{"id":554331,"date":"2025-10-31T07:21:42","date_gmt":"2025-10-31T07:21:42","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=554331"},"modified":"2025-10-31T07:21:42","modified_gmt":"2025-10-31T07:21:42","slug":"best-practice-per-proteggere-laccesso-a-remote-desktop","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/best-practice-per-proteggere-laccesso-a-remote-desktop\/","title":{"rendered":"Best practice per proteggere l&#8217;accesso a Remote Desktop in ambienti di PMI"},"content":{"rendered":"<p>Questa \u00e8 una guida completa su come\u00a0<strong>proteggere l&#8217;accesso al desktop remoto\u00a0<\/strong>in ambienti di PMI. Ricapitolando, il protocollo RDP (Remote Desktop Protocol) \u00e8 uno degli strumenti pi\u00f9 potenti per i professionisti IT e gli MSP, in quanto offre un accesso continuo ai sistemi remoti per il supporto, la manutenzione e la risoluzione dei problemi. Tuttavia, gli esperti informatici discutono ancora sulla sua sicurezza. Secondo un\u00a0<a href=\"https:\/\/www.graphon.com\/blog\/how-secure-is-rdp\" target=\"_blank\" rel=\"noopener\">articolo di 2025 GO-Global<\/a>, &#8220;RDP \u00e8 stato utilizzato per sfruttare le credenziali compromesse per l&#8217;accesso a Internet e il movimento laterale&#8221;.<\/p>\n<p>Un\u00a0<a href=\"https:\/\/news.sophos.com\/en-us\/2025\/04\/02\/2025-sophos-active-adversary-report\/\" target=\"_blank\" rel=\"noopener\">recente rapporto di Sophos<\/a>\u00a0conferma questo dato, indicando che RDP rimane uno dei principali vettori di attacco per le\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-a-brute-force-attack\/&#039;\">intrusioni brute-force<\/a>\u00a0e la distribuzione di\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-il-ransomware\/\">ransomware<\/a>\u00a0. Per le piccole e medie imprese, che spesso non dispongono di firewall e sistemi di identit\u00e0 di livello enterprise, la protezione di RDP non \u00e8 solo una scelta intelligente, \u00e8 fondamentale.<\/p>\n<p>\ud83d\udccc <strong>Strategie di implementazione consigliate:<\/strong><\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center; vertical-align: middle;\">\n<p style=\"text-align: center;\"><strong>Scegli un metodo<\/strong><\/p>\n<\/td>\n<td style=\"text-align: center;\"><strong>\ud83d\udcbb<\/strong><\/p>\n<p><strong>Pi\u00f9 adatto per utenti individuali<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>\ud83d\udcbb\ud83d\udcbb\ud83d\udcbb<\/strong><\/p>\n<p><strong>Pi\u00f9 adatto per ambienti enterprise<\/strong><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-1\"><strong>Metodo 1: Disabilita RDP se non \u00e8 necessario<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<td style=\"text-align: center;\"><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-2\"><strong>Metodo 2: Utilizza l&#8217;autenticazione a livello di rete<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-3\"><strong>Metodo 3: Limita l&#8217;accesso a RDP tramite firewall e gruppi<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-4\"><strong>Metodo 4: Applica una forte crittografia delle sessioni RDP<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<\/tr>\n<tr>\n<td><strong><a href=\"#method-5\">Metodo 5: Configurazione di criteri di blocco intelligente e di blocco degli account<\/a>\u00a0<\/strong><\/td>\n<td style=\"text-align: center;\"><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-6\"><strong>Metodo 6: Porta RDP personalizzata + disabilitazione automatica dopo un certo numero di ore<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>\u2713<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 id=\"secure-remote-desktop\">Come proteggere l&#8217;accesso al desktop remoto?<\/h2>\n<h3>Metodo 1: Disabilitare RDP se non \u00e8 necessario<\/h3>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso:\u00a0<\/strong>Ottimo per le stazioni di amministrazione solo locali o per i computer condivisi ad accesso pubblico che non richiedono l&#8217;<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/software-per-accesso-remoto-guida\/\">accesso remoto<\/a><\/p>\n<p><strong>\ud83d\udccc Prerequisiti:<\/strong><\/p>\n<ul>\n<li>Accesso amministratore locale o di dominio<\/li>\n<li>PowerShell o <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/editor-del-registro\/\">Editor del Registro di sistema<\/a><\/li>\n<li>Editor criteri di gruppo (per il metodo GPO)<\/li>\n<li>Ti consigliamo vivamente di eseguire il\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/back-up-e-ripristino-del-registro-di-windows\/\">backup del registro di Windows<\/a>\u00a0prima di procedere.<\/li>\n<\/ul>\n<p>Passi:<\/p>\n<ol style=\"list-style-type: upper-alpha;\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per PowerShell<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Apri PowerShell.<\/li>\n<li>Esegui il seguente comando:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Set-ItemProperty -Path &#8216;HKLM:\\System\\CurrentControlSet\\<br \/>\nControl\\Terminal Server\\&#8217; -Name fDenyTSConnections -Value 1<\/strong><\/p>\n<ol style=\"list-style-type: upper-alpha;\" start=\"2\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per il prompt dei comandi<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Apri il Prompt dei comandi come amministratore.<\/li>\n<li>Esegui il seguente comando:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>reg add &#8220;HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server&#8221;<br \/>\n\/v fDenyTSConnections \/t REG_DWORD \/d 1 \/f<\/strong><\/p>\n<ol style=\"list-style-type: upper-alpha;\" start=\"3\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per i Criteri di gruppo<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Premi la combinazione di tasti\u00a0<strong>Win + R<\/strong>, digita\u00a0<strong>gpedit. msc<\/strong> e clicca su\u00a0<strong>Invio<\/strong>.<\/li>\n<li>Vai su:\u00a0 <strong>Configurazione del computer &gt; Modelli amministrativi &gt; Componenti di Windows &gt; Servizi desktop remoto &gt; Host di sessione desktop remoto &gt; Connessioni<\/strong><\/li>\n<li>Imposta &#8220;<strong>Consenti agli utenti di connettersi da remoto utilizzando Remote Desktop Services<\/strong>&#8221; su\u00a0<strong>Disabilitato<\/strong>.<\/li>\n<\/ol>\n<h3>Metodo 2: Utilizzare l&#8217;autenticazione a livello di rete<\/h3>\n<p>La definizione di NLA garantisce che gli utenti remoti debbano autenticarsi prima di stabilire una sessione.<\/p>\n<p>\ud83d\udccc\u00a0<strong>Casi d&#8217;uso:\u00a0<\/strong>Consigliato per sistemi che necessitano di accesso remoto ma che devono autenticare gli utenti prima del caricamento della sessione.<\/p>\n<p><strong>\ud83d\udccc Prerequisiti:\u00a0<\/strong><\/p>\n<ul>\n<li>Windows 10\/11 Pro, Enterprise o Server 2016 e versioni successive<\/li>\n<li>Registro di sistema o Editor Criteri di gruppo.<\/li>\n<li>Devi disporre dell&#8217;accesso come amministratore.<\/li>\n<li>Ti consigliamo vivamente di eseguire il\u00a0backup del <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cos-e-il-registro-di-sistema-di-windows\/\">registro di Windows<\/a>\u00a0prima di procedere.<\/li>\n<\/ul>\n<p>Passi:<\/p>\n<ol style=\"list-style-type: upper-alpha;\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per PowerShell<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Apri PowerShell.<\/li>\n<li>Esegui il seguente comando:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Set-ItemProperty -Path &#8220;HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal<br \/>\nServer\\WinStations\\RDP-Tcp&#8221; -Name UserAuthentication -Value 1<\/strong><\/p>\n<ol style=\"list-style-type: upper-alpha;\" start=\"2\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per il prompt dei comandi<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Apri il Prompt dei comandi come amministratore.<\/li>\n<li>Esegui il seguente comando:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>reg add &#8220;HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\<br \/>\nWinStations\\RDP-Tcp&#8221; \/v UserAuthentication \/t REG_DWORD \/d 1 \/f<\/strong><\/p>\n<ol style=\"list-style-type: upper-alpha;\" start=\"3\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per i Criteri di gruppo<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Premi la combinazione di tasti\u00a0<strong>Win + R<\/strong>, digita<strong>\u00a0gpedit.msc<\/strong> e clicca su\u00a0<strong>Invio<\/strong>.<\/li>\n<li>Vai su:\u00a0 <strong>Configurazione del computer &gt; Modelli amministrativi &gt; Componenti di Windows &gt; Servizi desktop remoto &gt; Host di sessione desktop remoto &gt; Sicurezza<\/strong><\/li>\n<li>Abilita<strong>\u00a0&#8220;Richiedi l&#8217;autenticazione dell&#8217;utente per le connessioni remote utilizzando NLA&#8221;.<\/strong><\/li>\n<\/ol>\n<h3>Metodo 3: Limitare l&#8217;accesso a RDP tramite firewall e gruppi locali<\/h3>\n<p>\ud83d\udccc<strong>\u00a0Casi d&#8217;uso:\u00a0<\/strong>Questo metodo riduce l&#8217;esposizione consentendo l&#8217;accesso a RDP solo da IP e gruppi di utenti fidati.<\/p>\n<p><strong>\ud83d\udccc Prerequisiti:<\/strong><\/p>\n<ul>\n<li>Devi disporre dell&#8217;accesso come amministratore.<\/li>\n<li>Devi anche disporre dei diritti di gestione di <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/gestione-degli-endpoint\/cos-e-powershell\/\">PowerShell<\/a> e del\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cos-e-un-firewall\/\">firewall<\/a>\u00a0.<\/li>\n<li>Accesso al gruppo Utenti desktop remoto.<\/li>\n<\/ul>\n<p>Passi:<\/p>\n<ol>\n<li>Apri PowerShell.<\/li>\n<li>Esegui i seguenti comandi, se necessario.<\/li>\n<\/ol>\n<ol style=\"list-style-type: upper-alpha;\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Limitare l&#8217;ambito del firewall<\/span><\/h4>\n<\/li>\n<\/ol>\n<p>Questo restringe l&#8217;ambito della regola RDP a IP\/sottoreti specifici.<\/p>\n<p>Un esempio:<\/p>\n<p style=\"padding-left: 80px;\"><strong>Set-NetFirewallRule -DisplayName &#8220;Remote Desktop &#8211;<br \/>\nUser Mode (TCP-In)&#8221; -RemoteAddress &#8220;192.168.1.0\/24&#8221;<\/strong><\/p>\n<p>\ud83d\udca1 Modifica l&#8217;indirizzo remoto come necessario.<\/p>\n<ol style=\"list-style-type: upper-alpha;\" start=\"2\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Accesso al gruppo di controllo<\/span><\/h4>\n<\/li>\n<\/ol>\n<p>Questo rimuove gruppi generici come &#8220;<strong>Tutti<\/strong>&#8221; o utenti non necessari.<\/p>\n<p style=\"padding-left: 40px;\"><strong>LocalGroupMember -Group &#8220;Remote Desktop Users&#8221; -Member &#8220;JohnDoe&#8221;<\/strong><\/p>\n<p>\ud83d\udca1 Assicurati di modificare &#8220;<strong>JohnDoe<\/strong>&#8221; con l&#8217;utente o l&#8217;amministratore IT desiderato.<\/p>\n<h3>Metodo 4: Applicare una forte crittografia delle sessioni RDP<\/h3>\n<p>\ud83d\udccc<strong>\u00a0Casi d&#8217;uso:<\/strong>\u00a0Ideale per i sistemi a cui si accede tramite VPN o reti semi-trusted che richiedono sessioni crittografate,<\/p>\n<p><strong>\ud83d\udccc Prerequisiti:<\/strong><\/p>\n<ul>\n<li>Devi disporre dei diritti di amministratore.<\/li>\n<li>Devi inolte avere accesso al Registro di sistema o ai GPO.<\/li>\n<li>Ti consigliamo vivamente di eseguire il\u00a0backup del registro di Windows\u00a0prima di procedere.<\/li>\n<\/ul>\n<p>Passi:<\/p>\n<ol style=\"list-style-type: upper-alpha;\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per i Criteri di gruppo<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Premi la combinazione di tasti\u00a0<strong>Win + R<\/strong>, digita<strong>\u00a0gpedit.msc<\/strong> e clicca su\u00a0<strong>Invio<\/strong>.<\/li>\n<li>Vai su:\u00a0<strong>Configurazione del computer &gt; Modelli amministrativi &gt; Componenti di Windows &gt; Servizi desktop remoto &gt; Host di sessione desktop remoto &gt; Sicurezza<\/strong><\/li>\n<li>Configura<strong>\u00a0Imposta il livello di crittografia della connessione client<\/strong>\u00a0su\u00a0<strong>Alto<\/strong><\/li>\n<\/ol>\n<ol style=\"list-style-type: upper-alpha;\" start=\"2\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per l&#8217;Editor del Registro di sistema<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Premi la combinazione di tasti\u00a0<strong>Win + R<\/strong>, digita\u00a0<strong>regedit<\/strong> e clicca su<strong>\u00a0Invio<\/strong>.<\/li>\n<li>Esegui questo comando:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Set-ItemProperty -Path &#8220;HKLM\\SYSTEM\\CurrentControlSet\\Control<br \/>\n\\Terminal Server\\WinStations\\RDP-Tcp&#8221; -Name MinEncryptionLevel -Value 3<\/strong><\/p>\n<h3>Metodo 5: Configurare criteri di blocco intelligente e di blocco degli account<\/h3>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso:\u00a0<\/strong>Impedisce i tentativi di accesso brute-force bloccando gli account dopo ripetuti fallimenti.<\/p>\n<p><strong>\ud83d\udccc Prerequisiti:<\/strong><\/p>\n<ul>\n<li>Devi disporre dell&#8217;accesso ai Criteri di gruppo o ai Criteri di sicurezza locali.<\/li>\n<li>Devi anche disporre dei privilegi di amministratore.<\/li>\n<\/ul>\n<p>Passi:<\/p>\n<ol>\n<li>Vai al seguente percorso GPO:\u00a0<strong>Configurazione del computer &gt; Impostazioni di Windows &gt; Impostazioni di sicurezza &gt; Criteri degli account &gt; Criteri di blocco degli account<\/strong><\/li>\n<li>Impostazioni consigliate:\n<ul style=\"list-style-type: disc;\">\n<li>Soglia di blocco dell&#8217;account: 5<\/li>\n<li>Durata del blocco: 15 minuti<\/li>\n<li>Azzeramento del contatore dopo: 15 minuti<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p>Esempio PowerShell:<\/p>\n<p style=\"padding-left: 40px;\"><strong>net accounts \/lockoutthreshold:5 \/lockoutduration:15 \/lockoutwindow:15<\/strong><\/p>\n<p>\ud83d\udca1\u00a0<strong>Nota<\/strong>: Questo \u00e8 solo un comando consigliato. Puoi modificare il numero (che in questo caso \u00e8 impostato su 15) scegliendo il numero di minuti che preferisci.<\/p>\n<h3>Metodo 6: Porta RDP personalizzata + disattivazione automatica dopo un certo numero di ore<\/h3>\n<p>\ud83d\udccc<strong>\u00a0Casi d&#8217;uso:\u00a0<\/strong>Questo metodo \u00e8 utile per ridurre gli attacchi da parte di scanner automatici e impedisce l&#8217;accesso al di fuori dell&#8217;orario di lavoro standard.<\/p>\n<p><strong>\ud83d\udccc Prerequisiti:<\/strong><\/p>\n<ul>\n<li>Devi avere accesso al registro e a PowerShell.<\/li>\n<li>Accesso a Utilit\u00e0 di pianificazione (opzionale)<\/li>\n<li>Devi disporre dei privilegi di amministratore.<\/li>\n<\/ul>\n<p>Passi:<\/p>\n<ol style=\"list-style-type: upper-alpha;\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per modificare la porta RDP<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Premi la combinazione di tasti\u00a0<strong>Win + R<\/strong>, digita\u00a0<strong>regedit<\/strong> e clicca su\u00a0<strong>Invio<\/strong>.<\/li>\n<li>Vai su\u00a0<strong>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp\\PortNumber<\/strong><\/li>\n<li>Imposta una porta non utilizzata, come\u00a0<strong>3395<\/strong>.<\/li>\n<li>Riavvia la macchina.<\/li>\n<\/ol>\n<ol style=\"list-style-type: upper-alpha;\" start=\"2\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per monitorare la nuova porta<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Apri il Prompt dei comandi.<\/li>\n<li>Esegui il comando: <strong>netstat -an | find &#8220;3395&#8221;<\/strong><\/li>\n<\/ol>\n<ol style=\"list-style-type: upper-alpha;\" start=\"3\">\n<li>\n<h4><span style=\"font-size: 14pt;\">Per disabilitare RDP dopo l&#8217;orario di lavoro standard (manualmente o tramite automazione)<\/span><\/h4>\n<\/li>\n<\/ol>\n<ol>\n<li>Apri PowerShell<\/li>\n<li>Esegui il comando:<\/li>\n<\/ol>\n<p style=\"padding-left: 80px;\"><strong>Stop-Service -Name TermService<\/strong><\/p>\n<p>\ud83d\udca1\u00a0<strong>Suggerimento<\/strong>: Puoi automatizzare questa operazione con l&#8217;Utilit\u00e0 di pianificazione per arrestare i Remote Desktop Services (TermService) dopo l&#8217;orario di lavoro e riattivarli al mattino, se necessario.<\/p>\n<h2>\u26a0\ufe0f <strong>\u00a0Cose da tenere d&#8217;occhio<\/strong><\/h2>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Rischi<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Potenziali conseguenze<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Possibilit\u00e0 di tornare alla configurazione precedente<\/strong><\/td>\n<\/tr>\n<tr>\n<td>Disabilitare RDP sui sistemi critici<\/td>\n<td>Pu\u00f2 impedire l&#8217;accesso remoto per l&#8217;assistenza o il patching<\/td>\n<td>Utilizza strumenti come NinjaOne o accesso locale per riabilitare RDP o regolare i criteri.<\/td>\n<\/tr>\n<tr>\n<td>Regole del firewall non configurate correttamente<\/td>\n<td>Gli utenti legittimi potrebbero essere bloccati<\/td>\n<td>Utilizza test per ambiti IP, documenta le modifiche e consenti un accesso temporaneo pi\u00f9 ampio in caso di risoluzione dei problemi.<\/td>\n<\/tr>\n<tr>\n<td>Soglie di blocco troppo aggressive<\/td>\n<td>Potrebbero causare il blocco degli utenti, aumentando il volume di ticket per l&#8217;helpdesk<\/td>\n<td>Monitora i log di audit; aumenta leggermente le soglie se si verificano troppi falsi positivi.<\/td>\n<\/tr>\n<tr>\n<td>Modifica della porta RDP<\/td>\n<td>Pu\u00f2 interrompere script, strumenti di monitoraggio o integrazioni<\/td>\n<td>Informa le parti interessate e aggiorna tutta la documentazione e gli strumenti con la nuova porta.<\/td>\n<\/tr>\n<tr>\n<td>Disabilitare RDP dopo l&#8217;orario di lavoro<\/td>\n<td>Potrebbe interrompere la manutenzione notturna o le attivit\u00e0 automatizzate<\/td>\n<td>Crea eccezioni per le finestre di manutenzione; pianifica la riattivazione se necessario.<\/td>\n<\/tr>\n<tr>\n<td>Configurazione NLA non coerente<\/td>\n<td>I client non sono in grado di connettersi se non supportano l&#8217;NLA<\/td>\n<td>Assicurati che gli endpoint siano aggiornati o imposta temporaneamente il livello di crittografia su &#8220;Client Compatible&#8221;.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Ulteriori considerazioni sulla protezione dell&#8217;accesso al desktop remoto<\/h2>\n<h3>Utilizza un gateway RDP<\/h3>\n<p>L&#8217;implementazione di un Remote Desktop Gateway consente di centralizzare la gestione degli accessi RDP. Aggiunge un tunnel <a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-https\/\">HTTPS<\/a> sicuro, supporta l&#8217;<a href=\"https:\/\/www.ninjaone.com\/it-hub\/sicurezza-degli-endpoint\/what-is-multifactor-authentication-mfa\/\">autenticazione a pi\u00f9 fattori (MFA)<\/a> e offre un migliore controllo su log, auditing e restrizioni di sessione.<\/p>\n<p>\ud83d\udca1\u00a0<strong>Suggerimento<\/strong>: Leggi\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/come-configurare-un-remote-desktop-gateway\/\"><em>Come impostare un Remote Desktop Gateway<\/em><\/a>.<\/p>\n<h3>Combina RDP con l&#8217;accesso VPN<\/h3>\n<p>Ti consigliamo vivamente di richiedere che tutte le connessioni remote passino prima attraverso una <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-una-rete-privata-virtuale-vpn\/\">VPN<\/a>. Tieni presente che questo non eliminer\u00e0 il rischio di ransomware, ma pu\u00f2 sicuramente ridurlo.<\/p>\n<h3>Limita il reindirizzamento del dispositivo<\/h3>\n<p>Previeni la perdita di dati disabilitando gli appunti e qualsiasi reindirizzamento di stampanti e unit\u00e0 durante le sessioni RDP. Utilizza i Criteri di gruppo:<\/p>\n<p><strong>Configurazione del computer &gt; Modelli amministrativi &gt; Componenti di Windows &gt; Servizi desktop remoto &gt; Host di sessione desktop remoto &gt; Reindirizzamento di dispositivi e risorse<\/strong><\/p>\n<h3>Verifica accessi riusciti e non riusciti a RDP<\/h3>\n<p>Ti consigliamo di utilizzare PowerShell per monitorare i tentativi di accesso riusciti (ID evento 4624) e non riusciti (ID evento 4625):<\/p>\n<p style=\"padding-left: 40px;\"><strong>Get-WinEvent -LogName &#8220;Security&#8221; | Where-Object { $_.Id -eq 4624 -or $_.Id -eq 4625 }<\/strong><\/p>\n<p>Imposta avvisi per attivit\u00e0 anomale come schemi di brute force o tempi di accesso insoliti.<\/p>\n<h3>Limita l&#8217;accesso a RDP in base all&#8217;orario<\/h3>\n<p>Utilizza l&#8217;Utilit\u00e0 di pianificazione o script PowerShell per disabilitare RDP durante le ore non lavorative. In alternativa, utilizza regole del firewall con finestre di attivazione pianificate per bloccare il traffico RDP dopo l&#8217;orario di lavoro.<\/p>\n<h2>Risoluzione dei problemi pi\u00f9 comuni<\/h2>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Cosa pu\u00f2 succedere<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Perch\u00e9 si verifica<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Come risolverlo\u00a0<\/strong><\/td>\n<\/tr>\n<tr>\n<td>Gli utenti non riescono a connettersi<\/td>\n<td>Mancata corrispondenza NLA o porta bloccata<\/td>\n<td>Verifica l&#8217;impostazione NLA, controlla la porta (predefinita o personalizzata) nel firewall<\/td>\n<\/tr>\n<tr>\n<td>Elevato numero di accessi non riusciti<\/td>\n<td>Attacco di brute force in corso<\/td>\n<td>Applica un criterio di blocco degli account; limita gli intervalli IP<\/td>\n<\/tr>\n<tr>\n<td>Mancata corrispondenza della crittografia RDP<\/td>\n<td>Client RDP obsoleto o sistema operativo non aggiornato<\/td>\n<td>Imposta temporaneamente la crittografia su \u201cClient Compatible\u201d<\/td>\n<\/tr>\n<tr>\n<td>Il servizio RDP non si avvia<\/td>\n<td>Conflitto di porte o errore di TermService<\/td>\n<td>Riavvia il servizio TermService; controlla i log eventi o verifica la presenza di conflitti tra porte<\/td>\n<\/tr>\n<tr>\n<td>La modifica della porta non va a buon fine<\/td>\n<td>Firewall o dispositivo NAT non aggiornati<\/td>\n<td>Aggiorna le regole del firewall, il port forwarding NAT e le configurazioni dei client<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Come NinjaOne ti aiuta a proteggere RDP<\/h2>\n<p>NinjaOne, il software di gestione automatizzata degli endpoint a cui si affidano oltre 30.000 clienti in tutto il mondo, pu\u00f2 aiutarti a proteggere RDP nei seguenti modi:<\/p>\n<ul>\n<li>Permettendoti di abilitare\/disabilitare RDP da remoto, in base al gruppo di dispositivi, al ruolo dell&#8217;utente o al criterio<\/li>\n<li>Permettendoti di ruotare le porte RDP o di bloccare le porte predefinite in interi ambienti.<\/li>\n<li>Con la pianificazione dell&#8217;arresto del servizio RDP dopo l&#8217;orario di lavoro o su endpoint non utilizzati.<\/li>\n<li>Con avvisi su picchi di tentarivi di accesso falliti o tentativi di accesso remoto insoliti.<\/li>\n<li>Con la verifica dell&#8217;esposizione RDP (sia interna che esterna) tramite report di inventario generati e aggiornati in tempo reale.<\/li>\n<li>Offrendoti la possibilit\u00e0 di automatizzare la distribuzione delle regole del firewall e le restrizioni di sessione con script personalizzati.<\/li>\n<\/ul>\n<p>Inoltre, NinjaOne utilizza un modello di accesso remoto\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/come-implementare-il-modello-zero-trust\/\">zero-trust<\/a>\u00a0su tutto il tuo parco dispositivi, senza interruzioni per gli utenti e senza ulteriori spese di amministrazione, in modo che tu possa concentrarti sulle tue competenze principali senza altre preoccupazioni.<\/p>\n<div class=\"in-context-cta\"><p style=\"text-align: center;\">Gestisci e controlla da remoto gli endpoint Windows, Mac e Linux con NinjaOne.<\/p>\n<p style=\"text-align: center;\">Scopri di pi\u00f9 su\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/accesso-remoto\/\">NinjaOne Remote<\/a>.<\/p>\n<\/div>\n<h2>Migliora la sicurezza di RDP<\/h2>\n<p>RDP pu\u00f2 essere uno strumento essenziale per l&#8217;organizzazione, ma senza una solida sicurezza pu\u00f2 diventare un&#8217;opportunit\u00e0 di ingresso per i criminali informatici. Seguendo le strategie di accesso sicuro al desktop remoto descritte in questa guida, puoi ridurre in modo significativo la tua\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-una-superficie-di-attacco\/\">superficie di attacco<\/a>, soprattutto negli ambienti di PMI in cui la sicurezza a pi\u00f9 livelli non \u00e8 sempre presente.<\/p>\n<p>Argomenti correlati:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cose-remote-desktop-protocol-rdp\/\">Che cos&#8217;\u00e8 il protocollo RDP (Remote Desktop Protocol)?<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/videos\/it-ops\/how-to-set-up-remote-desktop-gateway\/\">Come impostare il gateway per desktop remoto<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/script-hub\/abilitare-o-disabilitare-rdp-usando-powershell\/\">Abilitare o disabilitare il Protocollo Desktop Remoto (RDP) sulle workstation utilizzando PowerShell<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/comprendere-i-protocolli-di-accesso-remoto\/\">Conoscere i protocolli di accesso remoto<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/best-practice-di-accesso-remoto\/\">Best practice di accesso remoto per MSP e professionisti IT<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/eliminare-credenziali-rdp-salvate\/\">Guida IT: Come eliminare le credenziali RDP salvate in Windows<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/script-hub\/creazione-di-collegamenti-rdp-con-powershell\/\">Automazione della creazione di collegamenti per desktop remoto con PowerShell<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Questa \u00e8 una guida completa su come\u00a0proteggere l&#8217;accesso al desktop remoto\u00a0in ambienti di PMI. Ricapitolando, il protocollo RDP (Remote Desktop Protocol) \u00e8 uno degli strumenti pi\u00f9 potenti per i professionisti IT e gli MSP, in quanto offre un accesso continuo ai sistemi remoti per il supporto, la manutenzione e la risoluzione dei problemi. Tuttavia, gli [&hellip;]<\/p>\n","protected":false},"author":152,"featured_media":532497,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4354],"tags":[],"class_list":["post-554331","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-operazioni-it"],"acf":[],"modified_by":"Sergio Oricci","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/554331","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/152"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=554331"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/554331\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/532497"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=554331"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=554331"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=554331"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}