Remote Desktop Connection (Terminal Services Client 6.1) e opzione console

Il Remote Desktop Connection (Terminal Services Client 6.1) consente di utililizzare le nuove funzionalità di Servizi terminal introdotte in Windows Vista e in Windows Server 2008 (TS Web Access, RDP signing, TS Easy Print, TS Gateway, TS RemoteApp). La versione 6.1 (6.0.6001) di RDC è disponibile come download per XP SP2 e integrata nel Service Pack 3 di XP e in Windows Vista e Windows Server 2008.

In questa versione l’opzione /console che consentiva di connettersi alla sessione console (Session 0) di un Windows Server 2003 non è più supportata (la connessione alla sesione 0 di un Windows Server 2000 non è mai stata possibile a riguardo si veda Non si può utilizzare Mstsc.exe con l’opzione /CONSOLE per connettere a una sessione di console in un computer basato su Windows 2000 Server).

In Windows Server 2003 viene utilizzato il comando Mstsc.exe /console per avviare una sessione di Desktop remoto per i seguenti motivi:

1. Alcune applicazioni si installano e si eseguono solo nella sessione 0 in quanto devono comunicare con i servizi eseguiti nella sessione 0 o perchè devono interagire con elementi dell’interfaccia utente visualizzati nella sessione 0.
2. In Windows Server 2003 la sessione console è sempre la 0 e non possibile connetersi ad una sessione console esistente se non specificando l’opzione /console.

In Windows Server 2008 l’opzione /console non è più necessaria per due ragioni:

1. E’ stata migliorata la compatibilità con le applicazioni per garantire che  le appliaczioni legacy che durante l’installazione devono comunicare con i servizi in sessione 0 possano farlo anche da sessioni diverse dalla 0. Nel caso in cui sia necessario interagire con elementi dell’interfaccia utente visualizzati nella sessione 0 le funzionalità native di Windows Vista e Windows Server 2008 consentono di vedere e interagire con l’interfaccia grafica della sesione 0 da una sessione diversa.
2. Dal momento che la sessione 0 non è mai la sessione console è sempre possibile riconnetersi alla sessione console. Tramite la group policy Restrict Terminal Services users to a single remote session in Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Connections è possibile abilitare o disabilitare la possibilità di connettersi alla sessione console. In alternativa è possibile configurare questa opzione nel Terminal Services Configuration tramite Edit settings nella sezione General opzione Restrict each user to a single session.

Per ulteriori informazioni si veda Changes to remote administration in Windows Server 2008.

In Windows XP e Windows Server 2003 e versioni precedenti tutti i servizi girano nella stessa sessione e in questa sessione opera anche il primo utente che si connette alla console. Questa sessione è chiamata la Sessione 0, ma l’esecuzione di servizi e applicazioni nella stessa sessione comporta un’implicazione di sicurezza in quanto i servizi vengono eseguiti con privilegi elevati diventanto obbiettivi di malware che tramite essi possono fare privilege escalation.

A partire da Windows Vista questo richio di sicurezza è stato ridotto isolando la Sessione 0 e rendendola non interattiva. In Windows Vista solo i processi di sistema e i servizi possono essere eseguiti nella sessione 0, mentre il primo utente che si connette opererà nella Sessione 1 e gli utenti successivi in sessioni successive. Ciò significa che i servizi non vengono mai eseguiti nella stessa sessione delle applicazioni utente e quindi sono protetti da attacchi generati da codice applicativo.

Per ulteriri informazioni e implicazioni su servizi e driver si veda Impact of Session 0 Isolation on Services and Drivers in Windows Vista.

Al posto dell’opzione /console è stata introdotta l’opzione /admin che consente di connetersi a Windows 2008 per scopi amministrativi indipendentemente che sia installato o meno il ruolo Terminal Server. Nel caso non sia installato il ruolo Terminal Server è possibile eviatre di specificare l’ozione /admin in quanto verrà sempre avviata una sessione di amministrazione remota (le sessioni di amministraziomota possono essere un massimo di due e possono essere avviate dai membri del gruppo Administrators).

Le sessioni amministrative hanno le seguenti caratteristiche:

• Non è necessaria una TS CAL.
• La Time zone redirection è disabilitata.
• La Terminal Services Session Broker (TS Session Broker) redirection è disabilitata.
• La Plug and Play device redirection è disabilitata.
• Il remote session theme è modificato in Windows Classic.
• La Terminal Services Easy Print è disabilitata.

Per retro compatibilità  è possibile connettersi alla sessione console (Session 0) di un Windows Server 2003 specificando l’opzione /admin al posto dell’opzione /console.

Per ulteriori informazioni si veda Changes to Remote Administration in Windows Server 2008.