Nessun risultato trovato
La protezione di qualsiasi server è una storia infinita alla quale ogni esperto potrebbe aggiungere un capitolo.
TSplus beneficia ed è compatibile con l'infrastruttura di sicurezza esistente in un'azienda (Active Directory, GPO, server HTTPS, sistemi di telecomunicazione SSL o SSL, VPN, controllo accessi con o senza carte d'identità, ecc.).
Per i clienti che desiderano proteggere facilmente i propri server, TSplus offre una serie di modi semplici ed efficaci per applicare buoni livelli di sicurezza.
Con AdminTool, è possibile selezionare un numero di porta TCP/IP diverso per il servizio RDP su cui accettare le connessioni. Quello predefinito è 3389.
Potete scegliere liberamente qualsiasi porta, a patto che non sia già utilizzata nella vostra rete e che si imposti lo stesso numero di porta sui firewall e su ogni programma di accesso utente TSplus.
TSplus include un'esclusiva capacità di port forwarding e tunneling: indipendentemente dalla porta RDP che è stata impostata, l'RDP sarà disponibile anche su HTTP e sul numero di porta HTTPS!
Se gli utenti desiderano accedere al vostro server TSplus al di fuori della vostra rete, dovete assicurarvi che tutte le connessioni in entrata sulla porta scelta vengano inoltrate al server TSplus. Per modificare il numero di porta RDP, nella scheda Home dovete fare clic sul pulsante a forma di matita accanto a "Porta RDP" (immagine seguente).
Nella finestra di dialogo che appare, scrivete il numero desiderato per la porta RDP e fate clic sul pulsante save; la modifica diverrà operativa e tornerete alla pagina Home.
AdminTool consente di negare l'accesso a qualsiasi utente che non utilizzi un programma di connessione TSplus generato dall'amministratore. In questo caso, qualsiasi utente che tenterà di aprire una sessione con qualsiasi client Desktop remoto diverso da quello TSplus (supponendo che abbia l'indirizzo del server corretto, il numero di porta, un accesso valido e una password valida) verrà disconnesso automaticamente.
L'amministratore può decidere che solo i membri del gruppo Utenti desktop remoto potranno aprire una sessione; può inoltre decidere che sia inserita una password obbligatoria per aprire una sessione.
Impostando i Criteri di gruppo locali applicabili, l'amministratore può specificare se applicare un livello di crittografia per tutti i dati inviati tra il client e il computer remoto durante una sessione di Servizi terminal. Se lo stato è impostato su Abilitato, la crittografia per tutte le connessioni al server è impostata al livello deciso dall'amministratore; per impostazione predefinita, la crittografia è impostata su Alta.
L'amministratore può anche impostare come regola che solo gli utenti con un client di connessione TSplus potranno aprire una sessione. Qualsiasi accesso in entrata con un RDP standard o un accesso web verrà automaticamente rifiutato.
Sono previsti anche dei permessi di accesso alle sessioni; potete trovare più opzioni di sicurezza avanzate facendo clic sulla scheda Sessioni -> Permessi mostrata nell’immagine seguente.
Restrizioni di accesso al portale web
AdminTool include uno strumento che consente di nascondere le unità disco del server per impedire agli utenti di accedere alle cartelle tramite Risorse del computer o finestre di dialogo standard di Windows. Nella scheda Sessioni - Impostazioni, fare clic su "Nascondi unità disco" (immagine seguente).
Questo strumento funziona a livello globale; ciò significa che anche l'amministratore non avrà un normale accesso alle unità dopo l'applicazione delle impostazioni. Nell'esempio seguente, tutti i driver sono stati selezionati con il pulsante "seleziona tutto", che selezionerà tutte le caselle corrispondenti alle unità che saranno nascoste a tutti.
Questa funzionalità è potente e non disabilita l'accesso alle unità disco; semplicemente impedisce all'utente di visualizzarlo. Lo strumento contrassegna le unità disco come nascoste, ma aggiunge anche la proprietà HIDDEN all'intera cartella radice e all'elenco utenti in Documento e Impostazioni.
Se l'amministratore vuole vedere questi file deve:
D:\ che ti porterà all'unità D:.L'amministratore può proteggere l'accesso allo strumento di amministrazione impostando un codice PIN che verrà richiesto ad ogni avvio; per impostare il codice bisogna portarsi nella scheda Advanced di AdminTool, sotto le impostazioni del prodotto, quindi inserire il codice desiderato nela casella della relativa finestra di dialogo (immagine seguente) concludendo con un clic sul pulsante Save.
Dalla versione 11.40 di TSplus è possibile trovare uno strumento aggiuntivo di sicurezza unico nel suo genere, che potete avviare nella scheda ADD-ONS (Componenti aggiuntivi).
Da questa è possibile selezionare gli add-on desiderati. Nell’immagine seguente vedete la finestra di TSplus Advanced Security.
La finestra è simile a quella di amministrazione di Tsplus e riporta un menu, a sinistra, contenente tutti e le funzionalità e le schede accessibili. In particolare, da BRUTEFORCE si va alla pagina del Brute-Force Attack Defender, che consente di proteggere il vostro server pubblico da hacker, scanner di rete e robot che tramite attacchi bruteforce cercano di indovinare i dati di login e la password dell'amministratore, utilizzando l’analisi degli attuali accessi e dizionari di password.
Gli attacchi bruteforce al portale Web vengono bloccati quando gli utenti immettono credenziali errate.
Dopo 10 tentativi nell'arco di 10 minuti, il Portale Web impedirà all'utente di accedere per 20 minuti.
Dalla versione 12 di TSplus è possibile abilitare l’autenticazione a due fattori come add-on per il TSplus Web Portal. L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza e impedisce l'accesso alla sessione degli utenti anche se qualcuno conosce la loro password.
Viene utilizzata una combinazione di due diversi fattori per ottenere un maggiore livello di sicurezza (immagine seguente):
1) qualcosa che conoscono ed una password.
2) qualcosa che hanno e un dispositivo - come uno smartphone - con un'app di autenticazione installata.
Potete utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:
- Authy
- Google Authenticator
- Microsoft Authenticator
Ogni volta che un utente accede alla sua sessione remota avrà bisogno della sua password e di un codice di verifica disponibile dal suo telefono cellulare. Una volta configurata, l'app di autenticazione visualizzerà un codice di verifica per consentirgli di accedere in qualsiasi momento; funziona anche se il suo dispositivo è offline.
In alternativa è possibile decidere di ricevere i codici di verifica tramite SMS (OTP); in questo caso servirà creare un account gratuito su Twilio.
L'autenticazione a due fattori è disponibile con connessioni HTML5 e Remoteapp solo sul portale Web TSplus, su TSplus Mobile Web ed Enterprise Edition; questa modalità di autenticazione non supporta l'accesso tramite client Desktop remoto.
Per fornire una soluzione ancora più sicura, le connessioni RDP sono negate per gli utenti abilitati 2FA.
Come prerequisito, il server TSplus dei dispositivi devono essere sincronizzati.
È possibile implementare la sicurezza ofrta dal protocollo SSL in TSplus; la gestione dei certificati SSL è dettagliata in tutorial dedicati in questo stesso sito.
I certificati SSL possono essere inseriti sia che siano stati rilasciati da una Certification Authority e quindi propri dell'utente, sia che vengano generati mediante TSplus stesso. Infatti TSplus fornisce uno strumento facile da usare per generare un certificato SSL gratuito e valido, facile da installare. Questo strumento è Let's Encrypt.
ll generatore di client TSplus offre la possibilità, nella sua scheda Sicurezza, di bloccare il client TSplus a:
• un nome di PC specifico; significa che questo programma non sarà in grado di avviarsi da nessun altro PC;
• un numero di serie dell'unità fisica (HDD del PC o chiavetta USB); questo è un modo molto semplice e potente per impostare un alto livello di sicurezza.
L'unico modo per connettersi è con un client specifico e questo client specifico può essere avviato solo su una chiavetta USB specifica o un HDD del PC.
Alcuni dei nostri clienti stanno consegnando chiavette USB per la lettura delle impronte digitali a ciascuno dei loro utenti e ogni programma generato è bloccato sul numero di serie del dispositivo.
In questo modo, possono limitare l'accesso al programma del client stesso, oltre a garantire che non possa essere copiato dalla chiavetta USB e utilizzato altrove.
Per ulteriori informazioni sulle funzionalità di sicurezza potete consultare la documentazione di TSplus Portable Client Generator e le FAQ.