¿cuánta amenaza de seguridad sería esta?

Tendrías dos tipos de riesgos:

1. Podría haber una falla en el código del servidor. Esta es una situación genérica para cada servidor, pero se sabe que un servidor de Escritorio remoto es relativamente complejo y, por lo tanto, probablemente tenga más errores explotables que, por ejemplo, un servidor SSH. Los mismos Microsoft ofrecen un producto adicional llamado Gateway de escritorio remoto (anteriormente conocida como Puerta de enlace de Terminal Services ) que actúa como un paso intermedio. La puerta de enlace ejecuta un servidor SSL "normal", en el puerto 443, y puede realizar una autenticación de usuario, pero es mucho más simple (y por lo tanto se supone que es más fuerte) que un servidor de escritorio remoto completo, ya que en realidad no maneja el servidor. Protocolo de escritorio remoto: simplemente lo reenvía al servidor de escritorio remoto real.

   Tenga en cuenta que entre las posibles "fallas" en el Escritorio remoto se encuentra la configuración , en particular con respecto a los certificados. Un servidor de Escritorio remoto básico puede usar varias capas de encriptación, algunas personalizadas, algunas que encapsulan SSL. Un punto crítico es que, dependiendo de la configuración y de cómo lo maneja el usuario, el cliente puede no validar correctamente el certificado del servidor (en particular cuando el certificado del servidor se ha generado automáticamente y se auto-ejecuta). firmado). En ese caso, el cliente está abierto a un ataque Man-in-the-Middle . Una vez más, la puerta de enlace hace que las cosas sean más robustas, ya que aplica un modelo de servidor SSL muy similar a la web que es más difícil de configurar mal.

2. Si un usuario tiene permiso para abrir una sesión en el servidor, en virtud de presentar una contraseña coincidente, y esa contraseña es débil, entonces un atacante podría ejecutar un ataque de diccionario , lo que significa probar posibles contraseñas hasta encontrar la correcta. Esto sería un ataque de diccionario en línea , y es posible que pueda notar automáticamente dicho ataque en curso por la gran cantidad de eventos de "inicio de sesión fallido". Sin embargo, si el atacante tiene éxito, puede ejecutar un código arbitrario en la máquina. La escalada de privilegios en una máquina local tiende a funcionar (las fallas explotables localmente son mucho más comunes que las fallas remotas), por lo que básicamente ha perdido.

   La única buena defensa contra contraseñas débiles es educar a los usuarios para que elijan contraseñas más seguras. Como medida de mitigación, también puede restringir el acceso a Escritorio remoto a algunos usuarios específicos; de forma predeterminada, solo los miembros del grupo local Remote Desktop Users podrán abrir una sesión. El primer paso debe ser decidir quién está autorizado a hacer eso en la máquina (como sugiere @Hennes, dado que la máquina es un controlador de dominio, la lista de personas que pueden abrir una sesión debe estar limitada a solo el administrador, o lo estás haciendo mal).

Remote Desktop Gateway no es gratis y suele requerir una máquina adicional. Una alternativa más económica es implementar una solución VPN como OpenVPN (el software principal es GPL, no se necesita licencia). Esto es funcionalmente equivalente. Sin embargo, no hará nada contra contraseñas débiles.