none
impedire a client XP di connettersi in RDP a un server 2008r2 RRS feed

  • Domanda

  • Ciao,
    er Capo vuole che i client XP non si possano più connettere in RDP ai server 2008r2.

    E' possibile limitare le connessioni e fare in modo che avvengano solo se il client è >= windows 7?

    Se abilito l'autenticazione  a livello di rete escludo solo gli XP che non hanno la SP3 giusto?

    grazie


    mercoledì 14 ottobre 2015 21:54

Risposte

  • ciao marco,

    esattamente. La tecnologia NLA (Network Level Authetincation) è stata implementata in Windows Vista, mentre in Windows XP questa tecnologia è stata si implementata con il sp3 ma disattivata in predefinito. 

    Quindi, basterà che mantieni selezionata la voce "Consenti connessione solo dai computer che eseguono Desktop Remoto con autenticazione a livello di rete", segui questo articolo 

    Configurare l'impostazione Autenticazione a livello di rete per un server Host sessione Desktop remoto

    anche se, con i dovuti accorgimenti, anche tramite un SP3 è possibile connettersi, potresti provare a impostare delle regole nel Firewall di rete (se presente)

    Elvis


    Alvise Cervellati - MVP Windows Expert-Consumer


    • Modificato Alvise CMVP giovedì 15 ottobre 2015 07:42
    • Contrassegnato come risposta Marco Guerzoni giovedì 22 ottobre 2015 21:07
    giovedì 15 ottobre 2015 07:40

Tutte le risposte

  • ciao marco,

    esattamente. La tecnologia NLA (Network Level Authetincation) è stata implementata in Windows Vista, mentre in Windows XP questa tecnologia è stata si implementata con il sp3 ma disattivata in predefinito. 

    Quindi, basterà che mantieni selezionata la voce "Consenti connessione solo dai computer che eseguono Desktop Remoto con autenticazione a livello di rete", segui questo articolo 

    Configurare l'impostazione Autenticazione a livello di rete per un server Host sessione Desktop remoto

    anche se, con i dovuti accorgimenti, anche tramite un SP3 è possibile connettersi, potresti provare a impostare delle regole nel Firewall di rete (se presente)

    Elvis


    Alvise Cervellati - MVP Windows Expert-Consumer


    • Modificato Alvise CMVP giovedì 15 ottobre 2015 07:42
    • Contrassegnato come risposta Marco Guerzoni giovedì 22 ottobre 2015 21:07
    giovedì 15 ottobre 2015 07:40
  • Ciao,

    se abiliti l'autenticazione di rete escludi slo XP senza sp3 come hai giustamente detto.

    Non credo si possa escludere i computer da cui partono le connessioni in base all'OS, anche perché non ha molto senso secondo la mia opinione. Quale sarebbe il motivo alla base della richiesta?

    In definitiva tu accedi ad un RDP server con l'rdp client che al limite puoi aggiornare da qui

    https://support.microsoft.com/en-us/kb/969084


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 15 ottobre 2015 07:40
  • Si sta cercando di disincentivare l'uso di XP.

    Ormai siamo apposto per tutte le sedi, ma abbiamo una sede in cui il referente informatico ha ancora un centinaio di XP.

    Quando si avviano compare un popup fastidioso :) in cui spiego che usando un client XP non sono sicuri perché non ci sono più patch ecc, ma ugualmente la situazione non migliora...

    Un applicativo indispensabile è in RDP sulla sede centrale e rendendolo inutilizzabile da XP poteva essere un forte disincentivo.

    Poi abbiamo diversi client sparsi non sotto dominio (pc di casa) che usano XP e vorrei eliminare anche quelli... insomma per un discorso di sicurezza, di conformità, di casistiche di assistenza ecc vorrei avere a che fare con SO >= Windows 7 

    giovedì 15 ottobre 2015 07:59
  • In questi casi la soluzione migliore sarebbe implementare NAP:

    https://technet.microsoft.com/library/hh831683?f=255&MSPPError=-2147217396

    https://technet.microsoft.com/en-us/network/bb545879.aspx

    In questo modo potrai definire esattamente dei criteri di conformità in base al sistema operativo, agli aggiornamenti installati, ecc.... senza dover configurare delle "forzature".

    giovedì 15 ottobre 2015 15:00
    Moderatore
  • attenzione peró perché NAP e deprecato, non so se scoraggiare l'utilizzo di un OS non supportato implementando una tecnologia deprecata sia una buona idea

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli giovedì 15 ottobre 2015 15:52
    giovedì 15 ottobre 2015 15:52
  • Però dice anche che "La gestione dei criteri di rete centrale con il server e il proxy RADIUS e l'accesso cablato e wireless autenticato con 802.1X non sono deprecati". In ogni caso anche se deprecato è perfettamente supportato in Windows Server 2012 R2 e Windows 8.1, quindi vuol dire solo che alcune funzionalità del ruolo non verranno incluse nella prossima versione di Windows Server. Secondo me quindi va bene per lo scopo e sicuramente offre un livello più alto di sicurezza e controllo rispetto alle forzature sull'RDP.

    Alcune caratteristiche sono state deprecate solo perché al giorno d'oggi si "sovrappongono" con quelle di System Center Configuration Manager. Almeno questo è come l'ho interpretato io.




    giovedì 15 ottobre 2015 16:50
    Moderatore
  • Se non sbaglio peró la policy sul controllo del sistema operativo o il livello di patching e implementata da NAP, RADIUS e 802.1x non c'entrano in questo caso.

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 15 ottobre 2015 17:13
  • Forse ho interpretato male la nota, ma era per non citare sempre prodotti a pagamento come System Center. Alla fine NAP è gratuito e ancora è supportato su 2012 R2 e Windows 8.1, secondo me è sempre meglio di niente.

    giovedì 15 ottobre 2015 17:36
    Moderatore
  • ragazzi, ottimo consiglio NAP e dico grazie.

    Devo dire che nel mio caso è stato sufficiente aumentare il livello di sicurezza delle connessioni RDP come suggerito nella prima risposta.

    Dagli XP o server 2003 ho provato e nessuno di loro si connette. Magari ci sono accorgimenti, come citato, che possono consentire il collegamento degli XP sp3, ma ho certamente raggiunto lo scopo e portato un grosso disincentivo all'uso di XP.

    grazie

    giovedì 22 ottobre 2015 21:10
  • Quindi, basterà che mantieni selezionata la voce "Consenti connessione solo dai computer che eseguono Desktop Remoto con autenticazione a livello di rete", segui questo articolo 

    Configurare l'impostazione Autenticazione a livello di rete per un server Host sessione Desktop remoto

    anche se, con i dovuti accorgimenti, anche tramite un SP3 è possibile connettersi, potresti provare a impostare delle regole nel Firewall di rete (se presente)

    Mi sfugge qualcosa, questo non impedirebbe comunque la possibilita di connettersi con XP come tu stesso hai ribadito. In particolare non ho capito come con il firewall puoi discriminare il sistema operativo. Potresti chiarire questo punto a beneficio mio e di altri?


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli giovedì 22 ottobre 2015 21:15
    giovedì 22 ottobre 2015 21:12
  • Guarda, il discorso del Firewall non l'ho capito ed è più corretto che lo chiarisca Elvis.

    Io, come detto, ero convinto che gli XP sp3 potessero utilizzare quel tipo di connessione, invece, nella pratica mi ritrovo che gli XP con SP3 non si connettono perché avrebbero comunque bisogno di configurazioni aggiuntive (https://support.microsoft.com/it-it/kb/951608) e questo mi è sufficiente come disincentivante.

    venerdì 23 ottobre 2015 01:04
  • via firewall si può fare, ma solo utilizzando una iptables,(incluso dalle versione Kernel di Linux 2.4.x) con dei filtri particolari che permettono di escludere, ad esempio, sistemi operativi Windows Xp.

    Certo, va detto che è applicabile solo in certi contesti e, in questo caso, non è applicabile

    Vedi qui

    FAQ: How to block/allow packets sent by specific Operating System with iptables? - LinuxScrew: Linux Blog

    Ovviamente la soluzione che hai già attuato è sicuramente più comoda e più pratica.

    Elvis


    Alvise Cervellati - MVP Windows Expert-Consumer

    venerdì 23 ottobre 2015 08:57
  • pensavo con Windows firewall :D

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    venerdì 23 ottobre 2015 09:36