TSplusサーバーのセキュリティ確保
概要
サーバーのセキュリティを確保することは、すべての専門家が新たな章を追加できる終わりのない物語です。TSplusは、企業の既存のセキュリティインフラストラクチャ(Active Directory、GPO、HTTPSサーバー、SSLまたはSSL通信システム、VPN、IDカードの有無にかかわらずアクセス制御など)を活用し、互換性があります。サーバーのセキュリティを簡単に確保したい顧客のために、TSplusは適切なセキュリティレベルを強制するためのシンプルで効果的な方法のセットを提供します。
RDPポート番号の変更とファイアウォールの設定
AdminToolを使用すると、RDPサービスが接続を受け入れるための異なるTCP/IPポート番号を選択できます。デフォルトは3389です。ネットワーク上で既に使用されていない限り、任意のポートを選択でき、ファイアウォールや各TSplusユーザーアクセスプログラムでも同じポート番号を設定する必要があります。
TSplusには、ユニークなポートフォワーディングとトンネリング機能が含まれています。設定されたRDPポートに関係なく、RDPはHTTPおよびHTTPSポート番号でも利用可能です!
ユーザーがネットワーク外からTSplusサーバーにアクセスしたい場合、選択したポートのすべての受信接続がTSplusサーバーに転送されることを確認する必要があります。ホームタブで、「RDPポート」の隣にある鉛筆ボタンをクリックします。
RDPポートを変更して保存します。
サーバー側のセキュリティオプション
AdminToolは、管理者によって生成されたTSplus接続プログラムを使用していないユーザーのアクセスを拒否することを可能にします。この場合、TSplus以外の任意のRemote Desktopクライアントでセッションを開こうとするユーザー(正しいサーバーアドレス、ポート番号、有効なログオンおよび有効なパスワードを持っていると仮定)は、自動的に切断されます。
管理者は、リモートデスクトップユーザーグループのメンバーのみが決定できる。 セッションを開くことが許可されます。
管理者は、セッションを開くためにパスワードが必須であると決定できます。
適用可能なローカルグループポリシーを設定することにより、管理者はターミナルサービスセッション中にクライアントとリモートコンピュータ間で送信されるすべてのデータに対して暗号化レベルを強制するかどうかを指定できます。ステータスが有効に設定されている場合、サーバーへのすべての接続の暗号化は管理者が決定したレベルに設定されます。デフォルトでは、暗号化は高に設定されています。
管理者は、TSplus接続クライアントを持つユーザーのみがセッションを開くことができるというルールを設定することもできます。
標準のRDPまたはウェブアクセスによるすべての受信アクセスは自動的に拒否されます。
セッションの権限
セッション - 権限タブをクリックすると、複数の高度なセキュリティオプションを見つけることができます。
-
Microsoft RDPクライアントから全員にアクセスを許可:
すべてのユーザーがmstsc.exeを使用して接続できるようにします。
- 管理者のみのMicrosoft RDPクライアントからのアクセスを許可: 管理者のみが mstsc.exe を使用して接続できるようにします。
- Microsoft RDPクライアントからのアクセスを拒否: mstsc.exeを使用して接続できないようにします。
- 外部からのアクセスを拒否: それは、LANからのプライベートIPのみがセッションを開くことができることを意味します。
- リモートデスクトップユーザーのメンバーにアクセスを制限します。 この制限は、このローカルユーザーグループにのみ適用されます(クリックすることで確認できます)。 ユーザーとグループタイル .
- エンドツーエンドの通信を暗号化します: 128ビット暗号化を使用してクライアント/サーバー間の通信を高く暗号化します。端末サーバーにアクセスするクライアントも128ビット暗号化をサポートしている場合は、このレベルを使用してください。
- このサーバーへのすべての受信アクセスをブロックします: すべてのアクティブなセッションは維持され、すべての受信接続の試行はブロックされます。このボックスをチェックする場合は、サーバーのコンソールに物理的にアクセスできることを確認してください。このオプションは、サーバーがクラウド環境にホストされている場合は使用しないでください。
- UACを無効にしてWindowsアクセスを強化する: ユーザーアカウント制御を無効にし、Windowsから不要なセキュリティポップアップをすべて削除します。アプリケーションを起動する際のユーザー制限(メッセージ)。
- 「Windowsキーを許可」ボックス TSplusセッション内でWindowsキーとその組み合わせの使用を許可します。
- 少なくとも1つの割り当てられたアプリケーションを持つユーザーのみを許可します: 1つのアプリケーションを持つユーザーは、セッションを開くことが許可されています。
- セッション内での切り取り/貼り付けを許可: このボックスのチェックを外すと、CTRL C/CTRL V コマンドが無効になります。
ウェブポータルアクセス制限
- 制限なし
- Webポータルは全員に必須です:ユーザーはWebポータルを介してのみ接続できます。
- Webポータルは必須です。管理者を除き、ユーザーはWebポータルを介してのみ接続できます。管理者を除きます。
- 管理者アカウントのWebポータルを禁止します:管理者はWebポータルを介して接続できません。
サーバーのディスクドライブを隠す:
AdminToolには、ユーザーがマイコンピュータや標準のWindowsダイアログボックスを通じてフォルダーにアクセスするのを防ぐために、サーバーディスクドライブを隠すことを可能にするツールが含まれています。セッション - 設定タブで、「ディスクドライブを隠す」をクリックします。
このツールはグローバルに機能します。これは、設定が適用された後、管理者でさえドライブに通常のアクセスができなくなることを意味します。以下の例では、「すべて選択」ボタンで全てのドライバーが選択されており、これによりすべてのドライブに対応するチェックボックスがチェックされ、誰にでも隠されることになります。
注意: この機能は強力で、ディスクドライブへのアクセスを無効にすることはありません。単にユーザーがそれを表示するのを防ぎます。
ツールはディスクドライブを隠しとしてフラグ付けしますが、ドキュメントと設定の全ルートフォルダーおよびユーザーリストにもHIDDENプロパティを追加します。
管理者がこれらのファイルを表示したい場合は、次のことを行う必要があります:
-
ディスクドライブのドライブレターを入力してください。例えば:
D:
- オンにする 隠しファイルとフォルダーを表示 フォルダーの表示プロパティで。
管理者ピンコード
管理者は、AdminToolのAdvancedタブのProduct Settingsの下で、毎回起動時に要求されるピンコードを設定することで、Administrator Toolへのアクセスを保護できます。
TSplus Advanced Security Ultimate
TSplus 11.40バージョン以降、Add-Onsタブで起動できるユニークなセキュリティAdd-onツールが見つかります。
強力な機能をもたらし、文書化されています。 このページ .
Webポータルにおけるブルートフォース攻撃防御者の役割は、次のように説明されています。 このページ .
二要素認証
TSplus 12バージョン以降、TSplus Web Portalのアドオンとして二要素認証を有効にできます。
この素晴らしい新機能に関する詳細情報は次の場所で見つけることができます。 このページ .
SSL証明書
SSL証明書のプロセスは、これらのページに詳細が記載されています。
- HTTPS、SSLおよび証明書のチュートリアル .
- TSplusは、無料で有効なSSL証明書を生成するための使いやすいツールを提供します。 無料で簡単にインストールできるSSL証明書
- あなたの選択 セキュリティを強化するための暗号スイート .
TSplus アクセスプログラムのセキュリティオプション:
TSplusクライアントジェネレーターは、セキュリティタブでTSplusクライアントをロックする機能を提供します。
-
特定のPC名です。これは、このプログラムが他のPCから起動できないことを意味します。
-
物理ドライブのシリアル番号(PC HDDまたはUSBスティック)。これは、高いレベルのセキュリティを設定する非常に簡単で強力な方法です。接続する唯一の方法は特定のクライアントを使用することであり、この特定のクライアントは特定のUSBスティックまたはPC HDDでのみ起動できます。私たちの顧客の中には、各ユーザーに指紋読み取りUSBスティックを提供し、生成されたプログラムはデバイスのシリアル番号にロックされています。この方法により、クライアントのプログラム自体へのアクセスを制限できるだけでなく、USBスティックからコピーされて他の場所で使用されることを防ぐことができます。
セキュリティ機能の詳細については、確認してください。 TSplus ポータブルクライアントジェネレーターのドキュメント そして私たちのFAQ。