La opción de directiva de grupo de seguridad de RDS controla si permitir que los administradores locales personalicen los permisos.

La configuración de directiva de grupo de RDS de Horizon 7 se instala en la carpeta Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Servicios de escritorio remoto > Host de sesión de escritorio remoto > Seguridad.

Tabla 1. Configuración de la directiva de grupo de seguridad de RDS

Ajuste

Descripción

Server Authentication Certificate Template

Utilice esta configuración de directiva para especificar el nombre de la plantilla de certificado que determina qué certificado se selecciona de forma automática para autenticar un host RDS.

Se necesita un certificado para autenticar un host RDS cuando se usa SSL (TLS 1.0) para dar seguridad a la comunicación entre un cliente y un host RDS durante las conexiones RDP.

Si se habilita esta configuración de directiva, se debe especificar un nombre de plantilla de certificado. Cuando se selecciona automáticamente un certificado para autenticar un host RDS, solo se considerarán los certificados creados mediante la plantilla de certificado especificada. Solo se selecciona el certificado automáticamente si no se ha seleccionado un certificado específico.

Si no se encuentra ningún certificado que haya sido creado con la plantilla de certificado especificada, el host RDS emitirá una solicitud de inscripción de certificado y usará el certificado actual hasta que la solicitud finalice. Si se encuentra más de un certificado creado con la plantilla de certificado especificada, se seleccionará el certificado con fecha de caducidad posterior y que coincida con el nombre actual del host RDS.

Si se deshabilita o no se configura esta configuración de directiva, se usará un certificado autofirmado de forma predeterminada para autenticar el host RDS. Se puede seleccionar un certificado específico para autenticar el host RDS en la pestaña General de la herramienta de configuración de host de sesión de Escritorio remoto.

Nota:

Si selecciona un certificado específico para autenticar el host RDS, ese certificado tendrá prioridad sobre la configuración de directiva.

Set client connection encryption level

Especifica si es necesario usar un nivel de cifrado específico para proteger las comunicaciones entre clientes y hosts RDS durante las conexiones de Protocolo de escritorio remoto (RDP).

Si habilita esta configuración, todas las comunicaciones entre clientes y hosts RDS realizadas durante conexiones remotas deben usar el método de cifrado aquí especificado. De forma predeterminada, el nivel de cifrado se establece en Alto. Los métodos de cifrado disponibles son:

  • High. La opción Alto cifra los datos enviados desde el cliente al servidor y desde el servidor al cliente usando cifrado de alta seguridad de 128 bits. Use este nivel de cifrado en entornos que contengan únicamente clientes de 128 bits (por ejemplo, clientes que ejecuten Conexión a Escritorio remoto). Los clientes que no admitan este nivel de cifrado no podrán conectarse a los servidores host RDS.

  • Client Compatible. La opción Compatible con el cliente cifra los datos enviados entre el cliente y el servidor con la seguridad de clave máxima compatible con el cliente. Use este nivel de cifrado en entornos que contengan clientes no compatibles con el cifrado de 128 bits.

  • Low. La opción Bajo cifra únicamente los datos enviados desde el cliente al servidor usando cifrado de 56 bits.

Si deshabilita o no configura este ajuste, el nivel de cifrado que se usará en las conexiones remotas a host RDS no se aplicará mediante la directiva de grupo. Sin embargo, puede configurar un nivel de cifrado necesario para estas conexiones mediante la herramienta de configuración de host de sesión de Escritorio remoto.

Importante:

La compatibilidad con FIPS puede configurarse mediante la opción "Criptografía del sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash" en la carpeta Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad o mediante la opción "Compatible con FIPS" en la herramienta de configuración de host de sesión de Escritorio remoto. La opción Compatible con FIPS cifra y descifra los datos enviados entre el cliente y el servidor con los algoritmos de cifrado del Estándar federal de procesamiento de información (FIPS) 140-1, mediante módulos criptográficos de Microsoft. Use este nivel de cifrado cuando las comunicaciones entre clientes y hosts RDS requieran el máximo nivel de cifrado. Si ya se ha habilitado el cumplimiento con FIPS mediante la configuración de la directiva de grupo "Criptografía del sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash", dicha opción invalida el nivel de cifrado especificado en esta configuración de directiva de grupo o en la herramienta de configuración de host de sesión de Escritorio remoto.

Always prompt for password upon connection

Especifica si Servicios de Escritorio remoto pide siempre al cliente una contraseña al conectarse.

Puede usar esta opción para exigir la petición de una contraseña a los usuarios que se conecten a Servicios de Escritorio remoto, aunque ya hayan proporcionado la contraseña en el cliente de Conexión a Escritorio remoto.

De forma predeterminada, Servicios de Escritorio remoto permite a los usuarios iniciar sesión de forma automática si especifican una contraseña en el cliente de Conexión a Escritorio remoto.

Si habilita esta configuración de directiva, los usuarios no podrán iniciar sesión automáticamente en Servicios de Escritorio remoto mediante la especificación de su contraseña en el cliente de Conexión a Escritorio remoto. Se les pedirá una contraseña para iniciar sesión.

Si deshabilita o no configura este ajuste de directiva, los usuarios podrán iniciar sesión siempre automáticamente en Servicios de Escritorio remoto mediante la especificación de su contraseña en el cliente de Conexión a Escritorio remoto.

Si no establece esta configuración de directiva, el inicio de sesión automático no se especificará en el nivel de directiva de grupo. No obstante, un administrador podrá seguir aplicando la petición de contraseña con la herramienta de configuración de host de sesión de Escritorio remoto.

Require secure RPC communication

Especifica si un host RDS requiere comunicaciones RPC seguras con todos los clientes o permite comunicaciones no seguras.

Puede usar esta opción para reforzar la seguridad de la comunicación RPC con los clientes al permitir solo peticiones autenticadas y cifradas.

Si habilita esta configuración, Servicios de Escritorio remoto acepta peticiones de clientes RPC que admiten peticiones seguras y no permite la comunicación no segura con clientes que no sean de confianza.

Si deshabilita esta configuración, Servicios de Escritorio remoto siempre solicita seguridad para todo el tráfico RPC. Sin embargo, se permite la comunicación no segura para los clientes RPC que no responden a la petición.

Si no establece esta configuración, se permite la comunicación no segura.

Nota:

La interfaz RPC se usa para administrar y configurar Servicios de Escritorio remoto.

Require use of specific security layer for remote (RDP) connections

Especifica si es necesario usar un nivel de seguridad específico para proteger las comunicaciones entre clientes y hosts RDS durante las conexiones de Protocolo de escritorio remoto (RDP).

Si habilita esta configuración de directiva, todas las comunicaciones entre clientes y hosts RDS realizadas durante las conexiones remotas deberán usar el método de seguridad especificado en esta configuración. Los métodos de seguridad disponibles son los siguientes:

  • Negotiate. El método Negotiate aplica el método más seguro compatible con el cliente. Si se admite la versión 1.0 de Seguridad de la capa de transporte (TLS), se usa para autenticar el host RDS. Si no se admite TLS, se usa el cifrado de Protocolo de escritorio remoto (RDP) nativo para proteger las comunicaciones, pero no se autentica el host RDS.

  • RDP. El método RDP usa el cifrado RDP nativo para proteger las comunicaciones entre el cliente y el host RDS. Si selecciona esta configuración, el host RDS no se autentica.

  • SSL (TLS 1.0). El método SSL requiere el uso de TLS 1.0 para autenticar el host RDS. Si no se admite TLS, se producirá un error en la conexión.

Si deshabilita o no establece esta configuración, el método de seguridad que se debe usar para las conexiones remotas a los hosts RDS no se aplican mediante la directiva de grupo. Sin embargo, puede configurar un método de seguridad necesario para estas conexiones mediante la herramienta de configuración de host de sesión de Escritorio remoto.

Require user authentication for remote connections by using Network

Utilice esta configuración de directiva para especificar si es necesaria la autenticación del usuario para conexiones remotas al host RDS mediante Autenticación a nivel de red. Esta configuración de directiva mejora la seguridad al requerir que la autenticación del usuario tenga lugar en un momento más temprano del proceso de conexión remota.

Si habilita esta configuración de directiva, solo podrán conectarse al host RDS los equipos cliente que sean compatibles con Autenticación a nivel de red.

Para determinar si un equipo cliente es compatible con Autenticación a nivel de red, inicie Conexión a Escritorio remoto en el equipo cliente, haga clic en el icono ubicado en el rincón superior izquierdo del cuadro de diálogo Conexión a Escritorio remoto y, a continuación, haga clic en Acerca de. En el cuadro de diálogo Acerca de Conexión a Escritorio remoto, busque la frase "Compatible con Autenticación a nivel de red".

Si deshabilita o no configura este ajuste de directiva, no se requerirá Autenticación a nivel de red para la autenticación de usuario antes de permitir conexiones remotas al host RDS.

Puede especificar que la Autenticación a nivel de red sea necesaria para la autenticación de usuarios mediante la herramienta de configuración de host de sesión de Escritorio remoto o la pestaña Acceso remoto en Propiedades del sistema.

Importante:

Si se deshabilita o no se establece esta configuración de directiva, la seguridad se verá afectada, puesto que la autenticación de usuarios tendrá lugar más adelante en el proceso de conexión remota.

Do not allow local administrators to customize permissions

Especifica si se deshabilitan los derechos del administrador para personalizar los permisos de seguridad en la herramienta de configuración de host de sesión de Escritorio remoto.

Puede usar esta opción para evitar que los administradores cambien los grupos de usuarios en la pestaña Permisos de la herramienta de configuración de host de sesión de Escritorio remoto. De forma predeterminada, los usuarios pueden realizar tales cambios.

Si el estado se establece en Habilitado, la pestaña Permisos de la herramienta de configuración de host de sesión de Escritorio remoto no se puede usar para personalizar los descriptores de seguridad por conexión ni para cambiar los descriptores de seguridad predeterminados para un grupo existente. Todos los descriptores de seguridad son de solo lectura.

Si el estado se establece en Deshabilitado o No configurado, los administradores del servidor disponen de plenos privilegios de lectura/escritura con respecto a los descriptores de seguridad de la pestaña Permisos de la herramienta de configuración de host de sesión de Escritorio remoto.

Nota:

El método preferido para administrar el acceso de los usuarios es agregar un usuario al grupo Usuarios de Escritorio remoto.