Integraciones
      Volver al inicio
      1. Centro de ayuda
      2. Plataforma de Identidad
      3. Integraciones

      Escritorio Remoto De Windows

      Introducción

      RDP (Remote Desktop Protocol) es un protocolo que permite la comunicación en la ejecución de una aplicación entre una terminal y un servidor Windows. En esta guía protegeremos RDP con IRONCHIP.

      Requisitos

      • Tener un Directorio Activo funcional
      • Tener los servicios DHCP Y DNS activos.
      • Tener RDP instalado en el servidor
      • Tener NPS protegido por IRONCHIP
      • Tener una aplicación MFA creada en la plataforma IRONCHIP

      RD Gateway

      El primer paso sera configurar e implementar el RD Gateway, para ello iremos a servicios de escritorio remoto en el administrador del servidor,

      Y pulsaremos en el botón Puerta de enlace de Escritorio remoto.

      Seleccionaremos el servidor al cual le instalaremos este servicio y en la siguiente pantalla escribiremos el nombre de dominio completo.

      Pulsamos en siguiente y después en agregar.

      Cuando el proceso termine, nos pedirá que configuremos un certificado. En mi caso sera auto firmado.

      En caso de no tener un certificado, procederemos a crear uno pulsando en Crear nuevo certificado.

      Lo único que debe hacer es colocar el nombre completo de el dominio, una contraseña, una ruta para guardarlo y marcar la casilla del final. Una vez hecho esto pulsa en aceptar y después aplicar.

      Agrega ese mismo certificado a todos los servicios de la lista mediante seleccionar certificado.

      El certificado ahora debe estar instalado en la máquina. Para hacer esto, siga los pasos a continuación:

      1. Haga clic derecho en el certificado.
      2. Seleccione Instalar certificado.
      3. Seleccione Máquina local y luego Siguiente.
      4. Seleccione Colocar todos los certificados en el siguiente almacén y Examinar….
      5. En la ventana que se abre a continuación, seleccione la carpeta Autoridades de certificación raíz de confianza y Aceptar.
      6. Finalmente haga clic en Siguiente y Finalizar.

      El certificado se colocará en todas las máquinas y se realizará el mismo proceso en todas las máquinas.

      Una vez completado este paso, crearemos la RD CAP y RD RAP. Para ello entra en el administrador de puerta de enlace de escritorio remoto, seleccione su servidor y por ultimo crea una nueva directiva con click derecho en directivas.

      En primer lugar, seleccione crear ambos, RD CAP Y RAP.

      Póngale un nombre identificativo. Es importante que el nombre que le asignamos a la política RD CAP en este caso (IronchipCAP) sea el mismo que aparecerá en el “External ID” del servicio creado en el dashboard de Ironchip.

      Añada los grupos de usuarios a los que se les aplicara la directiva.

      En esta pestaña, seleccione la primera opción, y habilite la casilla de el final. Las siguientes opciones no son necesarias, por ello pulse siguiente asta la Directiva de autorización de recursos

      Póngale un nombre identificativo

      Añada los grupos de usuarios a los que se les aplicara la directiva.

      Seleccione la ultima opción que dice: Permitir que los usuarios se conecten a cualquier recurso de red. La siguiente opción no mes necesaria, por ello, pulse siguiente asta finalizar la configuración.

      Por ultimo, crearemos una política de grupo. Para ello ve a la Administración de directivas de grupo y haz click derecho en tu servidor para seleccionar la opción Crear un GPO en este dominio y vincularlo aquí.

      • Inserte un nombre; por ejemplo, Ironchip.

      • Haga clic con el botón derecho en el GPO creado y seleccione Editar.

      • Se habrá abierto el programa Editor de administración de directivas de grupo. En este programa, seleccione Configuración de usuario, Directivas, Plantillas administrativas, Componentes de Windows, Servicio de escritorio remoto, Puerta de enlace de escritorio remoto.

      1. En esta sección, seleccione Método de autenticación de RD Gateway y actívelo haciendo clic en Habilitado y seleccione Solicitar credenciales, usar protocolo de negociación.

      2. En la sección RD Gateway, seleccione Habilitar conexión a través de RD Gateway y habilítelo haciendo clic en Habilitado.

      3. En la sección Puerta de enlace de RD, seleccione Establecer dirección del servidor de puerta de enlace de RD y habilítelo presionando Habilitado e ingrese la dirección de tu servidor, por ejemplo, 10.0.0.2.

      4. Finalmente, ejecute el comando gpupdate en PowerShell en todas las máquinas relacionadas

      No te olvides de añadir las políticas creadas a el plugin de Ironchip. Para ello ejecuta el instalador, pulsa en change, y añada la política recién creada y el RDCAP (separados por coma y espacio)

      Reinicia los servicios NPS y RDP.

      Plugin

      Para instalar el complemento, necesita el archivo IRONCHIP Windows NPS, que se puede descargar desde la sección Complementos en el Tablero de Ironchip.

      Después de descargar el complemento procederá a instalarlo.

      Pulsamos Next, en la próxima pantalla se aceptarán los términos de uso y se volverá a pulsar Next.

      En la siguiente pantalla deberá completarlo con la siguiente información:

      • Tu anfitrión de Ironchip. Si utiliza nuestra solución en la nube, será api.ironchip.com. De lo contrario, proporcione su host personalizado.
      • La API key de su empresa lograda al crear el servicio.
      • El nombre de la política de red que desea proteger con Ironchip NPS. En el ejemplo, se utilizará la política creada, IronchipProtected (En caso de querer agregar mas de una pondremos los nombres separados por coma y espacio ).
      • Luego pulsamos Next para continuar.

      Una vez en la siguiente pantalla y con todos los parámetros configurados de forma correcta, pulsamos Instalar

      Si todo ha sido configurado de forma correcta y la instalación se ha realizado con éxito, veremos la siguiente pantalla. Por ultimo para terminar con la instalación se pulsará el botón Finish.

      También tiene que crear la aplicación en el panel de IRONCHIP que haga referencia a la aplicación MFA, en este caso, el external ID sera el nombre de la RD CAP que configuro anteriormente .

      Y por ultimo añadir usuarios a esa aplicación. (Utilizar el formato de nombre Dominio\Usuario)

      Comprobar su funcionamiento

      Para comprobar su funcionamiento necesitaremos un equipo cliente conectado al dominio, y seguir los pasos de el siguiente video.

      Video tutorial

      RDP solo por Gateway

      Introducción

      En esta documentación se mostrara como configurar el Firewall de tu servidor para que solo acepte conexiones RDP mediante puerta de enlace.

      Configuración

      El primer paso es entrar a la herramienta “Windows Defender Firewall con seguridad avanzada”

      El siguiente paso es acceder a Reglas de entrada y buscar las opciones “Escritorio remoto - Modo usuario (TCP de entrada)” y “Escritorio remoto - Modo usuario (UDP de entrada)”

      Seleccione TCP y siga los siguientes pasos. La dos configuraciones son exactamente iguales.

      1- En la pestaña general, activa la opción Bloquear la conexión.

      2 - En la pestaña ámbito, añade la IP de tu servidor en Dirección IP local.

      3 - Aplica los cambios y hazlo de nuevo con la opción UDP.