Ativar ou desativar o protocolo de área de trabalho remota (RDP) em estações de trabalho usando o PowerShell

Principais conclusões

  • O RDP é uma ferramenta essencial para os profissionais de TI, permitindo o acesso remoto a computadores.
  • O script do PowerShell fornecido oferece um método simplificado para ativar ou desativar o RDP nas estações de trabalho.
  • São executadas duas ações principais: modificar as configurações do registro e ajustar as regras do firewall.
  • O script requer privilégios de administrador e verifica se a máquina é uma estação de trabalho.
  • Embora o RDP ofereça conveniência, ele pode apresentar riscos de segurança se for mal configurado.
  • O monitoramento e o uso de métodos de autenticação fortes são recomendados para o uso seguro do RDP.
  • Plataformas como o NinjaOne complementam o script, oferecendo uma solução abrangente de gerenciamento de TI.

O Remote Desktop Protocol (RDP) é uma ferramenta essencial no arsenal dos profissionais de TI, permitindo que os usuários se conectem remotamente a outro computador por meio de uma conexão de rede. No entanto, como qualquer ferramenta poderosa, o RDP requer um gerenciamento prudente, especialmente à medida que aumentam as preocupações com a segurança. Este blog se aprofunda em um script do PowerShell criado para gerenciar e definir as configurações da Área de Trabalho Remota (RDP) nas estações de trabalho.

Histórico

O PowerShell se tornou rapidamente uma ferramenta fundamental para os administradores de TI devido à sua flexibilidade e profundidade. O script fornecido explora esse potencial, oferecendo um método conciso para ativar ou desativar o RDP para estações de trabalho. À medida que os ambientes de TI se tornam mais complexos, soluções simplificadas como esse script são indispensáveis para os provedores de serviços gerenciados (MSPs) e profissionais de TI. É fundamental garantir que o RDP esteja configurado corretamente, pois qualquer configuração incorreta pode expor vulnerabilidades.

O roteiro

<#
.SYNOPSIS
    Enables or Disables RDP for workstations only.
.DESCRIPTION
    Enables or Disables RDP for workstations only.
.EXAMPLE
    -Disable
    Disables RDP for a workstation.
.EXAMPLE
    -Enable
    Enables RDP for a workstation.
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>
[CmdletBinding(DefaultParameterSetName = "Disable")]
param (
    [Parameter(Mandatory = $true, ParameterSetName = "Enable")]
    [switch]
    $Enable,
    [Parameter(Mandatory = $true, ParameterSetName = "Disable")]
    [switch]
    $Disable
)

begin {
    function Set-ItemProp {
        param (
            $Path,
            $Name,
            $Value,
            [ValidateSet("DWord", "QWord", "String", "ExpandedString", "Binary", "MultiString", "Unknown")]
            $PropertyType = "DWord"
        )
        # Do not output errors and continue
        $ErrorActionPreference = [System.Management.Automation.ActionPreference]::SilentlyContinue
        if (-not $(Test-Path -Path $Path)) {
            # Check if path does not exist and create the path
            New-Item -Path $Path -Force | Out-Null
        }
        if ((Get-ItemProperty -Path $Path -Name $Name)) {
            # Update property and print out what it was changed from and changed to
            $CurrentValue = Get-ItemProperty -Path $Path -Name $Name
            try {
                Set-ItemProperty -Path $Path -Name $Name -Value $Value -Force -Confirm:$false -ErrorAction Stop | Out-Null
            }
            catch {
                Write-Error $_
            }
            Write-Host "$Path$Name changed from $CurrentValue to $Value"
        }
        else {
            # Create property with value
            try {
                New-ItemProperty -Path $Path -Name $Name -Value $Value -PropertyType $PropertyType -Force -Confirm:$false -ErrorAction Stop | Out-Null
            }
            catch {
                Write-Error $_
            }
            Write-Host "Set $Path$Name to $Value"
        }
        $ErrorActionPreference = [System.Management.Automation.ActionPreference]::Continue
    }
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        $p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
    }

    # Registry settings
    $Path = 'HKLM:\System\CurrentControlSet\Control\Terminal Server'
    $Name = "fDenyTSConnections"
    $RegEnable = 0
    $RegDisable = 1

    $osInfo = Get-CimInstance -ClassName Win32_OperatingSystem
    $IsWorkstation = if ($osInfo.ProductType -eq 1) {
        $true
    }
    else {
        $false
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    if (-not $IsWorkstation) {
        # System is a Domain Controller or Server
        Write-Error "System is a Domain Controller or Server. Skipping."
        exit 1
    }

    # Registry
    if ($Disable) {
        $RegCheck = $null
        $RegCheck = $(Get-ItemPropertyValue -Path $Path -Name $Name -ErrorAction SilentlyContinue)
        if ($null -eq $RegCheck) {
            $RegCheck = 0
        }
        if ($RegDisable -ne $RegCheck) {
            Set-ItemProp -Path $Path -Name $Name -Value $RegDisable
            Write-Host "Disabled $Path$Name"
        }
        else {
            Write-Host "$Path$Name already Disabled."
        }
    }
    elseif ($Enable) {
        $RegCheck = $null
        $RegCheck = $(Get-ItemPropertyValue -Path $Path -Name $Name -ErrorAction SilentlyContinue)
        if ($null -eq $RegCheck) {
            $RegCheck = 0
        }
        if ($RegEnable -ne $RegCheck) {
            Set-ItemProp -Path $Path -Name $Name -Value $RegEnable
            Write-Host "Enabled $Path$Name"
        }
        else {
            Write-Host "$Path$Name already Enabled."
        }
    }
    else {
        Write-Error "Enable or Disable was not specified."
        exit 1
    }

    # Firewall
    if ($Disable) {
        # Disable if was enabled and Disable was used
        try {
            Disable-NetFirewallRule -DisplayGroup "Remote Desktop" -ErrorAction Stop
        }
        catch {
            Write-Error $_
            Write-Host "Remote Desktop firewall group is missing?"
        }
        Write-Host "Disabled Remote Desktop firewall rule groups."
    }
    elseif ($Enable) {
        # Enable if was disabled and Enable was used
        try {
            Enable-NetFirewallRule -DisplayGroup "Remote Desktop" -ErrorAction Stop
        }
        catch {
            Write-Error $_
            Write-Host "Remote Desktop firewall group is missing?"
        }
        Write-Host "Enabled Remote Desktop firewall rule groups."
    }
    else {
        Write-Error "Enable or Disable was not specified."
        exit 1
    }
}
end {}

 

Acesse mais de 300 scripts no NinjaOne Dojo

Obter acesso

Detalhamento

  • Parâmetros: O script usa dois parâmetros, Enable (Ativar) e Disable (Desativar), que determinam se o RDP deve ser ativado ou desativado. Eles são mutuamente exclusivos; apenas um pode ser usado por vez.
  • Funções auxiliares: Duas funções auxiliam na tarefa principal:
  • Set-ItemProp: Atualiza ou cria propriedades de registro, tratando possíveis erros e mantendo o usuário informado.
  • Test-IsElevated: Verifica se o script é executado com privilégios de administrador.
  • Processo: Esse é o núcleo do script. Ele começa verificando se há direitos de administrador e se o computador é uma estação de trabalho. Em seguida, ele prossegue:
  • Modifique as configurações do registro para ativar ou desativar o RDP.
  • Ajuste as configurações do firewall para permitir ou bloquear o tráfego RDP.

Casos de uso em potencial

Imagine uma empresa de médio porte com várias estações de trabalho para seus funcionários. O departamento de TI, por motivos de segurança, desativou o RDP em todos os computadores. No entanto, um consultor externo precisa de acesso remoto a uma estação de trabalho para fazer o diagnóstico. Usando esse script, o administrador de TI pode habilitar o RDP sem problemas nessa estação de trabalho específica e desabilitá-lo quando a tarefa for concluída.

Comparações

Embora existam ferramentas baseadas em GUI e outros métodos para gerenciar o RDP, o script fornecido oferece as seguintes vantagens:

  • Escalabilidade: Pode ser executado em várias estações de trabalho por meio de um script ou agendador de tarefas.
  • Flexibilidade: Facilmente integrado a fluxos de trabalho de TI mais extensos.
  • Transparência: Por ser de código aberto, a equipe de TI pode validar e ajustar o script para atender a necessidades específicas.

Implicações

Embora a ativação do RDP seja conveniente, um RDP exposto pode representar um risco significativo à segurança. Os criminosos cibernéticos geralmente exploram RDPs mal configurados. Portanto, é imperativo equilibrar a conveniência com a segurança.

Recomendações

  • Sempre desative o RDP quando não estiver em uso.
  • Monitore os registros RDP em busca de atividades suspeitas.
  • Empregue métodos de autenticação fortes quando o RDP estiver ativado.

Considerações finais

Ferramentas como o NinjaOne aprimoram as operações de TI, oferecendo uma plataforma centralizada para gerenciar e monitorar redes, dispositivos e muito mais. Ao integrar soluções como o script do PowerShell discutido em estruturas de TI mais amplas, plataformas como o NinjaOne oferecem supervisão e eficiência inestimáveis .

Ao compreender e implantar scripts do PowerShell como o descrito acima, os profissionais de TI podem aumentar sua eficiência e a segurança de seus ambientes de trabalho. A combinação disso com ferramentas poderosas como o NinjaOne torna o gerenciamento de TI ainda mais robusto.

FAQs

Não, o script verifica especificamente se a máquina é uma estação de trabalho antes de ser executado.

Uma mensagem de erro será exibida, solicitando que o usuário execute com privilégios de administrador.

Próximas etapas

Montar uma equipe de TI eficaz requer uma solução centralizada que seja a principal ferramenta de entrega de serviços. Com NinjaOne, a TI monitora, gerencia, protege e oferece suporte a todos os dispositivos, onde quer que estejam, dispensando infraestrutura complexa no local.

Saiba mais sobre a solução NinjaOne Remote Script Deployment, agende uma demonstração, ou inicie sua avaliação gratuita da plataforma NinjaOne.

Categories:

You might also like