Cómo garantizar la seguridad cuando el control remoto Win XP

Asistencia remota

Asistencia remota (RA) Tecnología
Permite a los usuarios (invitadores) invitar a otros (invitados) a resolver sus propios problemas a través de la red. Problema actual Usando este método, los invitados pueden ver la pantalla de la computadora del invitador e intercambiar información entre ellos, y si el invitador lo permite, el invitado también puede resolver el problema directamente al operar la computadora del invitador a través de la red. El invitador puede decidir si los permisos del invitado son solo de pantalla o tienen control. Para usar Asistencia remota, ambas partes deben usar el sistema operativo Windows XP.

La asistencia remota puede iniciarla el invitador, que se denomina asistencia remota, y el invitado también puede proporcionar asistencia remota al invitador, que se denomina asistencia remota. La cuenta del Asistente de Ayuda está preparada para las operaciones de asistencia remota. Esta cuenta se creó durante la instalación del sistema y se le asigna aleatoriamente una contraseña compleja, que luego se desactiva. Cuando se abre la invitación de Asistencia remota, se creará un ticket "Inviter" en la computadora del usuario, y también se abrirá el puerto 3389 y se permitirá el acceso a los Servicios de Terminal Server. La cuenta del Asistente de Ayuda se habilitará automáticamente. Una vez habilitado, los invitados pueden usar esta cuenta y el ticket creado para acceder a la computadora del invitador. Si todos los boletos están cerrados o caducados, la cuenta del Asistente de Ayuda se deshabilitará de nuevo automáticamente y el Puerto 3389 se cerrará al mismo tiempo.

Nota: la función de Escritorio remoto también usa Servicios de Terminal Server, por lo que si la función de Escritorio remoto está habilitada, el puerto 3389 puede permanecer abierto.

Asistencia remota para métodos de solicitud

Los usuarios pueden solicitar asistencia remota por correo electrónico o Windows Messenger, o guardar una solicitud de asistencia remota como un archivo. Actualmente no hay manera de limitar la invitación de los principiantes. Cualquier persona que pueda conectarse físicamente a la computadora de un principiante puede aceptar su invitación. Cuando se responde a una solicitud de asistencia remota, el principiante puede ver el nombre de usuario del experto. Sin embargo, la única manera de estar seguro de que el usuario conectado es el usuario correcto es usar una contraseña. Los principiantes pueden optar por proteger esta asistencia con una contraseña al crear una solicitud de ayuda. La contraseña no se incluye en el archivo de solicitud, y el invitado debe ingresar la contraseña correcta para establecer una conexión. La contraseña se puede enviar al invitado por otros métodos. Persona Sin embargo, la complejidad de la contraseña, las políticas de contraseña y las políticas de bloqueo de cuenta no se aplican a esta contraseña y cuenta.

La invitación enviada a través de Windows Messenger se envía en texto sin formato en formato XML. El archivo de invitación enviado o guardado por correo electrónico se envía en formato MsRcIncident. También es un formato XML de texto sin formato. Por lo tanto, cualquier persona puede acceder al contenido de los datos, como la dirección IP de la máquina, el número de puerto utilizado y si el invitador tiene protección con contraseña.

Por estas razones, no se recomienda la asistencia remota para redes con estrictos requisitos de seguridad.
Brindar asistencia remota

Brindar asistencia remota generalmente se considera una forma más segura de brindar asistencia remota a los participantes. La prestación de asistencia remota solo está disponible entre dos equipos ubicados en el mismo dominio o en un dominio de confianza, y al configurarlos, los usuarios pueden proporcionar asistencia remota. Al usar esta función, el experto no puede conectarse a la computadora del usuario sin una declaración, o controlar la computadora sin obtener el permiso del usuario. Al mismo tiempo, el usuario tiene la capacidad de permitir o denegar la conexión de la otra parte.

Para utilizar este método de asistencia remota, la sección de derechos de usuario de la plantilla de configuración de seguridad debe modificarse de la siguiente manera:

Derechos de usuario
Configuración recomendada < Br> Permitir inicio de sesión a través de Servicios de Terminal Server
para determinar qué usuarios o grupos tienen la capacidad de iniciar sesión como un cliente de Servicios de Terminal Server, que se requiere para los usuarios de escritorio remoto. Si también usa la función de asistencia remota, solo debe tener este privilegio para los administradores que usan esta función. Nota: Si desea utilizar la asistencia remota proporcionada, no necesita agregar ningún usuario o grupo de usuarios a esta configuración. < Nadie > Se niega a iniciar sesión a través de Servicios de Terminal Server para determinar qué usuarios o grupos de usuarios tienen prohibido iniciar sesión como clientes de Servicios de Terminal Server. Este privilegio se usa para usuarios de escritorio remoto. < Unmanned >

Además, para permitir que los usuarios utilicen la asistencia remota del método de aprovisionamiento, deben configurarse las siguientes políticas de grupo:
Abra el GPO en el componente de Política de grupo de la MMC o pase Propiedades del contenedor - Pestaña de Política de grupo Acceda a los enlaces de GPO
Si accede a través de la pestaña de Política de grupo, resalte el GPO objetivo y haga clic en Editar para acceder al componente de Política de grupo
Localice Configuración del equipo \\ Plantillas administrativas \\ Sistema \\ Nodo de Asistencia Remota
Haga doble clic en la Solicitud de Asistencia Remota en el panel lateral derecho
Haga clic en el botón Habilitado para permitir que el usuario solicite Asistencia Remota
Seleccione la opción "Permitir que los ayudantes solo vean esta computadora" en el menú desplegable
Establezca el tiempo máximo del boleto (valor) en 0 y el tiempo más largo del boleto (unidad) en minutos

Aplicar configuración, cierre el cuadro de diálogo

Nota: Para usar la asistencia remota del método proporcionado, use Es necesario solicitar una política de asistencia remota; sin embargo, establecer el tiempo máximo del ticket en 0 impide que el usuario utilice la función de asistencia remota de solicitud.

Haga doble clic en el lado derecho del panel para proporcionar asistencia remota.

Si planea permitir que los expertos proporcionen asistencia remota en esta computadora, haga clic en el botón Habilitar

Seleccione del menú desplegable "Permitir que solo los ayudantes vean esta computadora"

Advertencia: se recomienda que nunca permita que los usuarios otorguen el control remoto de la computadora a otros, aunque el usuario pueda ver las acciones de la otra parte y pueda retirar el control en cualquier momento porque Se tarda unos segundos en destruir un sistema.

Haga clic en el botón Asistente: Mostrar ... y agregue a todos los usuarios que puedan proporcionar asistencia remota a esta computadora, como administradores, ayudantes de escritorio, etc. Se recomienda limitar esta función solo a aquellos usuarios que la necesiten. Los usuarios pueden mostrar en el siguiente formato:
< Nombre de dominio > \\ < Nombre de usuario > o < Nombre de dominio > \\ < Nombre de grupo >

Conexión a escritorio remoto

Remote Desktop (RD) es otro servicio de terminal con prioridad habilitada para Windows XP Professional que permite a los usuarios conectarse a la unidad de forma remota y utilizar los diversos recursos de la unidad como si se usaran directamente. La función de Escritorio remoto está deshabilitada de forma predeterminada en los sistemas Windows XP Professional.

Remote Desktop Connection se implementa mediante el software Remote Desktop Client, que se instala de forma predeterminada en XP, y también se incluye el software de cliente Microsoft Windows 2000, NT, Windows 98 y Windows 95. Windows XP. Escritorio remoto también tiene un cliente basado en ActiveX llamado RWDC (Conexión web de escritorio remoto) que se puede instalar en el servidor IIS. Con RDWC, cualquier computadora puede conectarse a la página web adecuada mediante un navegador habilitado para ActiveX, descargar el cliente ActiveX y luego abrir la conexión de escritorio remoto. Al instalar IIS en XP Professional, RWDC se instalará de forma predeterminada.

Cuando Remote Desktop está habilitado, el puerto 3389 se abre para acceder a los Servicios de Terminal Server. Todos los administradores (tanto nativos como en el dominio) y los usuarios y grupos de usuarios enumerados en Usuarios de escritorio remoto pueden acceder a la computadora de forma remota. Cuando la conexión está habilitada, la computadora conectada se bloqueará automáticamente. Si ya hay un usuario conectado en la computadora de destino, el usuario remoto verá una opción para cerrar la sesión del usuario registrado localmente en la computadora de destino y luego iniciar sesión de forma remota. Subir, pero esto requiere que el usuario remoto se haya autenticado correctamente y que tenga privilegios de administrador. Escritorio remoto utiliza un mecanismo de autenticación estándar de Windows, por lo que las políticas de contraseña y las políticas de bloqueo de cuenta también se pueden aplicar a los escritorios remotos, y todas las cuentas para escritorios remotos deben tener contraseñas.

Nota: se recomienda bloquear la cuenta de administrador predeterminada durante el proceso de uso de Escritorio remoto y prohibir que la cuenta inicie sesión de forma remota, pero el inicio de sesión local no está sujeto a esta restricción.

Para usar la función de Escritorio remoto, la sección de Permisos de usuario en la plantilla de seguridad debe cambiarse de la siguiente manera:

Permisos de usuario
Configuración recomendada
permitida a través de Servicios de Terminal Server El inicio de sesión
determina qué usuarios o grupos de usuarios tienen derecho a iniciar sesión a través del cliente de Servicios de Terminal Server. Los usuarios de escritorio remoto necesitan este permiso. Si la función de asistencia remota se usa al mismo tiempo, solo el administrador que usa esta función debe tener este permiso. Los administradores y usuarios de escritorio remoto se niegan a iniciar sesión a través de Terminal Services para determinar qué usuarios o grupos de usuarios no tienen permiso para iniciar sesión a través del cliente de Terminal Services. Este permiso está preparado para usuarios de escritorio remoto. < Nadie >

Para permitir que su computadora acepte conexiones de escritorio remotas, puede hacer lo siguiente:

Hacer clic con el botón derecho en mi computadora y seleccionar Propiedades para abrir las propiedades del sistema Cuadro de diálogo

Abrir pestaña remota en el cuadro de diálogo

Seleccione la casilla Permitir que los usuarios se conecten a esta computadora de forma remota

Haga clic en el botón Seleccionar usuario remoto ... para abrir el usuario del escritorio remoto. Cuadro de diálogo

Agregue el usuario o grupo de usuarios correspondiente a la definición de la política local de la oficina local

Nota: Esta operación agregará los usuarios seleccionados y los grupos de usuarios al grupo local de Usuarios de escritorio remoto. Edite los usuarios y grupos de usuarios que se unen al grupo directamente a través de la herramienta de administración de la computadora local.

Directiva de grupo - Plantillas administrativas

Terminal Services

Además de algunas de las configuraciones mencionadas anteriormente, también se recomienda realizar las siguientes configuraciones para Terminal Services, y también como parte del GPO o Aplique la aplicación a su computadora a través de su computadora local.

Estas configuraciones recomendadas para Servicios de Terminal Server se encuentran en el nodo Configuración de la Computadora \\ Plantillas Administrativas \\ Componentes de Windows \\ Servicios de Terminal Server del GPO y se puede acceder a ellas a través del componente de Política de Grupo de MMC. La configuración del servicio de terminal también se puede encontrar en el nodo Configuración de usuario, pero la configuración allí será anulada por la configuración en Configuración de computadora.

Tabla 16 Opciones de política de Servicios de Terminal Server
Sugerencias de configuración de red
Tanto la Asistencia remota como el Escritorio remoto utilizan los Servicios de Terminal Server para permitir a los usuarios acceder de forma remota a las computadoras locales. Al usar estas funciones en Windows XP, el terminal El servicio utiliza el puerto 3389. Se recomienda encarecidamente permitir que solo la red de área local utilice la función de conexión remota y bloquear el puerto 3389 en el firewall externo o enrutador. Todas las conexiones entrantes y salientes en este puerto deben estar bloqueadas para evitar el acceso no autorizado. Si solo se bloquean las conexiones entrantes, la función de Asistencia remota aún se puede usar fuera de la LAN a través de Windows Messenger, por lo que se bloquea la comunicación bidireccional.
Si necesita usar Asistencia remota o Conexión a escritorio remoto desde la red de área local, se recomienda configurar el filtrado en el firewall o enrutador para asegurarse de que solo se puedan solicitar direcciones IP específicas cuando el sistema en la LAN esté disponible. Todas las demás direcciones al puerto 3389 deben estar bloqueadas. Si necesita un nivel más alto de protección de seguridad, puede instalar un servidor VPN y usar un método de autenticación muy fuerte para que un pequeño número de usuarios puedan marcar al servidor VPN. Por supuesto, también es una buena idea permitir que solo direcciones IP específicas se conecten al servidor VPN.