Pular para o conteúdo

Segurança de um servidor TSplus

Visão geral

Proteger qualquer servidor é uma história sem fim onde cada especialista pode adicionar outro capítulo. TSplus se beneficia e é compatível com a infraestrutura de segurança existente em uma empresa (Active Directory, GPOs, servidores HTTPS, sistemas de telecomunicações SSL ou SSL, VPN, controle de acesso com ou sem cartões de identificação, etc). Para clientes que desejam proteger facilmente seus servidores, TSplus oferece um conjunto de maneiras simples e eficazes de impor bons níveis de segurança.

Alterando o número da porta RDP e configurando o firewall

Com o AdminTool, você pode selecionar um número de porta TCP/IP diferente para o serviço RDP aceitar conexões. O padrão é 3389. Você pode escolher qualquer porta arbitrária, desde que não esteja sendo usada na sua rede e que você defina o mesmo número de porta em seus firewalls e em cada programa de acesso de usuário do TSplus.

TSplus inclui uma capacidade única de redirecionamento de porta e tunelamento: independentemente da porta RDP que foi configurada, o RDP também estará disponível na porta número HTTP e na porta número HTTPS!

Se os usuários quiserem acessar seu servidor TSplus fora da sua rede, você deve garantir que todas as conexões de entrada na porta escolhida sejam encaminhadas para o servidor TSplus. Na guia Início, clique no botão de lápis ao lado de "Porta RDP":

Screenshot 1-1 Altere a porta RDP e salve.

Opções de segurança do lado do servidor

O AdminTool permite que você negue o acesso a qualquer usuário que não esteja usando um programa de conexão TSplus gerado pelo administrador. Nesse caso, qualquer usuário que tentar abrir uma sessão com qualquer cliente de Área de Trabalho Remota que não seja o TSplus (assumindo que ele tenha o endereço do servidor correto, o número da porta, um login válido e uma senha válida) será desconectado automaticamente.

O administrador pode decidir que apenas membros do grupo de Usuários de Área de Trabalho Remota será permitido abrir uma sessão.

O administrador pode decidir que uma senha é obrigatória para abrir uma sessão.

Através da configuração da Política de Grupo local aplicável, o administrador pode especificar se deve impor um nível de criptografia para todos os dados enviados entre o cliente e o computador remoto durante uma sessão de Serviços de Terminal. Se o status estiver definido como Habilitado, a criptografia para todas as conexões com o servidor é definida para o nível decidido pelo administrador. Por padrão, a criptografia é definida como Alta.

O administrador também pode definir como regra que apenas usuários com um cliente de conexão TSplus poderão abrir uma sessão.
Qualquer acesso de entrada com um RDP padrão ou um acesso web será automaticamente rejeitado.

Permissões de Sessões

Você pode encontrar várias opções de segurança avançada se clicar na guia Sessões - Permissões:

Screenshot 2-1 Screenshot 2-1 - Permitir acesso do cliente RDP da Microsoft para todos: Permite que cada usuário se conecte usando mstsc.exe.

  • Permitir acesso apenas para administradores a partir do cliente RDP da Microsoft: Permite apenas que os administradores se conectem usando mstsc.exe.
  • Negar acesso do cliente RDP da Microsoft: Impedir que alguém consiga se conectar usando mstsc.exe.
  • Negar acesso de fora: Isso significa que apenas IPs privados da LAN poderão abrir uma sessão.
  • Limitar o acesso aos membros dos usuários de Remote Desktop: Este limite se aplica apenas a este grupo local de usuários (que você pode ver clicando em Usuários e Grupos tile .
  • Criptografa comunicações de ponta a ponta: Alta criptografa a comunicação cliente/servidor usando criptografia de 128 bits. Use este nível quando os clientes que acessam o servidor terminal também suportam criptografia de 128 bits.
  • Bloquear todo o acesso de entrada a este servidor: Todas as sessões ativas permanecerão ativas, enquanto todas as tentativas de conexões de entrada serão bloqueadas. Certifique-se de que você pode acessar fisicamente o console do servidor se marcar esta caixa. Não use esta opção se o seu servidor estiver hospedado em um ambiente de nuvem.
  • Desativar UAC e melhorar o Acesso ao Windows: Desativa os Controles de Conta de Usuário, remove todos os pop-ups de segurança indesejados do Windows. limitações de usuários (mensagens) ao iniciar aplicativos.
  • A caixa "Permitir tecla do Windows" permitir o uso das teclas do Windows e combinações dentro de uma sessão TSplus.
  • Permitir apenas usuários com, pelo menos, um aplicativo atribuído: Usuário com um aplicativo e mais estão autorizados a abrir uma sessão.
  • Permitir CORTAR/COLOCAR dentro de uma sessão: desmarcar esta caixa desativará os comandos CTRL C/CTRL V

Restrições de Acesso ao Portal Web

  • Sem Restrição
  • Portal Web é obrigatório para todos: os usuários só podem se conectar via o Portal Web.
  • O Portal Web é obrigatório, exceto para Administradores: os usuários só podem se conectar via o Portal Web, exceto Administradores.
  • Proibir o Portal da Web para contas de Administradores: Administradores não podem se conectar via o Portal da Web.

Ocultando as unidades de disco do servidor:

O AdminTool inclui uma ferramenta que permite ocultar as unidades de disco do servidor para evitar que os usuários acessem pastas através do Meu Computador ou caixas de diálogo padrão do Windows. Na guia Sessões, clique em “Ocultar Unidades de Disco”.

Screenshot 3-1

Esta ferramenta funciona globalmente. Isso significa que até mesmo o administrador não terá acesso normal às unidades após as configurações serem aplicadas. No exemplo abaixo, todos os drivers foram selecionados com o botão "selecionar tudo", que marcará todas as caixas correspondentes às unidades que serão ocultadas de todos.

Screenshot 3-2

Notas: Essa funcionalidade é poderosa e não desabilita o acesso às unidades de disco. Ela apenas impede o usuário de exibi-las.

A ferramenta marca os discos rígidos como ocultos, mas também adiciona a propriedade OCULTO a todas as pastas raiz e à lista de usuários em Documentos e Configurações.

Se o administrador quiser ver esses arquivos, ele deve:

  1. Digite a letra da unidade de disco. Por exemplo: D: que o levará para a unidade D:.
  2. Ativar MOSTRAR ARQUIVOS E PASTAS OCULTOS nas propriedades de visualização da pasta.

Código PIN do Administrador

O Administrador pode proteger o acesso à Ferramenta do Administrador definindo um código PIN que será solicitado a cada início, na guia Avançado do AdminTool, sob as Configurações do Produto:

Screenshot 4-1


TSplus Advanced Security Ultimate

Desde a versão TSplus 11.40, você encontrará uma ferramenta de segurança exclusiva, que pode ser iniciada na aba de Add-Ons:

Screenshot 5-1

O que traz recursos poderosos, documentados em esta página .

Screenshot 5-2

O papel de Proteção contra Bruteforce no Portal Web é descrito em esta página .

Autenticação de Dois Fatores

Desde a versão 12 do TSplus, você pode ativar a autenticação de dois fatores como um complemento para o seu Portal Web do TSplus.

Screenshot 6-1

Mais informações sobre este incrível novo recurso podem ser encontradas em esta página .

Certificados SSL

O processo de Certificados SSL está detalhado nessas páginas:

Opções de segurança do programa de acesso TSplus:

O gerador de clientes TSplus oferece a capacidade, na sua aba de Segurança, de bloquear o cliente TSplus para:

  • Um nome de PC específico. Isso significa que este programa não poderá ser iniciado a partir de nenhum outro PC.

  • Um número de série de unidade física (HDD de PC ou pen drive USB). Esta é uma maneira muito fácil e poderosa de definir um alto nível de segurança. A única maneira de se conectar é com um cliente específico, e esse cliente específico só pode ser iniciado em um pen drive USB ou HDD de PC específico. Alguns de nossos clientes estão fornecendo pen drives USB com leitura de impressão digital para cada um de seus usuários, e cada programa gerado é bloqueado ao número de série do dispositivo. Dessa forma, eles podem restringir o acesso ao próprio programa do cliente, além de garantir que não possa ser copiado do pen drive USB e usado em outro lugar.

Screenshot 7-1

Para mais informações sobre recursos de segurança, consulte Documentação do Gerador de Cliente Portátil TSplus e nosso FAQ.