Conexión a Escritorio remoto de Windows (protocolo MS RDP)

Conexión a Escritorio remoto de Windows (protocolo MS RDP)

Aunque este tema se incluiría en el hilo dedicado de configuraciones de PC y la recomendación, creo que es lo suficientemente importante como para tener su propio hilo para ser más fácil de encontrar para los principiantes en SQ, sobre todo después de ver que hay un creciente interés aquí en este foro en el uso de un PC de forma remota.

Para ser muy breve y directo, citaré un artículo muy bueno:

¿Qué puedes hacer si necesitas poner RDP en Internet? En primer lugar, no lo hagas. En serio, no lo hagas.

Para proteger las conexiones RDP, se recomiendan las siguientes medidas:

-cambiar el puerto por defecto 3389 en el registro de windows y en el menú de configuración del router
-activar la autenticación a nivel de red NLA
-instalar un antivirus/software de seguridad de internet
-poner contraseñas complejas (es obligatoria una frase de contraseña larga que contenga más de 15 caracteres sin frases relacionadas con la empresa, los nombres de los productos o los usuarios

las anteriores son fáciles y gratuitas, las siguientes son más complejas y algunas requieren suscripción de pago

-Instalar la autenticación de dos factores (2FA), un tipo de autenticación multifactor (MFA), contraseña + SMS.
-Instale una puerta de enlace de red privada virtual (VPN) para intermediar todas las conexiones RDP desde fuera de su red local.
- Un servidor Remote Desktop Gateway

unos artículos muy buenos y útiles:

Asegure su ordenador modificando el número de puerto RDP predeterminado | Alexander's Blog (zubairalexander.com)

https://www.zubairalexander.com/blog/secure-your-computer-by-modifying-the-default-rdp-port-number/

Aventuras de un RDP Honeypot - Primera parte: Seguridad RDP | TrustedSec

https://www.trustedsec.com/blog/adventures-of-an-rdp-honeypot-part-one-rdp-security/

Aventuras de un Honeypot RDP - Segunda parte: Conoce a tu enemigo | TrustedSec

https://www.trustedsec.com/blog/adventures-of-an-rdp-honeypot-part-two-know-you-enemy/

por lo que dejar un RDP en configuración simple por defecto es un simple suicidio

me gustaría añadir alguna información adicional

No he especificado, pero todas estas medidas para RDP es para la situación cuando el usuario necesita conectarse fuera de la red local, desde otro lugar

Además de las medidas anteriores, se pueden aplicar algunas más:

https://tweaks.com/windows/39140/create-an-account-lockout-policy/

- Crear una Política de Bloqueo de Cuenta: Crear una Política de Bloqueo de Cuenta protegerá tu cuenta limitando el número de veces que una aplicación remota o atacante puede intentar adivinar tu contraseña. Esto funciona bloqueando automáticamente su cuenta después de que se haya introducido un número determinado de contraseñas incorrectas. Su cuenta permanecerá bloqueada durante un periodo de tiempo determinado antes de que se desbloquee automáticamente y pueda volver a iniciar sesión. Esto supone un valioso complemento a la seguridad de su cuenta, ya que puede hacer inútiles los ataques de fuerza bruta a las contraseñas.

- bajo ninguna circunstancia, no conceda acceso a RDP a la cuenta con el nombre de usuario "Administrador" y si es posible, nunca utilice o nunca cree ningún usuario con el nombre de usuario Administrador

Dada la antigüedad del RDP en windows y los muchos pasos necesarios para asegurarlo, es comprensible que las alternativas sean mucho más fiables y seguras y en el futuro próximo, escribiré aquí y presentaré las mejores alternativas

También escribiré aquí sobre otra función muy útil, Wake On LAN.

en mis servidores VPS estoy haciendo sólo 2 cosas - cambiar el puerto y el uso de contraseña segura

4 años de actividad: ni un solo problema

Sí, los usuarios más avanzados/experimentados pueden usarlo, pero especialmente los principiantes deberían entender muy bien la diferencia entre algo abierto a internet y no abierto. Porque no importa lo seguro que sea el RDP, está abierto por su propio diseño. Una vez que reenvías el puerto, está abierto. Es una distinción muy importante.

Por el contrario, cualquier software remoto de terceros, gratuito o de pago, no requiere que el ordenador esté abierto a Internet, sin redireccionamiento de puertos.

Así que, para los principiantes, lo mejor es un servicio VPN o un software remoto fiable de terceros.

yo también lo uso en la actualidad, momentáneamente pero estoy en proceso de cambiar permanentemente en un futuro próximo a algo más seguro porque después de leer muchos artículos fiables, es demasiado inseguro y constantemente en peligro de ser hackeado y muchos virus modernos pueden propagarse dentro de la red local una vez dentro.

La suscripción a una VPN también es una alternativa atractiva

¡Pruebe TeamViewer !

 

https://www.teamviewer.com/

 

¡Es una solución gratuita y mucho más fácil para acceder remotamente a su PC en un Home Nework desde everywere !