CSP de directiva: RemoteDesktopServices
Sugerencia
Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.
La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.
Importante
Este CSP contiene algunas configuraciones que están en desarrollo y que solo se aplican a las compilaciones de Windows Insider Preview. Esta configuración está sujeta a cambios y puede tener dependencias en otras características o servicios en versión preliminar.
AllowUsersToConnectRemotely
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
Esta configuración de directiva le permite configurar el acceso remoto a los equipos mediante servicios de Escritorio remoto.
Si habilita esta configuración de directiva, los usuarios que son miembros del grupo Usuarios de Escritorio remoto del equipo de destino pueden conectarse de forma remota al equipo de destino mediante Servicios de Escritorio remoto.
Si deshabilita esta configuración de directiva, los usuarios no podrán conectarse de forma remota al equipo de destino mediante servicios de Escritorio remoto. El equipo de destino mantendrá las conexiones actuales, pero no aceptará nuevas conexiones entrantes.
Si no configura esta configuración de directiva, Servicios de Escritorio remoto usa la opción Escritorio remoto en el equipo de destino para determinar si se permite la conexión remota. Esta configuración se encuentra en la pestaña Remoto de la hoja de propiedades del sistema. De forma predeterminada, no se permiten las conexiones remotas.
Nota
Puede limitar qué clientes pueden conectarse de forma remota mediante servicios de Escritorio remoto configurando la configuración de directiva en Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Seguridad\Requerir autenticación de usuario para conexiones remotas mediante la autenticación de nivel de red.
Puede limitar el número de usuarios que se pueden conectar simultáneamente configurando la configuración de directiva en Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Connections\Limitar número de conexiones, o configurando la configuración de directiva Máximo de Connections mediante el proveedor WMI de host de sesión de Escritorio remoto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_DISABLE_CONNECTIONS |
| Nombre descriptivo | Permitir que los usuarios se conecten de forma remota mediante Servicios de Escritorio remoto |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Nombre de archivo ADMX | TerminalServer.admx |
ClientConnectionEncryptionLevel
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/ClientConnectionEncryptionLevel
Especifica si se debe requerir el uso de un nivel de cifrado específico para proteger las comunicaciones entre los equipos cliente y los servidores host de sesión de Escritorio remoto durante las conexiones del Protocolo de Escritorio remoto (RDP). Esta directiva solo se aplica cuando se usa el cifrado RDP nativo. Sin embargo, no se recomienda el cifrado RDP nativo (en lugar del cifrado SSL). Esta directiva no se aplica al cifrado SSL.
- Si habilita esta configuración de directiva, todas las comunicaciones entre clientes y servidores host de sesión de Escritorio remoto durante las conexiones remotas deben usar el método de cifrado especificado en esta configuración. De forma predeterminada, el nivel de cifrado se establece en Alto. Están disponibles los siguientes métodos de cifrado:
Alto: la configuración Alta cifra los datos enviados desde el cliente al servidor y desde el servidor al cliente mediante un cifrado seguro de 128 bits. Use este nivel de cifrado en entornos que contengan solo clientes de 128 bits (por ejemplo, clientes que ejecutan la conexión a Escritorio remoto). Los clientes que no admiten este nivel de cifrado no pueden conectarse a servidores host de sesión de Escritorio remoto.
Compatible con el cliente: la configuración compatible con el cliente cifra los datos enviados entre el cliente y el servidor con la máxima intensidad de clave admitida por el cliente. Use este nivel de cifrado en entornos que incluyan clientes que no admiten el cifrado de 128 bits.
Bajo: la configuración Baja cifra solo los datos enviados desde el cliente al servidor mediante el cifrado de 56 bits.
- Si deshabilita o no establece esta configuración, el nivel de cifrado que se usará para las conexiones remotas a servidores host de sesión de Escritorio remoto no se aplicará a través de directiva de grupo.
Importante.
El cumplimiento fips se puede configurar a través de la criptografía del sistema. Use algoritmos compatibles con FIPS para la configuración de cifrado, hash y firma en directiva de grupo (en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad). La configuración compatible con FIPS cifra y descifra los datos enviados desde el cliente al servidor y desde el servidor al cliente, con los algoritmos de cifrado fips 140 del Estándar federal de procesamiento de información (FIPS), mediante módulos criptográficos de Microsoft. Use este nivel de cifrado cuando las comunicaciones entre clientes y servidores host de sesión de Escritorio remoto requieran el nivel más alto de cifrado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_ENCRYPTION_POLICY |
| Nombre descriptivo | Establecer el nivel de cifrado de conexión de cliente |
| Ubicación | Configuración del equipo |
| Ruta de acceso | > Seguridad del host > de sesión de Servicios de Escritorio remoto de Componentes > de Windows |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Nombre de archivo ADMX | TerminalServer.admx |
DisconnectOnLockLegacyAuthn
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockLegacyAuthn
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_DISCONNECT_ON_LOCK_POLICY |
| Nombre de archivo ADMX | terminalserver.admx |
DisconnectOnLockMicrosoftIdentityAuthn
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockMicrosoftIdentityAuthn
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_DISCONNECT_ON_LOCK_AAD_POLICY |
| Nombre de archivo ADMX | terminalserver.admx |
DoNotAllowDriveRedirection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowDriveRedirection
Esta configuración de directiva especifica si se debe evitar la asignación de unidades de cliente en una sesión de Servicios de Escritorio remoto (redirección de unidades).
De forma predeterminada, un servidor host de sesión de Escritorio remoto asigna unidades de cliente automáticamente tras la conexión. Las unidades asignadas aparecen en el árbol de carpetas de sesión en Explorador de archivos o equipo con el formato <driveletter> en <computername>. Puede usar esta configuración de directiva para invalidar este comportamiento.
Si habilita esta configuración de directiva, no se permite el redireccionamiento de la unidad de cliente en las sesiones de Servicios de Escritorio remoto y no se permite el redireccionamiento de copia de archivos del Portapapeles en equipos que ejecutan Windows XP, Windows Server 2003, Windows Server 2012 (y versiones posteriores) o Windows 8 (y versiones posteriores).
Si deshabilita esta configuración de directiva, siempre se permite el redireccionamiento de la unidad de cliente. Además, siempre se permite el redireccionamiento de copia de archivos del Portapapeles si se permite el redireccionamiento del Portapapeles.
Si no configura esta configuración de directiva, el redireccionamiento de la unidad de cliente y el redireccionamiento de copia de archivos del Portapapeles no se especifican en el nivel de directiva de grupo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_CLIENT_DRIVE_M |
| Nombre descriptivo | No permitir el redireccionamiento de unidades |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes > de Windows Servicios > de Escritorio remoto Dispositivo host > de sesión de Escritorio remoto y redirección de recursos |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Nombre del valor de registro | fDisableCdm |
| Nombre de archivo ADMX | TerminalServer.admx |
DoNotAllowPasswordSaving
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowPasswordSaving
Controla si las contraseñas se pueden guardar en este equipo desde Conexión a Escritorio remoto.
Si habilita esta opción, la casilla de guardado de contraseñas en Conexión a Escritorio remoto se deshabilitará y los usuarios ya no podrán guardar contraseñas. Cuando un usuario abre un archivo RDP mediante conexión a Escritorio remoto y guarda su configuración, se eliminará cualquier contraseña que existiera anteriormente en el archivo RDP.
Si deshabilita esta configuración o la deja sin configurar, el usuario podrá guardar contraseñas mediante conexión a Escritorio remoto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_CLIENT_DISABLE_PASSWORD_SAVING_2 |
| Nombre descriptivo | No permitir que se guarden contraseñas |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Cliente de conexión a Escritorio remoto de Servicios > de Escritorio remoto de componentes > de Windows |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Nombre del valor de registro | DisablePasswordSaving |
| Nombre de archivo ADMX | TerminalServer.admx |
DoNotAllowWebAuthnRedirection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowWebAuthnRedirection
Esta configuración de directiva permite controlar el redireccionamiento de las solicitudes de autenticación web (WebAuthn) desde una sesión de Escritorio remoto al dispositivo local. Este redireccionamiento permite a los usuarios autenticarse en los recursos dentro de la sesión de Escritorio remoto mediante su autenticador local (por ejemplo, Windows Hello para empresas, clave de seguridad u otro).
De forma predeterminada, Escritorio remoto permite el redireccionamiento de las solicitudes de WebAuthn.
Si habilita esta configuración de directiva, los usuarios no podrán usar su autenticador local dentro de la sesión de Escritorio remoto.
Si deshabilita o no establece esta configuración de directiva, los usuarios pueden usar autenticadores locales dentro de la sesión de Escritorio remoto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_WEBAUTHN |
| Nombre descriptivo | No permitir el redireccionamiento de WebAuthn |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes > de Windows Servicios > de Escritorio remoto Dispositivo host > de sesión de Escritorio remoto y redirección de recursos |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Nombre del valor de registro | fDisableWebAuthn |
| Nombre de archivo ADMX | TerminalServer.admx |
LimitClientToServerClipboardRedirection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_CLIENT_CLIPBOARDRESTRICTION_CS |
| Nombre de archivo ADMX | terminalserver.admx |
LimitServerToClientClipboardRedirection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_CLIENT_CLIPBOARDRESTRICTION_SC |
| Nombre de archivo ADMX | terminalserver.admx |
PromptForPasswordUponConnection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/PromptForPasswordUponConnection
Esta configuración de directiva especifica si Servicios de Escritorio remoto siempre solicita al cliente una contraseña tras la conexión.
Puede usar esta configuración para aplicar una solicitud de contraseña para los usuarios que inician sesión en Servicios de Escritorio remoto, incluso si ya proporcionaron la contraseña en el cliente de conexión a Escritorio remoto.
De forma predeterminada, Servicios de Escritorio remoto permite a los usuarios iniciar sesión automáticamente escribiendo una contraseña en el cliente de conexión a Escritorio remoto.
Si habilita esta configuración de directiva, los usuarios no podrán iniciar sesión automáticamente en Servicios de Escritorio remoto proporcionando sus contraseñas en el cliente de conexión a Escritorio remoto. Se les pide una contraseña para iniciar sesión.
Si deshabilita esta configuración de directiva, los usuarios siempre pueden iniciar sesión en Servicios de Escritorio remoto automáticamente proporcionando sus contraseñas en el cliente de conexión a Escritorio remoto.
Si no configura esta configuración de directiva, el inicio de sesión automático no se especifica en el nivel de directiva de grupo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_PASSWORD |
| Nombre descriptivo | Preguntar siempre la contraseña tras la conexión |
| Ubicación | Configuración del equipo |
| Ruta de acceso | > Seguridad del host > de sesión de Servicios de Escritorio remoto de Componentes > de Windows |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Nombre del valor de registro | fPromptForPassword |
| Nombre de archivo ADMX | TerminalServer.admx |
RequireSecureRPCCommunication
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/RequireSecureRPCCommunication
Especifica si un servidor host de sesión de Escritorio remoto requiere una comunicación RPC segura con todos los clientes o permite la comunicación no segura.
Puede usar esta configuración para reforzar la seguridad de la comunicación RPC con los clientes al permitir solo solicitudes autenticadas y cifradas.
Si el estado está establecido en Habilitado, Servicios de Escritorio remoto acepta solicitudes de clientes RPC que admiten solicitudes seguras y no permite la comunicación no segura con clientes que no son de confianza.
Si el estado está establecido en Deshabilitado, Servicios de Escritorio remoto siempre solicita seguridad para todo el tráfico RPC. Sin embargo, se permite la comunicación no segura para los clientes RPC que no responden a la solicitud.
Si el estado está establecido en No configurado, se permite la comunicación no segura.
Nota
La interfaz RPC se usa para administrar y configurar servicios de Escritorio remoto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | TS_RPC_ENCRYPTION |
| Nombre descriptivo | Requerir comunicación RPC segura |
| Ubicación | Configuración del equipo |
| Ruta de acceso | > Seguridad del host > de sesión de Servicios de Escritorio remoto de Componentes > de Windows |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Nombre del valor de registro | fEncryptRPCTraffic |
| Nombre de archivo ADMX | TerminalServer.admx |
Artículos relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de