Conexión a Escritorio Remoto y Gestión de Credenciales

By /

El Escritorio Remoto permite conectarse y controlar un equipo desde un dispositivo remoto utilizando la aplicación de Windows o el cliente de Escritorio remoto de Microsoft. Al habilitar las conexiones remotas a un PC, es posible usar otro dispositivo para conectarse y tener acceso a todas las aplicaciones, archivos y recursos de red como si se estuviera físicamente frente al equipo.

Si solo se necesita usar el equipo localmente, no es necesario habilitar el Escritorio Remoto. Habilitar esta función abre un puerto en el equipo, haciéndolo accesible para dispositivos en la red local. Se recomienda habilitar Escritorio Remoto solo en redes de confianza, como la red doméstica, y evitar habilitarlo en dispositivos que requieran estrictos controles de acceso.

Esquema de funcionamiento básico de una conexión de Escritorio Remoto.

Configuración del Escritorio Remoto en Windows

Para configurar el Escritorio Remoto en una máquina Windows, se deben seguir una serie de pasos críticos para garantizar que el sistema sea funcional y seguro.

Habilitación del Escritorio Remoto

  1. Accediendo a la Configuración de Escritorio Remoto: Para habilitar el Escritorio Remoto, navegue a través de Configuración > Sistema > Escritorio Remoto en la máquina Windows de destino.
  2. Activación: Active la opción Habilitar Escritorio Remoto.
  3. Consideraciones de seguridad: Es crucial asegurarse de que las conexiones solo sean aceptadas de clientes que utilicen la Autenticación a Nivel de Red (NLA).

La Autenticación de Nivel de Red (NLA) añade una capa adicional de seguridad a las conexiones de Escritorio Remoto. Con NLA habilitada, los usuarios deben autenticarse antes de que se establezca una sesión remota, lo que reduce el riesgo de acceso no autorizado y ayuda a proteger el equipo frente a usuarios malintencionados y software. Se recomienda habilitar NLA para la mayoría de los entornos, ya que garantiza que solo los usuarios y dispositivos de confianza puedan conectarse. Sin embargo, si necesita conectarse desde dispositivos o clientes antiguos que no admiten NLA, es posible que tenga que deshabilitar esta opción temporalmente.

Cuando el Escritorio Remoto está habilitado, los miembros del grupo Administradores y los usuarios que especifique pueden conectarse de forma remota. Puede usar Escritorio Remoto para conectarse a equipos que ejecutan las ediciones Windows Professional, Enterprise, Education y Windows Server. Estas ediciones pueden actuar como anfitrionas para las conexiones de Escritorio Remoto entrantes. Las ediciones Home solo dan la posibilidad de conectarse a una máquina pero no permiten conexiones a sí misma.

Configuración del Firewall para Escritorio Remoto

Se debe modificar la configuración del cortafuegos para permitir conexiones de Escritorio Remoto. Esto generalmente implica asegurarse de que el puerto TCP 3389, que utiliza Escritorio Remoto, esté abierto para conexiones entrantes. Para ello, en Windows:

  1. Abra la configuración del Firewall de Windows.
  2. Seleccione la opción Permitir una aplicación o una característica a través de Firewall de Windows.
  3. Busque la línea Escritorio remoto y valide que tenga los accesos tanto a nivel privado como público.

En algunos casos, si se tiene configurado un Firewall o antivirus adicional, es recomendable deshabilitarlos temporalmente para validar de nuevo el acceso.

Conexión a Escritorio Remoto desde fuera de la Red Local

Si necesita conectarse a su PC desde fuera de la red en la que se ejecuta su PC, puede usar el reenvío de puertos o configurar una VPN. Existen diferentes opciones para ejecutar el Escritorio Remoto de Windows fuera de la red y así poder intervenir equipos que no se tienen cerca ni en la misma red.

1. Configurar Escritorio Remoto con Reenvío de Puertos (Port Forwarding)

Esta opción requiere configurar el router de la máquina para que redirija los paquetes del Escritorio Remoto al equipo. Esto implica establecer contraseñas seguras, ya que esta opción permite que el equipo sea sensible a ataques externos. El Protocolo de Escritorio Remoto (RDP) usa por defecto el puerto 3389 para el tráfico de información, por lo cual se debe habilitar dicho puerto en el router y redirigirlo a la máquina. Es posible cambiar el puerto por defecto para Escritorio Remoto.

Para conectarse remotamente a Windows sabiendo la IP pública, se deben seguir los siguientes pasos:

  1. Identificar la IP interna del equipo: Abra Ejecutar (Windows + R), escriba cmd y presione Enter. En la consola, use el comando ipconfig para obtener la dirección IP.
  2. Acceder al router: En la mayoría de los casos, se deberán ingresar las credenciales de administración para el router.
  3. Configurar Port Forwarding: Una vez dentro de la configuración del router, busque la opción Port Forwarding. Configure la regla para redirigir el puerto 3389 (o el puerto personalizado) a la dirección IP interna del equipo con Escritorio Remoto habilitado.
Diagrama de configuración de port forwarding en un router para acceso remoto.

2. Conexión a Escritorio Remoto vía VPN

Otra opción para conectarse de forma remota es usando una VPN (Virtual Private Network - Red Privada Virtual). Con una VPN, no se expone el equipo a ataques externos como con la habilitación de puertos en el router. Además, al crear la VPN, se podrá estar en la red local de la máquina desde cualquier lugar, lo que proporciona una capa de seguridad adicional.

Para una seguridad óptima, especialmente al conectarse a través de redes públicas o no seguras, se recomienda utilizar una VPN. Esto requiere contratar un servicio de VPN.

Guardar y Gestionar Configuraciones de Conexión RDP

Para los profesionales de TI, administradores de sistemas y trabajadores remotos, guardar la configuración RDP en un archivo RDP simplifica el proceso de conexión al almacenar las configuraciones utilizadas con frecuencia. Esto reduce la configuración repetitiva, minimiza los errores humanos y mejora la productividad.

Comprender el archivo de Protocolo de Escritorio Remoto (RDP)

La conexión al Escritorio Remoto (mstsc.exe) es la principal herramienta de Windows para iniciar sesiones remotas. Ofrece varios ajustes que los usuarios pueden configurar para optimizar el rendimiento, la seguridad y la facilidad de uso. Entre los principales ajustes se encuentran la configuración de la pantalla (resolución y compatibilidad multimonitor), los recursos locales (uso compartido del portapapeles, redirección de impresoras y acceso a unidades) y los ajustes de seguridad (métodos de autenticación como NLA).

Pasos para guardar la configuración de Conexión a Escritorio remoto en un archivo RDP

Para guardar la configuración de Conexión a Escritorio remoto para un uso futuro, siga estos pasos:

  1. Paso 1: Abrir la aplicación Conexión a Escritorio remoto
    Pulse simultáneamente la tecla de Windows + R, escriba mstsc y pulse "Intro" para iniciar la aplicación Conexión a Escritorio remoto. También puede buscar "Conexión a Escritorio remoto" en el menú Inicio.
  2. Paso 2: Configurar los ajustes necesarios
    Introduzca el nombre del ordenador o la dirección IP del equipo remoto. En la pestaña "General", indique un nombre de usuario si es necesario. Ajuste la configuración de visualización, la redirección de recursos locales y las preferencias de seguridad según sus necesidades.
  3. Paso 3: Acceder a la configuración avanzada
    Haga clic en el botón "Mostrar opciones" para ampliar los ajustes de configuración adicionales. Aquí puede especificar las preferencias de conexión, como la redirección de audio, la impresión remota y la configuración de autenticación.
  4. Paso 4: Guardar los ajustes configurados como un archivo RDP
    En la pestaña "General", localice la sección "Configuración de la conexión" y haga clic en "Guardar como". Elija una ubicación e introduzca un nombre de archivo para el archivo RDP, a continuación, haga clic en "Guardar". Este archivo puede utilizarse ahora para iniciar rápidamente una sesión remota sin tener que volver a introducir los ajustes.
  5. Paso 5: Verificar y utilizar el archivo RDP guardado
    Localice el archivo .rdp guardado y haga doble clic para iniciar la sesión remota. Asegúrese de que todos los ajustes se aplican correctamente. Si es necesario realizar modificaciones, abra el archivo en la herramienta Conexión a Escritorio remoto, ajusta la configuración y vuelva a guardar el archivo.

multiOTP Server + Credential Provider: 2FA por RDP Paso a Paso | Mandalorian-IT

Cómo editar un archivo RDP manualmente

Los archivos RDP pueden editarse manualmente para ajustar la configuración sin necesidad de volver a abrir la herramienta Conexión a Escritorio remoto. Basta con abrir el archivo .rdp en el Bloc de notas u otro editor de texto para ver y modificar sus parámetros. Los parámetros clave son:

  • full address:s:, que define el ordenador de destino.
  • username:s:, que especifica el nombre de usuario por defecto.
  • screen mode id:i:, que controla el modo de pantalla completa o de ventana.

Al realizar cambios, asegúrese de que la sintaxis es correcta para evitar corrupciones.

Automatización de la conexión RDP con credenciales guardadas

Automatizar el proceso RDP puede ahorrar tiempo a los usuarios que se conectan con frecuencia a la misma máquina. Windows permite almacenar credenciales en un archivo RDP, aunque deben tenerse en cuenta las implicaciones de seguridad. Para activar el guardado de credenciales, añada el parámetro enablecredsspsupport:i:1 en el archivo .rdp. También se puede ajustar la configuración de la directiva de grupo para permitir o impedir el almacenamiento de credenciales (gpedit.msc > Configuración del equipo > Plantillas administrativas > Sistema > Delegación de credenciales). También puede utilizar opciones de línea de comandos como mstsc myconnection.rdp /v:hostname para iniciar una sesión automáticamente.

Prácticas recomendadas de seguridad para el uso de Escritorio Remoto y archivos RDP

Gestionar eficazmente las conexiones de escritorio remoto es esencial para la seguridad. Aquí se presentan algunas prácticas recomendadas:

  • Evita almacenar credenciales en archivos RDP: Aunque almacenar los datos de acceso facilita el acceso, supone un riesgo de seguridad significativo si usuarios no autorizados acceden al archivo. En su lugar, utiliza estrategias de gestión de credenciales o solicita la entrada manual en el momento de la conexión.
  • Activa la Autenticación a Nivel de Red (NLA): NLA garantiza que solo los usuarios autenticados puedan establecer una sesión RDP, añadiendo una capa de seguridad adicional contra intentos de acceso no autorizados.
  • Utiliza la directiva de grupo para aplicar la configuración de seguridad: Los administradores pueden restringir la configuración de RDP a través de la directiva de grupo para evitar que los usuarios debiliten las configuraciones de seguridad y garantizar la coherencia en todas las conexiones.
  • Cifra y protege archivos RDP: Almacenar los archivos RDP en ubicaciones cifradas o utilizar herramientas de cifrado de archivos puede ayudar a evitar el acceso no autorizado, especialmente en entornos empresariales.
  • Limita el acceso RDP mediante reglas de firewall y VPN: Restringir las conexiones RDP a rangos de IP específicos o exigir un acceso por VPN puede reducir la exposición a los actores de amenazas.
  • Importancia de las Actualizaciones Regulares: Actualizar regularmente los sistemas operativos y el software de Escritorio Remoto es vital para protegerse contra vulnerabilidades.
  • Prácticas de Autenticación Fuerte: Implemente políticas de contraseñas fuertes y considere la autenticación multifactor (MFA) para mejorar la seguridad.
  • Usando herramientas de monitoreo de red: Implemente soluciones de monitoreo de red para rastrear todos los intentos de conexión remota y actividades.
  • Auditoría y Cumplimiento: Revise regularmente los registros de conexión y asegúrese de que cumplan con las políticas y estándares de seguridad de su organización.

Conexión a Escritorio Remoto mediante diferentes aplicaciones

La forma de conectarse a un equipo remoto puede variar significativamente según el sistema operativo y el dispositivo que se esté utilizando.

Aplicación Conexión a Escritorio Remoto (Windows)

La aplicación de Conexión a Escritorio Remoto está integrada en los sistemas operativos Windows. Para conectarse, abra la aplicación buscando "Conexión a Escritorio Remoto" en el menú de inicio. Ingrese la dirección IP o el nombre del host del ordenador remoto en el campo "Equipo".

Microsoft Remote Desktop App (macOS, iOS, Android)

  • Usuarios de Mac: Pueden descargar la aplicación Microsoft Remote Desktop desde la Mac App Store. Una vez instalada, abra la aplicación y haga clic en 'Agregar PC' para comenzar el proceso de configuración. Ingrese la dirección IP o el nombre del host de la máquina Windows a la que desea conectarse. También puede configurar la configuración del gateway si se conecta a través de un Remote Desktop Gateway.
  • Dispositivos iOS y Android: Para conectarse utilizando un teléfono inteligente o tableta, descargue la aplicación Microsoft Remote Desktop desde la App Store de Apple o Google Play Store. Después de la instalación, inicie la aplicación y agregue una nueva conexión ingresando el nombre de host o la dirección IP del PC remoto. Los métodos de autenticación, como nombres de usuario y contraseñas, deben reflejar los utilizados en las configuraciones de escritorio.

Escritorio Remoto de Google Chrome

Otra alternativa para conectarse por escritorio remoto desde diferentes equipos mediante Internet es utilizar el navegador de Chrome, a través del Escritorio Remoto de Google Chrome. Esto es útil ya que permite compartir la pantalla sin necesidad de herramientas u opciones complejas, ofreciendo acceso remoto a otro equipo sin tener que acudir físicamente. Esto es especialmente útil en tareas de soporte.

Resolución de problemas comunes con archivos RDP y conexiones de Escritorio Remoto

Incluso con configuraciones óptimas, las conexiones de Escritorio Remoto pueden encontrar problemas que interrumpen el servicio.

Problemas de conexión

  • El archivo RDP no se abre: Puede ocurrir debido a corrupción del archivo, parámetros faltantes o configuraciones de seguridad. Compruebe la integridad del archivo abriéndolo en un editor de texto y verificando que los parámetros esenciales como full address:s: estén definidos. Si el problema persiste, vuelva a crear el archivo RDP.
  • Errores de conexión o tiempos de espera: Causados por problemas de red, restricciones de firewall o ajustes de seguridad mal configurados. Asegúrese de que la máquina remota permite conexiones RDP (Windows + R, escriba sysdm.cpl, vaya a la pestaña "Remoto"). Compruebe la configuración del firewall para permitir el tráfico RDP y verifique la conectividad de la red.
  • El firewall de su sistema puede estar bloqueando la conexión remota.
  • Si usa el nombre de la computadora para conectarse en lugar de su dirección IP, la conexión puede fallar.
  • Su proveedor de servicios de internet (ISP) puede bloquear las conexiones remotas como medida de seguridad.
  • La pila de red IPv6 en Windows 11 puede causar problemas de conexión.

Problemas de credenciales y autenticación

  • No se guardan las credenciales: Se le pide al usuario que introduzca sus credenciales aunque haya seleccionado "Recordarme". La directiva de grupo de Windows puede estar configurada para impedir que se guarden las credenciales de las sesiones RDP. Abra gpedit.msc, vaya a Configuración del equipo > Plantillas administrativas > Sistema > Delegación de credenciales y active las políticas pertinentes.
  • Las credenciales no funcionaron: Verifique nuevamente los nombres de usuario y las contraseñas. Un error común puede deberse al PIN de saludo; asegúrese de haberlo desactivado por completo. Cambie a una cuenta de administrador local para ver si hay alguna opción que controle los métodos de autenticación de la cuenta de Microsoft. La configuración de Autenticación de Nivel de Red (NLA) también puede ser una causa.
  • Método de autenticación compatible: Verifique que los métodos de autenticación configurados tanto en el cliente como en el servidor sean compatibles.
  • Su cuenta de Microsoft puede bloquear las conexiones remotas debido a la seguridad sin contraseña o la verificación en dos pasos.

Problemas de visualización y configuración

  • No se aplica la configuración de archivos RDP: La sesión RDP se inicia, pero no se aplican ajustes específicos (como la resolución de pantalla o los recursos locales). Algunos parámetros pueden estar anulados por la directiva de grupo o no estar presentes en el archivo RDP. Abra el archivo .rdp en el Bloc de notas, confirme que están presentes los parámetros necesarios y vuelva a guardar el archivo.
  • Problemas de resolución de pantalla: La sesión remota aparece en una resolución incorrecta o no soporta el modo de pantalla completa. Los parámetros desktopwidth:i: y desktopheight:i: pueden estar mal configurados. Edite el archivo .rdp para incluir los valores apropiados para desktopwidth:i: y desktopheight:i:, asegurándose de que coinciden con la resolución deseada.

Uso de Microsoft Entra ID con Escritorio Remoto

La aplicación Conexión a Escritorio remoto (MSTSC) admite el inicio de sesión único con la autenticación de Microsoft Entra, lo que permite conexiones sin problemas a equipos remotos sin la entrada de credenciales repetida. Para que esto funcione, se deben cumplir ciertas condiciones:

  • El Escritorio remoto debe estar habilitado en el equipo remoto.
  • El equipo remoto debe ser direccionable por nombre de host, resolviendo a la dirección IP del equipo remoto.
  • El equipo remoto debe estar integrado en Microsoft Entra o integrado de forma híbrida en Microsoft Entra.
  • No es necesario que el dispositivo local se una a un dominio o Microsoft Entra.
  • Si accede a una máquina virtual de Azure, asegúrese de que a la cuenta de Microsoft Entra se le ha asignado el rol Inicio de sesión de administrador de máquina virtual o Inicio de sesión de usuario de máquina virtual.
  • Si la organización usa el acceso condicional de Microsoft Entra, el dispositivo local debe cumplir los requisitos de acceso condicional para permitir la conexión al equipo remoto.

Pasos para la conexión con Microsoft Entra ID

  1. En Autenticación de usuario, active la casilla Usar una cuenta web para iniciar sesión en el equipo remoto. Esta opción es equivalente a la propiedad de RDP enablerdsaadauth.
  2. Seleccione la pestaña General y escriba el nombre de dominio NetBIOS o el nombre de dominio completo (FQDN) del equipo remoto en el campo Equipo. El nombre introducido debe coincidir con el nombre de host del equipo remoto en Microsoft Entra ID y ser direccionable a la red, que se resuelve en la dirección IP del equipo remoto.
  3. Si se le solicitan las credenciales, es posible que la cuenta de usuario de Microsoft Entra ID se seleccione automáticamente. Seleccione Aceptar para conectarse.
  4. Se le pedirá que permita la conexión a Escritorio remoto al conectarse a un nuevo equipo remoto. Microsoft Entra recuerda hasta 15 anfitriones durante 30 días antes de volver a preguntar.

La pantalla de bloqueo de Windows en la sesión remota no admite tokens de autenticación de Microsoft Entra ni métodos de autenticación sin contraseña, como las claves FIDO. La falta de compatibilidad con estos métodos de autenticación significa que los usuarios no pueden desbloquear sus pantallas en una sesión remota.

tags: #escritorio #remoto #conectar #con #credencial #local

Publicaciones populares:

  • la reciente reforma previsional
  • Fondo de Cesantía Solidario para trabajadores de casa particular
  • Desafíos y soluciones del Banco Mundial ante la pobreza
  • Descubre las ventajas de la visita domiciliaria integral
  • fomento del bienestar y envejecimiento activo