De forma predeterminada, las sesiones de Servicios de Escritorio remoto están configuradas para negociar el nivel de cifrado del cliente para servidor de Host de sesión de Escritorio remoto. Puede mejorar la seguridad de las sesiones de Servicios de Escritorio remoto requiriendo el uso de Seguridad de la capa de transporte (TLS) 1.0. TLS 1.0 comprueba la identidad del servidor de Host de sesión de Escritorio remoto y cifra toda la comunicación entre el servidor de Host de sesión de Escritorio remoto y el equipo cliente. El equipo cliente y el servidor de Host de sesión de Escritorio remoto deben estar configurados correctamente para que TLS mejore la seguridad.
 | Nota |
Para obtener más información acerca del host de sesión de Escritorio remoto, vea la página acerca de Servicios de Escritorio remoto del sitio web de TechCenter de Windows Server 2008 R2 en |
Hay tres capas de seguridad disponibles.
| Capa de seguridad | Descripción |
|---|---|
SSL (TLS 1.0) |
Se usará SSL (TLS 1.0) para la autenticación del servidor y para el cifrado de todos los datos que se transfieran entre el servidor y el cliente. |
Negotiate |
Éste es el valor predeterminado. Se usará la capa más segura que admita el cliente. Si se admite, se usará SSL (TLS 1.0). Si el cliente no admite SSL (TLS 1.0), se usará la capa de seguridad de RDP. |
Capa de seguridad de protocolo de escritorio remoto (RDP) |
En las comunicaciones entre servidor y cliente se usará el cifrado RDP nativo. Si selecciona la capa de seguridad de protocolo de escritorio remoto, no puede usar la Autenticación a nivel de red. |
Un certificado, usado para comprobar la identidad del servidor de Host de sesión de Escritorio remoto y cifrar la comunicación entre el Host de sesión de Escritorio remoto y el cliente, es necesario para usar la capa de seguridad de TLS 1.0. Puede seleccionar un certificado que haya instalado en el servidor de Host de sesión de Escritorio remoto o puede usar el certificado autofirmado.
 | Precaución |
Se recomienda obtener e instalar un certificado emitido por una de las entidades de certificación públicas de confianza que participan en el programa de certificados raíz de Microsoft. |
De forma predeterminada, las conexiones de Servicios de Escritorio remoto se cifran en el nivel más alto de seguridad disponible. Sin embargo, algunas versiones anteriores del cliente de Conexión a Escritorio remoto no admiten este alto nivel de cifrado. Si este tipo de clientes antiguos están presentes en la red, puede establecer el nivel de cifrado de la conexión para que los datos se envíen y se reciban en el nivel de cifrado más alto que el cliente admita.
Existen cuatro niveles de cifrado.
| Nivel de cifrado | Descripción |
|---|---|
Compatible con FIPS |
Este nivel cifra y descifra los datos enviados del cliente al servidor y del servidor al cliente por medio de métodos de cifrado validados por FIPS (Estándar federal de procesamiento de información) 140-1. Los clientes que no admiten este nivel de cifrado no se pueden conectar. |
Alta |
Este nivel cifra los datos enviados del cliente al servidor y del servidor al cliente por medio del cifrado de 128 bits. Use este nivel cuando el servidor del Host de sesión de Escritorio remoto se ejecute en un entorno que contenga solamente clientes de 128 bits (como los clientes de Conexión a Escritorio remoto). Los clientes que no admitan este nivel de cifrado no podrán conectarse. |
Cliente compatible |
Éste es el valor predeterminado. Este nivel cifra los datos que se envían entre el cliente y el servidor con la intensidad de clave máxima que el cliente admita. Use este nivel cuando el servidor del Host de sesión de Escritorio remoto se ejecute en un entorno donde haya clientes antiguos o diversos. |
Baja |
Este nivel cifra los datos que se envían del cliente al servidor por medio del cifrado de 56 bits. Los datos enviados del servidor al cliente no se cifran. |
Realice el procedimiento siguiente para definir la configuración del cifrado y de la autenticación del servidor para una conexión en el servidor del Host de sesión de Escritorio remoto.
El requisito mínimo para realizar este procedimiento es pertenecer al grupo Administradores local o equivalente del servidor de host de sesión de Escritorio remoto que se va a configurar. Vea los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en
 | Para definir la configuración de cifrado y autenticación del servidor para una conexión |
En el servidor de host de sesión de Escritorio remoto, abra Configuración de host de sesión de Escritorio remoto. Para abrir Configuración de host de sesión de Escritorio remoto, haga clic en Inicio, seleccione Herramientas administrativas, seleccione Servicios de Escritorio remoto y, a continuación, haga clic en Configuración de host de sesión de Escritorio remoto.
En Conexiones, haga clic con el botón secundario en el nombre de la conexión y, a continuación, haga clic en Propiedades.
En el cuadro de diálogo Propiedades para la conexión, en la ficha General, seleccione la autenticación del servidor y la configuración de cifrado adecuada para el entorno, según sus requisitos de seguridad y el nivel de seguridad que los equipos cliente pueden admitir.
Si elige SSL (TLS 1.0), seleccione un certificado que esté instalado en el servidor de Host de sesión de Escritorio remoto o haga clic en Predeterminado para generar un certificado autofirmado. Si va a usar un certificado autofirmado, su nombre se mostrará como Generado automáticamente.
Haga clic en Aceptar.
También puede definir la configuración de cifrado y autenticación del servidor aplicando las siguientes opciones de directiva de grupo:
- Establecer el nivel de cifrado de conexión de cliente
- Requerir el uso de un nivel de seguridad específico para conexiones remotas (RDP)
- Plantilla de certificado de autenticación de servidor
- Requerir la autenticación del usuario para las conexiones remotas mediante Autenticación a nivel de red
Estas configuraciones de directiva de grupo se encuentran en Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Seguridad y se puede configurar mediante el Editor de directivas de grupo local o la Consola de administración de directivas de grupo (GPMC). Tenga en cuenta que estas opciones de directiva de grupo tienen prioridad sobre las configuradas en Configuración de host de sesión de Escritorio remoto, con la excepción de la opción de directiva Plantilla de certificado de autenticación de servidor.
Puede configurar el servidor del Host de sesión de Escritorio remoto para usar FIPS como el nivel de cifrado aplicando la configuración de directiva de grupo Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash. Esta opción de directiva de grupo se encuentra en Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad y se puede configurar con el Editor de directivas de grupo local o la Consola de administración de directivas de grupo (GPMC). Tenga en cuenta que esta opción de directiva de grupo prevalecerá sobre la opción configurada en Configuración de host de sesión de Escritorio remoto y sobre la opción de directiva Establecer el nivel de cifrado de conexión de cliente.
Para obtener más información acerca de la configuración de directiva de grupo para Servicios de Escritorio remoto, vea la referencia técnica de Servicios de escritorio remoto en