I servizi di Desktop remoto (RDS) consentono agli utenti di connettersi a un computer remoto o a una macchina virtuale all’interno della rete. Con RDS, gli utenti possono assumere il controllo di un computer remoto, proprio come farebbero con il proprio. Da un’altra prospettiva, RDS consente ai server di ospitare multiple sessioni client in simultanea. In un ambiente pensato per PC, ogni utente di un’organizzazione avrà diverse applicazioni installate sulla propria macchina. Invece, in un ambiente pensato per il RDS, agli utenti può essere fornito in “thin client” che si limita a connettersi a un terminale server. Sarà quindi il terminale server a connettersi agli altri server per accedere ai dati.
L’adozione di RDS all’interno di un’organizzazione riduce i costi, aumenta la mobilità e fornisce scalabilità. Riduce anche i tempo e lo sforzo per la configurazione delle workstation per l’utente finale. Al rovescio della medaglia, l’implementazione del RDS introduce un elemento di sfida per la sicurezza: aumenta il numero di endpoint vulnerabili e gli utenti malintenzionati avranno un’ulteriore possibilità per orchestrare una violazione dei dati. Perciò, gli amministratori IT devono monitorare costantemente le sessioni RDS e assicurarsi che non siano eseguite azioni pericolose.
In questo articolo, affronteremo un’introduzione sul metodo con cui le organizzazioni possono distribuire i servizi di Desktop remoto (RDS) usando PowerShell. Quindi, vedremo come l’uso di ADAudit Plus, una soluzione completa per l’auditing di Active Directory, può aiutare a mantenere sicure le connessioni via desktop remoto.
Per la distribuzione di RDS viene usato il cmdlet di PowerShell “New-SessionDeployment”. I tre componenti obbligatori di RDS che devono essere installati prima di avviare la distribuzione sono: 1) Gestore connessione, 2) Host di sessione e 3) Accesso web. Questi componenti definiscono il modo in cui gli utenti possono usare il RDS, una volta distribuito.
Ecco fare per distribuire il RDS:
New-SessionDeployment -ConnectionBroker server1.manageengine.com -WebAccessServer server1.manageengine.com -SessionHost server1.manageengine.com
Per controllare le attività all’interno dei servizi di Desktop remoto dopo la distribuzione, gli amministratori possono usare PowerShell. Ad esempio, per ottenere l'elenco degli eventi relativi all’autenticazione corretta di RDP (ID Evento 4624), gli amministratori IT possono usare questo cmdlet PowerShell:
Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView
Tuttavia, il modo più semplice per monitorare le attività in RDS è quello di usare ManageEngine ADAudit Plus