più avanti) ma non è permesso porre in ascolto l'applicazione, in attesa di connessioni in ingresso. In altre parole, dalle versioni Home di Windows ci si può collegare, attraverso l'applicazione Desktop remoto, a server remoti che condividano il desktop ma non è possibile fungere da server ossia condividere il desktop del sistema locale. In tutte le versioni di Windows è invece disponibile la funzionalità di "Assistenza remota": mettere a fuoco, più avanti, le differenze.
In Rete è disponibile una patch per attivare la funzionalità "Desktop remoto" in modalità server anche sulle versioni Home di Windows Vista e Windows 7: si tratta di un file batch che si occupa di "patchare" il file termsrv.dll, presente nella directory di sistema di Windows (%systemroot%\system32\termsrv.dll) e di reintrodurre il file rdpclip.exe (assente nelle versioni meno "professionali" di Windows Vista e Windows 7). Precisiamo subito, però, che abbiamo preferito non dare spazio a questo tipo di intervento perché potrebbe costituire una violazione della licenza d'uso di Windows dal momento che implica la modifica del funzionamento di una libreria del sistema operativo e non è assolutamente supportato.

In Windows Vista ed in Windows 7 (escluse le versioni Home e Starter) la finestra per la configurazione della funzionalità "Desktop remoto" si presenta così come segue:


Per accedervi è necessario aprire il Pannello di controllo, cliccare sull'icona Sistema, quindi sul link Impostazioni connessione remota. Com'è possibile notare, nelle versioni più complete di Windows sono due i "riquadri" visualizzati: "Assistenza remota" e "Desktop remoto". Per abilitare la funzione "Desktop remoto" e fare in modo che il personal computer in uso possa accettare connessioni dall'esterno (solamente dagli utenti autorizzati), è necessario selezionare l'opzione Consenti connessioni dai computer che eseguono qualsiasi versione di Desktop remoto oppure Consenti connessioni solo dai computer che eseguono Desktop remoto con Autenticazione a livello di rete.
Si può selezionare l'ultima opzione se si è sicuri che ci si connetterà alla macchina solamente da sistemi Windows Vista e Windows 7 mentre la seconda permette connessioni anche da sistemi Windows 2000 e Windows XP. Nel caso di Windows Vista e Windows 7, le regole firewall in ingresso vengono automaticamente configurate. Accedendo alla finestra delle regole firewall (la schermata che segue si riferisce ad un sistema Windows 7 Ultimate), è possibile notare come sia stata attivata una regola per consentire il traffico TCP in ingresso sulla porta 3389:

L'opzione Consenti connessioni solo dai computer che eseguono Desktop remoto con Autenticazione a livello di rete è considerata più sicura perché utilizza un metodo di autenticazione dell'utente che consente di completare questo controllo prima ancora che venga stabilita una connessione di Desktop remoto e che sia mostrata la schermata di accesso al sistema. L'"autenticazione a livello di rete" va ad impattare di meno, in termini di risorse macchina, sul sistema remoto rispetto alle precedenti versioni della funzionalità "Desktop remoto" ed offre un miglior livello di sicurezza riducendo nettamente il rischio di attacchi Denial of Service (DoS), generalmente sferrati per impedire il corretto funzionamento di un servizio.


Il pulsante Seleziona utenti... permette di stabilire attraverso quali account utente dovrà essere permesso l'accesso in modalità remota. Com'è riportato nella finestra, l'account in uso potrà già collegarsi da remoto utilizzando la medesima password impiegata per effettuare il login localmente.


Ovviamente, se la macchina server si affaccia su Internet utilizzando un router, l'IP da specificare è quello assegnato dal provider Internet al router stesso. Inoltre, ci si dovrà accertare che il traffico in entrata sulla porta TCP 3389 venga automaticamente reindirizzato, da parte del router, al computer sul quale è stata abilitata la funzionalità per la condivisione del desktop.
Se si desidera amministrare più computer della rete locale da remoto, si dovrà necessariamente optare - su ciascuna macchina “server” - per una porta diversa. Ad esempio, alla prima si potrà associare la porta di default 3389, alla seconda la 3390, alla terza la 3391 e così via.

La scelta di una porta differente rispetto a quella predefinita, può essere effettuata accedendo al registro di Windows (chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp; doppio clic sul valore DWORD PortNumber; scelta della base Decimale; introduzione del numero di porta da impiegare).

  1. Avatar
    Claudio Del Brocco
    23/06/2012 23:08:48
    La guida è molto interessante, sono riuscito a cambiare la porta del Desktop Remoto nel file di registro, ma non riesco a cambiarla nel firewall di Win 7, forse bisogna creare una nuova regola, ma con quali proprietà? La paura di aprire un portone al posto della porta è notevole. Grazie in anticipo delle risposte.