Sécuriser un serveur TSplus
Aperçu
Sécuriser n'importe quel serveur est une histoire sans fin où chaque expert pourrait ajouter un autre chapitre. TSplus bénéficie de l'infrastructure de sécurité existante dans une entreprise (Active Directory, GPO, serveurs HTTPS, systèmes de télécommunication SSL ou SSL, VPN, contrôle d'accès avec ou sans cartes d'identité, etc.). Pour les clients qui souhaitent sécuriser facilement leurs serveurs, TSplus propose un ensemble de méthodes simples et efficaces pour garantir de bons niveaux de sécurité.
Changer le numéro de port RDP et configurer le pare-feu
Avec l'AdminTool, vous pouvez sélectionner un numéro de port TCP/IP différent pour que le service RDP accepte les connexions. Le port par défaut est 3389. Vous pouvez choisir n'importe quel port arbitraire, à condition qu'il ne soit pas déjà utilisé sur votre réseau et que vous définissiez le même numéro de port sur vos pare-feu et sur chaque programme d'accès utilisateur TSplus.
TSplus inclut une capacité unique de redirection de port et de tunneling : quel que soit le port RDP qui a été défini, le RDP sera également disponible sur le numéro de port HTTP et HTTPS !
Si les utilisateurs souhaitent accéder à votre serveur TSplus en dehors de votre réseau, vous devez vous assurer que toutes les connexions entrantes sur le port choisi sont redirigées vers le serveur TSplus. Dans l'onglet Accueil, cliquez sur le bouton crayon à côté de "Port RDP" :
Changez le port RDP et enregistrez.
Options de sécurité côté serveur
L'AdminTool vous permet de refuser l'accès à tout utilisateur qui n'utilise pas un programme de connexion TSplus généré par l'administrateur. Dans ce cas, tout utilisateur qui tenterait d'ouvrir une session avec un client de Bureau à distance autre que celui de TSplus (en supposant qu'il ait la bonne adresse du serveur, le numéro de port, un identifiant valide et un mot de passe valide) sera déconnecté automatiquement.
L'administrateur peut décider que seuls les membres du groupe Utilisateur de Bureau à Distance. sera autorisé à ouvrir une session.
L'administrateur peut décider qu'un mot de passe est obligatoire pour ouvrir une session.
En configurant la stratégie de groupe locale applicable, l'administrateur peut spécifier s'il faut appliquer un niveau de cryptage pour toutes les données envoyées entre le client et l'ordinateur distant pendant une session de services Terminal. Si le statut est défini sur Activé, le cryptage pour toutes les connexions au serveur est défini au niveau décidé par l'administrateur. Par défaut, le cryptage est défini sur Élevé.
L'administrateur peut également définir comme règle que seuls les utilisateurs disposant d'un client de connexion TSplus pourront ouvrir une session.
Tout accès entrant avec un RDP standard ou un accès web sera automatiquement rejeté.
Permissions de sessions
Vous pouvez trouver plusieurs options de sécurité avancées si vous cliquez sur l'onglet Sessions - Autorisations :
-
Autoriser l'accès depuis le client RDP de Microsoft pour tout le monde :
Permet à chaque utilisateur de se connecter en utilisant mstsc.exe.
- Autoriser l'accès uniquement aux administrateurs depuis le client RDP de Microsoft : Permet uniquement aux administrateurs de se connecter en utilisant mstsc.exe.
- Refuser l'accès depuis le client RDP de Microsoft : Empêcher quiconque de pouvoir se connecter en utilisant mstsc.exe.
- Refuser l'accès depuis l'extérieur : Cela signifie que seules les adresses IP privées du LAN pourront ouvrir une session.
- Limiter l'accès aux membres des utilisateurs de Remote Desktop : Cette limite s'applique uniquement à ce groupe local d'utilisateurs (que vous pouvez voir en cliquant sur le Utilisateurs et groupes .
- Crypte les communications de bout en bout : Crypte les communications client/serveur à l'aide d'un chiffrement de 128 bits. Utilisez ce niveau lorsque les clients accédant au serveur terminal prennent également en charge le chiffrement de 128 bits.
- Bloquer tout accès entrant à ce serveur : Toutes les sessions actives resteront actives, tandis que toutes les tentatives de connexions entrantes seront bloquées. Assurez-vous que vous pouvez accéder physiquement à la console du serveur si vous cochez cette case. N'utilisez pas cette option si votre serveur est hébergé dans un environnement Cloud.
- Désactiver UAC et améliorer l'accès Windows : Désactive les contrôles de compte utilisateur, supprime toutes les fenêtres contextuelles de sécurité indésirables de Windows. limitation des utilisateurs (messages) lors du lancement des applications.
- La case "Autoriser la touche Windows" autoriser l'utilisation des touches Windows et des combinaisons à l'intérieur d'une session TSplus.
- Autoriser uniquement les utilisateurs ayant au moins une application assignée : L'utilisateur avec une application et plus est autorisé à ouvrir une session.
- Autoriser le COUPER/COLLER dans une session : Décocher cette case désactivera les commandes CTRL C/CTRL V.
Restrictions d'accès au portail Web
- Aucune restriction
- Le portail Web est obligatoire pour tout le monde : les utilisateurs ne peuvent se connecter que via le portail Web.
- Le portail Web est obligatoire, sauf pour les administrateurs : les utilisateurs ne peuvent se connecter que via le portail Web, sauf les administrateurs.
- Interdire le portail Web pour les comptes d'administrateurs : les administrateurs ne peuvent pas se connecter via le portail Web.
Masquer les lecteurs de disque du serveur :
L'AdminTool comprend un outil qui permet de masquer les disques durs du serveur pour empêcher les utilisateurs d'accéder aux dossiers via Mon ordinateur ou les boîtes de dialogue standard de Windows. Dans l'onglet Sessions, cliquez sur "Masquer les disques".
Cet outil fonctionne à l'échelle mondiale. Cela signifie que même l'administrateur n'aura pas un accès normal aux lecteurs après l'application des paramètres. Dans l'exemple ci-dessous, tous les pilotes ont été sélectionnés avec le bouton "tout sélectionner", qui cochera toutes les cases correspondant aux lecteurs qui seront cachés à tout le monde.
Remarques : Cette fonctionnalité est puissante et ne désactive pas l'accès aux disques. Elle empêche simplement l'utilisateur de les afficher.
L'outil marque les disques durs comme cachés, mais il ajoute également la propriété CACHÉE à l'ensemble des dossiers racines et à la liste des utilisateurs dans Documents et Paramètres.
Si l'administrateur souhaite voir ces fichiers, il doit :
-
Tapez la lettre du lecteur de disque. Par exemple :
D:
- Allumer AFFICHER LES FICHIERS ET DOSSIERS CACHÉS dans les propriétés de vue de dossier.
Code PIN Administrateur
L'administrateur peut sécuriser l'accès à l'outil d'administration en définissant un code PIN qui sera demandé à chaque démarrage, dans l'onglet Avancé de l'AdminTool, sous les paramètres du produit :
TSplus Advanced Security Ultimate
Depuis la version 11.40 de TSplus, vous trouverez un outil de sécurité unique en son genre, que vous pouvez lancer dans l'onglet Add-Ons :
Ce qui apporte des fonctionnalités puissantes, documentées sur cette page .
Le rôle de la protection contre les attaques par force brute sur le portail Web est décrit sur cette page .
Authentification à deux facteurs
Depuis la version 12 de TSplus, vous pouvez activer l'authentification à deux facteurs en tant qu'add-on pour votre portail Web TSplus.
Plus d'informations sur cette nouvelle fonctionnalité incroyable peuvent être trouvées sur cette page .
Certificats SSL
Le processus des certificats SSL est détaillé sur ces pages :
- TSplus fournit un outil facile à utiliser pour générer un certificat SSL gratuit et valide : Certificat SSL gratuit et facile à installer
- HTTPS et certificats SSL de tiers .
- Choisissez votre Suites de chiffrement pour améliorer la sécurité .
Options de sécurité du programme d'accès TSplus :
Le générateur de client TSplus offre la possibilité, dans son onglet Sécurité, de verrouiller le client TSplus à :
-
Un nom de PC spécifique. Cela signifie que ce programme ne pourra pas démarrer depuis un autre PC.
-
Un numéro de série de disque physique (disque dur PC ou clé USB). C'est un moyen très simple et puissant de définir un niveau de sécurité élevé. Le seul moyen de se connecter est avec un client spécifique, et ce client spécifique ne peut démarrer que sur une clé USB ou un disque dur PC spécifique. Certains de nos clients fournissent des clés USB avec lecteur d'empreintes digitales à chacun de leurs utilisateurs et chaque programme généré est verrouillé au numéro de série de l'appareil. De cette manière, ils peuvent restreindre l'accès au programme du client lui-même, tout en s'assurant qu'il ne peut pas être copié sur la clé USB et utilisé ailleurs.
Pour plus d'informations sur les fonctionnalités de sécurité, consultez Documentation du générateur de client portable TSplus et notre FAQ.