Cuando los usuarios apagan los ordenadores centrales

Para que los usuarios de la oficina en casa u otras ubicaciones remotas puedan acceder a los datos y programas de la red de la empresa, el uso de la aplicación de escritorio remoto y el protocolo de escritorio remoto (RDP) es un medio de elección. Al hacerlo, sin embargo, los usuarios pueden desencadenar problemas de forma rápida y descuidada.

Es poco probable que haya un administrador de TI que no utilice RDP para acceder a un sistema Windows de forma remota de vez en cuando: ya sea el servidor que ha sido desterrado al sótano o el PC de un usuario en otro edificio de la empresa, este tipo de acceso proporciona una forma fácil y rápida de trabajar "a distancia".

RDP se basa en TCP y se suele proporcionar en el puerto TCP 3389. A partir de la versión 8 del protocolo, que llegó a los ordenadores con Windows 8 y Windows 2012, se añadió el puerto UDP 3389.

Dado que todos los sistemas Windows se entregan con un programa RDP o una app RDP, su uso ahora también tiene sentido a la hora de ofrecer a los usuarios una forma sencilla de acceder a sus sistemas de forma remota en la red de la empresa.

Altos beneficios a pesar de algunos riesgos

Pero antes, también es un hecho que el RDP ha sido repetidamente una puerta de entrada para los ataques en el pasado. Además, la vulnerabilidad de BlueKeep permitía a los atacantes acceder a los ordenadores de forma remota sin la intervención del usuario. Aunque, según Microsoft, esta brecha ya no existe en los sistemas Window 10 y Server 2019, han seguido apareciendo informes de otras vulnerabilidades (por ejemplo: kb.cert.org #576688 del 04.06.2019), que también podrían suponer un peligro en el uso remoto.

A pesar de estos problemas generales, el acceso a través del escritorio remoto sigue siendo muy popular en la práctica, entre otras cosas porque dicha conexión se puede establecer de forma muy rápida y sencilla. Sin embargo, en el uso diario pueden surgir otros problemas prácticos, uno de los cuales nos gustaría analizar aquí y también sugerir algunas posibles soluciones.

Si el usuario hace clic en "mal"...

Los que ya han utilizado RDP bajo versiones anteriores de Windows hasta Windows 7 quizás recuerden que un usuario con este sistema operativo sí tenía la opción de cerrar la sesión remota al hacer clic en el menú de inicio del sistema Windows en la ventana remota, pero el sistema remoto seguía entonces activo. En ese momento, si el usuario quería apagar el sistema anfitrión de forma remota, el comando "Shutdown" tenía que ser llamado específicamente desde la línea de comandos. Un apagado accidental cuando el usuario en realidad sólo quería cerrar la sesión era, por tanto, bastante improbable.

En cambio, con los sistemas actuales de Windows 10, el usuario tiene la opción de apagar el ordenador central directamente en el sistema remoto tras seleccionar "Inicio" y "Encendido/Apagado". Especialmente cuando los usuarios deben trabajar de forma remota en los sistemas de la empresa, por ejemplo durante el fin de semana o cuando las oficinas en casa están generalmente disponibles, esto puede llevar a la desagradable situación de que un administrador (o incluso el propio usuario) tenga que viajar a la empresa más tarde para reiniciar el ordenador.

Wake on LAN a menudo no es una solución

Sólo si los sistemas de la empresa están configurados para WOL (Wake On LAN) no es necesario. Sin embargo, desgraciadamente, todavía hay muchas tarjetas de red en uso que no admiten esta función. Además, la configuración de las tarjetas de red y de los sistemas BIOS de muchos ordenadores suele ser engorrosa y llevar mucho tiempo. Además, algunos routers bloquean por razones de seguridad el llamado "paquete mágico", que se supone que activa el arranque del ordenador a través de Wake on LAN. Por supuesto, esto es especialmente cierto si este comando proviene de fuera de la red de la empresa.

Así que puede tener sentido simplemente eliminar la entrada para el apagado del menú de inicio para que un apagado accidental del ordenador remoto ya no pueda ocurrir tan fácilmente. Una política de grupo correspondiente puede entonces ayudar a la distribución en todos los ordenadores. Puede asignarse a la OU (unidad organizativa) correspondiente en el servidor o configurarse directamente en la consola local del sistema llamando a "gpedit.msc". Los administradores pueden encontrar la política con un nombre muy abultado:

Quitar los comandos "Apagar", "Reiniciar", "Ahorrar energía" e "Hibernar" y denegar el acceso a los mismos

bajo la ruta "Configuración de usuarioNPlantillas administrativasNMenú de inicio y barra de tareas". Por defecto, esta política no está activada. Si el administrador del sistema lo ha puesto en "Activado" y ha confirmado este ajuste con "Aplicar" y "Aceptar", se adopta inmediatamente sin necesidad de reiniciar. Después, el usuario ya no encontrará estos ajustes en el menú de Inicio. Incluso si llama a la pantalla de "Seguridad de Windows" usando "CTRL-ALT-ENTF", el interruptor de encendido ya no aparece.

Oculta con la ayuda del registro

Quien encuentre demasiado radical el planteamiento de que después de activar la política sólo se pueda encontrar "Desconectar" en "Encendido/Apagado" en el menú de Inicio, debe recurrir al registro. Con la ayuda del registro, se puede ocultar específicamente la entrada "Apagar". Sin embargo, hay diferencias a tener en cuenta dependiendo de la versión de Windows 10 que se utilice en el sistema. Si la versión 1803 (o una versión incluso anterior) está todavía en uso, el administrador debe establecer el siguiente valor del registro en "1":

HKLMSOFTWARENMicrosoftPolicyManagerNdispositivo actual

Si, por el contrario, está en uso una versión de Windows 10 a partir de 1809 (para este artículo hemos utilizado la versión actual de 2004), este valor del registro debe establecerse en "1":

Los administradores de un dominio gestionado pueden, por supuesto, utilizar GPP (Group Policy Preference) para aplicar estos ajustes del registro a los respectivos ordenadores cliente.

Las lagunas del sistema

Todos los métodos descritos hasta ahora no impiden que los usuarios puedan apagar el ordenador de todas formas mediante un comando "shutdown" desde la línea de comandos si tienen los derechos adecuados para hacerlo. Si también quiere evitarlo, puede utilizar una política de grupo para gestionar los derechos de los usuarios correspondientes. Se encuentra en la ruta:

Configuración del ordenadorConfiguración de seguridadPolíticas localesAsignación de derechos de usuario

. En este punto, los administradores del sistema pueden eliminar el derecho a apagar un sistema de ciertos usuarios o grupos de usuarios, dándoles de baja. Por defecto, Windows introduce como autorizados a los administradores, al usuario principal del sistema y a los operadores de las copias de seguridad.

Con todos estos cambios, sin embargo, los administradores del sistema no deben olvidar que dichos cambios también pueden acarrear otros problemas. Si, por ejemplo, el servicio de asistencia de la oficina en casa aconseja al usuario que simplemente reinicie, esto no se puede hacer porque la configuración correspondiente simplemente no está disponible en el sistema. En estos casos, por tanto, es aconsejable que el departamento de TI documente en qué máquinas se han realizado dichos cambios.

Problemas in situ

Y otro aspecto complica la decisión de si esta medida tiene sentido y cuándo: con todas estas soluciones, los botones correspondientes del menú de inicio permanecen ocultos incluso si el usuario no quiere acceder a su sistema anfitrión desde su casa o desde otra ubicación remota, sino que se encuentra in situ en la propia empresa. Y, a más tardar, cuando esto vuelva a ser la norma, los ordenadores que no puedan apagarse o reiniciarse desencadenarán problemas en otros lugares.

Ocultar selectivamente los botones de apagado y reinicio en el menú de inicio en función del inicio de sesión -es decir, remoto o presencial- es posible en principio, pero complicado.

Deja un comentario