KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente TSplus? Diventa Partner CoreTech e visita il nostro configuratore prezzi

TSplus - Protezione e sicurezza del server

TSplus - Mettere in sicurezza un server Terminal Service Plus

La protezione di qualsiasi server è una storia infinita alla quale ogni esperto potrebbe aggiungere un capitolo.

TSplus beneficia ed è compatibile con l'infrastruttura di sicurezza esistente in un'azienda (Active Directory, GPO, server HTTPS, sistemi di telecomunicazione SSL o SSL, VPN, controllo accessi con o senza carte d'identità, ecc.).

Per i clienti che desiderano proteggere facilmente i propri server, TSplus offre una serie di modi semplici ed efficaci per applicare buoni livelli di sicurezza.

 

Modifica del numero di porta RDP e configurazione del firewall

Con AdminTool, è possibile selezionare un numero di porta TCP/IP diverso per il servizio RDP su cui accettare le connessioni. Quello predefinito è 3389.

Potete scegliere liberamente qualsiasi porta, a patto che non sia già utilizzata nella vostra rete e che si imposti lo stesso numero di porta sui firewall e su ogni programma di accesso utente TSplus.

TSplus include un'esclusiva capacità di port forwarding e tunneling: indipendentemente dalla porta RDP che è stata impostata, l'RDP sarà disponibile anche su HTTP e sul numero di porta HTTPS!

Se gli utenti desiderano accedere al vostro server TSplus al di fuori della vostra rete, dovete assicurarvi che tutte le connessioni in entrata sulla porta scelta vengano inoltrate al server TSplus. Per modificare il numero di porta RDP, nella scheda Home dovete fare clic sul pulsante a forma di matita accanto a "Porta RDP" (immagine seguente).

 

 

Nella finestra di dialogo che appare, scrivete il numero desiderato per la porta RDP e fate clic sul pulsante save; la modifica diverrà operativa e tornerete alla pagina Home.

 

Opzioni di sicurezza lato server

AdminTool consente di negare l'accesso a qualsiasi utente che non utilizzi un programma di connessione TSplus generato dall'amministratore. In questo caso, qualsiasi utente che tenterà di aprire una sessione con qualsiasi client Desktop remoto diverso da quello TSplus (supponendo che abbia l'indirizzo del server corretto, il numero di porta, un accesso valido e una password valida) verrà disconnesso automaticamente.

L'amministratore può decidere che solo i membri del gruppo Utenti desktop remoto potranno aprire una sessione; può inoltre decidere che sia inserita una password obbligatoria per aprire una sessione.

Impostando i Criteri di gruppo locali applicabili, l'amministratore può specificare se applicare un livello di crittografia per tutti i dati inviati tra il client e il computer remoto durante una sessione di Servizi terminal. Se lo stato è impostato su Abilitato, la crittografia per tutte le connessioni al server è impostata al livello deciso dall'amministratore; per impostazione predefinita, la crittografia è impostata su Alta.

L'amministratore può anche impostare come regola che solo gli utenti con un client di connessione TSplus potranno aprire una sessione. Qualsiasi accesso in entrata con un RDP standard o un accesso web verrà automaticamente rifiutato.

Sessioni permessi

Sono previsti anche dei permessi di accesso alle sessioni; potete trovare più opzioni di sicurezza avanzate facendo clic sulla scheda Sessioni -> Permessi mostrata nell’immagine seguente.

  • Allow access from Microsoft RDP client for everyone: consente a tutti gli utenti di connettersi utilizzando mstsc.exe.
  • Allow access from Microsoft RDP client for Admins only: consente solo agli amministratori di connettersi utilizzando mstsc.exe..
  • Deny access from Microsoft RDP client: impedisce a chiunque di connettersi utilizzando mstsc.exe.
  • Deny access from Outside: significa che solo gli IP privati della LAN potranno aprire una sessione.
  • Limit access to the members of Remote Desktop users: questo limite si applica solo a questo gruppo locale di utenti (che puoi vedere facendo clic sul riquadro Utenti e gruppi.
  • Encrypts end-to-end communications: High crittografa le comunicazioni client/server utilizzando la crittografia a 128 bit; si consiglia di utilizzare questo livello quando i client che accedono al server terminal supportano anche la crittografia a 128 bit.
  • Block all incoming access to this server: tutte le sessioni attive rimarranno attive, mentre tutti i tentativi di connessione in entrata verranno bloccati. Se selezioniate questa casella, assicuratevi di poter accedere fisicamente alla console del server. Non utilizzate questa opzione se il vostro server è ospitato in un ambiente Cloud.
  • Disable UAC and enhance Windows Access: disattiva i controlli dell'account utente, rimuove tutti i pop-up di sicurezza indesiderati da Windows. limitazione degli utenti (messaggi) durante l'avvio delle applicazioni.
  • La casella "Allow Windows Key" box consente l'uso dei tasti e delle combinazioni di Windows all'interno di una sessione TSplus.
  • Allow only users with, at least, one assigned application: gli utenti con un’applicazione e più possono aprire una sessione.
  • Allow CUT/PASTE within a session: deselezionando questa casella verranno disabilitati i comandi CTRL C/CTRL V.

Restrizioni di accesso al portale web

  • Nessuna restrizione
  • Il Portale Web è obbligatorio per tutti: gli utenti possono connettersi solo tramite il Portale Web.
  • Il portale Web è obbligatorio, ad eccezione degli amministratori: gli utenti possono connettersi solo tramite il portale Web, ad eccezione degli amministratori.
  • Proibisci gli account del portale Web per gli amministratori: gli amministratori non possono connettersi tramite il portale Web.

Nascondere le unità disco del server

AdminTool include uno strumento che consente di nascondere le unità disco del server per impedire agli utenti di accedere alle cartelle tramite Risorse del computer o finestre di dialogo standard di Windows. Nella scheda Sessioni - Impostazioni, fare clic su "Nascondi unità disco" (immagine seguente).

 

 

Questo strumento funziona a livello globale; ciò significa che anche l'amministratore non avrà un normale accesso alle unità dopo l'applicazione delle impostazioni. Nell'esempio seguente, tutti i driver sono stati selezionati con il pulsante "seleziona tutto", che selezionerà tutte le caselle corrispondenti alle unità che saranno nascoste a tutti.

 

 

Questa funzionalità è potente e non disabilita l'accesso alle unità disco; semplicemente impedisce all'utente di visualizzarlo. Lo strumento contrassegna le unità disco come nascoste, ma aggiunge anche la proprietà HIDDEN all'intera cartella radice e all'elenco utenti in Documento e Impostazioni.

Se l'amministratore vuole vedere questi file deve:

  1. Digitare la lettera dell'unità disco. Ad esempio: D:\ che ti porterà all'unità D:.
  2. Attivare SHOW HIDDEN FILES AND FOLDERS nelle proprietà della vista della cartella.

Administrator Pin Code

L'amministratore può proteggere l'accesso allo strumento di amministrazione impostando un codice PIN che verrà richiesto ad ogni avvio; per impostare il codice bisogna portarsi nella scheda Advanced di AdminTool, sotto le impostazioni del prodotto, quindi inserire il codice desiderato nela casella della relativa finestra di dialogo (immagine seguente) concludendo con un clic sul pulsante Save.

 

 

TSplus Advanced Security Ultimate

Dalla versione 11.40 di TSplus è possibile trovare uno strumento aggiuntivo di sicurezza unico nel suo genere, che potete avviare nella scheda ADD-ONS (Componenti aggiuntivi).

Da questa è possibile selezionare gli add-on desiderati. Nell’immagine seguente vedete la finestra di TSplus Advanced Security.

 

 

La finestra è simile a quella di amministrazione di Tsplus e riporta un menu, a sinistra, contenente tutti e le funzionalità e le schede accessibili. In particolare, da BRUTEFORCE si va alla pagina del Brute-Force Attack Defender, che consente di proteggere il vostro server pubblico da hacker, scanner di rete e robot che tramite attacchi bruteforce cercano di indovinare i dati di login e la password dell'amministratore, utilizzando l’analisi degli attuali accessi e dizionari di password.
Gli attacchi bruteforce al portale Web vengono bloccati quando gli utenti immettono credenziali errate.
Dopo 10 tentativi nell'arco di 10 minuti, il Portale Web impedirà all'utente di accedere per 20 minuti.

Authenticazione a due fattori

Dalla versione 12 di TSplus  è possibile abilitare l’autenticazione a due fattori come add-on per il TSplus Web Portal. L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza e impedisce l'accesso alla sessione degli utenti anche se qualcuno conosce la loro password.
Viene utilizzata una combinazione di due diversi fattori per ottenere un maggiore livello di sicurezza (immagine seguente):



1) qualcosa che conoscono ed una password.
2) qualcosa che hanno e un dispositivo - come uno smartphone - con un'app di autenticazione installata.

Potete utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:
- Authy
- Google Authenticator
- Microsoft Authenticator

Ogni volta che un utente accede alla sua sessione remota avrà bisogno della sua password e di un codice di verifica disponibile dal suo telefono cellulare. Una volta configurata, l'app di autenticazione visualizzerà un codice di verifica per consentirgli di accedere in qualsiasi momento; funziona anche se il suo dispositivo è offline.

In alternativa è possibile decidere di ricevere i codici di verifica tramite SMS (OTP); in questo caso servirà creare un account gratuito su Twilio.
L'autenticazione a due fattori è disponibile con connessioni HTML5 e Remoteapp solo sul portale Web TSplus, su TSplus Mobile Web ed Enterprise Edition; questa modalità di autenticazione non supporta l'accesso tramite client Desktop remoto.
Per fornire una soluzione ancora più sicura, le connessioni RDP sono negate per gli utenti abilitati 2FA.

Come prerequisito, il server TSplus dei dispositivi devono essere sincronizzati.

 

Certificati SSL

È possibile implementare la sicurezza ofrta dal protocollo SSL in TSplus; la gestione dei certificati SSL è dettagliata in tutorial dedicati in questo stesso sito.

I certificati SSL possono essere inseriti sia che siano stati rilasciati da una Certification Authority e quindi propri dell'utente, sia che vengano generati mediante TSplus stesso. Infatti  TSplus fornisce uno strumento facile da usare per generare un certificato SSL gratuito e valido, facile da installare. Questo strumento è Let's Encrypt.

 

Opzioni di sicurezza del programma di accesso TSplus

ll generatore di client TSplus offre la possibilità, nella sua scheda Sicurezza, di bloccare il client TSplus a:

    • un nome di PC specifico; significa che questo programma non sarà in grado di avviarsi da nessun altro PC;
    • un numero di serie dell'unità fisica (HDD del PC o chiavetta USB); questo è un modo molto semplice e potente per impostare un alto livello di sicurezza.

L'unico modo per connettersi è con un client specifico e questo client specifico può essere avviato solo su una chiavetta USB specifica o un HDD del PC.

 


Alcuni dei nostri clienti stanno consegnando chiavette USB per la lettura delle impronte digitali a ciascuno dei loro utenti e ogni programma generato è bloccato sul numero di serie del dispositivo.
In questo modo, possono limitare l'accesso al programma del client stesso, oltre a garantire che non possa essere copiato dalla chiavetta USB e utilizzato altrove.

 

Per ulteriori informazioni sulle funzionalità di sicurezza potete consultare la documentazione di TSplus Portable Client Generator e le FAQ.