Questa è una guida completa su come proteggere l’accesso al desktop remoto in ambienti di PMI. Ricapitolando, il protocollo RDP (Remote Desktop Protocol) è uno degli strumenti più potenti per i professionisti IT e gli MSP, in quanto offre un accesso continuo ai sistemi remoti per il supporto, la manutenzione e la risoluzione dei problemi. Tuttavia, gli esperti informatici discutono ancora sulla sua sicurezza. Secondo un articolo di 2025 GO-Global, “RDP è stato utilizzato per sfruttare le credenziali compromesse per l’accesso a Internet e il movimento laterale”.
Un recente rapporto di Sophos conferma questo dato, indicando che RDP rimane uno dei principali vettori di attacco per le intrusioni brute-force e la distribuzione di ransomware . Per le piccole e medie imprese, che spesso non dispongono di firewall e sistemi di identità di livello enterprise, la protezione di RDP non è solo una scelta intelligente, è fondamentale.
📌 Strategie di implementazione consigliate:
Come proteggere l’accesso al desktop remoto?
Metodo 1: Disabilitare RDP se non è necessario
📌 Casi d’uso: Ottimo per le stazioni di amministrazione solo locali o per i computer condivisi ad accesso pubblico che non richiedono l’accesso remoto
📌 Prerequisiti:
- Accesso amministratore locale o di dominio
- PowerShell o Editor del Registro di sistema
- Editor criteri di gruppo (per il metodo GPO)
- Ti consigliamo vivamente di eseguire il backup del registro di Windows prima di procedere.
Passi:
Per PowerShell
- Apri PowerShell.
- Esegui il seguente comando:
Set-ItemProperty -Path ‘HKLM:\System\CurrentControlSet\
Control\Terminal Server\’ -Name fDenyTSConnections -Value 1
Per il prompt dei comandi
- Apri il Prompt dei comandi come amministratore.
- Esegui il seguente comando:
reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server”
/v fDenyTSConnections /t REG_DWORD /d 1 /f
Per i Criteri di gruppo
- Premi la combinazione di tasti Win + R, digita gpedit. msc e clicca su Invio.
- Vai su: Configurazione del computer > Modelli amministrativi > Componenti di Windows > Servizi desktop remoto > Host di sessione desktop remoto > Connessioni
- Imposta “Consenti agli utenti di connettersi da remoto utilizzando Remote Desktop Services” su Disabilitato.
Metodo 2: Utilizzare l’autenticazione a livello di rete
La definizione di NLA garantisce che gli utenti remoti debbano autenticarsi prima di stabilire una sessione.
📌 Casi d’uso: Consigliato per sistemi che necessitano di accesso remoto ma che devono autenticare gli utenti prima del caricamento della sessione.
📌 Prerequisiti:
- Windows 10/11 Pro, Enterprise o Server 2016 e versioni successive
- Registro di sistema o Editor Criteri di gruppo.
- Devi disporre dell’accesso come amministratore.
- Ti consigliamo vivamente di eseguire il backup del registro di Windows prima di procedere.
Passi:
Per PowerShell
- Apri PowerShell.
- Esegui il seguente comando:
Set-ItemProperty -Path “HKLM\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp” -Name UserAuthentication -Value 1
Per il prompt dei comandi
- Apri il Prompt dei comandi come amministratore.
- Esegui il seguente comando:
reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\
WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 1 /f
Per i Criteri di gruppo
- Premi la combinazione di tasti Win + R, digita gpedit.msc e clicca su Invio.
- Vai su: Configurazione del computer > Modelli amministrativi > Componenti di Windows > Servizi desktop remoto > Host di sessione desktop remoto > Sicurezza
- Abilita “Richiedi l’autenticazione dell’utente per le connessioni remote utilizzando NLA”.
Metodo 3: Limitare l’accesso a RDP tramite firewall e gruppi locali
📌 Casi d’uso: Questo metodo riduce l’esposizione consentendo l’accesso a RDP solo da IP e gruppi di utenti fidati.
📌 Prerequisiti:
- Devi disporre dell’accesso come amministratore.
- Devi anche disporre dei diritti di gestione di PowerShell e del firewall .
- Accesso al gruppo Utenti desktop remoto.
Passi:
- Apri PowerShell.
- Esegui i seguenti comandi, se necessario.
Limitare l’ambito del firewall
Questo restringe l’ambito della regola RDP a IP/sottoreti specifici.
Un esempio:
Set-NetFirewallRule -DisplayName “Remote Desktop –
User Mode (TCP-In)” -RemoteAddress “192.168.1.0/24”
💡 Modifica l’indirizzo remoto come necessario.
Accesso al gruppo di controllo
Questo rimuove gruppi generici come “Tutti” o utenti non necessari.
LocalGroupMember -Group “Remote Desktop Users” -Member “JohnDoe”
💡 Assicurati di modificare “JohnDoe” con l’utente o l’amministratore IT desiderato.
Metodo 4: Applicare una forte crittografia delle sessioni RDP
📌 Casi d’uso: Ideale per i sistemi a cui si accede tramite VPN o reti semi-trusted che richiedono sessioni crittografate,
📌 Prerequisiti:
- Devi disporre dei diritti di amministratore.
- Devi inolte avere accesso al Registro di sistema o ai GPO.
- Ti consigliamo vivamente di eseguire il backup del registro di Windows prima di procedere.
Passi:
Per i Criteri di gruppo
- Premi la combinazione di tasti Win + R, digita gpedit.msc e clicca su Invio.
- Vai su: Configurazione del computer > Modelli amministrativi > Componenti di Windows > Servizi desktop remoto > Host di sessione desktop remoto > Sicurezza
- Configura Imposta il livello di crittografia della connessione client su Alto
Per l’Editor del Registro di sistema
- Premi la combinazione di tasti Win + R, digita regedit e clicca su Invio.
- Esegui questo comando:
Set-ItemProperty -Path “HKLM\SYSTEM\CurrentControlSet\Control
\Terminal Server\WinStations\RDP-Tcp” -Name MinEncryptionLevel -Value 3
Metodo 5: Configurare criteri di blocco intelligente e di blocco degli account
📌 Casi d’uso: Impedisce i tentativi di accesso brute-force bloccando gli account dopo ripetuti fallimenti.
📌 Prerequisiti:
- Devi disporre dell’accesso ai Criteri di gruppo o ai Criteri di sicurezza locali.
- Devi anche disporre dei privilegi di amministratore.
Passi:
- Vai al seguente percorso GPO: Configurazione del computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri degli account > Criteri di blocco degli account
- Impostazioni consigliate:
- Soglia di blocco dell’account: 5
- Durata del blocco: 15 minuti
- Azzeramento del contatore dopo: 15 minuti
Esempio PowerShell:
net accounts /lockoutthreshold:5 /lockoutduration:15 /lockoutwindow:15
💡 Nota: Questo è solo un comando consigliato. Puoi modificare il numero (che in questo caso è impostato su 15) scegliendo il numero di minuti che preferisci.
Metodo 6: Porta RDP personalizzata + disattivazione automatica dopo un certo numero di ore
📌 Casi d’uso: Questo metodo è utile per ridurre gli attacchi da parte di scanner automatici e impedisce l’accesso al di fuori dell’orario di lavoro standard.
📌 Prerequisiti:
- Devi avere accesso al registro e a PowerShell.
- Accesso a Utilità di pianificazione (opzionale)
- Devi disporre dei privilegi di amministratore.
Passi:
Per modificare la porta RDP
- Premi la combinazione di tasti Win + R, digita regedit e clicca su Invio.
- Vai su HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
- Imposta una porta non utilizzata, come 3395.
- Riavvia la macchina.
Per monitorare la nuova porta
- Apri il Prompt dei comandi.
- Esegui il comando: netstat -an | find “3395”
Per disabilitare RDP dopo l’orario di lavoro standard (manualmente o tramite automazione)
- Apri PowerShell
- Esegui il comando:
Stop-Service -Name TermService
💡 Suggerimento: Puoi automatizzare questa operazione con l’Utilità di pianificazione per arrestare i Remote Desktop Services (TermService) dopo l’orario di lavoro e riattivarli al mattino, se necessario.
⚠️ Cose da tenere d’occhio
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| Disabilitare RDP sui sistemi critici | Può impedire l’accesso remoto per l’assistenza o il patching | Utilizza strumenti come NinjaOne o accesso locale per riabilitare RDP o regolare i criteri. |
| Regole del firewall non configurate correttamente | Gli utenti legittimi potrebbero essere bloccati | Utilizza test per ambiti IP, documenta le modifiche e consenti un accesso temporaneo più ampio in caso di risoluzione dei problemi. |
| Soglie di blocco troppo aggressive | Potrebbero causare il blocco degli utenti, aumentando il volume di ticket per l’helpdesk | Monitora i log di audit; aumenta leggermente le soglie se si verificano troppi falsi positivi. |
| Modifica della porta RDP | Può interrompere script, strumenti di monitoraggio o integrazioni | Informa le parti interessate e aggiorna tutta la documentazione e gli strumenti con la nuova porta. |
| Disabilitare RDP dopo l’orario di lavoro | Potrebbe interrompere la manutenzione notturna o le attività automatizzate | Crea eccezioni per le finestre di manutenzione; pianifica la riattivazione se necessario. |
| Configurazione NLA non coerente | I client non sono in grado di connettersi se non supportano l’NLA | Assicurati che gli endpoint siano aggiornati o imposta temporaneamente il livello di crittografia su “Client Compatible”. |
Ulteriori considerazioni sulla protezione dell’accesso al desktop remoto
Utilizza un gateway RDP
L’implementazione di un Remote Desktop Gateway consente di centralizzare la gestione degli accessi RDP. Aggiunge un tunnel HTTPS sicuro, supporta l’autenticazione a più fattori (MFA) e offre un migliore controllo su log, auditing e restrizioni di sessione.
💡 Suggerimento: Leggi Come impostare un Remote Desktop Gateway.
Combina RDP con l’accesso VPN
Ti consigliamo vivamente di richiedere che tutte le connessioni remote passino prima attraverso una VPN. Tieni presente che questo non eliminerà il rischio di ransomware, ma può sicuramente ridurlo.
Limita il reindirizzamento del dispositivo
Previeni la perdita di dati disabilitando gli appunti e qualsiasi reindirizzamento di stampanti e unità durante le sessioni RDP. Utilizza i Criteri di gruppo:
Configurazione del computer > Modelli amministrativi > Componenti di Windows > Servizi desktop remoto > Host di sessione desktop remoto > Reindirizzamento di dispositivi e risorse
Verifica accessi riusciti e non riusciti a RDP
Ti consigliamo di utilizzare PowerShell per monitorare i tentativi di accesso riusciti (ID evento 4624) e non riusciti (ID evento 4625):
Get-WinEvent -LogName “Security” | Where-Object { $_.Id -eq 4624 -or $_.Id -eq 4625 }
Imposta avvisi per attività anomale come schemi di brute force o tempi di accesso insoliti.
Limita l’accesso a RDP in base all’orario
Utilizza l’Utilità di pianificazione o script PowerShell per disabilitare RDP durante le ore non lavorative. In alternativa, utilizza regole del firewall con finestre di attivazione pianificate per bloccare il traffico RDP dopo l’orario di lavoro.
Risoluzione dei problemi più comuni
| Cosa può succedere | Perché si verifica | Come risolverlo |
| Gli utenti non riescono a connettersi | Mancata corrispondenza NLA o porta bloccata | Verifica l’impostazione NLA, controlla la porta (predefinita o personalizzata) nel firewall |
| Elevato numero di accessi non riusciti | Attacco di brute force in corso | Applica un criterio di blocco degli account; limita gli intervalli IP |
| Mancata corrispondenza della crittografia RDP | Client RDP obsoleto o sistema operativo non aggiornato | Imposta temporaneamente la crittografia su “Client Compatible” |
| Il servizio RDP non si avvia | Conflitto di porte o errore di TermService | Riavvia il servizio TermService; controlla i log eventi o verifica la presenza di conflitti tra porte |
| La modifica della porta non va a buon fine | Firewall o dispositivo NAT non aggiornati | Aggiorna le regole del firewall, il port forwarding NAT e le configurazioni dei client |
Come NinjaOne ti aiuta a proteggere RDP
NinjaOne, il software di gestione automatizzata degli endpoint a cui si affidano oltre 30.000 clienti in tutto il mondo, può aiutarti a proteggere RDP nei seguenti modi:
- Permettendoti di abilitare/disabilitare RDP da remoto, in base al gruppo di dispositivi, al ruolo dell’utente o al criterio
- Permettendoti di ruotare le porte RDP o di bloccare le porte predefinite in interi ambienti.
- Con la pianificazione dell’arresto del servizio RDP dopo l’orario di lavoro o su endpoint non utilizzati.
- Con avvisi su picchi di tentarivi di accesso falliti o tentativi di accesso remoto insoliti.
- Con la verifica dell’esposizione RDP (sia interna che esterna) tramite report di inventario generati e aggiornati in tempo reale.
- Offrendoti la possibilità di automatizzare la distribuzione delle regole del firewall e le restrizioni di sessione con script personalizzati.
Inoltre, NinjaOne utilizza un modello di accesso remoto zero-trust su tutto il tuo parco dispositivi, senza interruzioni per gli utenti e senza ulteriori spese di amministrazione, in modo che tu possa concentrarti sulle tue competenze principali senza altre preoccupazioni.
Gestisci e controlla da remoto gli endpoint Windows, Mac e Linux con NinjaOne.
Scopri di più su NinjaOne Remote.
Migliora la sicurezza di RDP
RDP può essere uno strumento essenziale per l’organizzazione, ma senza una solida sicurezza può diventare un’opportunità di ingresso per i criminali informatici. Seguendo le strategie di accesso sicuro al desktop remoto descritte in questa guida, puoi ridurre in modo significativo la tua superficie di attacco, soprattutto negli ambienti di PMI in cui la sicurezza a più livelli non è sempre presente.
Argomenti correlati:
- Che cos’è il protocollo RDP (Remote Desktop Protocol)?
- Come impostare il gateway per desktop remoto
- Abilitare o disabilitare il Protocollo Desktop Remoto (RDP) sulle workstation utilizzando PowerShell
- Conoscere i protocolli di accesso remoto
- Best practice di accesso remoto per MSP e professionisti IT
- Guida IT: Come eliminare le credenziali RDP salvate in Windows
- Automazione della creazione di collegamenti per desktop remoto con PowerShell
