تخطي إلى المحتوى

تأمين خادم TSplus

نظرة عامة

تأمين أي خادم هو قصة لا تنتهي حيث يمكن لكل خبير إضافة فصل آخر. تستفيد TSplus من البنية التحتية الأمنية الموجودة في الشركة (Active Directory، GPOs، خوادم HTTPS، أنظمة الاتصالات SSL أو SSL، VPN، التحكم في الوصول مع أو بدون بطاقات الهوية، إلخ). للعملاء الذين يرغبون في تأمين خوادمهم بسهولة، تقدم TSplus مجموعة من الطرق البسيطة والفعالة لفرض مستويات جيدة من الأمان.

تغيير رقم منفذ RDP وإعداد جدار الحماية

مع أداة AdminTool، يمكنك اختيار رقم منفذ TCP/IP مختلف لخدمة RDP لقبول الاتصالات. الرقم الافتراضي هو 3389. يمكنك اختيار أي منفذ عشوائي، بشرط ألا يكون مستخدمًا بالفعل على شبكتك وأن تقوم بتعيين نفس رقم المنفذ على جدران الحماية الخاصة بك وعلى كل برامج وصول مستخدمي TSplus.

تتضمن TSplus ميزة فريدة لتوجيه المنافذ ونفقتها: بغض النظر عن منفذ RDP الذي تم تعيينه، سيكون RDP متاحًا أيضًا على رقم منفذ HTTP و HTTPS!

إذا كان المستخدمون يرغبون في الوصول إلى خادم TSplus الخاص بك من خارج شبكتك، يجب عليك التأكد من أن جميع الاتصالات الواردة على المنفذ المختار يتم توجيهها إلى خادم TSplus. في علامة التبويب الرئيسية، انقر على زر القلم بجوار "منفذ RDP":

Screenshot 1-1 قم بتغيير منفذ RDP واحفظ.

خيارات أمان الخادم

تتيح لك أداة الإدارة رفض الوصول إلى أي مستخدم لا يستخدم برنامج اتصال TSplus الذي تم إنشاؤه بواسطة المسؤول. في هذه الحالة، سيتم فصل أي مستخدم يحاول فتح جلسة مع أي عميل سطح مكتب بعيد غير عميل TSplus (بافتراض أن لديه عنوان الخادم الصحيح، ورقم المنفذ، وتسجيل دخول صالح وكلمة مرور صالحة) تلقائيًا.

يمكن للمسؤول أن يقرر أن أعضاء مجموعة مستخدمي سطح المكتب البعيد فقط سيسمح بفتح جلسة.

يمكن للمسؤول أن يقرر أن كلمة المرور إلزامية لفتح جلسة.

من خلال إعداد سياسة المجموعة المحلية المعمول بها، يمكن للمسؤول تحديد ما إذا كان يجب فرض مستوى تشفير لجميع البيانات المرسلة بين العميل والكمبيوتر البعيد أثناء جلسة خدمات المحطة الطرفية. إذا تم تعيين الحالة على "مفعل"، يتم تعيين التشفير لجميع الاتصالات بالخادم إلى المستوى الذي يقرره المسؤول. بشكل افتراضي، يتم تعيين التشفير على "عالي".

يمكن للمسؤول أيضًا تعيين قاعدة مفادها أن المستخدمين الذين لديهم عميل اتصال TSplus فقط سيكونون قادرين على فتح جلسة.
سيتم رفض أي وصول وارد باستخدام RDP قياسي أو وصول عبر الويب تلقائيًا.

أذونات الجلسات

يمكنك العثور على خيارات أمان متقدمة متعددة إذا نقرت على علامة التبويب الجلسات - الأذونات:

Screenshot 2-1 Screenshot 2-1 - السماح بالوصول من عميل Microsoft RDP للجميع: يسمح لكل مستخدم بالاتصال باستخدام mstsc.exe.

  • السماح بالوصول من عميل Microsoft RDP للمسؤولين فقط: يسمح فقط للمسؤولين بالاتصال باستخدام mstsc.exe.
  • رفض الوصول من عميل Microsoft RDP: منع أي شخص من القدرة على الاتصال باستخدام mstsc.exe.
  • رفض الوصول من الخارج: يعني أن عناوين IP الخاصة فقط من الشبكة المحلية ستكون قادرة على فتح جلسة.
  • قم بتقييد الوصول لأعضاء مستخدمي سطح المكتب البعيد: هذا الحد ينطبق فقط على هذه المجموعة المحلية من المستخدمين (التي يمكنك رؤيتها من خلال النقر على لوحة المستخدمين والمجموعات .
  • يشفّر الاتصالات من النهاية إلى النهاية: يتم تشفير اتصالات العميل/الخادم بشكل عالٍ باستخدام تشفير 128 بت. استخدم هذا المستوى عندما يدعم العملاء الذين يصلون إلى خادم المحطة أيضًا تشفير 128 بت.
  • قم بحظر جميع الوصول الوارد إلى هذا الخادم: ستظل جميع الجلسات النشطة نشطة، بينما ستُحظر جميع محاولات الاتصال الواردة. تأكد من أنه يمكنك الوصول فعليًا إلى وحدة التحكم في الخادم إذا قمت بتحديد هذا الخيار. لا تستخدم هذا الخيار إذا كان خادمك مستضافًا في بيئة سحابية.
  • تعطيل UAC وتعزيز وصول Windows: يعطل عناصر التحكم في حسابات المستخدمين، ويزيل جميع النوافذ المنبثقة الأمنية غير المرغوب فيها من ويندوز. قيود المستخدمين (الرسائل) أثناء تشغيل التطبيقات.
  • مربع "السماح بمفتاح ويندوز" السماح باستخدام مفاتيح ويندوز والتركيبات داخل جلسة TSplus.
  • اسمح فقط للمستخدمين الذين لديهم على الأقل تطبيق واحد مخصص: يسمح للمستخدم الذي لديه تطبيق واحد وأكثر بفتح جلسة.
  • السماح بالقص/النسخ داخل الجلسة: إلغاء تحديد هذا المربع سيعطل أوامر CTRL C/CTRL V

قيود الوصول إلى بوابة الويب

  • لا قيود
  • بوابة الويب إلزامية للجميع: يمكن للمستخدمين الاتصال فقط عبر بوابة الويب.
  • بوابة الويب إلزامية، باستثناء المسؤولين: يمكن للمستخدمين الاتصال فقط عبر بوابة الويب، باستثناء المسؤولين.
  • يحظر بوابة الويب لحسابات المسؤولين: لا يمكن للمسؤولين الاتصال عبر بوابة الويب.

إخفاء محركات أقراص الخادم:

يتضمن AdminTool أداة تتيح إخفاء محركات أقراص الخادم لمنع المستخدمين من الوصول إلى المجلدات من خلال جهاز الكمبيوتر أو مربعات الحوار القياسية في ويندوز. في علامة التبويب الجلسات، انقر على "إخفاء محركات الأقراص".

Screenshot 3-1

تعمل هذه الأداة على مستوى عالمي. وهذا يعني أنه حتى المسؤول لن يتمكن من الوصول العادي إلى الأقراص بعد تطبيق الإعدادات. في المثال أدناه، تم اختيار جميع السائقين باستخدام زر "تحديد الكل"، والذي سيقوم بتحديد جميع المربعات المقابلة للأقراص التي ستظل مخفية عن الجميع.

Screenshot 3-2

ملاحظات: تتمتع هذه الوظيفة بالقوة ولا تعطل الوصول إلى محركات الأقراص. إنها فقط تمنع المستخدم من عرضها.

الأداة تعلن عن محركات الأقراص كخفية، لكنها تضيف أيضًا خاصية الخفاء إلى جميع المجلدات الجذرية وقائمة المستخدمين في المستندات والإعدادات.

إذا كان المسؤول يريد رؤية هذه الملفات، يجب عليه:

  1. اكتب حرف محرك الأقراص. على سبيل المثال: D: الذي سيأخذك إلى محرك الأقراص D:
  2. تشغيل عرض الملفات والمجلدات المخفية في خصائص عرض المجلد.

رمز تعريف المسؤول

يمكن للمسؤول تأمين وصول أداة المسؤول عن طريق تعيين رمز PIN سيتم طلبه في كل بداية، في علامة التبويب المتقدمة من AdminTool، تحت إعدادات المنتج:

Screenshot 4-1


TSplus Advanced Security Ultimate

منذ إصدار TSplus 11.40، ستجد أداة أمان فريدة من نوعها، يمكنك تشغيلها في علامة التبويب الإضافات:

Screenshot 5-1

التي توفر ميزات قوية، موثقة على هذه الصفحة .

Screenshot 5-2

دور مدافع هجمات القوة الغاشمة على بوابة الويب موصوف في هذه الصفحة .

المصادقة الثنائية

منذ إصدار TSplus 12، يمكنك تمكين المصادقة الثنائية كإضافة لبوابة TSplus على الويب الخاصة بك.

Screenshot 6-1

يمكن العثور على مزيد من المعلومات حول هذه الميزة الجديدة المذهلة في هذه الصفحة .

شهادات SSL

عملية شهادات SSL موضحة بالتفصيل في هذه الصفحات:

خيارات أمان برنامج وصول TSplus:

يمنح مولد عميل TSplus القدرة، في علامة التبويب الأمان الخاصة به، لقفل عميل TSplus إلى:

  • اسم جهاز كمبيوتر محدد. يعني أن هذا البرنامج لن يكون قادرًا على البدء من أي جهاز كمبيوتر آخر.

  • رقم تسلسلي لمحرك أقراص فعلي (قرص صلب للكمبيوتر أو مفتاح USB). هذه طريقة سهلة وقوية جدًا لتعيين مستوى عالٍ من الأمان. الطريقة الوحيدة للاتصال هي باستخدام عميل محدد، ويمكن لهذا العميل المحدد أن يبدأ فقط على مفتاح USB معين أو قرص صلب للكمبيوتر. بعض عملائنا يقومون بتسليم مفاتيح USB لقراءة بصمات الأصابع لكل من مستخدميهم، وكل برنامج يتم إنشاؤه مقفل على رقم تسلسلي للجهاز. بهذه الطريقة، يمكنهم تقييد الوصول إلى برنامج العميل نفسه، بالإضافة إلى ضمان عدم إمكانية نسخه من مفتاح USB واستخدامه في مكان آخر.

Screenshot 7-1

للحصول على مزيد من المعلومات حول ميزات الأمان، تحقق من وثائق مولد عميل TSplus المحمول وأسئلتنا الشائعة.