Mettere in sicurezza un server TSplus
Panoramica
Mettere in sicurezza qualsiasi server è una storia senza fine in cui ogni esperto potrebbe aggiungere un altro capitolo. TSplus beneficia e è compatibile con l'infrastruttura di sicurezza esistente in un'azienda (Active Directory, GPO, server HTTPS, sistemi di telecomunicazione SSL o SSL, VPN, controllo accessi con o senza carte d'identità, ecc.). Per i clienti che desiderano mettere in sicurezza facilmente i propri server, TSplus offre un insieme di modi semplici ed efficaci per garantire buoni livelli di sicurezza.
Cambiamento del numero di porta RDP e configurazione del firewall
Con l'AdminTool, puoi selezionare un numero di porta TCP/IP diverso per il servizio RDP per accettare connessioni. Quella predefinita è 3389. Puoi scegliere qualsiasi porta arbitraria, a condizione che non sia già utilizzata sulla tua rete e che imposti lo stesso numero di porta sui tuoi firewall e su ciascun programma di accesso utente TSplus.
TSplus include una capacità unica di port forwarding e tunneling: indipendentemente dalla porta RDP che è stata impostata, l'RDP sarà disponibile anche sul numero di porta HTTP e HTTPS!
Se gli utenti vogliono accedere al tuo server TSplus al di fuori della tua rete, devi assicurarti che tutte le connessioni in entrata sulla porta scelta siano inoltrate al server TSplus. Nella scheda Home, fai clic sul pulsante a forma di matita accanto a "Porta RDP":
Cambia la porta RDP e salva.
Opzioni di sicurezza lato server
L'AdminTool consente di negare l'accesso a qualsiasi utente che non utilizza un programma di connessione TSplus generato dall'amministratore. In questo caso, qualsiasi utente che tenti di aprire una sessione con un client Remote Desktop diverso da quello di TSplus (supponendo che abbia l'indirizzo del server corretto, il numero di porta, un accesso valido e una password valida) verrà disconnesso automaticamente.
L'amministratore può decidere che solo i membri del gruppo Utente Desktop Remoto sarà consentito aprire una sessione.
L'amministratore può decidere che una password è obbligatoria per aprire una sessione.
Attraverso l'impostazione della relativa Criteri di gruppo locale, l'amministratore può specificare se applicare un livello di crittografia per tutti i dati inviati tra il client e il computer remoto durante una sessione di Terminal Services. Se lo stato è impostato su Abilitato, la crittografia per tutte le connessioni al server è impostata al livello deciso dall'amministratore. Per impostazione predefinita, la crittografia è impostata su Alta.
L'amministratore può anche impostare come regola che solo gli utenti con un client di connessione TSplus potranno aprire una sessione.
Qualsiasi accesso in arrivo con un RDP standard o un accesso web sarà automaticamente rifiutato.
Permessi delle sessioni
Puoi trovare più opzioni di sicurezza avanzata se fai clic sulla scheda Sessioni - Permessi:
-
Consenti l'accesso dal client RDP di Microsoft per tutti:
Consente a ogni utente di connettersi utilizzando mstsc.exe.
- Consenti l'accesso dal client RDP di Microsoft solo per gli amministratori: Consente solo agli amministratori di connettersi utilizzando mstsc.exe.
- Negare l'accesso dal client RDP di Microsoft: Impedire a chiunque di connettersi utilizzando mstsc.exe.
- Negare l'accesso dall'esterno: Significa che solo gli IP privati della LAN potranno aprire una sessione.
- Limita l'accesso ai membri degli utenti di Remote Desktop: Questo limite si applica solo a questo gruppo locale di utenti (che puoi vedere facendo clic su) Utenti e Gruppi tile .
- Cripta le comunicazioni end-to-end: Crittografa ad alta comunicazione client/server utilizzando la crittografia a 128 bit. Utilizzare questo livello quando i client che accedono al server terminale supportano anche la crittografia a 128 bit.
- Blocca tutto l'accesso in entrata a questo server: Tutte le sessioni attive rimarranno attive, mentre tutti i tentativi di connessione in arrivo saranno bloccati. Assicurati di poter accedere fisicamente alla console del server se selezioni questa opzione. Non utilizzare questa opzione se il tuo server è ospitato in un ambiente Cloud.
- Disabilita UAC e migliora l'accesso a Windows: Disattiva i Controlli degli Account Utente, rimuove tutti i pop-up di sicurezza indesiderati da Windows. limitazione degli utenti (messaggi) durante l'avvio delle applicazioni.
- La casella "Consenti tasto Windows" consentire l'uso dei tasti Windows e delle combinazioni all'interno di una sessione TSplus.
- Consenti solo agli utenti con almeno un'applicazione assegnata: L'utente con un'applicazione e più è autorizzato ad aprire una sessione.
- Consenti TAGLIA/COPIA all'interno di una sessione: Deselezionando questa casella verranno disabilitati i comandi CTRL C/CTRL V.
Restrizioni di accesso al portale web
- Nessuna restrizione
- Il Portale Web è obbligatorio per tutti: gli utenti possono connettersi solo tramite il Portale Web.
- Il Portale Web è obbligatorio, tranne per gli Amministratori: gli utenti possono connettersi solo tramite il Portale Web, tranne gli Amministratori.
- Proibire il Portale Web per gli account degli Amministratori: gli Amministratori non possono connettersi tramite il Portale Web.
Nascondere le unità disco del server:
L'AdminTool include uno strumento che consente di nascondere le unità disco del server per impedire agli utenti di accedere alle cartelle tramite Risorse del computer o le normali finestre di dialogo di Windows. Nella scheda Sessioni - Impostazioni, fare clic su "Nascondi unità disco".
Questo strumento funziona a livello globale. Ciò significa che anche l'amministratore non avrà un accesso normale alle unità dopo che le impostazioni sono state applicate. Nell'esempio qui sotto, tutti i driver sono stati selezionati con il pulsante "seleziona tutto", che selezionerà tutte le caselle corrispondenti alle unità che saranno nascoste a tutti.
Note: Questa funzionalità è potente e non disabilita l'accesso alle unità disco. Impedisce solo all'utente di visualizzarle.
Lo strumento contrassegna i dischi come nascosti, ma aggiunge anche la proprietà NASCOSTA a tutte le cartelle radice e all'elenco degli utenti in Documenti e Impostazioni.
Se l'amministratore desidera vedere questi file deve:
-
Digita la lettera dell'unità disco. Ad esempio:
D:
- Accendi MOSTRA FILE E CARTELLE NASCOSTI nelle proprietà della visualizzazione della cartella.
Codice PIN dell'amministratore
L'Amministratore può proteggere l'accesso allo Strumento di Amministrazione impostando un codice PIN che verrà richiesto ad ogni avvio, nella scheda Avanzate di AdminTool, sotto le Impostazioni del Prodotto:
TSplus Advanced Security Ultimate
Dal rilascio della versione TSplus 11.40, troverai uno strumento di sicurezza unico nel suo genere, che puoi avviare nella scheda Add-On:
Che porta potenti funzionalità, documentate su questa pagina .
Il ruolo del Difensore contro gli attacchi Brute-Force sul Portale Web è descritto in questa pagina .
Autenticazione a Due Fattori
Dalla versione 12 di TSplus, puoi abilitare l'autenticazione a due fattori come add-on per il tuo Portale Web TSplus.
Maggiori informazioni su questa straordinaria nuova funzionalità possono essere trovate su questa pagina .
Certificati SSL
Il processo dei certificati SSL è dettagliato in queste pagine:
- HTTPS, SSL e tutorial sui certificati .
- TSplus offre uno strumento facile da usare per generare un certificato SSL gratuito e valido: Certificato SSL gratuito e facile da installare
- Scegli il tuo Suite di cifratura per migliorare la sicurezza .
Opzioni di sicurezza del programma di accesso TSplus:
Il generatore di client TSplus offre la possibilità, nella sua scheda Sicurezza, di bloccare il client TSplus a:
-
Un nome PC specifico. Significa che questo programma non potrà avviarsi da nessun altro PC.
-
Un numero di serie di un'unità fisica (HDD del PC o chiavetta USB). Questo è un modo molto semplice e potente per impostare un alto livello di sicurezza. L'unico modo per connettersi è con un client specifico, e questo client specifico può avviarsi solo su una chiavetta USB o HDD del PC specifico. Alcuni dei nostri clienti stanno fornendo chiavette USB con lettore di impronte digitali a ciascuno dei loro utenti e ogni programma generato è bloccato sul numero di serie del dispositivo. In questo modo, possono limitare l'accesso al programma del cliente stesso, oltre a garantire che non possa essere copiato dalla chiavetta USB e utilizzato altrove.
Per ulteriori informazioni sulle funzionalità di sicurezza, controlla Documentazione del Generatore di Clienti Portatili TSplus e le nostre FAQ.