Al conceder acceso RDP a una instancia Windows EC2 resulta tentador abrir el puerto 3389 a todo el mundo 0.0.0.0/0. Eso es un riesgo de ciberseguridad serio. En su lugar, AWS Systems Manager Fleet Manager permite conectar por un canal seguro sin exponer RDP a internet.
Recientemente me encontré con un problema en el que Fleet Manager fallaba con el mensaje Unable to establish Remote Desktop connection y mostraba invalid credentials indicando que el usuario no tenía permiso para iniciar sesión por Remote Desktop.
Causa principal
En la AMI Windows Server 2022 Base la cuenta predeterminada Administrator existía, pero su contraseña ya había expirado. Dado que las conexiones RDP, incluidas las que se realizan a través del túnel de SSM Fleet Manager, requieren una contraseña válida y activa, las credenciales expiradas provocaron el fallo de inicio de sesión.
Solución
Restablece la contraseña del usuario Administrator mediante SSM Run Command y verifica la pertenencia al grupo de Escritorio remoto. Por ejemplo
net user Administrator ContraseñaRobusta28x@73
Add-LocalGroupMember -SID S-1-5-32-555 -Member Administrator
Después inicia sesión a través de Fleet Manager RDP con tu nombre de usuario y la nueva contraseña.
Buenas prácticas
- Nunca expongas RDP 3389 a 0.0.0.0/0
- Utiliza SSM Fleet Manager para el acceso seguro
- Aplica contraseñas fuertes y rotación periódica
- Asegura que la instancia EC2 tenga el rol IAM AmazonSSMManagedInstanceCore
- Mantén AWS Systems Manager Agent actualizado y registra la instancia en SSM
- Si necesitas abrir RDP de forma temporal, limita el acceso a IPs de confianza mediante Security Groups
Conclusión
Si Fleet Manager RDP muestra invalid credentials suele ser un problema de contraseña en Windows, no de SSM. Restablece la contraseña a través de SSM y podrás acceder sin exponer el puerto 3389.
Cómo podemos ayudarte
En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida, especialistas en inteligencia artificial, ia para empresas, agentes IA, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio y power bi, así como automatización de procesos y modernización de plataformas. Si necesitas diseñar una arquitectura segura en la nube, migrar cargas de trabajo o implementar acceso remoto sin abrir puertos, nuestro equipo puede acompañarte de extremo a extremo. Descubre más sobre nuestros servicios cloud AWS y Azure y cómo fortalecemos tu postura de seguridad con nuestro servicio de ciberseguridad y pentesting.
Referencias
Conectar a Windows EC2 usando Systems Manager y Fleet Manager Remote Desktop Connections