Saltar al contenido

Cómo habilitar el escritorio remoto en Windows Server 2016

    1652051805

    El Protocolo de escritorio remoto (RDP) es un protocolo de acceso remoto propiedad de Microsoft que utilizan los administradores de sistemas Windows para administrar los sistemas Windows Server de forma remota. Lo que diferencia a RDP de, por ejemplo, la comunicación remota de Windows PowerShell o Secure Shell (SSH) es la presencia del escritorio gráfico completo, como se muestra en la Figura 1.

    De forma predeterminada, el componente del servidor RDP escucha las conexiones entrantes en el puerto TCP 3389, aunque el administrador puede cambiar esto por motivos de seguridad.

    Sin duda, el impulso actual de Microsoft es que los administradores reduzcan su dependencia de RDP y en su lugar (a) implementen servidores Windows en modo Server Core o Nano; y (b) emplear la administración remota de línea de comandos de Windows PowerShell en lugar de RDP.

    La justificación de Microsoft para este consejo es doble:

    Una capa GUI consume recursos del sistema innecesarios
    Una capa GUI amplía la superficie de ataque de sus servidores

    Independientemente, muchos administradores están acostumbrados a la administración remota basada en RDP y buscan hacerlo incluso en el sistema operativo Windows Server 2016 recientemente lanzado. Aprendamos cómo habilitar RDP en Server 2016 (tl; dr: el proceso es idéntico al de Windows Server 2012 R2).

    Administrador del servidor

    Abra la consola del Administrador del servidor, navegue hasta el nodo Servidor local y haga clic en el hipervínculo Escritorio remoto como se muestra en la Figura 2.

    El hipervínculo Escritorio remoto es simplemente un acceso directo a la hoja Propiedades del sistema desde el elemento Panel de control del sistema. Seleccione Permitir conexiones remotas a esta computadora y, opcionalmente, habilite Permitir conexiones solo desde computadoras que ejecutan Remote Destkop con Network Level Authentication (recomendado).

    La autenticación de nivel de red (NLA) protege a Windows Server contra los ataques de denegación de servicio (DoS) al requerir que se realice la autenticación antes de que el servidor establezca cualquier sesión gráfica. NLA también conserva los recursos del sistema del servidor.

    Windows PowerShell

    Desde una perspectiva de nivel inferior, las conexiones RDP entrantes se habilitan en un servidor a través de dos valores de Registro y una regla de Firewall de Windows.
    Abra una sesión elevada de Windows PowerShell y ejecute los siguientes comandos. Este primero crea el valor fDenyTSConnections y lo establece en 0 (desactivado). Esto tiene sentido, porque no queremos denegar las conexiones de Terminal Services (TS).

    New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force

    El siguiente comando crea y habilita el valor UserAuthentication (autenticación de capa de red); NLA es una buena idea y debería considerar habilitarlo de forma predeterminada en sus servidores.

    New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name ‘UserAuthentication’ -Value 1 -PropertyType dword -Force

    El siguiente comando habilita la regla de Firewall de Windows «Escritorio remoto» predefinida. Luego, podemos invocar el cmdlet de PowerShell Get-NetFirewallRule para verificar, como se muestra en la Figura 3.
    Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’

    Política de grupo

    Es muy probable que desee estandarizar el comportamiento de RDP en todos sus servidores de infraestructura. Por lo tanto, recurrimos a la directiva de grupo para lograr este objetivo.

    Comience por crear, vincular y definir el alcance de un nuevo objeto de directiva de grupo (GPO) que se dirija a los servidores que deben compartir la configuración del servidor RDP.

    A continuación, navegue a la siguiente ruta de directiva de grupo y agregue una nueva entrada de Grupos restringidos (que se muestra en la Figura 4): Configuración del
    equipo Políticas Configuración de Windows Configuración de seguridad Grupos restringidos

    Puede personalizar la membresía en el grupo integrado de usuarios de escritorio remoto de los servidores; los miembros de este grupo pueden establecer sesiones RDP en el servidor. Tenga en cuenta que al grupo de administradores locales (y, por extensión, al grupo global de administradores de dominio) se le otorga automáticamente este privilegio en Active Directory.

    Las siguientes tres configuraciones de directiva de grupo gobiernan:

    Excepciones RDP entrantes de Firewall de Windows
    Derecho de usuario para establecer sesiones RDP
    Requerimiento de NLA

    Configuración del equipoPlantillas administrativasRedConexiones de redFirewall de WindowsPerfil de dominioFirewall de Windows: permitir excepciones de escritorio remoto entrante

    Configuración del equipoPlantillas administrativasComponentes de WindowsServicios de escritorio remotoHost de sesión de escritorio remotoConexionesPermitir que el usuario se conecte de forma remota mediante Servicios de escritorio remoto

    Configuración del equipoPlantillas administrativasComponentes de WindowsServicios de escritorio remotoHost de sesión de escritorio remotoSeguridadRequerir autenticación de usuario para conexiones remotas mediante NLA

    Creación de la conexión del cliente

    Windows Client y Windows Server incluyen el cliente Microsoft RDP, llamado Conexión a escritorio remoto. Mi forma favorita de invocar esta herramienta es:

    Presiona TECLA WINDOWS+R

    Escriba mstsc (que significa «Microsoft Terminal Services Client»)

    Presione ENTRAR

    Le muestro la interfaz de usuario de Remote Desktop Connection en la Figura 5.

    Lo bueno de los clientes RDP es que están disponibles para casi todos los sistemas operativos de escritorio o móviles. Aquí hay una lista representativa:

    Android: escritorio remoto de Microsoft
    iOS: escritorio remoto de Microsoft
    Linux: rdesktop
    macOS: Escritorio remoto de Microsoft
    Windows Phone: Escritorio remoto de Microsoft

    Tenga en cuenta que Windows Server solo admite dos sesiones RDP simultáneas a la vez. Si necesita más que eso, tendrá que instalar la función de servidor Host de sesión de Servicios de escritorio remoto (RDS) y comprar licencias de conexión RDS adicionales de Microsoft.

    Pensamientos finales

    Si configuró RDP en versiones anteriores de Windows Server, encontrará que Windows Server 2016 se comporta exactamente de la misma manera. Tenga en cuenta, sin embargo, que la adopción cada vez mayor de Microsoft de la postura de seguridad de «suponer una infracción» y el escenario de la nube híbrida y la filosofía que la acompaña de «administrar rebaños, no mascotas» significa que el énfasis está en la automatización de la línea de comandos en lugar de RDP de encendido y apagado. sesiones de interfaz gráfica de usuario.

    Las 10 mejores funciones nuevas de Windows Server 2016
    Windows 10 para profesionales de TI: tutoriales, consejos y trucos
    Las 6 mejores aplicaciones de Windows 10 para profesionales de TI

    0 0 votes
    Rating post
    Subscribe
    Notify of
    guest
    0 comments
    Inline Feedbacks
    View all comments
    0
    Would love your thoughts, please comment.x
    ()
    x