Come distribuire e controllare i servizi di Desktop remoto

I servizi di Desktop remoto (RDS) consentono agli utenti di connettersi a un computer remoto o a una macchina virtuale all’interno della rete. Con RDS, gli utenti possono assumere il controllo di un computer remoto, proprio come farebbero con il proprio. Da un’altra prospettiva, RDS consente ai server di ospitare multiple sessioni client in simultanea. In un ambiente pensato per PC, ogni utente di un’organizzazione avrà diverse applicazioni installate sulla propria macchina. Invece, in un ambiente pensato per il RDS, agli utenti può essere fornito in “thin client” che si limita a connettersi a un terminale server. Sarà quindi il terminale server a connettersi agli altri server per accedere ai dati.

L’adozione di RDS all’interno di un’organizzazione riduce i costi, aumenta la mobilità e fornisce scalabilità. Riduce anche i tempo e lo sforzo per la configurazione delle workstation per l’utente finale. Al rovescio della medaglia, l’implementazione del RDS introduce un elemento di sfida per la sicurezza: aumenta il numero di endpoint vulnerabili e gli utenti malintenzionati avranno un’ulteriore possibilità per orchestrare una violazione dei dati. Perciò, gli amministratori IT devono monitorare costantemente le sessioni RDS e assicurarsi che non siano eseguite azioni pericolose.

In questo articolo, affronteremo un’introduzione sul metodo con cui le organizzazioni possono distribuire i servizi di Desktop remoto (RDS) usando PowerShell. Quindi, vedremo come l’uso di ADAudit Plus, una soluzione completa per l’auditing di Active Directory, può aiutare a mantenere sicure le connessioni via desktop remoto.

Procedura per la distribuzione di RDS mediante PowerShell

Per la distribuzione di RDS viene usato il cmdlet di PowerShell “New-SessionDeployment”. I tre componenti obbligatori di RDS che devono essere installati prima di avviare la distribuzione sono: 1) Gestore connessione, 2) Host di sessione e 3) Accesso web. Questi componenti definiscono il modo in cui gli utenti possono usare il RDS, una volta distribuito.

Ecco fare per distribuire il RDS:

• Aprire PowerShell con privilegi da amministratore.
• Eseguire questo script PowerShell:

New-SessionDeployment -ConnectionBroker server1.manageengine.com -WebAccessServer server1.manageengine.com -SessionHost server1.manageengine.com

Per controllare le attività all’interno dei servizi di Desktop remoto dopo la distribuzione, gli amministratori possono usare PowerShell. Ad esempio, per ottenere l'elenco degli eventi relativi all’autenticazione corretta di RDP (ID Evento 4624), gli amministratori IT possono usare questo cmdlet PowerShell:

Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView

Tuttavia, il modo più semplice per monitorare le attività in RDS è quello di usare ManageEngine ADAudit Plus

Procedura per il controllo di RDS con ADAudit Plus

• Accedere alla console web di ADAudit Plus.
• Navigare fino a Report > Accessi/Disconnessioni locali > Attività servizi Desktop remoto.
• Selezionare il periodo per il quale si desidera ottenere informazioni.
• Una visualizzazione grafica con un dettagliato riassunto degli eventi elenca le informazioni di controllo per il periodo selezionato.
• Il report mostra informazioni granulari su tutta l’attività del RDS.
  
• Facendo clic su un evento nel grafico a barre, si filtra la visualizzazione del report evidenziando solo l'evento selezionato.
• Le opzioni di ricerca rapida e avanzata possono essere usate per impostare filtri più precisi.