Para aumentar el nivel de seguridad de la Windows server, no es suficiente para cambiar el puerto TCP RDP. Considere configurar la puerta de enlace de escritorio remoto en el dominio de Active Directory.
Puerta de enlace de escritorio remoto: ¿qué es?
Remote Desktop Gateway es un Windows server función que proporciona una conexión segura utilizando el protocolo SSL al servidor a través de RDP. La principal ventaja de esta solución es que no necesita implementar un VPN servidor, y para eso está la puerta de enlace.
Cabe señalar que a partir de Windows Server 2008R2, los nombres de todos los Servicios de Escritorio Remoto fueron cambiados. Los Servicios de Terminal anteriormente mencionados pasaron a llamarse Servicios de Escritorio Remoto.
Ventajas de la puerta de enlace de escritorio remoto
- Mediante una conexión cifrada, la puerta de enlace permite conectarse a los recursos de la red interna sin necesidad de un VPN conexión por usuarios remotos;
- La puerta de enlace brinda la capacidad de controlar el acceso a ciertos recursos de la red, logrando así una protección integral;
- La puerta de enlace permite la conexión a los recursos de red que se encuentran detrás firewalls en redes privadas o NAT;
- Puede usar la consola del administrador de la puerta de enlace para configurar políticas de autorización para ciertas condiciones que se deben cumplir cuando los usuarios remotos se conectan a los recursos de la red. Como ejemplo, puede especificar usuarios específicos que pueden conectarse a los recursos de la red interna, así como si el cliLa computadora ent debe ser miembro del grupo de seguridad AD, si se permite la redirección del dispositivo y el disco;
- La consola del administrador de la puerta de enlace contiene herramientas diseñadas para monitorear el estado de la puerta de enlace. Usándolos, puede asignar eventos monitoreados para auditoría, como intentos fallidos de conectarse al servidor de puerta de enlace de servicios de terminal.
¡Importante! La puerta de enlace de servicios de terminal debe ser parte de un dominio de Active Directory. La configuración de la puerta de enlace se realiza solo en nombre del administrador del dominio, en cualquier servidor del dominio.
Configuración del rol.
Abra el administrador del servidor.
Seleccione "Agregar roles y componentes.
En el escenario "Tipo de instalación”, Seleccione“Instalación de funciones y componentes.
El siguiente paso es seleccionar el servidor actual.
rol de servidor -Servicio de escritorio remoto.
Vaya al servicio de roles. Seleccione "Puerta de enlace de escritorio remoto.
Procedemos al paso de confirmación, climarque el “Instalar".
Configuración de la política de autorización de conexiones y recursos.
En la ventana que se abre, el administrador de puerta de enlace de escritorio remoto, en la parte izquierda de la ventana, abra la rama con el nombre del servidor → Políticas → Políticas de autorización de conexión.
En la parte derecha de la misma ventana, seleccione Crear una nueva política → Asistente.
En la ventana que se abre, “Asistente para crear nuevas políticas de autorización”, seleccione la opción recomendada "Crear una política para la autorización de conexiones de escritorio remoto y autorización de recursos de escritorio remoto". Presiona el botón "Siguiente.
En el siguiente paso, ingrese un nombre conveniente para la política de autorización de conexión. Recomendamos dar nombres en inglés.
El siguiente paso será elegir un método de autenticación conveniente: contraseña o tarjeta electrónica. En nuestro caso, dejamos solo “Contraseña” comprobado. Agregamos grupos que pueden conectarse a este RD-gateway, para esto, climarque el “Añadir grupo ...".
En la ventana de selección de grupo, click en el botón “Adicionalmente.
La ventana cambiará de tamaño. Climarque el “Buscar" botón. En los resultados de búsqueda, encontramos "Administradores del dominio"Y click en el botón “OK.
En la ventana de selección de grupos, verifique los nombres de los objetos seleccionados y click “OK.
Se agrega el grupo. Para ir al siguiente paso, climarque el “Siguiente".
En el siguiente paso, seleccione “Habilitar la redirección de dispositivos para todos clidispositivos ent" y click "Siguiente.
Establecer tiempos de espera: tiempo de inactividad y tiempo de sesión, los valores se indican en horas. Click “Siguiente.
Verifique la configuración. Todo es correcto - click “Siguiente.
En el siguiente paso, configure la política de autorización de recursos. Especifique el nombre de política deseado. Click “Siguiente.
El siguiente paso es establecer la pertenencia al grupo. Por lo general, el grupo ya está instalado, pero si esto no se hace, debe seguir los pasos anteriores. Click “Siguiente.
Seleccionamos los recursos de red disponibles. Para hacer esto, seleccione el grupo que contiene los servidores en los que los grupos de usuarios requeridos podrían trabajar con escritorio remoto. Presiona el botón "General.
En la ventana de selección de grupo, climarque el “Adicionalmente".
En la ventana modificada, climarque el “Buscar" botón. En la ventana de resultados, encontramos "controladores de dominio.
Haz click en "OK.
Comprobamos los objetos seleccionados y click “OK.
Una vez más verificamos qué grupo de red se agrega y click “Siguiente.
Si RDP el número de puerto no ha cambiado, establezca el valor del interruptor en “Permitir la conexión solo al puerto 3389”. Si se ha cambiado el puerto, especifique un nuevo valor.
Haz click en "Terminado"
En la etapa de confirmación de la creación de la póliza, climarque el “Cerrar".
Al final de la configuración, la ventana tendrá un aspecto similar.
Instale el certificado SSL.
En la misma ventana”Administrador de la puerta de enlace de escritorio remoto”, en la ventana izquierda, click en el icono del servidor, en la parte principal de la ventana - "Ver y cambiar las propiedades del certificado".
En la ventana abierta "Propiedades ”, vaya a la pestaña “Certificado SSL”. Establezca el interruptor "Crear un certificado autofirmado" y click en el botón "Crear e importar certificado ...".
Aunque son posibles 2 opciones más:
- importación de un certificado previamente cargado (autofirmado anteriormente o de terceros);
- Descargue un certificado de terceros (por ejemplo, Comodo) e impórtelo;
En la ventana "Creación de un certificado autofirmado” revisamos la configuración y click el botón "OK.
El sistema le notificará que el certificado se creó con éxito, también hay información donde puede encontrar el archivo del certificado. Presiona el botón "OK.
En la ventana de propiedades del servidor, climarque el “Aplicá".
El certificado autofirmado se instala en el puerto TCP 443 (puerto SSL por defecto).
Por motivos de seguridad, le recomendamos que cambie el puerto SSL predeterminado. Para hacer esto, en el menú principal de la ventana, seleccione "Acciones” → “Propiedades.
Ve a la pestaña "Configuración de transporte” y establezca el valor deseado para el campo “HTTPDeporte”. Guarde la configuración por climarcando el “Aplicá".
El sistema le pedirá confirmación - responda "Sí".
Conexión a través de la puerta de enlace.
Abra la RDP client, vaya a la pestaña “Adicionalmente”Y presione el botón“Ajustes.
En la ventana que se abre, seleccione “Use la siguiente Configuración del servidor de puerta de enlace de escritorio remoto". Indicamos el nombre de dominio del servidor y mediante los dos puntos (:) indicamos el puerto SSL. El método de inicio de sesión es "Solicitud de contraseña. Click “OK.
Ve a la pestaña "General”. Especifique la dirección de la computadora y el usuario bajo el cual se realizará la conexión. Presione el botón "Contacto"
El program le pedirá la contraseña de la cuenta.
Los resultados de la puerta de enlace se pueden verificar mediante el seguimiento: el comando tracert.