Vamos a configurar un equipo (o máquina virtual) con Windows 11 Pro para acceder remotamente con Escritorio Remoto y poder teletrabajar de la forma más segura que se pueda. Todo esto solo usando las herramientas que nos da Windows, sin añadir otras aplicaciones de terceros. Definiremos algunos detalles interesantes para un usuario de oficina remota y evitar en la medida de lo posible que toque nada vital del sistema operativo.

1 – Instalamos Windows en un equipo físico o en una máquina virtual. Durante la instalación, el usuario que nos hace crear le daremos un nombre poco común, como por ejemplo «UsuarioInstalacion» con una contraseña difícil(fuerte).

2 – Con «UsuarioInstalacion», que es un administrador, instalamos todo el software que necesitemos en el equipo ( una suite ofimática, el ERP de la empresa, … )

3- Vamos a Inicio/Configuración/Sistema/Escritorio Remoto y lo activamos.

4 – Evitar que un usuario de tipo Administrador puedan acceder remotamente:

Win + R / secpol.msc / Directivas Locales -> Asignación de derechos de Usuario -> Permitir el inicio de sesión a través de Servicios de Escritorio remoto / Eliminar el grupo Administradores

5 – No mostrar unidades A:, B:, C: y D:, y que solo se vean las unidades de red que nos interesen :

Win + R / gpedit.msc / Configuración de usuario -> Plantillas administrativas -> Componentes de Windows -> Explorador de Archivos -> Ocultar estas unidades específicas desde Mi PC / Habilitar y seleccionar «Restringir solo las unidades A, B, C y D» / Habilitar

5 – Quitar permisos al grupo Usuarios para que no puedan Apagar o Reiniciar el equipo :

Win + R / secpol.msc / Directivas locales -> Asignación de derechos de usuario -> Apagar el sistema / Quitar el grupo «Usuarios»

6 – Modificar reglas de inicio de sesión para evitar en lo posible un ataque de fuerza bruta. ( Por ejemplo, 2 intentos, bloqueo de 2 horas) :

Win + R / secpol.msc / Directivas de cuenta -> Directiva de bloqueo de cuenta / Poner el «Umbral de bloqueo de cuenta» en 2 intentos / «Duración del bloque de cuenta» y «Restablecer el bloqueo de cuenta después de» en 120 minutos

8 – Crear un Usuario ( No Administrador ) :

Win + R / compmgmt.msc / Herramientas del sistema -> Usuarios y grupos locales -> Usuarios / menú «Acción» -> Usuario nuevo… / crear usuario con contraseña difícil (fuerte)

9 – Añadir al Usuario al grupo de Escritorio Remoto para que pueda acceder.

Win + R / compmgmt.msc / Herramientas del sistema -> Usuarios y grupos locales -> Grupos / Abrir grupo «Usuarios de escritorio remoto» y añadir el usuario que hemos creado.

10 – Abrir sesión de usuario y configurarlo al gusto, conectar unidades de red, accesos directos en el escritorio, …

11 – Para acceder al equipo se puede usar la aplicación de «Escritorio Remoto» de Windows. Para acceder desde fuera de la empresa hay que configurar el router para tener acceso al puerto 3389 de nuestro equipo. Se puede configurar en la sección NAT del router algún puerto poco evidente, 51001, por ejemplo, para que apunte a la IP interna del equipo configurado.