¿Te gustaría ver el sitio en un idioma diferente?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Cambiar idioma
Índice

Requisitos para habilitar RDP a través del registro remoto en Windows 10

Antes de realizar cualquier cambio a través del registro, es crucial verificar que su entorno admite la administración remota y que todos los servicios y permisos necesarios están configurados.

Asegúrese de que el sistema objetivo esté ejecutando Windows 10 Pro o Enterprise

Windows 10 Home Edition no incluye el componente del servidor RDP (TermService). Intentar habilitar RDP en un dispositivo de edición Home no resultará en una sesión RDP funcional, incluso si las claves del registro están configuradas correctamente.

Puedes verificar la edición de forma remota a través de PowerShell:

Confirmar acceso administrativo

Las modificaciones del registro y la gestión de servicios requieren privilegios de administrador local. Si se utilizan credenciales de dominio, asegúrese de que la cuenta de usuario sea parte del grupo de Administradores en la máquina remota.

Validar la conectividad de red y los puertos requeridos

El registro remoto y RDP dependen de puertos específicos:

  • TCP 445 (SMB) – Utilizado por la comunicación de Registro Remoto y RPC
  • TCP 135 (mapeador de puntos finales RPC) – Utilizado por WMI remoto y servicios
  • TCP 3389 – Requerido para conexiones RDP

Ejecutar una verificación de puerto:

Verificar el estado del servicio de registro remoto

El servicio de Registro Remoto debe estar configurado en Automático y iniciado:

Cómo habilitar e iniciar el servicio de registro remoto

El servicio de Registro Remoto a menudo está deshabilitado por defecto por razones de seguridad. Los profesionales de TI deben habilitarlo e iniciarlo antes de intentar cualquier operación de registro remoto.

Usando PowerShell para configurar el servicio

Puede configurar el servicio para que se inicie automáticamente y comenzarlo de inmediato:

Esto asegura que el servicio permanezca activo después del reinicio.

Usando Services.msc en una computadora remota

Si la remota de PowerShell no está disponible:

  1. Ejecutar services.msc
  2. Haga clic en Acción > Conectar a otro ordenador
  3. Ingrese el nombre de host o IP de la máquina de destino
  4. Localizar el Registro Remoto, clic derecho > Propiedades
  5. Establecer "Tipo de inicio" en Automático
  6. Haga clic en Iniciar, luego en Aceptar

Una vez que el servicio está en funcionamiento, la edición del registro desde una consola remota se vuelve posible.

Modificar el Registro para habilitar RDP

En el núcleo de la habilitación de RDP hay un único valor de registro: fDenyTSConnections. Cambiar esto de 1 a 0 habilita el servicio RDP en la máquina.

Método 1: Usando Regedit y "Conectar Registro de Red"

Este es un método basado en GUI adecuado para tareas ad hoc:

  1. Ejecuta regedit.exe como administrador en tu máquina local
  2. Haga clic en Archivo > Conectar Registro de Red
  3. Ingrese el nombre del host de la máquina de destino
  4. Navegar a: pgsql: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
  5. Haga doble clic en fDenyTSConnections y cambie su valor a 0

Nota: Este cambio no configura automáticamente el Firewall de Windows. Eso debe hacerse por separado.

Método 2: Usar PowerShell para editar el registro

Para automatización o scripting, se prefiere PowerShell:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }

También puedes verificar que el valor fue cambiado:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }

Habilitando reglas de firewall para RDP

Por defecto, el Firewall de Windows bloquea las conexiones RDP entrantes. Debe permitirlas explícitamente a través del grupo de reglas apropiado.

Habilitar regla de firewall usando PowerShell

Esto habilita todas las reglas predefinidas bajo el grupo "Remote Desktop".

Habilitar regla de firewall usando PsExec y Netsh

Si el acceso remoto de PowerShell no está disponible, PsExec de Sysinternals puede ayudar:

bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

Consejo de seguridad: Si utilizas GPO de dominio, puedes aplicar el acceso RDP y las reglas del firewall a través de una política centralizada.

Verificando y probando el acceso RDP

Para confirmar su configuración:

Usar Test-NetConnection

Verifique si puerto 3389 está escuchando:

Deberías ver TcpTestSucceeded: True

Intentar conexión RDP

Abre mstsc.exe, ingresa el nombre de host o la dirección IP de destino y conéctate utilizando credenciales de administrador.

Si ves un aviso de credenciales, tu sesión RDP se ha iniciado con éxito.

Utilice los registros de eventos para la solución de problemas

Verifique el Visor de Eventos en el sistema remoto:

Busque errores relacionados con intentos de conexión o fallos del oyente.

Consideraciones de seguridad al habilitar RDP de forma remota

Habilitar RDP abre una superficie de ataque significativa. Es fundamental fortalecer el entorno, especialmente al exponer RDP a través de redes.

Minimizar la exposición

  • Utilice la autenticación a nivel de red (NLA)
  • Restringir el acceso RDP entrante a rangos de IP conocidos utilizando el Firewall de Windows o firewalls perimetrales
  • Evite exponer RDP directamente a Internet

Monitorear cambios en el registro

La clave fDenyTSConnections es comúnmente modificada por malware y atacantes para habilitar el movimiento lateral. Utilice herramientas de monitoreo como:

  • Reenvío de eventos de Windows
  • Plataformas de seguridad elástica o SIEM
  • Registro de PowerShell y auditoría del registro

Utilice la higiene de credenciales y MFA

Asegúrese de que todas las cuentas con acceso RDP tengan:

  • Contraseñas complejas
  • Autenticación multifactorial
  • Asignaciones de privilegios mínimos

Solución de problemas comunes

Si RDP aún no funciona después de configurar el registro y el firewall, hay varias posibles causas raíz que investigar:

Problema: Puerto 3389 no abierto

Utilice el siguiente comando para verificar que el sistema está escuchando conexiones RDP:

Si no hay un oyente, es posible que los Servicios de Escritorio Remoto (TermService) no estén en funcionamiento. Inícielo manualmente o reinicie la máquina. Además, asegúrese de que la configuración de la Directiva de Grupo no esté deshabilitando el servicio de manera inadvertida.

Problema: Usuario no permitido para iniciar sesión a través de RDP

Asegúrese de que el usuario previsto sea un miembro del grupo de Usuarios de Escritorio Remoto o tenga acceso a través de la Directiva de Grupo:

Pgsql: Configuración del ordenador > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Permitir inicio de sesión a través de Servicios de Escritorio Remoto

Puede verificar la membresía del grupo utilizando:

También confirme que ninguna política conflictiva está eliminando usuarios de este grupo.

Problema: el registro remoto o RPC no responde

Verifique que:

  • El servicio de Registro Remoto está en funcionamiento
  • El Firewall de Windows o cualquier antivirus de terceros no está bloqueando los puertos TCP 135 o 445.
  • La infraestructura de Instrumentación de Administración de Windows (WMI) del sistema objetivo es funcional.

Para una mayor visibilidad, utiliza herramientas como wbemtest o Get-WmiObject para validar la comunicación RPC.

Simplifique la gestión de Escritorio Remoto con TSplus Remote Access

Si bien la configuración manual del registro y del firewall es poderosa, puede ser compleja y arriesgada a gran escala. TSplus Acceso Remoto ofrece una alternativa segura, centralizada y eficiente a las configuraciones tradicionales de RDP. Con acceso basado en la web, soporte para múltiples usuarios y características de seguridad integradas, TSplus es la solución ideal para organizaciones que buscan optimizar la entrega y gestión de escritorios remotos.

Conclusión

Habilitar RDP a través del Registro Remoto en Windows 10 ofrece a los administradores de TI un método flexible y de bajo nivel para proporcionar acceso remoto. Ya sea que esté configurando dispositivos a gran escala o solucionando problemas de acceso a sistemas sin cabeza, este método proporciona una solución precisa y programable. Siempre combínelo con reglas de firewall sólidas, permisos a nivel de usuario y monitoreo de seguridad para garantizar el cumplimiento y proteger contra el uso indebido.

TSplus Prueba gratuita de acceso remoto

Alternativa definitiva a Citrix/RDS para acceso a escritorio/aplicaciones. Seguro, rentable, en las instalaciones/nube

Iniciar una prueba gratuita

Compartir:

Facebook Twitter LinkedIn

Su equipo de TSplus

Publicaciones relacionadas

TSplus Remote Desktop Access - Advanced Security Software

Cómo cambiar la contraseña de RDP

Este artículo ofrece métodos completos y técnicamente precisos para cambiar o restablecer contraseñas a través del Protocolo de Escritorio Remoto (RDP), asegurando la compatibilidad con entornos de dominio y locales, y acomodando tanto flujos de trabajo interactivos como administrativos.

Leer artículo →
back to top of the page icon