Accesso a servizi di rete su computer non in dominio

Nel caso in cui si desideri accedere a servizi di rete su computer non a dominio, come ad esempio un SQL Server o utilizzare l’accesso remoto tramite RDP, occorre non solo configurare il server per rimanere in ascolto su una derminata porta, ma anche impostare correttamente il firewall.

Si prenda ad esempio il caso voler di abilitare le connessioni remote tramite RDP. Selezionando nell’applet di Sistema l’opzione Allow remote connections to this computer si configura il sistema per accettare le connessioni tramite RDP (porta TCP 3389) e vengono abilitate le eccezioni firewall per le connessioni da computer in dominio (profilo Domain e profilo Private).

image

Ma come si può vedere tramite lo snap-in MMC Windows Firewall with Advanced Security (wf.msc) le eccezioni relative al profilo Public non vengono abitate col risultato che la connessione remota al un computer tramite RDP non risulta possibile dal momento che il sistema è in Workgroup.

image

Se però la rete è stata identificata come Public le connessioni RDP risulteranno bloccate dal firewall

image

Di conseguenza se si prova ad avviare una connessione tramite RDP verso il sistema si otterrà l’errore che è impossibile stabilire una connessione.

image

Per consentire la connessione a sistemi in Workgroup occorre abilitare la Rule Remote Desktop – User Mode (TCp-In) relativa al profilo Public.

La rule Remote Desktop – User Mode (UDP-In) consente di utilizzare le funzionalità introdotte in WS2012/W8 con la versione 8.0 del protocollo RDP (Intelligent Transports, RemoteFX for WAN), a riguardo si vedano Windows Server 2012 Remote Desktop Services (RDS) e RemoteFX for WAN: Overview of Intelligent and Adaptive Transports in Windows 8 and Windows Server 2012. Se non vengono utilizzate tali funzionalità, per esmpio in uno scenari di sola amministrazione remota, è possibile non abilitarla per il profilo Public.

La rule Remote Desktop – Shadow (TCP-In) consente la gestione del shadowing delle connessioni reintrodotta i WS2012 R2/W8.1, ariguardo si veda Windows 8.1 / Windows Server 2012 R2 – RDS Shadowing is back!. Dal momento che questa funzionalità non è disponibile in scenari Workgroup non è necessario abilitarla per il profilo Public.

Per una descrizione dei profili firewall si veda il seguente Understanding Firewall Profiles:

Domain: Applied to a network adapter when it is connected to a network on which it can detect a domain controller of the domain to which the computer is joined.

Private: Applied to a network adapter when it is connected to a network that is identified by the user or administrator as a private network. A private network is one that is not connected directly to the Internet, but is behind some kind of security device, such as a network address translation (NAT) router or hardware firewall. For example, this could be a home network, or a business network that does not include a domain controller. The Private profile settings should be more restrictive than the Domain profile settings.

Public: Applied to a network adapter when it is connected to a public network such as those available in airports and coffee shops. When the profile is not set to Domain or Private, the default profile is Public. The Public profile settings should be the most restrictive because the computer is connected to a public network where the security cannot be controlled. For example, a program that accepts inbound connections from the Internet (like a file sharing program) may not work in the Public profile because the Windows Firewall default setting will block all inbound connections to programs that are not on the list of allowed programs.

In alternativa è possibile modificare l’assegnazione del profilo della rete da Public a Private, tramite lo snap-in mmc Local Security Policy (secpol.msc):

image  

Come si nota è possibile impostare direttamente un profilo oppure consentire all’utente di modificarlo. Agendo invece sul nodo All Networks, anziché su quello specifico della rete, è possibile configurare la possibilità che l’utente possa modificare il profilo su tutte le reti. Dal momento che la modifica di alcune Local Security Policy viene applicata solo al prossimo avvio del sistema (per un esempio si veda Security Policy Settings and User Account Control), per sicurezza dopo avere modificato tali impostazioni  riavviare il sistema.

image

Per ulteriori informazioni si veda Network List Manager Policies.

Per un deep dive del funzionamento del Network List e del  Network Location Awareness si veda il seguente Network List e Network Location Awareness (Windows non connesso ad alcuna rete).