Conceder acceso RDP a una instancia Windows EC2 abriendo el puerto 3389 a 0.0.0.0/0 es un riesgo crítico de seguridad. En su lugar, AWS SSM Fleet Manager permite conectarte por un canal seguro sin exponer RDP a internet.
Recientemente me encontré con el error en Fleet Manager: Unable to establish Remote Desktop connection. Verify that valid credentials were provided, and that the user you specified has been granted permission to log in through Remote Desktop
Causa raíz
En la AMI Windows Server 2022 Base, la cuenta predeterminada Administrator existía, pero su contraseña ya había expirado. Como RDP, incluido el túnel de SSM Fleet Manager, exige credenciales válidas y activas, la contraseña expirada provocó el fallo de inicio de sesión.
Solución
1 Verifica que la instancia EC2 tenga el rol IAM AmazonSSMManagedInstanceCore y que el agente SSM esté activo. 2 Desde AWS Systems Manager, ejecuta Run Command con AWS-RunPowerShellScript o AWS-RunShellScript para restablecer la contraseña del usuario Administrator con una contraseña fuerte. Por ejemplo ejecuta: net user Administrator ContraseñaFuerte123! 3 Si es necesario, agrega la cuenta al grupo de Escritorio remoto. En sistemas en inglés el grupo es Remote Desktop Users y en español Usuarios de escritorio remoto. Comando de ejemplo: net localgroup Remote Desktop Users Administrator /add o net localgroup Usuarios de escritorio remoto Administrator /add 4 Inicia sesión desde Fleet Manager RDP con el usuario y la nueva contraseña.
Buenas prácticas
No expongas RDP 3389 a 0.0.0.0/0. Utiliza SSM Fleet Manager para acceso seguro. Aplica contraseñas robustas y rodación periódica. Comprueba que la instancia tenga el rol AmazonSSMManagedInstanceCore y políticas de firewall locales coherentes. Evalúa habilitar MFA para accesos administrativos y registros centralizados.
Conclusión
Si Fleet Manager RDP muestra Invalid credentials casi siempre el problema es la contraseña en Windows y no SSM. Restablece la contraseña mediante SSM y vuelve a intentar la conexión.
En Q2BSTUDIO ayudamos a empresas a operar en la nube con seguridad de extremo a extremo. Nuestro equipo diseña e implementa arquitectura y operación con servicios cloud aws y azure, refuerza la ciberseguridad y el cumplimiento, y mejora la eficiencia con automatización y observabilidad. Conoce nuestros servicios cloud AWS y Azure o refuerza tu postura de seguridad con nuestro equipo de ciberseguridad y pentesting.
Además, desarrollamos software a medida y aplicaciones a medida, integramos inteligencia artificial e ia para empresas con agentes IA, y potenciamos la toma de decisiones mediante servicios inteligencia de negocio y power bi. Somos tu socio técnico para escalar soluciones de alto impacto, desde pruebas de concepto hasta plataformas empresariales en producción.
Consejos de diagnóstico rápido
Valida que la cuenta no esté deshabilitada ni caducada. Comprueba que el usuario esté autorizado a iniciar sesión por Escritorio remoto. Revisa políticas locales y de dominio que puedan forzar expiración de contraseña o bloquear el login. Asegura conectividad SSM saliente a los endpoints necesarios.
Referencia útil
Guía oficial de AWS para Remote Desktop con Fleet Manager: AWS Fleet Manager Remote Desktop Connections