Securing a TSplus server

Aperçu

Securing any server is a never-ending story where every expert could add another chapter.

TSplus se beneficia de y es compatible con la infraestructura de seguridad existente en una empresa (Active Directory, GPOs, servidores HTTPS, sistemas de telecomunicaciones SSL o SSL, VPN, control de acceso con o sin tarjetas de identificación, etc).

For customers who want to easily secure their servers, TSplus offers a set of simple and effective ways to enforce good levels of security.

With the AdminTool, you can select a different TCP/IP port number for the RDP service to accept connections on. The default one is 3389.

You can choose any arbitrary port, assuming that it is not already used on your network and that you set the same port number on your firewalls and on each TSplus user access programs.

TSplus incluye una capacidad única de reenvío de puertos y túneles: independientemente del puerto RDP que se haya configurado, el RDP también estará disponible en el número de puerto HTTP y HTTPS.

If users want to access your TSplus server outside of your network, you must ensure all incoming connections on the chosen port are forwarded to the TSplus server. On the Home tab, click on the pencil button next to the “RDP Port”:

Change the RDP port and save.

Opciones de seguridad del lado del servidor

The AdminTool allows you to deny access to any user that is not using a TSplus connection program generated by the administrator. In this case, any user that would attempt to open a session with any Remote Desktop client other than the TSplus one (assuming he has the correct server address, the port number, a valid logon and a valid password) will be disconnected automatically.

The administrator can decide that only members of the Remote Desktop User group se le permitirá abrir una sesión.

El administrador puede decidir que una contraseña es obligatoria para abrir una sesión.

Durch die Festlegung der anwendbaren lokalen Gruppenrichtlinie kann der Administrator festlegen, ob ein Verschlüsselungsgrad für alle Daten, die während einer Terminaldienste-Sitzung zwischen dem Client und dem Remote-Computer gesendet werden, durchgesetzt werden soll.

If the status is set to Enabled, encryption for all connections to the server is set to the level decided by the administrator. By default, encryption is set to High.

El administrador también puede establecer como regla que solo los usuarios con un cliente de conexión de TSplus podrán abrir una sesión.

Any incoming access with a standard RDP or a web access will be automatically rejected.

Vous pouvez trouver plusieurs options de sécurité avancée si vous cliquez sur l'onglet Sessions - Autorisations :

• Allow access from Microsoft RDP client for everyone: Permite a cada usuario conectarse utilizando mstsc.exe.
• Allow access from Microsoft RDP client for Admins only: Permite solo a los administradores conectarse utilizando mstsc.exe.
• Deny access from Microsoft RDP client: Prevent anyone from being able to connect using mstsc.exe.
• Deny access from Outside: Cela signifie que seuls les IP privés du LAN pourront ouvrir une session.
• Limit access to the members of Remote Desktop users: This limit applies only to this local group of users (which you can see by clicking on the Users and Groups tile .
• Chiffre les communications de bout en bout : High Encrypts client/server communication using 128-bit encryption. Use this level when the clients accessing the terminal server also support 128-bit encryption.
• Block all incoming access to this server: Todas las sesiones activas permanecerán activas, mientras que todos los intentos de conexiones entrantes serán bloqueados. Asegúrese de que puede acceder físicamente a la consola del servidor si marca esta casilla. No utilice esta opción si su servidor está alojado en un entorno de Cloud.
• Desactivar UAC y mejorar el acceso a Windows: Deactivates the User Accounts Controls, removes all unwanted security pop-ups from Windows. users limitation (messages) while launching applications.
• La casilla "Permitir tecla de Windows" allow the use of the Windows keys and combinations inside a TSplus session.
• Allow only users with at least one assigned application: User with one application and more are allowed to open a session.
• Allow CUT/PASTE within a session: Unchecking this box will disable the CTRL C/CTRL V commands

Accès restreint au portail Web

• No Restriction
• Web Portal ist für alle verpflichtend: Benutzer können sich nur über das Web Portal verbinden.
• Web Portal ist obligatorisch, außer für Administratoren: Benutzer können nur über das Web Portal eine Verbindung herstellen, außer Administratoren.
• Prohibir el Portal Web para cuentas de Administradores: Los administradores no pueden conectarse a través del Portal Web.

The AdminTool includes a tool that enables hiding the server disk drives to prevent users from accessing folders through My Computer or standard Windows dialog boxes. On the Sessions tab, click on “Hide Disk drives”

This tool works globally. This means that even the administrator will not have normal access to drives after the settings have been applied. In the example below, all drivers have been selected with the “select all” button, which will check all the boxes corresponding to drives that will be hidden to everybody.

Notas: This functionality is powerful and does not disable access to the disk drives. It just prevents the user from displaying it.

The tool flags the disks drives as hidden, but it also adds the HIDDEN property to the entire root folders and users list in Document and Settings.

Si el administrador quiere ver estos archivos, debe:

1. Type the disk drive letter. For example: D: which will take you to the D: drive.
2. Activer SHOW HIDDEN FILES AND FOLDERS dans les propriétés de vue de dossier.

El Administrador puede asegurar el acceso a la Herramienta del Administrador configurando un código PIN que se solicitará en cada inicio, en la pestaña Avanzada de la AdminTool, bajo la Configuración del Producto:

---

TSplus Advanced Security Ultimate

Since TSplus 11.40 version, you will find a one-of-a-kind Security Add-on Tool, which you can launch on the Add-Ons tab:

Ce qui apporte des fonctionnalités puissantes, documentées sur esta página .

El rol de Protección contra Fuerza Bruta en el Portal Web se describe en esta página .

Two-Factor Authentication

Since TSplus 12 Version, you can enable Two-Factor Authentication as an add-on for your TSplus Web Portal.

More information on this amazing new feature can be found on esta página .

SSL-Zertifikate

El proceso de certificados SSL se detalla en estas páginas:

• TSplus fournit un outil facile à utiliser pour générer un certificat SSL gratuit et valide : Gratuit et facile à installer certificat SSL

• HTTPS und SSL-Zertifikate von Drittanbietern .

• Wählen Sie Ihr Ciphers Suites pour améliorer la sécurité .

TSplus options de sécurité du programme d'accès :

El generador de clientes de TSplus ofrece la capacidad, en su pestaña de Seguridad, de bloquear el cliente de TSplus a:

• Un nombre de PC específico. Esto significa que este programa no podrá iniciarse desde ningún otro PC.

• Un número de serie de unidad física (HDD de PC o memoria USB). Esta es una forma muy fácil y poderosa de establecer un alto nivel de seguridad.

  The only way to connect is with a specific client, and this specific client can only start on a specific USB stick or PC HDD.

  Some of our customers are delivering fingerprint-reading USB sticks to each of their users and each generated program is locked to the device serial number.

  De esta manera, pueden restringir el acceso al programa del cliente en sí, así como asegurarse de que no se pueda copiar del USB y utilizar en otro lugar.

Pour plus d'informations sur les fonctionnalités de sécurité, consultez TSplus Portable Client Generator documentation y nuestra sección de preguntas frecuentes.