保护 TSplus 服务器
概述
保护任何服务器都是一个永无止境的故事,每位专家都可以添加另一个章节。 TSplus 受益于并与公司现有的安全基础设施兼容(Active Directory、GPO、HTTPS 服务器、SSL 或 SSL 通信系统、VPN、带或不带身份证的访问控制等)。 对于希望轻松保护其服务器的客户,TSplus 提供了一套简单有效的方法来实施良好的安全级别。
更改RDP端口号并设置防火墙
使用AdminTool,您可以为RDP服务选择不同的TCP/IP端口号以接受连接。默认端口为3389。您可以选择任何任意端口,前提是该端口在您的网络上未被使用,并且您在防火墙和每个TSplus用户访问程序上设置相同的端口号。
TSplus 包含独特的端口转发和隧道功能:无论设置了哪个 RDP 端口,RDP 也将在 HTTP 和 HTTPS 端口号上可用!
如果用户想要在您的网络外访问您的 TSplus 服务器,您必须确保所有进入的连接都转发到所选择的端口上的 TSplus 服务器。在“主页”选项卡上,单击“RDP 端口”旁边的铅笔按钮:
更改RDP端口并保存。
服务器端安全选项
AdminTool 允许您拒绝任何未使用管理员生成的 TSplus 连接程序的用户访问。在这种情况下,任何试图使用除 TSplus 之外的任何远程桌面客户端打开会话的用户(假设他拥有正确的服务器地址、端口号、有效的登录和有效的密码)将会被自动断开连接。
管理员可以决定只有远程桌面用户组的成员 将被允许打开会话。
管理员可以决定在打开会话时密码是必需的。
通过设置适用的本地组策略,管理员可以指定是否强制对在终端服务会话期间客户端与远程计算机之间发送的所有数据进行加密级别。如果状态设置为启用,则对所有连接到服务器的加密级别由管理员决定。默认情况下,加密级别设置为高。
管理员还可以设置规则,仅允许具有 TSplus 连接客户端的用户打开会话。
任何使用标准RDP或网页访问的来访将被自动拒绝。
会话权限
您可以在点击会话 - 权限选项卡时找到多个高级安全选项:
-
允许所有人从 Microsoft RDP 客户端访问:
允许每个用户使用 mstsc.exe 进行连接。
- 仅允许管理员使用 Microsoft RDP 客户端访问: 仅允许管理员使用 mstsc.exe 连接。
- 拒绝来自 Microsoft RDP 客户端的访问: 防止任何人能够使用 mstsc.exe 进行连接。
- 拒绝来自外部的访问: 这意味着只有来自局域网的私有IP才能打开会话。
- 限制对远程桌面用户成员的访问: 此限制仅适用于此本地用户组(您可以通过单击查看) 用户和组瓷砖 .
- 加密端到端通信: 高加密客户端/服务器通信使用128位加密。当访问终端服务器的客户端也支持128位加密时,请使用此级别。
- 阻止所有对该服务器的传入访问: 所有活动会话将保持活跃,而所有传入连接尝试将被阻止。如果您勾选此框,请确保您可以物理访问服务器的控制台。如果您的服务器托管在云环境中,请勿使用此选项。
- 禁用 UAC 并增强 Windows 访问: 禁用用户帐户控制,移除所有不必要的安全弹出窗口。用户在启动应用程序时的限制(消息)。
- “允许Windows键”框 允许在TSplus会话中使用Windows键和组合键。
- 仅允许至少分配了一个应用程序的用户: 允许具有一个或多个应用程序的用户打开会话。
- 允许在会话中剪切/粘贴: 取消选中此框将禁用 CTRL C/CTRL V 命令
Web Portal 访问限制
- 无限制
- Web Portal 是每个人都必须的:用户只能通过 Web Portal 连接。
- Web Portal 是强制性的,管理员除外:用户只能通过 Web Portal 连接,管理员除外。
- 禁止管理员账户使用Web门户:管理员无法通过Web门户连接。
隐藏服务器磁盘驱动器:
AdminTool 包含一个工具,可以隐藏服务器磁盘驱动器,以防止用户通过我的电脑或标准 Windows 对话框访问文件夹。在会话选项卡上,单击“隐藏磁盘驱动器”。
该工具在全球范围内有效。这意味着即使是管理员在应用设置后也无法正常访问驱动器。在下面的示例中,所有驱动器都已通过“全选”按钮选中,这将勾选所有对应于将对所有人隐藏的驱动器的框。
注意: 此功能强大,并不会禁用对磁盘驱动器的访问。它只是防止用户显示它。
该工具将磁盘驱动器标记为隐藏,但它还将HIDDEN属性添加到文档和设置中的整个根文件夹和用户列表。
如果管理员想查看这些文件,他必须:
-
输入磁盘驱动器字母。例如:
D:
- 打开 显示隐藏的文件和文件夹 在文件夹视图属性中。
管理员密码
管理员可以通过在 AdminTool 的高级选项卡下的产品设置中设置一个 PIN 码来保护管理员工具的访问,该 PIN 码将在每次启动时要求输入。
TSplus高级安全终极版
自 TSplus 11.40 版本以来,您将找到一个独特的安全附加工具,您可以在附加选项卡上启动:
这带来了强大的功能,记录在 此页面 .
Web Portal上的暴力破解保护角色描述如下 此页面 .
双因素认证
自 TSplus 12 版本以来,您可以将双因素身份验证作为附加功能启用,以便于您的 TSplus Web Portal。
有关此令人惊叹的新功能的更多信息可以在 此页面 .
SSL证书
SSL证书的处理细节在这些页面上:
- TSplus 提供了一个易于使用的工具来生成免费的有效 SSL 证书: 免费且易于安装的SSL证书
- HTTPS 和 SSL 第三方证书 .
- 选择您的 加密套件以增强安全性 .
TSplus 访问程序安全选项:
TSplus客户端生成器在其安全选项卡上提供了将TSplus客户端锁定到的功能:
-
特定的计算机名称。这意味着该程序将无法从任何其他计算机启动。
-
物理驱动器序列号(PC HDD或USB闪存驱动器)。这是一种非常简单而强大的方式来设置高水平的安全性。连接的唯一方式是使用特定的客户端,而这个特定的客户端只能在特定的USB闪存驱动器或PC HDD上启动。我们的一些客户向每个用户提供指纹识别USB闪存驱动器,每个生成的程序都锁定在设备序列号上。通过这种方式,他们可以限制对客户端程序本身的访问,并确保它无法从USB闪存驱动器上复制并在其他地方使用。
有关更多安全功能的信息,请查看 TSplus 便携客户端生成器文档 和我们的常见问题解答。