Configuración de la autenticación a nivel de red

Introducción

La autenticación a nivel de red (NLA) es un mecanismo de preautenticación que se utiliza al conectarse a un escritorio remoto. Protege el servidor contra accesos no autorizados y reduce el riesgo de ataques antes de que se establezca una sesión completa. Hoy en día, se ha convertido en un estándar de seguridad en los entornos informáticos empresariales.

Sin embargo, en sistemas más antiguos, como Windows XP, la NLA requiere una configuración manual. En este artículo, veremos cómo habilitar la autenticación a nivel de red en diferentes versiones de Windows y por qué es necesario.

¿Qué es la autenticación a nivel de red?

La NLA requiere que el cliente pase por un proceso de autenticación antes de iniciar una sesión RDP. Esto difiere del enfoque anterior, en el que la conexión se establecía inmediatamente y las credenciales solo se verificaban a posteriori. Principales ventajas:

Mayor seguridad: protección contra la adivinación de contraseñas y los ataques MITM.
Reducción de la carga del servidor: no se desperdician recursos en conexiones no confirmadas.

Cómo activar NLA en Windows

La activación de la autenticación a nivel de red (NLA) depende de la versión del sistema operativo. A continuación encontrará instrucciones detalladas para Windows 10/11, las versiones de servidor y Windows XP SP3. Durante la configuración, asegúrese de comprobar la compatibilidad del cliente RDP, la disponibilidad de actualizaciones y el correcto funcionamiento de los servicios.

Windows 10 / 11 / Server 2016 y versiones más recientes

Opción 1: a través de la interfaz gráfica

Abra las propiedades del sistema:

- Pulse Win + R, introduzca SystemPropertiesRemote y pulse Intro.
- O bien: Inicio → Panel de control → Sistema → Configuración avanzada del sistema → pestaña Remoto.

2. Busque el bloque «Escritorio remoto».

3. Seleccione la opción:

«Permitir conexiones solo desde equipos verificados por la seguridad de red (recomendado)».

4. Haga clic en Aplicar y Aceptar.

Opción 2: a través del editor del registro

1. Abra regedit como administrador.

2. Vaya a la siguiente ruta de acceso:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. Busque el parámetro UserAuthentication. Si no está presente, cree un valor DWORD (32 bits) con ese nombre.

4. Establezca el valor en 1 (activado).

5. Reinicie el servidor o el servicio Escritorio remoto (TermService).

Opción 3: a través de PowerShell

Abra PowerShell como administrador y ejecute:

  Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'UserAuthentication' -Value 1

Windows Server 2008 / 2012 / 2019 / 2022

La configuración de NLA en los sistemas operativos de servidor es similar a la de los sistemas operativos de escritorio:

Inicie el Administrador del servidor.

2. Vaya a: Servidor local → Escritorio remoto

3. Haga clic en «Desactivado» junto a Escritorio remoto → seleccione:

«Permitir conexiones solo desde equipos que ejecuten Escritorio remoto con autenticación de red»

4. Aplique la configuración.

Compruebe también que:

Las funciones de Servicios de Escritorio remoto están instaladas.
El usuario tiene permiso de acceso RDP (es miembro del grupo Usuarios de Escritorio remoto).
Se utiliza un certificado SSL válido (para RDP-Tcp).

Windows XP SP3 (solo cliente)

Windows XP no puede ser un servidor compatible con NLA, pero puede conectarse a otros sistemas en los que NLA está habilitado si se cumplen las siguientes condiciones:

Paso 1: Actualice el cliente RDP

Descargue e instale Remote Desktop Connection Client 6.1 o una versión posterior (por ejemplo, desde el sitio web de Microsoft o Windows Update).

Paso 2: Instalar la compatibilidad con CredSSP

CredSSP (Credential Security Support Provider) es necesario para la autenticación a nivel de red. Para habilitarlo:

Instale la actualización KB951608 (disponible en el sitio web de Microsoft).

2. Después de la instalación, modifique el registro:

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):43,00,72,00,65,00,64,00,45,00,53,00,53,00,50,00,00,00

El valor CredSSP se añade a la lista de paquetes de seguridad.

3. Reinicie el equipo.

Paso 3: Configurar la directiva de grupo

Si utiliza una directiva local (en Windows XP Pro):

Abra gpedit.msc.

2. Vaya a: Configuración del equipo → Plantillas administrativas → Sistema → Delegación de credenciales

3. Active:

«Permitir la delegación de credenciales registradas con autenticación NTLM del servidor únicamente»
«Permitir la delegación de credenciales recientes»
Añada el valor: TERMSRV/*

4. Aplique los cambios y reinicie el sistema.

Recomendaciones adicionales

Asegúrese de que el firewall de Windows o el software antivirus no bloquean el puerto 3389.
En el sistema operativo del servidor, compruebe el estado del servicio:
El servicio Servicios de escritorio remoto (TermService) debe estar en estado En ejecución.
Para los sistemas de dominio, es preferible configurar los parámetros a través de GPO.

Errores comunes y soluciones

Error	Razón	Cómo reparar
NLA requerido	Antiguo cliente	Actualice RDP a la versión 6.1+
Protocolo de seguridad no compatible	Sistema operativo incompatible	Verificar la compatibilidad con CredSSP
Acceso denegado	Prohibida la entrada	Añadir el usuario al grupo deseado

Consejos para usar NLA

Active NLA de forma predeterminada en todas las instalaciones nuevas.
Utilice directivas de grupo para una configuración centralizada.
Actualice periódicamente los clientes y servidores a las últimas versiones.

Conclusión

La configuración de NLA es un paso obligatorio para cualquier persona que utilice un escritorio remoto. Minimiza los riesgos y garantiza la seguridad de su infraestructura empresarial. Incluso en sistemas más antiguos, es posible conectarse a servidores RDP seguros con la configuración adecuada.