Cómo usar el modo Sombra para ver la sesión de escritorio de un usuario remoto en Windows

El Remedo de Escritorio Remoto es una joya escondida para los administradores que necesitan acceder a la sesión de un usuario sin interrumpirlo demasiado. Es como el soporte remoto, pero más integrado en Windows. Puedes ver lo que hace el usuario y, según cómo lo configures, incluso tomar el control, lo cual es muy práctico si alguien tiene problemas que no puedes explicar por chat. En Windows 11, 10 e incluso en Windows Server RDS, esta función puede ahorrar mucho tiempo.¿El truco? Tienes que configurarlo bien o será un callejón sin salida. Aquí tienes una guía básica para configurarlo correctamente y conectarte sin complicaciones.

Cómo habilitar y usar el sombreado de escritorio remoto en Windows

Configurar el modo de conexión Shadow en la máquina de destino

Esta parte consiste en asegurarse de que la máquina que desea replicar acepte esas conexiones. Porque Windows, por supuesto, tiene que complicarlo innecesariamente. Primero, habilite Escritorio Remoto (RDP):

  • Vaya a Configuración > Sistema > Escritorio remoto.
  • Activar “Habilitar Escritorio remoto”.
  • Para configuraciones de grupo, la implementación habitual es mediante GPO en Configuración del equipo > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio remoto. Busque » Establecer reglas para el control remoto de sesiones de usuario de Servicios de Escritorio remoto».

Ahora, tu cuenta necesita privilegios de administrador en la máquina de destino: puedes agregarte como administrador o ejecutar los comandos como administrador. Esto es prácticamente imprescindible, ya que sin derechos de administrador, el shadowing no funcionará.

Establecer el modo sombra a través del Registro o la Política de grupo

Aquí es donde las cosas se vuelven más específicas. Puedes configurar si la sesión de shadow es de solo lectura o autorizada por el control. Mediante GPO o modificaciones del registro:

  • Abra el Editor de políticas de grupo gpedit.msc.
  • Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio remoto > Host de sesión remota > Conexiones.
  • Busque y habilite Establecer reglas para el control remoto de sesiones de usuario de Servicios de Escritorio remoto.
  • Seleccione el modo que desee. Por ejemplo, el modo 4 (ver sin permiso del usuario) se configura así:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 4 /f

No sé por qué funciona, pero en algunas configuraciones, es necesario reiniciar o actualizar la GPO (gpupdate /force) para que surta efecto. Además, el control predeterminado es total con confirmación del usuario, así que si quieres una visualización silenciosa, esa clave de registro es tu mejor aliada.

Ajustar las reglas del firewall para el tráfico oculto

Súper molesto: Windows usa puertos especiales para el sombreado, no solo el 3389. Necesitas abrir:

  • 139/TCP
  • 445/TCP
  • Una gama de puertos RPC dinámicos: desde 49152 hasta 65535

Asegúrate de que estén permitidos a través del Firewall de Windows Defender. Puedes hacerlo mediante GPO o PowerShell:

Enable-NetFirewallRule -DisplayGroup "File and Printer Sharing (SMB-In)" Enable-NetFirewallRule -DisplayGroup "Remote Desktop - Shadow (TCP-In)"

De esta manera, el tráfico en la sombra puede pasar sin bloquearse.

Conexión remota a la sesión de un usuario

Esta es la parte divertida. Una vez configurado todo, puedes usar mstsc.exe con algunas opciones. El comando básico es así:

Mstsc.exe /shadow:<Session ID> /v:<Computername or IP>

Para conocer las sesiones de usuario y sus ID, ejecute:

qwinsta /server:RemotePC

Esto muestra sesiones activas y, si tienes suerte (o mala suerte), la sesión de consola es ID 1. Si no, es ese número, así que verifícalo con cuidado.

Ejemplo: si el ID de sesión es 1, conectarse con:

Mstsc /shadow:1 /v:RemotePC

El usuario recibe un mensaje preguntándole si está de acuerdo, a menos que añada /noConsentPrompt. Si acepta, podrá ver su escritorio; sin embargo, a menos que añada /control, será de solo lectura. En algunas configuraciones, la ventana permanece en negro hasta que el usuario acepte o hasta que usted obtenga el control.

Si quieres tomar el control, añade /control ; el título de la ventana cambia a «Controlando…» y puedes mover el ratón y escribir. Advertencia: Si el usuario recibe mensajes del Control de Cuentas de Usuario (UAC) o la sesión está bloqueada, tu sombra podría congelarse o volverse negra, y solo tendrás que esperar a que confirme el UAC.

Cosas adicionales: Notificaciones y registros

¿Quieres que el usuario sepa que alguien lo está observando? Fácil: usa un script de PowerShell como:

while($true){ if (Get-Process -Name "RdpSa" -ErrorAction SilentlyContinue){[console]::beep(1000, 500);Write-Host "RdpSa is running at $(Get-Date)"} Start-Sleep -Seconds 1 }

Esto puede emitir pitidos o mostrar notificaciones emergentes si se ejecuta como un servicio o una tarea programada. Además, revise los registros de eventos de Windows en Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational para ver eventos como 20508 (permiso de visualización concedido) o 20503/20504 (inicio/detención).

Comandos de PowerShell para extraer registros:

$EventIds = 20508, 20503, 20504 Get-WinEvent -FilterHashTable @{LogName='Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational';ID=$EventIds}

En resumen, el remedo en Windows no es solo para herramientas de grandes empresas. Si se configura correctamente, es una forma sencilla de acceder a una sesión de usuario al instante, sin necesidad de herramientas de soporte de terceros. Basta con una pequeña configuración y listo.