Sichern eines TSplus-Servers
Übersicht
Die Sicherung eines jeden Servers ist eine nie endende Geschichte, in der jeder Experte ein weiteres Kapitel hinzufügen könnte. TSplus profitiert von und ist kompatibel mit der bestehenden Sicherheitsinfrastruktur eines Unternehmens (Active Directory, GPOs, HTTPS-Server, SSL- oder SSL-Telekommunikationssysteme, VPN, Zugangskontrolle mit oder ohne ID-Karten usw.). Für Kunden, die ihre Server einfach sichern möchten, bietet TSplus eine Reihe einfacher und effektiver Möglichkeiten, um ein gutes Sicherheitsniveau durchzusetzen.
Ändern der RDP-Portnummer und Einrichten der Firewall
Mit dem AdminTool können Sie eine andere TCP/IP-Portnummer auswählen, die der RDP-Dienst für eingehende Verbindungen akzeptieren soll. Die Standardnummer ist 3389. Sie können jeden beliebigen Port wählen, vorausgesetzt, er wird nicht bereits in Ihrem Netzwerk verwendet und Sie stellen die gleiche Portnummer in Ihren Firewalls und in jedem TSplus-Benutzerzugangsprogramm ein.
TSplus bietet eine einzigartige Portweiterleitungs- und Tunnelungsfunktion: Unabhängig vom festgelegten RDP-Port ist das RDP auch über die HTTP- und HTTPS-Portnummer verfügbar!
Wenn Benutzer von außerhalb Ihres Netzwerks auf Ihren TSplus-Server zugreifen möchten, müssen Sie sicherstellen, dass alle eingehenden Verbindungen über den gewählten Port an den TSplus-Server weitergeleitet werden. Klicken Sie auf der Registerkarte "Start" auf die Stift-Schaltfläche neben dem "RDP-Port":
Ändern Sie den RDP-Port und speichern Sie.
Server-seitige Sicherheitsoptionen
Das AdminTool ermöglicht es Ihnen, den Zugriff für jeden Benutzer zu verweigern, der kein von dem Administrator generiertes TSplus-Verbindungsprogramm verwendet. In diesem Fall wird jeder Benutzer, der versucht, eine Sitzung mit einem anderen Remote Desktop-Client als dem TSplus-Client zu öffnen (vorausgesetzt, er hat die richtige Serveradresse, die Portnummer, ein gültiges Anmeldekonto und ein gültiges Passwort), automatisch getrennt.
Der Administrator kann entscheiden, dass nur Mitglieder der Remote Desktop-Benutzergruppe wird erlaubt sein, eine Sitzung zu öffnen.
Der Administrator kann entscheiden, dass ein Passwort erforderlich ist, um eine Sitzung zu öffnen.
Durch die Festlegung der anwendbaren lokalen Gruppenrichtlinie kann der Administrator angeben, ob ein Verschlüsselungsniveau für alle Daten, die während einer Terminaldienste-Sitzung zwischen dem Client und dem Remote-Computer gesendet werden, durchgesetzt werden soll. Wenn der Status auf Aktiviert gesetzt ist, wird die Verschlüsselung für alle Verbindungen zum Server auf das vom Administrator festgelegte Niveau eingestellt. Standardmäßig ist die Verschlüsselung auf Hoch eingestellt.
Der Administrator kann auch als Regel festlegen, dass nur Benutzer mit einem TSplus-Verbindungsclient eine Sitzung öffnen können.
Jeder eingehende Zugriff mit einem standardmäßigen RDP oder einem Webzugriff wird automatisch abgelehnt.
Sitzungen Berechtigungen
Sie finden mehrere Optionen für erweiterte Sicherheit, wenn Sie auf die Registerkarte Sitzungen - Berechtigungen klicken:
-
Zugriff vom Microsoft RDP-Client für alle erlauben:
Erlaubt jedem Benutzer, sich mit mstsc.exe zu verbinden.
- Zugriff nur für Administratoren vom Microsoft RDP-Client erlauben: Erlaubt nur Administratoren, sich mit mstsc.exe zu verbinden.
- Zugriff vom Microsoft RDP-Client verweigern: Verhindern Sie, dass sich jemand mit mstsc.exe verbinden kann.
- Zugriff von außen verweigern: Es bedeutet, dass nur private IPs aus dem LAN eine Sitzung öffnen können.
- Zugriff auf die Mitglieder der Remote Desktop-Benutzer beschränken: Dieses Limit gilt nur für diese lokale Gruppe von Benutzern (die Sie sehen können, indem Sie auf die Benutzer und Gruppen-Kachel .
- Verschlüsselt die End-to-End-Kommunikation: Hochgradig verschlüsselt die Kommunikation zwischen Client und Server mit 128-Bit-Verschlüsselung. Verwenden Sie dieses Niveau, wenn die Clients, die auf den Terminalserver zugreifen, ebenfalls 128-Bit-Verschlüsselung unterstützen.
- Blockieren Sie den gesamten eingehenden Zugriff auf diesen Server: Alle aktiven Sitzungen bleiben aktiv, während alle eingehenden Verbindungsversuche blockiert werden. Stellen Sie sicher, dass Sie physisch auf die Konsole des Servers zugreifen können, wenn Sie dieses Kästchen aktivieren. Verwenden Sie diese Option nicht, wenn Ihr Server in einer Cloud-Umgebung gehostet wird.
- Deaktivieren Sie UAC und verbessern Sie den Windows-Zugriff: Deaktiviert die Benutzerkontensteuerung, entfernt alle unerwünschten Sicherheits-Pop-ups von Windows. Benutzerbeschränkung (Nachrichten) beim Starten von Anwendungen.
- Das Kontrollkästchen „Windows-Taste erlauben“ Erlauben Sie die Verwendung der Windows-Tasten und -Kombinationen innerhalb einer TSplus-Sitzung.
- Erlauben Sie nur Benutzern mit mindestens einer zugewiesenen Anwendung: Benutzer mit einer Anwendung und mehr dürfen eine Sitzung öffnen.
- Erlauben Sie CUT/PASTE innerhalb einer Sitzung: Das Deaktivieren dieses Kästchens wird die CTRL C/CTRL V-Befehle deaktivieren.
Zugriffsrestriktionen für das Webportal
- Keine Einschränkung
- Webportal ist für alle verpflichtend: Benutzer können sich nur über das Webportal verbinden.
- Webportal ist obligatorisch, außer für Administratoren: Benutzer können nur über das Webportal eine Verbindung herstellen, außer Administratoren.
- Webportal für Administratorkonten verbieten: Administratoren können sich nicht über das Webportal verbinden.
Die Server-Disklaufwerke ausblenden:
Das AdminTool enthält ein Werkzeug, das das Verstecken der Serverlaufwerke ermöglicht, um zu verhindern, dass Benutzer über "Mein Computer" oder die standardmäßigen Windows-Dialogfelder auf Ordner zugreifen. Klicken Sie auf der Registerkarte "Sitzungen" auf "Laufwerke ausblenden".
Dieses Tool funktioniert global. Das bedeutet, dass selbst der Administrator nach Anwendung der Einstellungen keinen normalen Zugriff auf Laufwerke hat. Im folgenden Beispiel wurden alle Treiber mit der Schaltfläche „alle auswählen“ ausgewählt, die alle Kästchen entsprechend den Laufwerken aktiviert, die für alle verborgen werden.
Hinweise: Diese Funktionalität ist leistungsstark und deaktiviert nicht den Zugriff auf die Festplatten. Sie verhindert lediglich, dass der Benutzer sie anzeigt.
Das Tool kennzeichnet die Festplattenlaufwerke als verborgen, fügt jedoch auch die EIGENSCHAFT VERBORGEN zu den gesamten Stammordnern und der Benutzerliste in Dokumente und Einstellungen hinzu.
Wenn der Administrator diese Dateien sehen möchte, muss er:
-
Geben Sie den Laufwerksbuchstaben ein. Zum Beispiel:
D:
- Einschalten VERSTECKTE DATEIEN UND ORDNER ANZEIGEN in den Eigenschaften der Ordneransicht.
Administrator-PIN-Code
Der Administrator kann den Zugriff auf das Administrator-Tool sichern, indem er einen PIN-Code festlegt, der bei jedem Start abgefragt wird, im Reiter "Erweitert" des AdminTools, unter den Produkteinstellungen:
TSplus Advanced Security Ultimate
Seit der Version TSplus 11.40 finden Sie ein einzigartiges Sicherheits-Add-on-Tool, das Sie im Tab Add-Ons starten können:
Was leistungsstarke Funktionen mit sich bringt, dokumentiert auf diese Seite .
Die Rolle des Bruteforce Protection im Webportal wird beschrieben unter diese Seite .
Zwei-Faktor-Authentifizierung
Seit der Version TSplus 12 können Sie die Zwei-Faktor-Authentifizierung als Add-On für Ihr TSplus Web-Portal aktivieren.
Weitere Informationen zu diesem erstaunlichen neuen Feature finden Sie auf diese Seite .
SSL-Zertifikate
SSL-Zertifikate werden auf diesen Seiten im Detail behandelt:
- TSplus bietet ein benutzerfreundliches Tool zur Erstellung eines kostenlosen und gültigen SSL-Zertifikats an: Kostenloses und einfach zu installierendes SSL-Zertifikat
- HTTPS & SSL-Drittanbieterzertifikate .
- Wählen Sie Ihr Cipher-Suiten zur Verbesserung der Sicherheit .
TSplus Zugriffsprogramm Sicherheitsoptionen:
Der TSplus-Client-Generator bietet die Möglichkeit, auf seiner Registerkarte Sicherheit den TSplus-Client zu sperren auf:
-
Ein spezifischer PC-Name. Das bedeutet, dass dieses Programm von keinem anderen PC aus gestartet werden kann.
-
Eine physische Laufwerksseriennummer (PC HDD oder USB-Stick). Dies ist eine sehr einfache und leistungsstarke Möglichkeit, ein hohes Maß an Sicherheit zu gewährleisten. Der einzige Weg, sich zu verbinden, ist mit einem bestimmten Client, und dieser bestimmte Client kann nur auf einem bestimmten USB-Stick oder PC HDD gestartet werden. Einige unserer Kunden liefern USB-Sticks mit Fingerabdrucklesern an jeden ihrer Benutzer, und jedes generierte Programm ist an die Geräteseriennummer gebunden. Auf diese Weise können sie den Zugriff auf das Programm des Clients selbst einschränken und sicherstellen, dass es nicht vom USB-Stick kopiert und anderswo verwendet werden kann.
Für weitere Informationen zu Sicherheitsfunktionen, überprüfen Sie TSplus Portable Client Generator Dokumentation und unsere FAQ.