Si bien hay muchas alternativas, el Escritorio remoto de Microsoft es una opción perfectamente viable para acceder a otras computadoras, pero debe protegerse adecuadamente. Una vez que se implementan las medidas de seguridad recomendadas, Escritorio remoto es una herramienta poderosa que pueden usar los geeks y le permite evitar la instalación de aplicaciones de terceros para este tipo de funcionalidad.
Esta guía y las capturas de pantalla que la acompañan están diseñadas para Windows 8.1 o Windows 10. Sin embargo, debería poder seguir esta guía siempre que utilice cualquiera de estas ediciones de Windows:
- Windows 10 profesional
- Windows 8.1 Profesional
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 profesional
- Windows 7 profesional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Activación de escritorio remoto
Primero, debemos habilitar el Escritorio remoto y seleccionar los usuarios que tienen acceso remoto a la computadora. Presione la tecla de Windows + R para mostrar un mensaje de ejecución y escriba «sysdm.cpl».
Otra forma de acceder al mismo menú es escribir «Esta PC» en el menú Inicio, hacer clic con el botón derecho en «Esta PC» y acceder a Propiedades:
En cualquier caso, aparecerá este menú, donde deberá hacer clic en la pestaña Remoto:
Seleccione «Permitir conexiones remotas a esta computadora» y la opción debajo de ella, «Permitir conexiones solo desde computadoras que ejecutan Escritorio remoto con autenticación de nivel de red».
No es necesario que requiera autenticación a nivel de red, pero hace que su computadora sea más segura al protegerlo de los ataques de intermediarios. Los sistemas tan antiguos como Windows XP pueden conectarse a hosts con autenticación de nivel de red, por lo que no hay razón para no usarla.
Es posible que reciba una advertencia sobre sus opciones de energía cuando habilita el Escritorio remoto:
Si es así, asegúrese de hacer clic en el enlace a Opciones de energía y configurar su computadora para que no se quede dormida ni hiberne. Consulte nuestro artículo sobre cómo administrar la configuración de energía si necesita ayuda.
Luego haga clic en «Seleccionar usuarios».
Todas las cuentas del grupo Administradores ya tendrán acceso a él. Si necesita otorgar acceso a Escritorio remoto a otros usuarios, simplemente haga clic en «Agregar» e ingrese los nombres de usuario.
Haga clic en «Comprobar nombres» para verificar que el nombre de usuario se ingresó correctamente, luego haga clic en Aceptar. También haga clic en Aceptar en la ventana Propiedades del sistema.
Asegurar el escritorio remoto
Su computadora se puede conectar actualmente a través de Escritorio remoto (solo en su red local si está detrás de un enrutador), pero necesitamos configurar algunas configuraciones adicionales para lograr la máxima seguridad.
Primero, abordemos lo obvio. Todos los usuarios a los que les haya dado acceso a Escritorio remoto deben tener contraseñas seguras. Hay muchos bots que buscan constantemente en Internet PC vulnerables que ejecutan Escritorio remoto, así que no subestime la importancia de una contraseña segura. Utilice más de ocho caracteres (se recomiendan más de 12) con números, letras mayúsculas y minúsculas y caracteres especiales.
Vaya al menú Inicio o abra un indicador Ejecutar (tecla de Windows + R) y escriba «secpol.msc» para abrir el menú Política de seguridad local.
Una vez allí, expanda «Políticas locales» y haga clic en «Asignación de derechos de usuario».
Haga doble clic en la política «Permitir la conexión a través de los servicios de escritorio remoto» que se enumeran a la derecha.
Le recomendamos que elimine los dos grupos que ya aparecen en esta ventana, Administradores y Usuarios de escritorio remoto. Después de eso, haga clic en «Agregar usuario o grupo» y agregue manualmente los usuarios a los que desea otorgar acceso a Escritorio remoto. No es un paso crítico, pero le da más poder sobre qué cuentas pueden usar Escritorio remoto. Si en el futuro crea una nueva cuenta de administrador por algún motivo y se olvida de ponerle una contraseña segura, está abriendo su computadora a los piratas informáticos de todo el mundo si nunca se molestó en eliminar el grupo. «Administradores» de esta pantalla .
Cierre la ventana Política de seguridad local y abra el Editor de políticas de grupo local escribiendo «gpedit.msc» en el indicador Ejecutar o en el menú Inicio.
Cuando se abra el Editor de políticas de grupo local, expanda Política de equipo> Plantillas administrativas> Componentes de Windows> Servicios de escritorio remoto> Host de sesión de escritorio remoto y luego haga clic en Seguridad.
Haga doble clic en los parámetros de este menú para modificar sus valores. Los que recomendamos cambiar son:
Establecer el nivel de cifrado de la conexión del cliente: configúrelo en Nivel alto para que sus sesiones de Escritorio remoto sean seguras con cifrado de 128 bits.
Requerir comunicación RPC segura: configúrelo en Activado.
Requerir el uso de una capa de seguridad específica para conexiones remotas (RDP): configúrelo en SSL (TLS 1.0).
Requerir autenticación de usuario para conexiones remotas usando Autenticación de nivel de red: establezca esta opción en Activado.
Después de realizar estos cambios, puede cerrar el Editor de políticas de grupo local. La última recomendación de seguridad que tenemos es cambiar el puerto predeterminado en el que escucha Escritorio remoto. Este es un paso opcional y se considera una práctica de seguridad por oscuridad, pero el punto es que cambiar el número de puerto predeterminado disminuye drásticamente la cantidad de intentos de conexión maliciosos que recibirá su computadora. Su contraseña y configuración de seguridad deberían hacer invulnerable el Escritorio remoto sin importar en qué puerto escuche, pero también podríamos reducir la cantidad de intentos de conexión si podemos.
Seguridad oscura: cambiar el puerto RDP predeterminado
De forma predeterminada, Escritorio remoto escucha en el puerto 3389. Elija un número de cinco dígitos menor que 65535 que desee utilizar para su número de puerto de Escritorio remoto personalizado. Con este número en mente, abra el Editor del Registro escribiendo «regedit» en el indicador Ejecutar o en el menú Inicio.
Cuando se abra el editor de registro, expanda HKEY_LOCAL_MACHINE> SISTEMA> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> luego haga doble clic en «PortNumber» en la ventana derecha.
Con la clave de registro PortNumber abierta, seleccione «Decimal» en el lado derecho de la ventana, luego escriba su número de cinco dígitos en «Información del valor» a la izquierda.
Haga clic en Aceptar y luego cierre el Editor del Registro.
Dado que hemos cambiado el puerto predeterminado utilizado por Escritorio remoto, necesitaremos configurar el Firewall de Windows para aceptar conexiones entrantes en este puerto. Vaya a la pantalla de inicio, busque «Firewall de Windows» y haga clic en él.
Cuando se abra el Firewall de Windows, haga clic en «Configuración avanzada» en el lado izquierdo de la ventana. Luego, haga clic con el botón derecho en «Reglas de entrada» y seleccione «Nueva regla».
Aparecerá el «Asistente para nueva regla de entrada», seleccione Puerto y haga clic en Siguiente. En la siguiente pantalla, asegúrese de que TCP esté seleccionado, luego ingrese el número de puerto que eligió anteriormente, luego haga clic en Siguiente. Haga clic en Siguiente dos veces más, ya que los valores predeterminados de las dos páginas siguientes estarán bien. En la última página, seleccione un nombre para esta nueva regla, como «Puerto RDP personalizado» y luego haga clic en Finalizar.
Etapas finales
Su computadora ahora debería ser accesible en su red local, solo especifique la dirección IP de la máquina o el nombre de la máquina, seguido de dos puntos y el número de puerto en ambos casos, así:
Para acceder a su computadora desde fuera de su red, es probable que deba redirigir el puerto de su enrutador. Después de eso, su PC debería ser accesible de forma remota desde cualquier dispositivo que tenga un cliente de Escritorio remoto.
Si se pregunta cómo puede realizar un seguimiento de quién se está conectando a su PC (y desde dónde), puede abrir el Visor de eventos para ver.
Con el Visor de eventos abierto, expanda Registros de aplicaciones y servicios> Microsoft> Windows> TerminalServices-LocalSessionManger y luego haga clic en Operational.
Haga clic en uno de los eventos en el panel derecho para ver la información de conexión.