Asegurando un servidor TSplus
Resumen
Asegurar cualquier servidor es una historia interminable donde cada experto podría añadir otro capítulo. TSplus se beneficia de y es compatible con la infraestructura de seguridad existente en una empresa (Active Directory, GPOs, servidores HTTPS, sistemas de telecomunicaciones SSL o SSL, VPN, control de acceso con o sin tarjetas de identificación, etc.). Para los clientes que desean asegurar fácilmente sus servidores, TSplus ofrece un conjunto de formas simples y efectivas de imponer buenos niveles de seguridad.
Cambiando el número de puerto RDP y configurando el firewall
Con el AdminTool, puedes seleccionar un número de puerto TCP/IP diferente para que el servicio RDP acepte conexiones. El predeterminado es 3389. Puedes elegir cualquier puerto arbitrario, siempre que no esté ya en uso en tu red y que configures el mismo número de puerto en tus firewalls y en cada uno de los programas de acceso de usuario de TSplus.
TSplus incluye una capacidad única de reenvío de puertos y túneles: independientemente del puerto RDP que se haya configurado, el RDP también estará disponible en el número de puerto HTTP y HTTPS.
Si los usuarios quieren acceder a su servidor TSplus desde fuera de su red, debe asegurarse de que todas las conexiones entrantes en el puerto elegido se reenvíen al servidor TSplus. En la pestaña de Inicio, haga clic en el botón de lápiz junto a "Puerto RDP":
Cambia el puerto RDP y guarda.
Opciones de seguridad del lado del servidor
El AdminTool te permite denegar el acceso a cualquier usuario que no esté utilizando un programa de conexión de TSplus generado por el administrador. En este caso, cualquier usuario que intente abrir una sesión con cualquier cliente de Escritorio Remoto que no sea el de TSplus (suponiendo que tenga la dirección del servidor correcta, el número de puerto, un inicio de sesión válido y una contraseña válida) será desconectado automáticamente.
El administrador puede decidir que solo los miembros del grupo de usuarios de Escritorio Remoto. se le permitirá abrir una sesión.
El administrador puede decidir que una contraseña es obligatoria para abrir una sesión.
A través de la configuración de la Política de Grupo local aplicable, el administrador puede especificar si se debe aplicar un nivel de cifrado para todos los datos enviados entre el cliente y el ordenador remoto durante una sesión de Servicios de Terminal. Si el estado se establece en Habilitado, el cifrado para todas las conexiones al servidor se establece en el nivel decidido por el administrador. Por defecto, el cifrado se establece en Alto.
El administrador también puede establecer como regla que solo los usuarios con un cliente de conexión de TSplus podrán abrir una sesión.
Cualquier acceso entrante con un RDP estándar o un acceso web será rechazado automáticamente.
Permisos de sesiones
Puedes encontrar múltiples opciones de seguridad avanzada si haces clic en la pestaña Sesiones - Permisos:
-
Permitir acceso desde el cliente RDP de Microsoft para todos:
Permite a cada usuario conectarse utilizando mstsc.exe.
- Permitir acceso desde el cliente RDP de Microsoft solo para administradores: Permite solo a los administradores conectarse usando mstsc.exe.
- Denegar el acceso desde el cliente RDP de Microsoft: Evitar que alguien pueda conectarse utilizando mstsc.exe.
- Denegar acceso desde el exterior: Significa que solo las IPs privadas de la LAN podrán abrir una sesión.
- Limitar el acceso a los miembros de los usuarios de Remote Desktop: Este límite se aplica solo a este grupo local de usuarios (que puedes ver haciendo clic en el Usuarios y grupos tile .
- Encripta las comunicaciones de extremo a extremo: Alta cifra la comunicación cliente/servidor utilizando cifrado de 128 bits. Utilice este nivel cuando los clientes que acceden al servidor terminal también admitan cifrado de 128 bits.
- Bloquear todo el acceso entrante a este servidor: Todas las sesiones activas permanecerán activas, mientras que todos los intentos de conexiones entrantes serán bloqueados. Asegúrese de que puede acceder físicamente a la consola del servidor si marca esta casilla. No utilice esta opción si su servidor está alojado en un entorno de Cloud.
- Desactivar UAC y mejorar el acceso a Windows: Desactiva los Controles de Cuentas de Usuario, elimina todos los mensajes de seguridad no deseados de Windows. limitación de usuarios (mensajes) al iniciar aplicaciones.
- La casilla "Permitir tecla de Windows" permitir el uso de las teclas de Windows y combinaciones dentro de una sesión de TSplus.
- Permitir solo usuarios con al menos una aplicación asignada: Usuario con una aplicación y más pueden abrir una sesión.
- Permitir CORTAR/PEGAR dentro de una sesión: desmarcar esta casilla desactivará los comandos CTRL C/CTRL V
Restricciones de acceso al portal web
- Sin Restricción
- El Portal Web es obligatorio para todos: los usuarios solo pueden conectarse a través del Portal Web.
- El portal web es obligatorio, excepto para los administradores: los usuarios solo pueden conectarse a través del portal web, excepto los administradores.
- Prohibir el Portal Web para cuentas de Administradores: Los administradores no pueden conectarse a través del Portal Web.
Ocultando las unidades de disco del servidor:
El AdminTool incluye una herramienta que permite ocultar las unidades de disco del servidor para evitar que los usuarios accedan a carpetas a través de Mi PC o cuadros de diálogo estándar de Windows. En la pestaña de Sesiones, haga clic en "Ocultar unidades de disco".
Esta herramienta funciona a nivel global. Esto significa que incluso el administrador no tendrá acceso normal a las unidades después de que se hayan aplicado los ajustes. En el ejemplo a continuación, se han seleccionado todos los controladores con el botón "seleccionar todo", que marcará todas las casillas correspondientes a las unidades que estarán ocultas para todos.
Notas: Esta funcionalidad es poderosa y no desactiva el acceso a las unidades de disco. Solo impide que el usuario las muestre.
La herramienta marca las unidades de disco como ocultas, pero también agrega la propiedad OCULTO a todas las carpetas raíz y a la lista de usuarios en Documentos y Configuración.
Si el administrador quiere ver estos archivos, debe:
-
Escriba la letra de la unidad de disco. Por ejemplo:
D:
- Activar MOSTRAR ARCHIVOS Y CARPETAS OCULTOS en las propiedades de vista de la carpeta.
Código PIN del administrador
El Administrador puede asegurar el acceso a la Herramienta del Administrador configurando un código PIN que se solicitará en cada inicio, en la pestaña Avanzada de la AdminTool, bajo la Configuración del Producto:
TSplus Advanced Security Ultimate
Desde la versión 11.40 de TSplus, encontrará una herramienta de complemento de seguridad única, que puede iniciar en la pestaña de complementos:
Lo que trae características potentes, documentadas en esta página .
El rol de Protección contra Fuerza Bruta en el Portal Web se describe en esta página .
Autenticación de Dos Factores
Desde la versión 12 de TSplus, puedes habilitar la autenticación de dos factores como un complemento para tu Portal Web de TSplus.
Más información sobre esta increíble nueva función se puede encontrar en esta página .
Certificados SSL
El proceso de certificados SSL se detalla en estas páginas:
- TSplus proporciona una herramienta fácil de usar para generar un certificado SSL gratuito y válido: Certificado SSL gratuito y fácil de instalar
- HTTPS y certificados SSL de terceros .
- Elija su Conjuntos de cifrado para mejorar la seguridad .
Opciones de seguridad del programa de acceso de TSplus:
El generador de clientes de TSplus ofrece la capacidad, en su pestaña de Seguridad, de bloquear el cliente de TSplus a:
-
Un nombre de PC específico. Significa que este programa no podrá iniciarse desde ningún otro PC.
-
Un número de serie de unidad física (HDD de PC o memoria USB). Esta es una forma muy fácil y poderosa de establecer un alto nivel de seguridad. La única forma de conectarse es con un cliente específico, y este cliente específico solo puede iniciarse en una memoria USB o HDD de PC específica. Algunos de nuestros clientes están entregando memorias USB con lectura de huellas dactilares a cada uno de sus usuarios y cada programa generado está bloqueado al número de serie del dispositivo. De esta manera, pueden restringir el acceso al programa del cliente en sí, así como asegurarse de que no se pueda copiar de la memoria USB y utilizar en otro lugar.
Para más información sobre las características de seguridad, consulte Documentación del Generador de Clientes Portátiles de TSplus y nuestras preguntas frecuentes.