TroutTrout
All docs

Configurar el acceso RDP

Intermedie el RDP a través de Access Gate: alcance una estación HMI sin ninguna exposición RDP entrante, proteja el escritorio detrás de identidad con una pantalla de acceso y delimite quién lo ve por enclave.

3 min read · Last updated 2026-06-23

Intermedie el RDP a través de Access Gate: alcance una estación HMI sin ninguna exposición RDP entrante, proteja el escritorio detrás de identidad con una pantalla de acceso y delimite quién lo ve por enclave, con TLS/NLA negociado y registrado de forma centralizada.

Qué obtiene

  • Escritorio protegido por identidad. El usuario se autentica en la pantalla de acceso de Access Gate antes de que se intermedie cualquier sesión RDP hacia el HMI.
  • Alcance de acceso por enclave/ACL. Solo los activos del enclave del operador son alcanzables; el HMI nunca queda directamente expuesto en la red. Consulte Listas de control de acceso.
  • DNS, autenticación y registro centralizados. Cada sesión RDP se intermedia y se registra a través de un único punto de control consciente de la identidad, sin reglas de firewall RDP por host.
  • Sin instalación de cliente ni software RDP multiplataforma. La sesión se ejecuta en el navegador, de modo que un operador en macOS, Windows o Linux se conecta de la misma manera.

Configuración

1. Añadir el activo

Registre el HMI (wonderware-hmi, 172.31.144.39:3389, RDP) como un activo y colóquelo en el enclave. Consulte Proteger un activo con enclaves.

Asset details for the RDP connection
Asset details for the RDP connection

2. Crear o asignar el enclave

Coloque el HMI y el operador en el mismo enclave para que Access Gate intermedie la conexión.

RDP access enclave
RDP access enclave

3. Conectar

El usuario se autentica con la pantalla de acceso de Access Gate y luego selecciona el dispositivo que quiere alcanzar.

User authenticated, with access listed
User authenticated, with access listed

4. Sesión RDP establecida

RDP access to the HMI
RDP access to the HMI

Cómo el RDP negocia la seguridad

El RDP elige una capa de seguridad durante el handshake X.224. El broker de Access Gate solicita, en este orden: SSL (TLS), luego HYBRID (NLA/CredSSP), luego RDP (heredado). El servidor debe poder satisfacer una, o el cliente rechaza con Server refused connection.

Ejemplo de la configuración de xrdp que importa (/etc/xrdp/xrdp.ini):

security_layer=negotiate     ; ofrece TLS/NLA, recurre a RDP
crypt_level=high
certificate=                 ; vacío, usa /etc/xrdp/cert.pem por defecto
key_file=                    ; vacío, usa /etc/xrdp/key.pem por defecto
ssl_protocols=TLSv1.2, TLSv1.3

Justificación del endurecimiento: mantenga security_layer=negotiate y crypt_level=high para que el broker obtenga TLS/NLA, no RDP heredado. La trampa: xrdp debe poder leer su clave privada TLS, o degrada en silencio y el cliente rechaza la sesión.

Resumen

Con el activo en un enclave y la pantalla de acceso por delante, el HMI solo es alcanzable a través de Access Gate: negociado en TLS, protegido por identidad, totalmente registrado, sin ninguna exposición RDP directa.

Relacionados

Previous
Configurar el acceso remoto SSH
Next
Configurar el acceso SMB