Escritorio Remoto De Windows

Introducción

RDP (Remote Desktop Protocol) es un protocolo que permite la comunicación en la ejecución de una aplicación entre una terminal y un servidor Windows. En esta guía protegeremos RDP con IRONCHIP.

Requisitos

  • Tener un Directorio Activo funcional
  • Tener RDP instalado en el servidor
  • Tener NPS protegido por IRONCHIP
  • Tener una aplicación MFA creada en la plataforma IRONCHIP

RD Gateway

El primer paso será configurar e implementar el RD Gateway, para ello iremos al apartado de herramientas e iremos donde pone Servicio de Escritorio Remoto y seleccionaremos Administración de la Puerta de Enlace de Escritorio Remoto.

Una vez dentro lo primero que haremos será crear un certificado auto-firmado, para ello le daremos clic derecho sobre el servidor le damos a propiedades y nos vamos al apartado de SSL Certificate.

A continuación, seleccionamos Crear un certificado autofirmado y le damos a crear. 

Una vez creado el certificado lo que vamos a hacer es es instalarlo tanto en el propio servidor como en los clientes.

  1. Haga clic derecho en el certificado.
  2. Seleccione Instalar certificado.
  3. Seleccione Máquina local y luego Siguiente.
  4. Seleccione Colocar todos los certificados en el siguiente almacén y Examinar….
  5. En la ventana que se abre a continuación, seleccione la carpeta Autoridades de certificación raíz de confianza y Aceptar.
  6. Finalmente haga clic en Siguiente y Finalizar.

El certificado se colocará en todas las máquinas y se realizará el mismo proceso en todas las máquinas.

Una vez completado este paso, crearemos la RD CAP y RD RAP. Para ello entra en el administrador de puerta de enlace de escritorio remoto, seleccione su servidor y por ultimo crea una nueva directiva con click derecho en directivas.

En primer lugar, seleccione crear ambos, RD CAP Y RAP.

Póngale un nombre identificativo. Es importante que el nombre que le asignamos a la política RD CAP en este caso (IronchipCAP) sea el mismo que aparecerá en el “External ID” del servicio creado en el dashboard de Ironchip.

Añada los grupos de usuarios a los que se les aplicara la directiva.

En esta pestaña, seleccione la primera opción, y habilite la casilla de el final. Las siguientes opciones no son necesarias, por ello pulse siguiente asta la Directiva de autorización de recursos.

Póngale un nombre identificativo.

Añada los grupos de usuarios a los que se les aplicara la directiva.

Seleccione la ultima opción que dice: Permitir que los usuarios se conecten a cualquier recurso de red. La siguiente opción no mes necesaria, por ello, pulse siguiente asta finalizar la configuración.

Por ultimo, crearemos una política de grupo. Para ello ve a la Administración de directivas de grupo y haz click derecho en tu servidor para seleccionar la opción Crear un GPO en este dominio y vincularlo aquí.

  • Inserte un nombre; por ejemplo, Ironchip.

  • Haga clic con el botón derecho en el GPO creado y seleccione Editar.

  • Se habrá abierto el programa Editor de administración de directivas de grupo. En este programa, seleccione Configuración de usuario, Directivas, Plantillas administrativas, Componentes de Windows, Servicio de escritorio remoto, Puerta de enlace de escritorio remoto.

  1. En esta sección, seleccione Método de autenticación de RD Gateway y actívelo haciendo clic en Habilitado y seleccione Solicitar credenciales, usar protocolo de negociación.

  2. En la sección RD Gateway, seleccione Habilitar conexión a través de RD Gateway y habilítelo haciendo clic en Habilitado.

  3. En la sección Puerta de enlace de RD, seleccione Establecer dirección del servidor de puerta de enlace de RD y habilítelo presionando Habilitado e ingrese la dirección de tu servidor, por ejemplo, 10.0.0.2.

  4. Finalmente, ejecute el comando gpupdate en PowerShell en todas las máquinas relacionadas.

No te olvides de añadir las políticas creadas a el plugin de Ironchip. Para ello ejecuta el instalador, pulsa en change, y añada la política recién creada y el RDCAP (separados por coma y espacio).

Reinicia los servicios NPS y RDP.

Plugin

Para instalar el complemento, necesita el archivo IRONCHIP Windows NPS, que se puede descargar desde la sección Complementos en el Tablero de Ironchip.

Después de descargar el complemento procederá a instalarlo.

Pulsamos Next, en la próxima pantalla se aceptarán los términos de uso y se volverá a pulsar Next.

En la siguiente pantalla deberá completarlo con la siguiente información:

  • Tu anfitrión de Ironchip. Si utiliza nuestra solución en la nube, será api.ironchip.com. De lo contrario, proporcione su host personalizado.
  • La API key de su empresa lograda al crear el servicio.
  • El nombre de la política de red que desea proteger con Ironchip NPS. En el ejemplo, se utilizará la política creada, IronchipProtected (En caso de querer agregar mas de una pondremos los nombres separados por coma y espacio ).
  • Luego pulsamos Next para continuar.

Una vez en la siguiente pantalla y con todos los parámetros configurados de forma correcta, pulsamos Instalar.

Si todo ha sido configurado de forma correcta y la instalación se ha realizado con éxito, veremos la siguiente pantalla. Por ultimo para terminar con la instalación se pulsará el botón Finish.

También tiene que crear la aplicación en el panel de IRONCHIP que haga referencia a la aplicación MFA, en este caso, el external ID sera el nombre de la RD CAP que configuro anteriormente.

Y por ultimo añadir usuarios a esa aplicación. (Utilizar el formato de nombre Dominio\Usuario).

Comprobar su funcionamiento

Para comprobar su funcionamiento necesitaremos un equipo cliente conectado al dominio, y seguir los pasos de el siguiente video.

Video tutorial

RDP solo por Gateway

Introducción

En esta documentación se mostrara como configurar el Firewall de tu servidor para que solo acepte conexiones RDP mediante puerta de enlace.

Configuración

El primer paso es entrar a la herramienta “Windows Defender Firewall con seguridad avanzada”.

El siguiente paso es acceder a Reglas de entrada y buscar las opciones “Escritorio remoto - Modo usuario (TCP de entrada)” y “Escritorio remoto - Modo usuario (UDP de entrada)”.

Seleccione TCP y siga los siguientes pasos. La dos configuraciones son exactamente iguales.

1- En la pestaña general, activa la opción Bloquear la conexión.

2 - En la pestaña ámbito, añade la IP de tu servidor en Dirección IP local.

3 - Aplica los cambios y hazlo de nuevo con la opción UDP.