Terminal Services – Network Level Authentication y Server Authentication

Remote Desktop Connection 6.0 (o mejor trabajemos con su acrónimo RDC 6.0 :D) se encuentra en Windows Vista y Windows Server 2008 y podemos descargarlo para Windows XP SP2 y Windows Server 2003 SP1/2.


RDC 6.0 soporta Network Level Authentication (NLA), un nuevo tipo de autenticación, que autentica al usuario, al computador cliente y las credenciales del servidor entre sí. Esto siginifica que la autenticación ahora es realizada antes que la sesión de Terminal Services se levente y le sea presentado al usuario la pantalla de inicio de sesión. Con clientes previos de RDC, las sesiones de TS eran iniciadas tan pronto el usuario le diera click a CONECTAR, y esto crea una ventana de oportunidad para que usuarios maliciosos realizaran ataques de Denial of Services (DoS) y/ robaran credenciales via un ataque man-in-the-middle.


Para configurar NLA debemos abrir Sistema, desde Panel de Control, y darle click a Opciones Remotas, luego marcar la tercera dentro del contexto de opciones de Remote Desktop como se ve en la siguiente foto:


 


NLA


 


La otra mejora de segurida en RDP 6.0 es Server Authentication, la cual usa Transport Layer Security (TLS) y habilita a los clientes el poder estar seguros que efectivamente se están conectando al servidor de terminal  legítimo y no a cualquier otro servidor que se haga pasar por el legítimo. Para asegurarnos que Server Authentication está siendo utilizado en el lado del cliente, debemos abrir RDC y en la ficha de avanzado, seleccionar la opción “Do not connect if authentication fails” del drop-down list.


 


SA


 


Más info:


Descarga RDC 6.0 para Windows XP SP2 x86


Descarga RDC 6.0 para Windows XP SP2 x64


Descarga RDC 6.0 para Windows Server 2003 SP1/2 x86


Descarga RDC 6.0 para Windows Server 2003 x64


 


Saludos!

5 comentarios en “Terminal Services – Network Level Authentication y Server Authentication”

  1. Tengo un servidor con Terminal 2003 Server. Quiero que los usuarios que se vayan a conectar a escritorio remoto deban de tener certificado, y no poder conectarse si no lo tienen.
    El cliente puede configurar conectarse auque no tenga certificado o ese no sea correcto.
    Yo lo que deseo, es que no se puedan conectar si su certificado no es válido o no le tienen. Pero quiero poder configurar eso desde el servidor.
    Encontre una cosilla que modificando el Editor de Registro en el cliente, podía hacer que no pudiese cambiar de opción de seguridad el mismo. Pero claro, si yo quiero que cualquier máquina de internet se conecte a mi Terminal Server por escritorio remoto, no puedo modificar el editor de registro de todo el mundo.

    ¿Conocen alguna opción para que pueda securizar la conexión a escritorio remoto desde el Servidor y que el cliente solo se pueda conectar en el caso de tener el certificado válido?

  2. hola amigo yo tengo el mismo problema que tu sabes
    e dado vueltas por la web y no pude encontrar una solucion a el problema , no veo mucha seguridad
    ya que el hacker no creo q le interese
    usar certificado digital para poder entrar al
    terminal server de la empresa
    lo mejor es instalar un servidor TS desde windows
    server 2008

  3. Tengo un server 2008 con terminal server, queria saber como montar para los acceso desde la adsl (internet) que utilicen obligatoriamente un certificado digita. Que requisitos necesito en los clientes, version de terminal server, servipak y sistema operativo. Gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *