Índice

Implementar los Servicios de Escritorio remoto:implementaciónEscritorio remoto

Desde un punto de vista técnico, los servicios de Escritorio remoto ya están instalados, por defecto, aunque detenidos, con Windows Server 2012 R2. A diferencia de las versiones anteriores a Windows Server 2008 R2, esto servicios se ejecutan, en lo sucesivo, con la cuenta "Servicio de red" en lugar de como local system. La seguridad del sistema se ha visto mejorada y, de este modo, un fallo en el servicio tiene un impacto menor que antes. Como se explica en la base de conocimientos de Microsoft (KB946399), la cuenta "Servicio de red" necesita tres privilegios para ejecutar los servicios de Escritorio remoto:

  • Ajustar las cuotas de memoria para un proceso (SeIncreaseQuotaPrivilege).

  • Generar auditorías de seguridad (SeAuditPrivilege).

  • Remplazar un token a nivel de proceso (SeAssignPrimaryTokenPrivilege).

Estos tres privilegios no deben eliminarse de la cuenta (mediante una GPO...), o existe el riesgo de no poder ejecutar más estos servicios. Desde Windows Server 2008 es, no obstante, posible detener el servicio RDS, lo que no podía hacerse antes. Puede comprobar el estado actual del servicio así como los estados aceptados por el servicio utilizando el siguiente comando (el nombre corto del servicio no se ha modificado):

sc query TermService
images/ch7fig1.png

El servicio RDS utiliza, por defecto, el puerto TCP 3389. Mientras el acceso remoto no se haya autorizado de manera explícita, el servidor no escucha en el puerto TCP para no exponer ...