El Protocolo de escritorio remoto (RDP) es un protocolo de acceso remoto propiedad de Microsoft que utilizan los administradores de sistemas Windows para administrar los sistemas Windows Server de forma remota. Lo que diferencia a RDP de, por ejemplo, la comunicación remota de Windows PowerShell o Secure Shell (SSH) es la presencia del escritorio gráfico completo, como se muestra en la Figura 1.
De forma predeterminada, el componente del servidor RDP escucha las conexiones entrantes en el puerto TCP 3389, aunque el administrador puede cambiar esto por motivos de seguridad.
Sin duda, el impulso actual de Microsoft es que los administradores reduzcan su dependencia de RDP y en su lugar (a) implementen servidores Windows en modo Server Core o Nano; y (b) emplear la administración remota de línea de comandos de Windows PowerShell en lugar de RDP.
La justificación de Microsoft para este consejo es doble:
Una capa GUI consume recursos del sistema innecesarios
Una capa GUI amplía la superficie de ataque de sus servidores
Independientemente, muchos administradores están acostumbrados a la administración remota basada en RDP y buscan hacerlo incluso en el sistema operativo Windows Server 2016 recientemente lanzado. Aprendamos cómo habilitar RDP en Server 2016 (tl; dr: el proceso es idéntico al de Windows Server 2012 R2).
Administrador del servidor
Abra la consola del Administrador del servidor, navegue hasta el nodo Servidor local y haga clic en el hipervínculo Escritorio remoto como se muestra en la Figura 2.
El hipervínculo Escritorio remoto es simplemente un acceso directo a la hoja Propiedades del sistema desde el elemento Panel de control del sistema. Seleccione Permitir conexiones remotas a esta computadora y, opcionalmente, habilite Permitir conexiones solo desde computadoras que ejecutan Remote Destkop con Network Level Authentication (recomendado).
La autenticación de nivel de red (NLA) protege a Windows Server contra los ataques de denegación de servicio (DoS) al requerir que se realice la autenticación antes de que el servidor establezca cualquier sesión gráfica. NLA también conserva los recursos del sistema del servidor.
Windows PowerShell
Desde una perspectiva de nivel inferior, las conexiones RDP entrantes se habilitan en un servidor a través de dos valores de Registro y una regla de Firewall de Windows.
Abra una sesión elevada de Windows PowerShell y ejecute los siguientes comandos. Este primero crea el valor fDenyTSConnections y lo establece en 0 (desactivado). Esto tiene sentido, porque no queremos denegar las conexiones de Terminal Services (TS).
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force
El siguiente comando crea y habilita el valor UserAuthentication (autenticación de capa de red); NLA es una buena idea y debería considerar habilitarlo de forma predeterminada en sus servidores.
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name ‘UserAuthentication’ -Value 1 -PropertyType dword -Force
El siguiente comando habilita la regla de Firewall de Windows «Escritorio remoto» predefinida. Luego, podemos invocar el cmdlet de PowerShell Get-NetFirewallRule para verificar, como se muestra en la Figura 3.
Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’
Política de grupo
Es muy probable que desee estandarizar el comportamiento de RDP en todos sus servidores de infraestructura. Por lo tanto, recurrimos a la directiva de grupo para lograr este objetivo.
Comience por crear, vincular y definir el alcance de un nuevo objeto de directiva de grupo (GPO) que se dirija a los servidores que deben compartir la configuración del servidor RDP.
A continuación, navegue a la siguiente ruta de directiva de grupo y agregue una nueva entrada de Grupos restringidos (que se muestra en la Figura 4): Configuración del
equipo Políticas Configuración de Windows Configuración de seguridad Grupos restringidos
Puede personalizar la membresía en el grupo integrado de usuarios de escritorio remoto de los servidores; los miembros de este grupo pueden establecer sesiones RDP en el servidor. Tenga en cuenta que al grupo de administradores locales (y, por extensión, al grupo global de administradores de dominio) se le otorga automáticamente este privilegio en Active Directory.
Las siguientes tres configuraciones de directiva de grupo gobiernan:
Excepciones RDP entrantes de Firewall de Windows
Derecho de usuario para establecer sesiones RDP
Requerimiento de NLA
Configuración del equipoPlantillas administrativasRedConexiones de redFirewall de WindowsPerfil de dominioFirewall de Windows: permitir excepciones de escritorio remoto entrante
Configuración del equipoPlantillas administrativasComponentes de WindowsServicios de escritorio remotoHost de sesión de escritorio remotoConexionesPermitir que el usuario se conecte de forma remota mediante Servicios de escritorio remoto
Configuración del equipoPlantillas administrativasComponentes de WindowsServicios de escritorio remotoHost de sesión de escritorio remotoSeguridadRequerir autenticación de usuario para conexiones remotas mediante NLA
Creación de la conexión del cliente
Windows Client y Windows Server incluyen el cliente Microsoft RDP, llamado Conexión a escritorio remoto. Mi forma favorita de invocar esta herramienta es:
Presiona TECLA WINDOWS+R
Escriba mstsc (que significa «Microsoft Terminal Services Client»)
Presione ENTRAR
Le muestro la interfaz de usuario de Remote Desktop Connection en la Figura 5.
Lo bueno de los clientes RDP es que están disponibles para casi todos los sistemas operativos de escritorio o móviles. Aquí hay una lista representativa:
Android: escritorio remoto de Microsoft
iOS: escritorio remoto de Microsoft
Linux: rdesktop
macOS: Escritorio remoto de Microsoft
Windows Phone: Escritorio remoto de Microsoft
Tenga en cuenta que Windows Server solo admite dos sesiones RDP simultáneas a la vez. Si necesita más que eso, tendrá que instalar la función de servidor Host de sesión de Servicios de escritorio remoto (RDS) y comprar licencias de conexión RDS adicionales de Microsoft.
Pensamientos finales
Si configuró RDP en versiones anteriores de Windows Server, encontrará que Windows Server 2016 se comporta exactamente de la misma manera. Tenga en cuenta, sin embargo, que la adopción cada vez mayor de Microsoft de la postura de seguridad de «suponer una infracción» y el escenario de la nube híbrida y la filosofía que la acompaña de «administrar rebaños, no mascotas» significa que el énfasis está en la automatización de la línea de comandos en lugar de RDP de encendido y apagado. sesiones de interfaz gráfica de usuario.
Las 10 mejores funciones nuevas de Windows Server 2016
Windows 10 para profesionales de TI: tutoriales, consejos y trucos
Las 6 mejores aplicaciones de Windows 10 para profesionales de TI