Cómo garantizar la seguridad cuando el control remoto Win XP

Similar a otras tecnologías de control remoto, Asistencia remota y Escritorio remoto también deben considerar los problemas de seguridad antes de usar. Para el más alto nivel de requisitos de seguridad, no se recomienda utilizar la tecnología de control remoto en aplicaciones prácticas, pero se entiende que esta tecnología también puede brindar comodidad a los usuarios. Este capítulo describe cómo garantizar la seguridad al utilizar la tecnología de control remoto. La tecnología de asistencia remota (RA) de asistencia remota permite a los usuarios (invitadores) invitar a otros (invitados) a través de la red para resolver los problemas reales que han encontrado. Usando este método, los invitados pueden ver la pantalla de la computadora del invitador e intercambiar información entre ellos, y si el invitador lo permite, el invitado también puede resolver el problema directamente al operar la computadora del invitador a través de la red. El invitador puede decidir si los permisos del invitado son solo de pantalla o tienen control. Para usar Asistencia remota, ambas partes deben usar el sistema operativo Windows XP. La asistencia remota puede ser iniciada por el invitador, que se denomina asistencia remota, y el invitado también puede proporcionar asistencia remota al invitador, que se denomina asistencia remota. La cuenta del Asistente de Ayuda está preparada para las operaciones de asistencia remota. Esta cuenta se creó durante la instalación del sistema y se le asigna aleatoriamente una contraseña compleja, que luego se desactiva. Cuando se abra la invitación de Asistencia remota, se creará un ticket para el "Inviter" en la computadora del usuario, y también se abrirá el puerto 3389 y se permitirá el acceso a los Servicios de Terminal Server. La cuenta del Asistente de Ayuda se habilitará automáticamente. Una vez habilitado, los invitados pueden usar esta cuenta y el ticket creado para acceder a la computadora del invitador. Si todos los boletos están cerrados o caducados, la cuenta del Asistente de Ayuda se deshabilitará de nuevo automáticamente y el Puerto 3389 se cerrará al mismo tiempo. Nota: La función de Escritorio remoto también utiliza Servicios de Terminal Server, por lo que si la función de Escritorio remoto está habilitada, el puerto 3389 puede permanecer abierto. Asistencia remota en modo de solicitud Los usuarios pueden solicitar asistencia remota por correo electrónico o Windows Messenger, o guardar una solicitud de asistencia remota como un archivo. Actualmente no hay manera de limitar la invitación de los principiantes. Cualquier persona que pueda conectarse físicamente a la computadora de un principiante puede aceptar su invitación. Cuando se responde a una solicitud de asistencia remota, el principiante puede ver el nombre de usuario del experto. Sin embargo, la única manera de estar seguro de que el usuario conectado es el usuario correcto es usar una contraseña. Los principiantes pueden optar por proteger esta asistencia con una contraseña al crear una solicitud de ayuda. La contraseña no se incluye en el archivo de solicitud, y el invitado debe ingresar la contraseña correcta para establecer una conexión. La contraseña se puede enviar al invitado por otros métodos. Persona Sin embargo, la complejidad de la contraseña, las políticas de contraseña y las políticas de bloqueo de cuenta no se aplican a esta contraseña y cuenta. Las invitaciones enviadas a través de Windows Messenger se envían en texto sin formato en formato XML. Los archivos de invitación enviados o guardados por correo electrónico se envían en formato MsRcIncident, que también es un formato XML de texto sin formato. Por lo tanto, cualquier persona puede acceder al contenido de los datos, como la dirección IP de la máquina, el número de puerto utilizado y si el invitador tiene protección con contraseña. Por estas razones, no se recomienda la asistencia remota para redes con estrictos requisitos de seguridad. Proporcionar asistencia remota A menudo, la asistencia remota se considera una forma más segura de proporcionar asistencia remota a los invitadores. La prestación de asistencia remota solo está disponible entre dos equipos ubicados en el mismo dominio o en un dominio de confianza, y al configurarlos, los usuarios pueden proporcionar asistencia remota. Al usar esta función, el experto no puede conectarse a la computadora del usuario sin una declaración, o controlar la computadora sin obtener el permiso del usuario. Al mismo tiempo, el usuario tiene la capacidad de permitir o denegar la conexión de la otra parte. Para usar este tipo de asistencia remota, la sección Permisos de usuario de la Plantilla de configuración de seguridad debe modificarse de la siguiente manera:

Configuración de la propuesta de permisos de usuario Permite el inicio de sesión de Servicios de Terminal Server para determinar qué usuarios o grupos de usuarios tienen acceso como Clientes de Servicios de Terminal Server. Capacidades, los usuarios de escritorio remoto necesitan este permiso. Si también usa la función de asistencia remota, solo debe tener este privilegio para los administradores que usan esta función. Nota: Si desea utilizar la asistencia remota proporcionada, no necesita agregar ningún usuario o grupo de usuarios a esta configuración. < Nadie > Se niega a iniciar sesión a través de Servicios de Terminal Server para determinar qué usuarios o grupos de usuarios tienen prohibido iniciar sesión como clientes de Servicios de Terminal Server. Este privilegio se usa para usuarios de escritorio remoto. < Unmanned >

Además, para permitir que los usuarios utilicen la asistencia remota del método de aprovisionamiento, deben configurarse las siguientes políticas de grupo: Abra el GPO en el componente de Política de grupo de la MMC o pase las propiedades del contenedor. - Pestaña de Política de grupo para acceder al enlace de GPO Si accede a través de la pestaña de Política de grupo, resalte el GPO de destino y haga clic en Editar para acceder al componente de Política de grupo. Busque el nodo Configuración de la computadora \\ Plantillas administrativas \\ Sistema \\ Asistencia remota y haga doble clic en el lado derecho de la página. Solicitar asistencia remota Haga clic en el botón Habilitado para permitir que el usuario solicite Asistencia remota en el menú desplegable y seleccione la opción "Permitir que solo los ayudantes vean esta computadora" para establecer el tiempo máximo del ticket (valor) en 0 y el tiempo máximo del ticket (unidad) en Minutos de la configuración de la aplicación, cierre el cuadro de diálogo. Nota: para utilizar la asistencia remota proporcionada, es necesario solicitar una política de asistencia remota; sin embargo, establecer el tiempo máximo del ticket en 0 evita que el usuario utilice la función de asistencia remota de solicitud. Haga doble clic en el lado derecho del lateral para brindar asistencia remota. Si planea permitir que los expertos brinden asistencia remota en esta computadora, haga clic en el botón Habilitar y seleccione "Permitir que solo los ayudantes vean esta computadora" en el menú desplegable. Advertencia: le sugiero que nunca permita El usuario le da a otras personas el control remoto de la computadora, aunque puede ver las operaciones de la otra parte y puede retirar el control en cualquier momento, ya que demora unos segundos destruir un sistema. Haga clic en el botón Helper: Show … Mostrar y agregue a todos los usuarios que pueden proporcionar asistencia remota a esta computadora, como administradores, ayudantes de escritorio, etc. Se recomienda limitar esta función solo a aquellos usuarios que la necesiten. Los usuarios pueden mostrar en el siguiente formato: < nombre de dominio > \\ < username > o < nombre de dominio > \\ < nombre de grupo > Conexión a escritorio remoto Remote Desktop (RD, Remote Desktop) se usa en Windows XP Professional Otra función prioritaria de Servicios de Terminal Server, que permite a los usuarios conectarse a la máquina de forma remota y utilizar los diversos recursos de la máquina como si se usaran directamente. La función de Escritorio remoto está deshabilitada de forma predeterminada en los sistemas Windows XP Professional. La conexión de escritorio remoto se realiza mediante el software de cliente de escritorio remoto, que se instala de forma predeterminada en XP, y el software de cliente Microsoft Windows 2000, NT, Windows 98 y Windows 95 también se incluye con Windows XP. Escritorio remoto también tiene un cliente basado en ActiveX llamado RWDC (Conexión web de escritorio remoto) que se puede instalar en el servidor IIS. Con RDWC, cualquier computadora puede conectarse a la página web adecuada mediante un navegador habilitado para ActiveX, descargar el cliente ActiveX y luego abrir la conexión de escritorio remoto. Al instalar IIS en XP Professional, RWDC se instalará de forma predeterminada. Cuando el escritorio remoto está habilitado, el puerto 3389 se abre para aceptar el acceso de los Servicios de Terminal Server. Todos los administradores (tanto nativos como en el dominio) y los usuarios y grupos de usuarios enumerados en "Usuarios de escritorio remoto" pueden acceder a la computadora de forma remota. Cuando la conexión está habilitada, la computadora conectada se bloqueará automáticamente. Si ya hay un usuario conectado en la computadora de destino, el usuario remoto verá una opción para cerrar la sesión del usuario registrado localmente en la computadora de destino y luego iniciar sesión de forma remota. Subir, pero esto requiere que el usuario remoto se haya autenticado correctamente y que tenga privilegios de administrador. Escritorio remoto utiliza un mecanismo de autenticación estándar de Windows, por lo que las políticas de contraseña y las políticas de bloqueo de cuenta también se pueden aplicar a los escritorios remotos, y todas las cuentas para escritorios remotos deben tener contraseñas. Nota: se recomienda bloquear la cuenta de administrador predeterminada durante el proceso de uso de Escritorio remoto y evitar que la cuenta inicie sesión de forma remota, pero el inicio de sesión local no está sujeto a esta restricción. Para usar la función de Escritorio remoto, la sección Permisos de usuario de la plantilla de seguridad debe cambiarse de la siguiente manera: La configuración de la propuesta de permisos de usuario le permite determinar qué usuarios o grupos de usuarios tienen derecho a iniciar sesión a través del cliente de Servicios de Terminal Server a través del inicio de sesión de Servicios de Terminal Server, que se requiere para los usuarios de escritorio remoto. Si usa Asistencia remota al mismo tiempo, solo los administradores que usan esta función deben tener este privilegio. Los administradores, usuarios de escritorio remoto se niegan a iniciar sesión a través de Servicios de Terminal Server para determinar qué usuarios o grupos de usuarios no han iniciado sesión a través del cliente de Servicios de Terminal Server, que está preparado para usuarios de escritorio remoto. < Nadie >

Para permitir que su computadora acepte conexiones de escritorio remoto, puede hacer lo siguiente: Haga clic con el botón derecho en mi computadora y seleccione Propiedades para abrir el cuadro de diálogo Propiedades del sistema. Abra las Opciones remotas en el cuadro de diálogo. La tarjeta selecciona la casilla de verificación Permitir que los usuarios se conecten de forma remota a esta computadora. Haga clic en el botón Seleccionar usuario remoto para abrir el cuadro de diálogo Usuario de escritorio remoto. La definición de la política local de esta oficina local agrega el usuario o grupo de usuarios correspondiente. Nota: Esta operación seleccionará el usuario y el usuario seleccionados. Los grupos se agregan al grupo local Usuarios de escritorio remoto y los usuarios y grupos que se unen al grupo se pueden editar directamente a través de la herramienta de administración de la computadora local. Directiva de grupo: plantillas administrativas Servicios de Terminal Server Además de algunas de las configuraciones mencionadas anteriormente, también se recomienda realizar las siguientes configuraciones para Servicios de Terminal Server, y también se aplican a la computadora como parte de un GPO o mediante una configuración de computadora local. Estas configuraciones recomendadas para Servicios de Terminal Server se encuentran en el nodo Configuración de la Computadora \\ Plantillas Administrativas \\ Componentes de Windows \\ Servicios de Terminal Server del GPO y se puede acceder a ellas a través del componente de Política de Grupo de la MMC. La configuración del servicio de terminal también se puede encontrar en el nodo Configuración de usuario, pero la configuración allí será anulada por la configuración en Configuración de computadora.

Tabla 16 Opciones de política de los Servicios de Terminal Server Recomendaciones de configuración de red Tanto la Asistencia remota como el Escritorio remoto utilizan Servicios de Terminal Server para permitir que los usuarios accedan de forma remota a las computadoras locales. Se recomienda encarecidamente permitir que solo la red de área local utilice la función de conexión remota y bloquear el puerto 3389 en el firewall externo o enrutador. Todas las conexiones entrantes y salientes en este puerto deben estar bloqueadas para evitar el acceso no autorizado. Si solo se bloquean las conexiones entrantes, la función de Asistencia remota aún se puede usar fuera de la LAN a través de Windows Messenger, por lo que se bloquea la comunicación en ambos sentidos. Si necesita usar Asistencia remota o Conexión a escritorio remoto desde la red de área local, se recomienda configurar el filtrado en el firewall o enrutador para garantizar que solo se puedan usar direcciones IP específicas para preguntar al sistema dentro de la LAN. Todas las demás direcciones al puerto 3389 deben estar bloqueadas. Si necesita un nivel más alto de protección de seguridad, puede instalar un servidor VPN y usar un método de autenticación muy sólido para que un pequeño número de usuarios puedan marcar al servidor VPN. Por supuesto, también es una buena idea permitir que solo direcciones IP específicas se conecten al servidor VPN.