Securing a TSplus server
Aperçu
Securing any server is a never-ending story where every expert could add another chapter. TSplus benefits from and is compatible with existing security infrastructure in a company (Active Directory, GPOs, HTTPS servers, SSL or SSL telecommunication systems, VPN, access control with or without ID cards, etc). For customers who want to easily secure their servers, TSplus offers a set of simple and effective ways to enforce good levels of security.
Changing the RDP port number and setting up the firewall
With the AdminTool, you can select a different TCP/IP port number for the RDP service to accept connections on. The default one is 3389. You can choose any arbitrary port, assuming that it is not already used on your network and that you set the same port number on your firewalls and on each TSplus user access programs.
TSplus incluye una capacidad única de reenvío de puertos y túneles: independientemente del puerto RDP que se haya configurado, el RDP también estará disponible en el número de puerto HTTP y HTTPS.
If users want to access your TSplus server outside of your network, you must ensure all incoming connections on the chosen port are forwarded to the TSplus server. On the Home tab, click on the pencil button next to the “RDP Port”:
Change the RDP port and save.
Opciones de seguridad del lado del servidor
The AdminTool allows you to deny access to any user that is not using a TSplus connection program generated by the administrator. In this case, any user that would attempt to open a session with any Remote Desktop client other than the TSplus one (assuming he has the correct server address, the port number, a valid logon and a valid password) will be disconnected automatically.
The administrator can decide that only members of the Remote Desktop User group se le permitirá abrir una sesión.
El administrador puede decidir que una contraseña es obligatoria para abrir una sesión.
Durch die Festlegung der entsprechenden lokalen Gruppenrichtlinie kann der Administrator angeben, ob ein Verschlüsselungsniveau für alle Daten, die während einer Terminaldienste-Sitzung zwischen dem Client und dem Remote-Computer gesendet werden, durchgesetzt werden soll. Wenn der Status auf Aktiviert gesetzt ist, wird die Verschlüsselung für alle Verbindungen zum Server auf das vom Administrator festgelegte Niveau eingestellt. Standardmäßig ist die Verschlüsselung auf Hoch eingestellt.
El administrador también puede establecer como regla que solo los usuarios con un cliente de conexión de TSplus podrán abrir una sesión.
Any incoming access with a standard RDP or a web access will be automatically rejected.
Permisos de sesiones
Vous pouvez trouver plusieurs options de sécurité avancée si vous cliquez sur l'onglet Sessions - Autorisations :
-
Allow access from Microsoft RDP client for everyone:
Permite a cada usuario conectarse utilizando mstsc.exe.
- Allow access from Microsoft RDP client for Admins only: Permite solo a los administradores conectarse utilizando mstsc.exe.
- Deny access from Microsoft RDP client: Prevent anyone from being able to connect using mstsc.exe.
- Deny access from Outside: Cela signifie que seuls les IP privés du LAN pourront ouvrir une session.
- Limit access to the members of Remote Desktop users: This limit applies only to this local group of users (which you can see by clicking on the Users and Groups tile .
- Chiffre les communications de bout en bout : High Encrypts client/server communication using 128-bit encryption. Use this level when the clients accessing the terminal server also support 128-bit encryption.
- Block all incoming access to this server: Todas las sesiones activas permanecerán activas, mientras que todos los intentos de conexiones entrantes serán bloqueados. Asegúrese de que puede acceder físicamente a la consola del servidor si marca esta casilla. No utilice esta opción si su servidor está alojado en un entorno de Cloud.
- Desactivar UAC y mejorar el acceso a Windows: Deactivates the User Accounts Controls, removes all unwanted security pop-ups from Windows. users limitation (messages) while launching applications.
- La casilla "Permitir tecla de Windows" allow the use of the Windows keys and combinations inside a TSplus session.
- Allow only users with at least one assigned application: User with one application and more are allowed to open a session.
- Allow CUT/PASTE within a session: Unchecking this box will disable the CTRL C/CTRL V commands
Accès restreint au portail Web
- No Restriction
- Web Portal ist für alle verpflichtend: Benutzer können sich nur über das Web Portal verbinden.
- Web Portal ist obligatorisch, außer für Administratoren: Benutzer können nur über das Web Portal eine Verbindung herstellen, außer Administratoren.
- Prohibir el Portal Web para cuentas de Administradores: Los administradores no pueden conectarse a través del Portal Web.
Hiding the server disk drives:
The AdminTool includes a tool that enables hiding the server disk drives to prevent users from accessing folders through My Computer or standard Windows dialog boxes. On the Sessions tab, click on “Hide Disk drives”
This tool works globally. This means that even the administrator will not have normal access to drives after the settings have been applied. In the example below, all drivers have been selected with the “select all” button, which will check all the boxes corresponding to drives that will be hidden to everybody.
Notas: This functionality is powerful and does not disable access to the disk drives. It just prevents the user from displaying it.
The tool flags the disks drives as hidden, but it also adds the HIDDEN property to the entire root folders and users list in Document and Settings.
Si el administrador quiere ver estos archivos, debe:
-
Type the disk drive letter. For example:
D:
- Activer SHOW HIDDEN FILES AND FOLDERS dans les propriétés de vue de dossier.
Código PIN del administrador
El Administrador puede asegurar el acceso a la Herramienta del Administrador configurando un código PIN que se solicitará en cada inicio, en la pestaña Avanzada de la AdminTool, bajo la Configuración del Producto:
TSplus Advanced Security Ultimate
Since TSplus 11.40 version, you will find a one-of-a-kind Security Add-on Tool, which you can launch on the Add-Ons tab:
Ce qui apporte des fonctionnalités puissantes, documentées sur esta página .
El rol de Protección contra Fuerza Bruta en el Portal Web se describe en esta página .
Two-Factor Authentication
Since TSplus 12 Version, you can enable Two-Factor Authentication as an add-on for your TSplus Web Portal.
More information on this amazing new feature can be found on esta página .
SSL-Zertifikate
El proceso de certificados SSL se detalla en estas páginas:
- TSplus fournit un outil facile à utiliser pour générer un certificat SSL gratuit et valide : Gratuit et facile à installer certificat SSL
- HTTPS und SSL-Zertifikate von Drittanbietern .
- Wählen Sie Ihr Ciphers Suites pour améliorer la sécurité .
TSplus options de sécurité du programme d'accès :
El generador de clientes de TSplus ofrece la capacidad, en su pestaña de Seguridad, de bloquear el cliente de TSplus a:
-
Un nombre de PC específico. Esto significa que este programa no podrá iniciarse desde ningún otro PC.
-
Un numéro de série de disque physique (disque dur PC ou clé USB). C'est un moyen très simple et puissant de définir un niveau de sécurité élevé. Le seul moyen de se connecter est avec un client spécifique, et ce client spécifique ne peut démarrer que sur une clé USB ou un disque dur PC spécifique. Certains de nos clients fournissent des clés USB avec lecteur d'empreintes digitales à chacun de leurs utilisateurs, et chaque programme généré est verrouillé au numéro de série de l'appareil. De cette manière, ils peuvent restreindre l'accès au programme du client lui-même, tout en s'assurant qu'il ne peut pas être copié depuis la clé USB et utilisé ailleurs.
Pour plus d'informations sur les fonctionnalités de sécurité, consultez TSplus Portable Client Generator documentation y nuestra sección de preguntas frecuentes.