Acceso remoto al servidor a través de Internet rdp. Conéctese a un escritorio remoto utilizando el cliente RDP de Windows integrado

Existe la opinión de que conectarse a través del Escritorio remoto de Windows (RDP) es muy inseguro en comparación con sus análogos (VNC, TeamViewer, etc.). Como resultado, abrir el acceso desde el exterior a cualquier computadora o servidor de red local es una decisión muy imprudente: definitivamente será pirateado. El segundo argumento contra RDP suele sonar así: "consume tráfico, no es una opción para una Internet lenta". La mayoría de las veces estos argumentos no están fundamentados.

El protocolo RDP existe desde hace mucho tiempo; su debut tuvo lugar en Windows NT 4.0 hace más de 20 años, y desde entonces ha pasado mucha agua bajo el puente. Actualmente, RDP no es menos seguro que cualquier otra solución de acceso remoto. En cuanto al ancho de banda requerido, existen varias configuraciones al respecto que se pueden utilizar para lograr una excelente capacidad de respuesta y ahorro de ancho de banda.

En resumen, si sabe qué, cómo y dónde configurar, entonces RDP será una muy buena herramienta de acceso remoto. La pregunta es, ¿cuántos administradores han intentado profundizar en las configuraciones que están ocultas un poco más que en la superficie?

Ahora te diré cómo proteger RDP y configurarlo para un rendimiento óptimo.

En primer lugar, existen muchas versiones del protocolo RDP. Todas las descripciones adicionales se aplicarán a RDP 7.0 y superiores. Esto significa que tienes al menos Windows Vista SP1. Para los amantes de lo retro hay una actualización especial para Windows XP SP3 KB 969084 lo que añade RDP 7.0 a este sistema operativo.

Configuración número 1: cifrado

En la computadora a la que se va a conectar, abra gpedit.msc Vaya a Configuración de la computadora - Plantillas administrativas - Componentes de Windows - Servicios de escritorio remoto - Seguridad

Establezca el parámetro "Requerir el uso de un nivel de seguridad especial para conexiones remotas utilizando el método RDP" en "Activado" y el nivel de seguridad en "SSL TLS 1.0".

Con esta configuración habilitamos el cifrado como tal. Ahora debemos asegurarnos de que solo se utilicen algoritmos de cifrado sólidos, y no DES de 56 bits o RC2.

Por lo tanto, en el mismo hilo, abra la opción "Establecer nivel de cifrado para conexiones de clientes". Enciéndelo y selecciona el nivel "Alto". Esto nos dará un cifrado de 128 bits.

Pero este no es el límite. El nivel más alto de cifrado lo proporciona el estándar FIPS 140-1. En este caso, todos los RC2/RC4 pasan automáticamente por el bosque.

Para habilitar el uso de FIPS 140-1, debe ir a Configuración de la computadora - Configuración de Windows - Configuración de seguridad - Políticas locales - Configuración de seguridad en el mismo complemento.

Buscamos la opción “Criptografía del sistema: usar algoritmos compatibles con FIPS para cifrado, hash y firma” y la habilitamos.

Y finalmente, asegúrese de habilitar la opción "Requerir una conexión RPC segura" en la ruta Configuración de la computadora - Plantillas administrativas - Componentes de Windows - Servicios de escritorio remoto - Seguridad.

Esta configuración requiere que los clientes conectados requieran cifrado de acuerdo con las configuraciones que configuramos anteriormente.

Ahora que el cifrado está en completo orden, puedes continuar.

Configuración No. 2: cambiar el puerto

De forma predeterminada, el protocolo RDP se bloquea en el puerto TCP 3389. Para variar, se puede cambiar, para hacer esto, debe cambiar la clave PortNumber en el registro en la dirección;

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Configuración n.º 3: autenticación de red (NLA)

De forma predeterminada, puede conectarse a través de RDP sin ingresar su nombre de usuario y contraseña y ver la pantalla de bienvenida del escritorio remoto, donde se le pedirá que inicie sesión. Esto simplemente no es nada seguro en el sentido de que una computadora remota puede sufrir ataques DDoS fácilmente.

Por lo tanto, en el mismo hilo habilitamos la opción “Requerir autenticación de usuario para conexiones remotas usando autenticación a nivel de red”

Configuración número 4: qué más verificar

Primero, asegúrese de que la configuración "Cuentas: permitir contraseñas en blanco solo durante el inicio de sesión en la consola" esté habilitada. La configuración se puede encontrar en Configuración del equipo - Plantillas administrativas - Componentes de Windows - Servicios de escritorio remoto - Seguridad.

En segundo lugar, no olvides consultar la lista de usuarios que pueden conectarse vía RDP.

Configuración número 5: optimización de la velocidad

Vaya a la sección Configuración de la computadora - Plantillas administrativas - Componentes de Windows - Servicios de escritorio remoto - Entorno de sesión remota.

Aquí puedes y debes ajustar varios parámetros:

• La profundidad de color más alta: puede limitarse a 16 bits. Esto ahorrará tráfico más de 2 veces en comparación con la profundidad de 32 bits.
• Cancelación forzada del fondo de pantalla del escritorio remoto: no es necesario para trabajar.
• Configuración del algoritmo de compresión RDP: es mejor establecer el valor en Optimizar el uso del ancho de banda. En este caso, RDP consumirá un poco más de memoria, pero comprimirá de manera más eficiente.
• Optimice los efectos visuales para las sesiones de Servicios de Escritorio remoto: establezca el valor en "Texto". Lo que necesitas para el trabajo.

De lo contrario, al conectarse a una computadora remota desde el lado del cliente, puede desactivar adicionalmente:

• Suavizado de fuentes. Esto reducirá en gran medida el tiempo de respuesta. (Si tiene un servidor de terminal completo, este parámetro también se puede configurar en el lado del servidor)
• Composición de escritorio: responsable de Aero, etc.
• Mostrar ventana al arrastrar
• Efectos visuales
• Estilos de diseño: si quieres algo duro

Ya hemos predefinido los parámetros restantes, como el fondo del escritorio y la profundidad de color en el lado del servidor.

Además, en el lado del cliente, puede aumentar el tamaño de la caché de imágenes, esto se hace en el registro. En la dirección HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ necesita crear dos claves de tipo DWORD 32 BitmapPersistCacheSize y BitmapCacheSize

• BitmapPersistCacheSize se puede establecer en 10000 (10 MB). De forma predeterminada, este parámetro se establece en 10, que corresponde a 10 KB.
• BitmapCacheSize también se puede configurar en 10000 (10 MB). Apenas notarás si la conexión RDP consume 10 MB extra de tu RAM

No diré nada sobre el envío de impresoras, etc. Quien necesita algo, se lo envía.

Esto concluye la parte principal de la configuración. En las siguientes revisiones le diré cómo puede mejorar y proteger aún más RDP. Utilice RDP correctamente, ¡tengan todos una conexión estable! Vea cómo crear un servidor terminal RDP en cualquier versión de Windows.

Seguramente muchos de ustedes ya han escuchado y visto esta abreviatura; se traduce literalmente como Protocolo de escritorio remoto (RemotoEscritorioprotocolo). Si alguien está interesado en las complejidades técnicas del funcionamiento de este protocolo a nivel de aplicación, puede leer la literatura, comenzando con la misma Wikipedia. Consideraremos aspectos puramente prácticos. Es decir, el hecho de que este protocolo le permite conectarse de forma remota a computadoras que ejecutan Windows de varias versiones utilizando la herramienta "Conexión a escritorio remoto" integrada en Windows.

¿Cuáles son los pros y los contras de utilizar el protocolo RDP?

Comencemos con lo agradable: con los profesionales. La ventaja es que esta herramienta, que se llama más correctamente ClientePDR, está disponible para cualquier usuario de Windows, tanto en el ordenador desde el que se desea controlar el mando a distancia, como para aquellos que quieran abrir el acceso remoto a su ordenador.

A través de una conexión a un escritorio remoto, es posible no solo ver el escritorio remoto y utilizar los recursos de la computadora remota, sino también conectarle discos locales, impresoras, tarjetas inteligentes, etc. Por supuesto, si desea ver un vídeo o escuchar música a través de RDP, es poco probable que este proceso le proporcione placer, porque... en la mayoría de los casos verá una presentación de diapositivas y es probable que el audio se interrumpa. Pero el servicio RDP no fue desarrollado para estas tareas.

Otra ventaja indudable es que la conexión al ordenador se realiza sin necesidad de programas adicionales, que en su mayoría son de pago, aunque tienen sus ventajas. El tiempo de acceso al servidor RDP (que es su computadora remota) está limitado únicamente por su deseo.

Sólo hay dos desventajas. Uno es significativo, el otro no tanto. La primera y fundamental es que para poder trabajar con RDP, el ordenador al que se realiza la conexión debe tener una IP blanca (externa), o debe ser posible “reenviar” un puerto desde el router a este ordenador, que nuevamente debe tener una IP externa. No importa si es estático o dinámico, pero debe serlo.

La segunda desventaja no es tan significativa: las últimas versiones del cliente ya no admiten el esquema de color de 16 colores. Mínimo: 15 bits. Esto ralentiza enormemente el RDP cuando te conectas a través de una Internet atrofiada y muerta con una velocidad que no supera los 64 kilobits por segundo.

¿Para qué se puede utilizar el acceso remoto a través de RDP?

Las organizaciones, por regla general, utilizan servidores RDP para colaborar en el programa 1C. Y algunos incluso implementan estaciones de trabajo de usuarios en ellos. Así, el usuario, especialmente si tiene un trabajo itinerante, puede, si dispone de Internet 3G o Wi-Fi de hotel/cafetería, conectarse a su lugar de trabajo de forma remota y resolver todos los problemas.

En algunos casos, los usuarios domésticos pueden utilizar el acceso remoto a la computadora de su hogar para obtener algunos datos de los recursos del hogar. En principio, el servicio de escritorio remoto le permite trabajar completamente con aplicaciones de texto, ingeniería y gráficos. Por las razones expuestas anteriormente, no funcionará con el procesamiento de vídeo y audio, pero sigue siendo una ventaja muy importante. También puede ver los recursos que están cerrados por la política de la empresa en el trabajo conectándose a la computadora de su hogar sin anonimizadores, VPN u otros espíritus malignos.

Preparando Internet

En la sección anterior hablamos del hecho de que para habilitar el acceso remoto a través de RDP, necesitamos una dirección IP externa. Este servicio puede ser proporcionado por el proveedor, por lo que llamamos o escribimos, o vamos a su cuenta personal y coordinamos la provisión de esta dirección. Lo ideal es que sea estático, pero en principio se puede convivir con los dinámicos.

Si alguien no comprende la terminología, entonces una dirección estática es constante y una dirección dinámica cambia de vez en cuando. Para trabajar completamente con direcciones IP dinámicas, se han inventado varios servicios que proporcionan enlace de dominio dinámico. Qué y cómo, pronto habrá un artículo sobre este tema.

Preparando el enrutador

Si nuestro ordenador no está conectado directamente a Internet mediante un cable ISP, sino a través de un enrutador, también tendremos que realizar algunas manipulaciones con este dispositivo. Es decir - puerto de servicio directo - 3389. De lo contrario, la NAT de su enrutador simplemente no le permitirá acceder a su red doméstica. Lo mismo se aplica a la configuración de un servidor RDP en una organización. Si no sabe cómo reenviar un puerto, lea el artículo sobre Cómo reenviar puertos en un enrutador (se abre en una nueva pestaña) y luego regrese aquí.

Preparando la computadora

Para crear la capacidad de conectarse de forma remota a una computadora, debe hacer exactamente dos cosas:

Permitir la conexión en Propiedades del sistema;
- establecer una contraseña para el usuario actual (si no tiene contraseña), o crear un nuevo usuario con una contraseña específica para conectarse a través de RDP.

Decide tú mismo qué hacer con el usuario. Sin embargo, tenga en cuenta que los sistemas operativos que no son de servidor no admiten de forma nativa inicios de sesión múltiples. Aquellos. Si inicia sesión como usted mismo localmente (consola) y luego inicia sesión como el mismo usuario de forma remota, la pantalla local se bloqueará y la sesión en el mismo lugar se abrirá en la ventana Conexión a Escritorio remoto. Si ingresa la contraseña localmente sin salir de RDP, será expulsado del acceso remoto y verá la pantalla actual en su monitor local. Lo mismo le espera si inicia sesión en la consola como un usuario e intenta iniciar sesión de forma remota como otro. En este caso, el sistema le pedirá que finalice la sesión del usuario local, lo que puede no siempre ser conveniente.

Así que vayamos a Comenzar, haga clic derecho en el menú Computadora y presione Propiedades.

en propiedades Sistemas elegir Configuración avanzada del sistema

En la ventana que se abre, vaya a la pestaña Acceso remoto…

...hacer clic Además…

Y marque la única casilla en esta página.

Esta es la versión "doméstica" de Windows 7: aquellos que tengan Pro y superior tendrán más casillas de verificación y es posible diferenciar el acceso.

Hacer clic DE ACUERDO en todos lados.

Ahora, puede ir a Conexión a Escritorio remoto (Inicio>Todos los programas>Accesorios), ingresar la dirección IP o el nombre de la computadora allí si desea conectarse desde su red doméstica y usar todos los recursos.

Como esto. En principio, todo es sencillo. Si de repente tienes alguna pregunta o algo no te queda claro, bienvenido a los comentarios.

¿Qué es el escritorio remoto?

Usar el Escritorio remoto de Windows (rdp) puede ser una solución muy útil y conveniente al problema acceso remoto a la computadora. ¿Cuándo puede resultar útil el escritorio remoto? Si deseas controlar tu ordenador de forma remota (ya sea desde una red local o desde cualquier parte del mundo). Por supuesto, para estos fines se pueden utilizar los de terceros, como por ejemplo y otros. Pero a menudo estos programas requieren confirmación de acceso por parte de la computadora remota, no son adecuados para el uso simultáneo de la computadora por parte de varios usuarios y aún así funcionan más lento que el escritorio remoto. Por tanto, estos programas son más adecuados para asistencia o mantenimiento remoto, pero no para el trabajo diario.

Puede resultar bastante conveniente utilizar un escritorio remoto para que los usuarios trabajen con determinados programas. Por ejemplo, si necesita demostrar el funcionamiento de un programa a un usuario distante (proporcione acceso de demostración para realizar pruebas). O, por ejemplo, en su oficina sólo tiene un ordenador potente en el que está instalado un programa exigente. En otras computadoras débiles se ralentiza, pero todos necesitan acceso. Entonces, una buena solución sería utilizar un escritorio remoto: todos, desde sus computadoras "muertas", se conectan a través de rdp a una potente y usan el programa en ella, sin interferir entre sí.

Dirección IP estática. ¿Qué se necesita para el acceso remoto a través de rdp?

Uno de los puntos importantes respecto configurar y posteriormente utilizar el escritorio remoto es la necesidad de una dirección IP estática en la computadora remota. Si está configurando un escritorio remoto que sólo se utilizará dentro de la red local, entonces no hay problema. Sin embargo, el escritorio remoto se utiliza principalmente para acceso externo. La mayoría de los proveedores proporcionan a los suscriptores direcciones IP dinámicas y, para un uso normal, esto es suficiente. Las IP estáticas (“blancas”) generalmente se proporcionan por una tarifa adicional.

Configurar el escritorio remoto de Windows

Bueno, descubrimos por qué necesitamos un escritorio remoto. Ahora comencemos a configurarlo. Las instrucciones analizadas aquí son adecuadas para Windows 7, 8, 8.1, 10. En todos los sistemas operativos enumerados, las configuraciones son similares, las diferencias son menores y solo en cómo abrir algunas ventanas.

Primero necesitamos configurar el ordenador al que nos conectaremos.

¡Atención! Su cuenta debe tener derechos de administrador.

1. Abierto Comenzar - Panel de control .

En Windows 8.1 y 10 conviene abrir Panel de control haciendo clic derecho en el icono Comenzar y seleccionando de la lista Panel de control .

A continuación, seleccione sistema y seguridad - Sistema. (Esta ventana también se puede abrir de otra manera: haga clic en Comenzar, luego haga clic derecho en Computadora y elige Propiedades ).

Configurar el acceso remoto .

3. En la sección Escritorio remoto elegir:

- Permitir conexiones solo desde computadoras que ejecutan Escritorio remoto con autenticación a nivel de red . Adecuado para clientes que ejecutan la versión 7.0 de Escritorio remoto.

- . Adecuado para conectar versiones heredadas de clientes.

4. Haga clic Aplicar .

5. Por botón Seleccionar usuarios Se abre una ventana en la que puede especificar cuentas en la computadora a las que se les permitirá conectarse de forma remota. (Este procedimiento también se llama agregar un usuario a un grupo )

Los usuarios con derechos administrativos tienen acceso de trabajador remoto de forma predeterminada. Sin embargo, además de conectarse realmente, cualquier cuenta debe estar protegida con contraseña, incluso la cuenta de administrador.

6. Agregar al grupo Usuarios de escritorio remoto un nuevo usuario con derechos normales (no administrador). Para hacer esto, presione el botón Agregar

en el campo Introduzca nombres de los objetos seleccionados, ingresamos el nombre de nuestro usuario. tengo esto Acceso1. hagamos clic comprobar nombres .

Si todo es correcto, se agregará el nombre de la computadora al nombre de usuario. Hacer clic DE ACUERDO .

Si no recordamos el nombre de usuario exacto o no queremos ingresarlo manualmente, haga clic en Además .

En la ventana que se abre, haga clic en el botón Buscar .

en el campo resultados de búsqueda Aparecerán todos los usuarios de computadoras y grupos locales. Seleccione el usuario deseado y haga clic DE ACUERDO .

Cuando haya seleccionado todos los usuarios requeridos en la ventana Selección: Usuarios prensa DE ACUERDO .

ahora al grupo Usuarios de escritorio remoto se agregará un usuario con una cuenta regular Acceso1. Para aplicar los cambios, haga clic en DE ACUERDO .

7. Si utiliza uno de terceros, deberá configurarlo adicionalmente, es decir, abrir el puerto TCP 3389. Si solo tiene en ejecución el firewall integrado de Windows, entonces no necesita hacer nada, ya que lo hará. Se configurará automáticamente en cuanto hayamos permitido el uso del escritorio remoto en el ordenador.

Esto completa la configuración básica de la computadora remota.

Configuración de red, reenvío de puertos

Como se mencionó anteriormente, para acceso a escritorio remoto necesitas una dirección IP estática.

Si no tiene ningún enrutador y el cable de Internet va directamente a la computadora, omita esta sección y pase a la siguiente. Si utiliza un enrutador, deberá realizar configuraciones adicionales en él.

Si planea usar el escritorio remoto solo en una red local, será suficiente con asignar una IP local a la computadora deseada (siga la primera parte, sin reenvío de puertos). Si necesita acceso desde el exterior, también necesitará. Para abrir el acceso al escritorio remoto, debe reenviar el puerto TCP 3389.

Configurar una conexión de escritorio remoto

vayamos directamente a conectarse a un escritorio remoto, es decir, configuraciones en el lado del cliente.

1. Lancemos .

Puedes hacer esto en Windows 7 a través del menú. Comenzar - Todos los programas - Estándar - Conexión de escritorio remoto .

En Windows 8 es conveniente iniciar mediante la búsqueda. Hacer clic Comenzar, haz clic en el ícono de la lupa en la esquina superior derecha y comienza a ingresar la palabra “eliminado” en el campo de búsqueda. De las opciones de búsqueda propuestas, seleccione Conexión de escritorio remoto .

En Windows 10: Comenzar - Todas las aplicaciones - Ventanas estándar - Conexión de escritorio remoto .

2. En primer lugar, comprobemos qué versión de protocolo está instalada. Para hacer esto, haga clic en el icono en la esquina superior izquierda y seleccione el elemento Sobre el programa .

Comprobando la versión del protocolo de escritorio. Si es 7.0 o superior, entonces todo está en orden, puedes conectarte.

Si la versión del protocolo es inferior (esto es posible en versiones anteriores de Windows), entonces deberá actualizarla o reducir el nivel de seguridad en la configuración de la computadora remota (es decir, seleccionar Permitir conexiones desde computadoras que ejecuten cualquier versión de Escritorio remoto (más peligroso) ).

Puede descargar actualizaciones de Escritorio remoto para sistemas operativos heredados utilizando los enlaces siguientes:

3. Especifique los parámetros de conexión:

en el campo Computadora Registramos la dirección IP del ordenador remoto al que nos vamos a conectar. (Local - si nos conectamos dentro de la red local y real (la que nos proporciona el proveedor de Internet) si el ordenador remoto se encuentra fuera de la red local). Tengo la primera opción.

Nota. Puede averiguar qué dirección IP estática externa tiene, por ejemplo, a través del servicio Yandex.Internetometer.

4. Haga clic Para conectar .

Se le pedirá que ingrese sus credenciales. Ingrese el nombre de usuario y la contraseña de cualquier usuario en la computadora remota que tenga derechos para usar el escritorio remoto. En mi ejemplo es Administración o Acceso1. Les recuerdo que las cuentas deben estar protegidas con contraseña.

Ingrese su nombre de usuario y contraseña y marque la casilla al lado Recordar credenciales , para no ingresarlos la próxima vez que te conectes. Por supuesto, sólo podrá recordar sus credenciales si trabaja desde una computadora personal a la que no pueden acceder personas no autorizadas.

Hacer clic DE ACUERDO .

Aparecerá una advertencia. Poner un tilde No volver a solicitar conexiones a esta computadora y presione Sí .

Si todo se hace correctamente, verá el escritorio remoto frente a usted.

Nota. Le recuerdo que no puede conectarse simultáneamente mediante trabajo remoto desde varias computadoras bajo un mismo usuario. Es decir, si está previsto que varias personas trabajen con la computadora remota al mismo tiempo, entonces para cada una deberá crear un usuario separado y otorgar derechos para usar el escritorio remoto. Esto se hace en una computadora remota, como se explicó al principio del artículo.

Configuraciones adicionales de escritorio remoto

Ahora unas palabras sobre configuraciones adicionales para conectarse a un escritorio remoto.

Para abrir el menú de configuración, haga clic en Opciones .

Pestaña General

Aquí puede cambiar la configuración de conexión. Al hacer clic en el enlace editar, puede editar el nombre de usuario y la contraseña de conexión.

Puede guardar los ajustes de conexión ya configurados. Haga clic en el botón Guardar como y elegir un lugar, por ejemplo, Escritorio . Ahora en Escritorio Aparecerá un acceso directo que inicia inmediatamente una conexión a escritorio remoto sin necesidad de especificar parámetros. Esto es muy conveniente, especialmente si trabaja periódicamente con varias computadoras remotas o si no lo configura usted mismo y no quiere confundir a los usuarios.

Pestaña de pantalla

en la pestaña Pantalla puede especificar el tamaño del escritorio remoto (si ocupará toda la pantalla de su monitor o se mostrará en una pequeña ventana separada).

También puedes elegir la profundidad del color. Si la velocidad de su conexión a Internet es lenta, se recomienda seleccionar una profundidad más baja.

Pestaña Recursos locales

Aquí puede configurar los parámetros de sonido (reproducirlo en la computadora remota o en la computadora cliente, etc.), el orden de uso de las combinaciones de teclas de acceso rápido de Windows (como Ctrl+Alt+Supr, Ctrl+C, etc.) cuando trabaja con el escritorio remoto.

Una de las secciones más útiles aquí es Dispositivos y recursos locales . Marcando la casilla Impresora, tiene la posibilidad de imprimir documentos desde un escritorio remoto en su impresora local. Marca de verificación Portapapeles activa un único portapapeles entre el escritorio remoto y su computadora. Es decir, puede utilizar operaciones normales de copiar y pegar para transferir archivos, carpetas, etc. desde un ordenador remoto al suyo y viceversa.

Al hacer clic en el botón Más detalles, accederá al menú de configuración donde podrá conectar dispositivos adicionales en su computadora al escritorio remoto.

Por ejemplo, desea tener acceso a su disco cuando trabaja en una computadora remota D. Luego haga clic en el signo más opuesto Dispositivos para expandir la lista y marcar el disco D. Hacer clic DE ACUERDO .

Ahora, cuando se conecte a un escritorio remoto, verá y accederá a su disco. D a través de Conductor como si estuviera conectado físicamente a la computadora remota.

Lengüeta avanzada

Aquí podrás elegir la velocidad de conexión para lograr el máximo rendimiento, así como configurar la visualización del fondo del escritorio, efectos visuales, etc.

Eliminar una conexión a escritorio remoto

Finalmente, consideremos cómo eliminar una conexión de escritorio remoto. ¿Cuándo es necesario? Por ejemplo, solía tener acceso remoto a su computadora, pero ahora no es necesario, o incluso necesita evitar que extraños se conecten al escritorio remoto de su computadora. Es muy fácil de hacer.

1. Abierto Panel de control - sistema y seguridad - Sistema, como lo hicieron al principio del artículo.

2. En la columna de la izquierda, haga clic en Configurar el acceso remoto .

3. En la sección Escritorio remoto elegir:

- No permitir conexiones a esta computadora

Listo. Ahora nadie podrá conectarse a usted a través del escritorio remoto.

Además de utilizar Asistencia remota, puede conectarse de forma remota al escritorio de un usuario de Windows 10 mediante una conexión RDP oculta (). La mayoría de los administradores han utilizado esta funcionalidad de una forma u otra para conectarse a sesiones de usuario en servidores terminales RDS que ejecutan Windows Server 2012 R2 / Server 2016. Sin embargo, no todos saben que la conexión oculta se puede usar para ver e interactuar de forma remota con el escritorio del usuario en escritorio Windows 10. Veamos cómo funciona.

Como recordará, si intenta conectarse de forma remota a una computadora con Windows 10 a través de RDP, la sesión del usuario que trabaja localmente se desconectará (incluso si habilita la posibilidad de usar). Sin embargo, puede conectarse directamente a la sesión de consola de un usuario sin bloquear su sesión.

Supongamos que necesita conectarse desde un servidor Windows Server 2012 R2 al escritorio de un usuario que ejecuta una estación de trabajo local con Windows 10.

Para realizar una conexión simultánea a una sesión de usuario, debe utilizar una utilidad RDP estándar mstsc.exe. El formato del comando es:

Mstsc.exe/sombra: /v:<Имя или IP адрес компьютера>

También puedes utilizar una de las opciones:

• /inmediato– solicitar el nombre y la contraseña del usuario con el que se realiza la conexión (si no se especifica, la conexión se realiza con el usuario actual).
• /control– modo de interacción con la sesión del usuario. Si no se especifica el parámetro, se conectará en modo de visualización (monitoreo) de la sesión del usuario, es decir. no podrá controlar el mouse ni ingresar datos desde el teclado;
• /sin mensaje de consentimiento– no pedir confirmación al usuario para conectarse a la sesión.

El modo de conexión oculta (si es necesario solicitar confirmación del usuario y posiblemente control en una sesión o solo monitoreo) se configura mediante la política de grupo o editando el registro.

La póliza está en la sección. Configuración de la computadora -> Plantillas administrativas -> Componentes de Windows -> Servicios de escritorio remoto -> Host de sesión de escritorio remoto -> Conexiones(Políticas -> Plantillas administrativas -> Componentes de Windows -> Servicios de Escritorio remoto -> Host de sesión remota -> Conexiones) y se llama “ Establecer reglas de control remoto para sesiones de usuarios de Servicios de Escritorio remoto» (Establecer reglas para el control remoto de las sesiones de usuarios de Servicios de Escritorio Remoto).

En lugar de habilitar la política, puede establecer el valor dword de la clave con el nombre Sombra en la clave de registro HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Valores válidos:

• 0 – prohibir el control remoto;
• 1 — control total con el permiso del usuario;
• 2 — control total sin permiso del usuario;
• 3 — seguimiento de la sesión con el permiso del usuario;
• 4 - monitorear una sesión sin el permiso del usuario.

De forma predeterminada, esta clave no está especificada y la conexión oculta se realiza en modo de control total con el permiso del usuario.

Para conectarse de forma remota a una computadora a través de una conexión paralela, la cuenta que se conecta debe tener derechos de administrador en la computadora y el Escritorio remoto (RDP) debe estar habilitado en las propiedades del sistema.

Solicitemos de forma remota una lista de sesiones en una estación de trabajo con Windows 10 con el comando:

qwinsta/servidor:192.168.11.60

Como puede ver, en esta computadora hay una sesión de consola de usuario con ID = 1.

Entonces, intentemos conectarnos de forma remota a una sesión de usuario a través de una conexión oculta. Ejecute el comando:

Mstsc /sombra:1 /v:192.168.11.60

Aparecerá un mensaje en la pantalla del usuario de Windows 10:

El nombre de usuario solicita ver su sesión de forma remota. Aceptas esta solicitud.

Si el usuario permite la conexión, usted se conectará a su sesión de consola y verá su escritorio. Verás todas las acciones del usuario, pero no podrás interactuar con su sesión.

Consejo. Para finalizar la sesión paralela, presione alt+* en su computadora o ctrl+* en el servidor RDS.

Si verifica las conexiones de red usando TCPView, puede ver que la comunicación es a través de RemoteRPC (y no a través de RDP en el puerto TCP 3389). Aquellos. Para la conexión se utiliza un puerto TCP aleatorio del rango RPC alto. En el lado de la computadora que se conecta, la conexión se establece mediante mstsc.exe, en el lado del cliente, la conexión se procesa mediante rdpsa.exe o rdpsaproxy.exe (según la versión de Windows 10). Por lo tanto, RemoteRPC debe estar habilitado en el cliente:

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server
“AllоwRemoteRPС”=dword:00000001

La funcionalidad de seguimiento de escritorio remoto funciona en Windows 10/8.1 y Windows Server 2012 R2/2016. Para que la conexión instantánea funcione en clientes que ejecutan Windows 7 SP1 (Windows Server 2008 R2), necesita la versión 8.1 del cliente RDP, por lo que deberá instalar la actualización KB2830477 (requiere KB2574819 y KB2857650 instalados).

Por lo tanto, Remote Desktop Shadowing se puede utilizar como análogo de Asistencia remota o TeamViewer para una red local o corporativa.

Buenas tardes queridos lectores e invitados del blog, hoy tenemos la siguiente tarea: cambiar el puerto de entrada del servicio RDP (servidor de terminal) del estándar 3389 a algún otro. Permíteme recordarte que el servicio RDP es una funcionalidad de los sistemas operativos Windows, gracias a la cual puedes abrir una sesión a través de la red en la computadora o servidor que necesitas usando el protocolo RDP, y poder trabajar en él, como si estaban sentados en ello localmente.

¿Qué es el protocolo RDP?

Antes de cambiar algo sería bueno entender qué es y cómo funciona, os sigo contando sobre esto. RDP o Remote Desktop Protocol es un protocolo de escritorio remoto para sistemas operativos Microsoft Windows, aunque su origen proviene de PictureTel (Polycom). Microsoft lo acaba de comprar. Se utiliza para el trabajo remoto de un empleado o usuario con un servidor remoto. En la mayoría de los casos, estos servidores desempeñan el papel de un servidor de terminal, en el que se asignan licencias especiales, ya sea por usuario o por dispositivo, CAL. La idea aquí era la siguiente: hay un servidor muy poderoso, entonces ¿por qué no usar sus recursos juntos, por ejemplo, para una aplicación 1C? Esto se vuelve especialmente relevante con la llegada de los clientes ligeros.

El mundo vio el servidor terminal, ya en 1998 en el sistema operativo Windows NT 4.0 Terminal Server, para ser honesto, ni siquiera sabía que existía tal cosa, y en Rusia en ese momento todos jugábamos dandy o sega. Los clientes de conexión RDP están actualmente disponibles en todas las versiones de Windows, Linux, MacOS, Android. La versión más moderna del protocolo RDP actualmente es la 8.1.

Puerto rdp predeterminado

Escribiré inmediatamente el puerto rdp 3389 predeterminado, creo que todos los administradores del sistema lo saben.

Cómo funciona el protocolo rdp

Y para que usted y yo entendamos por qué se nos ocurrió el Protocolo de escritorio remoto, ahora es lógico que necesite comprender los principios de su funcionamiento. Microsoft distingue dos modos del protocolo RDP:

• Modo de administración remota > para administración, vas al servidor remoto y lo configuras y administras
• Modo Terminal Server > para acceder al servidor de aplicaciones, Remote App o compartirlo para trabajar.

En general, si instala Windows Server 2008 R2 - 2016 sin un servidor de terminal, de forma predeterminada tendrá dos licencias y dos usuarios podrán conectarse a él al mismo tiempo, el tercero tendrá que expulsar a alguien. trabajar. En las versiones cliente de Windows, sólo hay una licencia, pero esto también se puede evitar; hablé de esto en el artículo Terminal Server en Windows 7. También en el modo de administración remota, puede agrupar y equilibrar la carga, gracias a la tecnología NLB y al servidor de conexión del Servicio de Directorio de Sesiones. Se utiliza para indexar sesiones de usuarios, gracias a este servidor el usuario puede iniciar sesión en el escritorio remoto de los servidores de terminal en un entorno distribuido. También se requieren componentes como un servidor de licencias.

El protocolo RDP opera a través de una conexión TCP y es un protocolo de aplicación. Cuando un cliente establece una conexión con el servidor, se crea una sesión RDP en el nivel de transporte, donde se negocian los métodos de cifrado y transmisión de datos. Cuando se determinan todas las negociaciones y se completa la inicialización, el servidor de terminal envía una salida gráfica al cliente y espera la entrada del teclado y el mouse.

El Protocolo de escritorio remoto admite múltiples canales virtuales dentro de una sola conexión, lo que le permite utilizar funciones adicionales

• Transfiera su impresora o puerto COM al servidor
• Redirija sus unidades locales al servidor
• Portapapeles
• Audio y video

Etapas de conexión RDP

• Estableciendo una conexión
• Negociar parámetros de cifrado
• Autenticación del servidor
• Negociar los parámetros de la sesión RDP
• Autenticación del cliente
• datos de sesión RDP
• Terminar la sesión RDP

Seguridad en el protocolo RDP

El Protocolo de escritorio remoto tiene dos métodos de autenticación: Seguridad RDP estándar y Seguridad RDP mejorada; veremos ambos con más detalle a continuación.

Seguridad RDP estándar

El protocolo RDP con este método de autenticación cifra la conexión utilizando el propio protocolo RDP, que se encuentra en ella, mediante este método:

• Cuando se inicia su sistema operativo, se genera un par de claves RSA
• Se está creando el certificado de propiedad
• Después de lo cual se firma el Certificado de Propiedad con la clave RSA creada anteriormente
• Ahora el cliente RDP que se conecta al servidor terminal recibirá un certificado de propiedad
• El cliente la mira y la verifica, luego recibe la clave pública del servidor, que se utiliza en la etapa de acuerdo sobre los parámetros de cifrado.

Si consideramos el algoritmo con el que se cifra todo, este es el cifrado de flujo RC4. Claves de diferentes longitudes, de 40 a 168 bits, todo depende de la edición del sistema operativo Windows, por ejemplo en Windows 2008 Server - 168 bits. Una vez que el servidor y el cliente han decidido la longitud de la clave, se generan dos nuevas claves diferentes para cifrar los datos.

Si preguntas sobre la integridad de los datos, entonces se logra mediante el algoritmo MAC (Código de autenticación de mensajes) basado en SHA1 y MD5.

Seguridad RDP mejorada

El protocolo RDP con este método de autenticación utiliza dos módulos de seguridad externos:

• CredSSP
• TLS 1.0

TLS es compatible con la versión 6 de RDP. Cuando utiliza TLS, el certificado de cifrado se puede crear utilizando el servidor de terminal, un certificado autofirmado o seleccionarlo del almacén.

Cuando utiliza el protocolo CredSSP, es una simbiosis de las tecnologías Kerberos, NTLM y TLS. Con este protocolo, la verificación en sí, que verifica el permiso para ingresar al servidor de terminal, se realiza con anticipación, y no después de una conexión RDP completa, y por lo tanto se ahorran recursos en el servidor de terminal, además hay un cifrado más confiable y puede inicie sesión una vez (Inicio de sesión único), gracias a NTLM y Kerberos. CredSSP solo funciona en sistemas operativos no inferiores a Vista y Windows Server 2008. Aquí está esta casilla de verificación en las propiedades del sistema

Permita conexiones solo desde computadoras que ejecuten Escritorio remoto con autenticación a nivel de red.

Cambiar puerto rdp

Para cambiar el puerto rdp, necesitará:

1. Abra el editor de registro (Inicio -> Ejecutar -> regedit.exe)
2. Pasemos a la siguiente sección:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Busque la clave PortNumber y cambie su valor al número de puerto que necesita.

Asegúrate de seleccionar un valor decimal; por ejemplo, pondré el puerto 12345.

Una vez que haya hecho esto, reinicie el Servicio de Escritorio remoto a través de la línea de comando usando los siguientes comandos:

Y creamos una nueva regla entrante para el nuevo puerto rdp. Permítanme recordarles que el puerto rdp predeterminado es 3389.

Elegimos cuál será la regla para el puerto.

Dejamos el protocolo como TCP y especificamos un nuevo número de puerto RDP.

La regla será permitir la conexión RDP en un puerto no estándar

Si es necesario, configure los perfiles de red necesarios.

Bueno, digamos la regla en un idioma que entendamos.

Para conectarse desde equipos cliente Windows escriba la dirección indicando el puerto. Por ejemplo, si cambió el puerto a 12345 y la dirección del servidor (o simplemente la computadora a la que se está conectando): myserver, entonces la conexión MSTSC se verá así:
mstsc -v:miservidor:12345