Cómo habilitar y proteger el escritorio remoto en Windows
Si bien hay muchas alternativas, el Escritorio remoto de Microsoft es una opción perfectamente viable para acceder a otras computadoras, pero tiene que estar debidamente protegido. Una vez implementadas las medidas de seguridad recomendadas, Remote Desktop es una herramienta poderosa para que los geeks la utilicen y le permite evitar la instalación de aplicaciones de terceros para este tipo de funcionalidad..
Esta guía y las capturas de pantalla que la acompañan están hechas para Windows 8.1 o Windows 10. Sin embargo, debe poder seguir esta guía siempre que esté usando una de estas ediciones de Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Habilitar el escritorio remoto
Primero, debemos habilitar el Escritorio remoto y seleccionar qué usuarios tienen acceso remoto a la computadora. Presione la tecla de Windows + R para que aparezca una solicitud de ejecución y escriba "sysdm.cpl".
Otra forma de llegar al mismo menú es escribir "Esta PC" en el menú Inicio, haga clic derecho en "Esta PC" y vaya a Propiedades:
De cualquier manera, aparecerá este menú, donde debe hacer clic en la pestaña Remoto:
Seleccione "Permitir conexiones remotas a esta computadora" y la opción debajo de "Permitir conexiones solo desde computadoras que ejecutan Escritorio remoto con autenticación de nivel de red".
No es una necesidad exigir la autenticación de nivel de red, pero hacerlo hace que su computadora sea más segura al protegerlo de los ataques de Man in the Middle. Los sistemas tan antiguos como Windows XP pueden conectarse a hosts con Autenticación de nivel de red, por lo que no hay razón para no usarlos.
Es posible que reciba una advertencia sobre sus opciones de energía cuando habilite el Escritorio remoto:
Si es así, asegúrese de hacer clic en el enlace de Opciones de energía y configurar su computadora para que no se duerma o hiberne. Vea nuestro artículo sobre la administración de la configuración de energía si necesita ayuda..
A continuación, haga clic en "Seleccionar usuarios".
Cualquier cuenta en el grupo de Administradores ya tendrá acceso. Si necesita otorgar acceso a Escritorio remoto a otros usuarios, simplemente haga clic en "Agregar" y escriba los nombres de usuario.
Haga clic en "Comprobar nombres" para verificar que el nombre de usuario se haya escrito correctamente y luego haga clic en Aceptar. Haga clic en Aceptar en la ventana Propiedades del sistema también.
Asegurando Escritorio Remoto
Su computadora actualmente se puede conectar a través de Escritorio remoto (solo en su red local si está detrás de un enrutador), pero hay algunas configuraciones más que debemos configurar para lograr la máxima seguridad..
En primer lugar, vamos a abordar el obvio. Todos los usuarios a los que les dio acceso a Escritorio remoto deben tener contraseñas seguras. Hay una gran cantidad de robots que exploran constantemente Internet en busca de equipos vulnerables que ejecuten Remote Desktop, así que no subestime la importancia de una contraseña segura. Use más de ocho caracteres (se recomiendan 12+) con números, letras minúsculas y mayúsculas, y caracteres especiales.
Vaya al menú Inicio o abra un indicador de Ejecución (Windows Key + R) y escriba "secpol.msc" para abrir el menú de la Política de seguridad local.
Una vez allí, expanda "Políticas locales" y haga clic en "Asignación de derechos de usuario".
Haga doble clic en la política "Permitir el inicio de sesión a través de servicios de escritorio remoto" que se muestra a la derecha.
Nuestra recomendación es eliminar los dos grupos que ya figuran en esta ventana, los administradores y los usuarios de escritorio remoto. Después de eso, haga clic en "Agregar usuario o grupo" y agregue manualmente los usuarios a los que le gustaría otorgar acceso a Escritorio remoto. Este no es un paso esencial, pero le da más poder sobre qué cuentas pueden usar el Escritorio remoto. Si, en el futuro, crea una nueva cuenta de Administrador por algún motivo y olvida poner una contraseña segura, estará abriendo su computadora a piratas informáticos de todo el mundo si nunca se molestó en eliminar el grupo de "Administradores" de esta pantalla.
Cierre la ventana de la Política de seguridad local y abra el Editor de políticas de grupo local escribiendo "gpedit.msc" en el indicador Ejecutar o en el menú Inicio.
Cuando se abra el Editor de políticas de grupo local, expanda Política de computadora> Plantillas administrativas> Componentes de Windows> Servicios de escritorio remoto> Host de sesión de escritorio remoto y luego haga clic en Seguridad.
Haga doble clic en cualquier configuración en este menú para cambiar sus valores. Los que recomendamos cambiar son:
Establecer nivel de cifrado de conexión del cliente: establezca esto en Nivel alto para que sus sesiones de Escritorio remoto estén protegidas con un cifrado de 128 bits.
Requerir comunicación RPC segura: configúrelo como Habilitado.
Requiere el uso de una capa de seguridad específica para conexiones remotas (RDP): establezca esto en SSL (TLS 1.0).
Requerir autenticación de usuario para conexiones remotas mediante la autenticación de nivel de red: establezca esto en Habilitado.
Una vez que se hayan realizado esos cambios, puede cerrar el Editor de políticas de grupo local. La última recomendación de seguridad que tenemos es cambiar el puerto predeterminado que escucha Remote Desktop. Este es un paso opcional y se considera una práctica de seguridad a través de la oscuridad, pero el hecho es que al cambiar el número de puerto predeterminado se reduce en gran medida la cantidad de intentos de conexión maliciosos que su computadora recibirá. Su contraseña y la configuración de seguridad deben hacer que Remote Desktop sea invulnerable sin importar en qué puerto esté escuchando, pero también podríamos reducir la cantidad de intentos de conexión si podemos.
Seguridad a través de la oscuridad: Cambio del puerto RDP predeterminado
De forma predeterminada, Remote Desktop escucha en el puerto 3389. Elija un número de cinco dígitos inferior a 65535 que le gustaría usar para su número de puerto personalizado de Remote Desktop. Con ese número en mente, abra el Editor del Registro escribiendo "regedit" en el indicador de Ejecución o en el menú Inicio.
Cuando se abra el Editor de registro, expanda HKEY_LOCAL_MACHINE> SISTEMA> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> luego haga doble clic en “PortNumber” en la ventana de la derecha.
Con la clave de registro de PortNumber abierta, seleccione "Decimal" en el lado derecho de la ventana y luego escriba su número de cinco dígitos debajo de "Datos de valor" a la izquierda.
Haga clic en Aceptar y luego cierre el Editor del Registro.
Dado que hemos cambiado el puerto predeterminado que utiliza el Escritorio remoto, debemos configurar el Firewall de Windows para que acepte las conexiones entrantes en ese puerto. Vaya a la pantalla de Inicio, busque "Firewall de Windows" y haga clic en él.
Cuando se abra el Firewall de Windows, haga clic en "Configuración avanzada" en el lado izquierdo de la ventana. Luego haga clic con el botón derecho en "Reglas de entrada" y seleccione "Nueva regla".
Aparecerá el "Asistente para nueva regla de entrada", seleccione Puerto y haga clic en siguiente. En la siguiente pantalla, asegúrese de que TCP esté seleccionado y luego ingrese el número de puerto que eligió anteriormente, y luego haga clic en siguiente. Haga clic en las siguientes dos veces más porque los valores predeterminados en las siguientes dos páginas estarán bien. En la última página, seleccione un nombre para esta nueva regla, como "Puerto RDP personalizado", y luego haga clic en Finalizar.
Últimos pasos
Ahora debe poder acceder a su computadora en su red local, solo especifique la dirección IP de la máquina o el nombre de la misma, seguido de dos puntos y el número de puerto en ambos casos, como por ejemplo:
Para acceder a su computadora desde fuera de su red, es muy probable que necesite reenviar el puerto de su enrutador. Después de eso, su PC debe ser accesible de forma remota desde cualquier dispositivo que tenga un cliente de Escritorio remoto.
Si se pregunta cómo puede hacer un seguimiento de quién está iniciando sesión en su PC (y desde dónde), puede abrir el Visor de eventos para ver.
Una vez que haya abierto el Visor de eventos, expanda Registros de aplicaciones y servicios> Microsoft> Windows> TerminalServices-LocalSessionManger y luego haga clic en Operativo.
Haga clic en cualquiera de los eventos en el panel derecho para ver la información de inicio de sesión.