Site icon Ryadel

Windows - Disabilitare la copia e il download di file via RDP con Group Policy

Ryan
How to stop (or prevent) massive login attempts to Remote Desktop RDP on Windows Server

In questo articolo vedremo come utilizzare la funzionalità Modifica Criteri di Gruppo (GPMC) presente nelle principali versioni di Windows e Windows Server per disabilitare globalmente alcune funzionalità utili - ma potenzialmente pericolose dal punto di vista del trattamento dei dati - consentite dal protocollo RDP, come ad esempio:

  • Reindirizzamento degli Appunti, che può essere utilizzato per tagliare / incollare testo e file dal PC remoto al PC locale e viceversa (consentendo così la copia / download dei file da PC remoto a PC locale e viceversa).
  • Reindirizzamento delle unità, che consente all'utente remoto di accedere alle proprie unità locali tramite il PC remoto (consentendo così la copia / il download dei file da PC remoto a PC locale e viceversa).
  • Reindirizzamento della porta COM, che può essere utilizzato per rendere alcuni dispositivi COM locali disponibili per il PC remoto.
  • Reindirizzamento della porta LPT, che può essere utilizzato per rendere alcuni dispositivi terminali della stampante di linea locale disponibili sul PC remoto (consentendo così la stampa sul PC locale di file presenti sul PC remoto).

Come possiamo vedere si tratta di funzionalità possono essere piuttosto potenti, che consentono all'utente remoto di accedere in vario modo ai file presenti sul PC a cui si accede: possibilità che possono essere indubbiamente vantaggiosa in molti casi, a patto di avere la proprietà dei suddetti file e i diritti per poterli trattare in modo esaustivo; al tempo stesso, però, queste funzionalità potrebbero favorire accessi non autorizzati (o persino un data breach) in tutti i casi in cui gli utenti non siano autorizzati al trattamento dei file al di fuori del perimetro aziendale.

Come ben sa chiunque lavori nel settore, nella maggior parte dei casi gli operatori remoti hanno diritti piuttosto limitati sui documenti aziendali: è probabile che la loro autorizzazione all'accesso sia consentita solo a determinate condizioni, che prevedano ad esempio l'utilizzo obbligatorio di dispositivi di proprietà dell'azienda e fisicamente collocati all'interno dei locali aziendali, con l'esplicito divieto di copiarli, portarli o stamparli altrove. Nei casi in cui limitazioni di questo tipo sono in vigore, è importante che a livello di amministrazione di sistema si dispongano le necessarie misure tecniche per mantenerle attive ed efficaci anche in caso di accesso remoto.

A tale scopo è possibile utilizzare la funzionalità Modifica Criteri di Gruppo, presente in tutte le ultime versioni di Windows e Windows Server e configurabile attraverso la console di gestione dei criteri di gruppo (GPMC). Nello specifico, le funzionalità descritte sopra possono essere abilitate o disabilitate in modo selettivo effettuando i seguenti passaggi:

  • Accedere a un computer su cui è installato il ruolo del server Servizi di dominio Active Directory.
  • Avviare lo strumento Server Manager, fare clic su Strumenti, quindi su Gestione criteri di gruppo.
  • Nella console Gestione criteri di gruppo, espandere il percorso seguente: Foresta > esempio.com > Domini > esempio.com > Oggetti Criteri di gruppo, dove esempio.com è il nome del dominio in cui si trovano i criteri del computer client RDP che si desidera configurare.
  • Fare clic con il pulsante destro del mouse sul nodo Criterio dominio predefinito (o Default domain policy) e selezionare Modifica per aprire la Console Gestione Criteri di gruppo (GPMC).
  • Utilizzare l'interfaccia utente della console per navigare attraverso il seguente percorso: Configurazione di Windows > Modelli amministrativi > Componenti di Windows > Servizi desktop remoto > Host sessione Desktop remoto > Reindirizzamento dispositivo e risorse
  • Accedere alle seguenti impostazioni dei criteri di gruppo e abilitarle / disabilitarle in base alle proprie esigenze:
    • Non consentire il reindirizzamento degli Appunti
    • Non consentire il reindirizzamento della porta COM
    • Non consentire il reindirizzamento dell'unità
    • Non consentire il reindirizzamento della porta LPT
IMPORTANTE: le istruzioni sopra descritte sono pensate per le reti su cui è configurata una Active Directory: se non si dispone di un dominio Windows, è comunque possibile utilizzare GPMC secondo le modalità illustrate per applicare i medesimi criteri, ma sarà necessario eseguire tali passaggi su ogni PC aziendale (client o server) che si desidera configurare in tal modo.

Ovviamente, se l'obiettivo è quello di impedire agli utenti di utilizzare una determinata funzionalità sarà necessario abilitare il criterio di gruppo che la blocca, andando così a sovrascrivere l'impostazione predefinita che la rende accessibile a tutti gli utenti.

Dopo aver impostato i nuovi Criteri di gruppo è probabile che vi sia la volontà di applicarli immediatamente ovunque forzando un aggiornamento delle Group Policy su tutti i  client Windows all'interno della propria Organizational Unit. Per far questo consigliamo di dare un'occhiata al nostro articolo Come forzare un aggiornamento di Criteri di gruppo remoti con GPUpdate che spiega come eseguire tale attività in modo selettivo o globale usando GPUpdate.exe da CMD, il cmdlet Invoke-GPUpdate di PowerShell o la Group Policy Management Console (GPMC).

Conclusioni

Per il momento è tutto: ci auguriamo che questo post possa essere di aiuto agli amministratori di sistema che cercano un modo semplice ed efficace per impedire ai loro utenti di utilizzare le connessioni RDP per copiare, scaricare e / o stampare documenti di proprietà dell'azienda dal proprio dispositivo locale.

Print Friendly & PDF Download
Exit mobile version