Protegendo um servidor TSplus

 

Visão geral

Proteger qualquer servidor é uma história sem fim onde cada especialista poderia acrescentar outro capítulo.
O TSplus beneficia e é compatível com a infraestrutura de segurança existente numa empresa (Active Directory, GPOs, servidores HTTPS, sistemas de telecomunicações SSL ou SSL, VPN, controlo de acessos com ou sem cartões de identificação, etc).
Para clientes que desejam proteger facilmente seus servidores, o TSplus oferece um conjunto de maneiras simples e eficazes de impor bons níveis de segurança.

Alterando o número da porta RDP e configurando o firewall

Com o AdminTool, você pode selecionar um número de porta TCP/IP diferente para o serviço RDP aceitar conexões. O padrão é 3389.
Você pode escolher qualquer porta arbitrária, desde que ela ainda não seja usada em sua rede e que você defina o mesmo número de porta em seus firewalls e em cada programa de acesso de usuário do TSplus.

O TSplus inclui uma capacidade única de encaminhamento de porta e tunelamento: independentemente da porta RDP que foi definida, o RDP também estará disponível no HTTP e no número da porta HTTPS!

Se os usuários quiserem acessar seu servidor TSplus fora de sua rede, você deve garantir que todas as conexões de entrada na porta escolhida sejam encaminhadas para o servidor TSplus. Na guia Início, clique no botão de lápis ao lado de "Porta RDP":

Captura de tela 1-1


 

Altere a porta RDP e salve.

Opções de segurança do lado do servidor

O AdminTool permite negar acesso a qualquer usuário que não esteja utilizando um programa de conexão TSplus gerado pelo administrador. Neste caso, qualquer usuário que tente abrir uma sessão com qualquer cliente de Área de Trabalho Remota que não seja o TSplus (assumindo que ele tenha o endereço do servidor correto, o número da porta, um logon válido e uma senha válida) será desconectado automaticamente.

O administrador pode decidir que apenas membros do grupo Usuário de Área de Trabalho Remota terão permissão para abrir uma sessão.

O administrador pode decidir que uma senha é obrigatória para abrir uma sessão.

Ao definir a Política de Grupo local aplicável, o administrador pode especificar se deseja impor um nível de criptografia para todos os dados enviados entre o cliente e o computador remoto durante uma sessão de Serviços de Terminal.
Se o status estiver definido como Ativado, a criptografia de todas as conexões com o servidor será definida no nível decidido pelo administrador. Por padrão, a criptografia está definida como Alta.

O administrador também pode definir como regra que apenas usuários com cliente de conexão TSplus poderão abrir uma sessão.
Qualquer acesso de entrada com um RDP padrão ou acesso web será automaticamente rejeitado.

Permissões de sessões

Você pode encontrar várias opções de segurança avançadas clicando na guia Sessões - Permissões:

Captura de tela 2-1

Captura de tela 2-1

 

  • Permitir acesso do cliente Microsoft RDP para todos: permite que todos os usuários se conectem usando mstsc.exe.
  • Permitir acesso do cliente Microsoft RDP apenas para administradores: permite que apenas administradores se conectem usando mstsc.exe.
  • Negar acesso do cliente Microsoft RDP: Impeça que qualquer pessoa consiga se conectar usando mstsc.exe.
  • Negar acesso externo: Significa que apenas IPs privados da LAN poderão abrir uma sessão.
  • Limitar o acesso aos membros dos usuários da Área de Trabalho Remota: Este limite se aplica apenas a este grupo local de usuários (que você pode ver clicando no bloco Usuários e Grupos .
  • Criptografa comunicações ponta a ponta: Alta Criptografa a comunicação cliente/servidor usando criptografia de 128 bits. Utilize este nível quando os clientes que acessam o servidor de terminal também suportam criptografia de 128 bits.
  • Bloquear todos os acessos de entrada a este servidor: Todas as sessões ativas permanecerão ativas, enquanto todas as tentativas de conexões de entrada serão bloqueadas. Certifique-se de poder acessar fisicamente o console do servidor se marcar esta caixa. Não utilize esta opção se o seu servidor estiver hospedado em um ambiente Cloud.
  • Desative o UAC e aprimore o acesso do Windows: desativa os controles de contas de usuário, remove todos os pop-ups de segurança indesejados do Windows. limitação de usuários (mensagens) ao iniciar aplicativos.
  • A caixa "Permitir chave do Windows" permite o uso de teclas e combinações do Windows dentro de uma sessão do TSplus.
  • Permitir apenas usuários com pelo menos um aplicativo atribuído: Usuários com um aplicativo ou mais têm permissão para abrir uma sessão.
  • Permitir CUT/PASTE dentro de uma sessão: desmarcar esta caixa desabilitará os comandos CTRL C/CTRL V

Restrições de acesso ao portal da web

  • Sem restrição
  • O Portal Web é obrigatório para todos: os usuários só podem se conectar através do Portal Web.
  • O Portal Web é obrigatório, exceto para Administradores: os usuários só podem se conectar através do Portal Web, exceto Administradores.
  • Proibir o Portal da Web para contas de Administradores: Os administradores não podem se conectar por meio do Portal da Web.

Ocultando as unidades de disco do servidor:

O AdminTool inclui uma ferramenta que permite ocultar as unidades de disco do servidor para evitar que os usuários acessem pastas através de Meu Computador ou caixas de diálogo padrão do Windows. Na guia Sessões, clique em "Ocultar unidades de disco":

Captura de tela 3-1

Esta ferramenta funciona globalmente. Isso significa que mesmo o administrador não terá acesso normal às unidades após a aplicação das configurações. No exemplo abaixo, todos os drivers foram selecionados com o botão “selecionar todos”, que marcará todas as caixas correspondentes aos drives que ficarão ocultos para todos:

Captura de tela 3-2

 

Notas: Esta funcionalidade é poderosa e não desabilita o acesso às unidades de disco. Apenas impede que o usuário o exiba.

A ferramenta sinaliza as unidades de disco como ocultas, mas também adiciona a propriedade HIDDEN a todas as pastas raiz e à lista de usuários em Documento e Configurações.

Se o administrador quiser ver esses arquivos ele deve:

  1. Digite a letra da unidade de disco. Por exemplo: D:\que o levará para a unidade D:.
  2. Ative MOSTRAR ARQUIVOS E PASTAS OCULTOS nas propriedades de visualização de pastas.

Código PIN do administrador

O Administrador pode proteger o acesso à Ferramenta do Administrador definindo um código PIN que será solicitado a cada inicialização, na guia Avançado do AdminTool, nas Configurações do Produto:

Captura de tela 4-1

TSplus Advanced Security Ultimate

Desde a versão TSplus 11.40, você encontrará uma ferramenta complementar de segurança única, que pode ser iniciada na guia Complementos:

Captura de tela 5-1

Que traz recursos poderosos, documentados nesta página .

Captura de tela 5-2

 

A função de Defensor de Ataques de Força Bruta no Portal da Web é descrita nesta página .

Autenticação de dois fatores

Desde a versão TSplus 12, você pode habilitar a autenticação de dois fatores como um complemento para o seu Portal Web TSplus.

Captura de tela 6-1

 

Mais informações sobre esse novo recurso incrível podem ser encontradas nesta página .

Certificados SSL

O processo de certificados SSL é detalhado nestas páginas:
Tutoriais sobre HTTPS, SSL e certificados .

REMOTE ACCESS

ADVANCED SECURITY