REMOTE ACCESS
Asegurar un Servidor TSplus (Hardening)
Resumen
Asegurar cualquier servidor es una historia interminable en la que cada experto podría añadir un capítulo más.
TSplus se beneficia y es compatible con la infraestructura de seguridad existente en una empresa (Active Directory, GPOs, servidores HTTPS, sistemas de telecomunicación SSL o SSL, VPN, control de acceso con o sin tarjetas de identificación, etc.).
Para los clientes que quieran asegurar fácilmente sus servidores, TSplus ofrece un conjunto de formas sencillas y eficaces de aplicar buenos niveles de seguridad.
Cambiar el número de puerto RDP y configurar el cortafuegos
Con la herramienta de Administración (AdminTool), puede seleccionar un número de puerto TCP/IP diferente para que el servicio RDP acepte conexiones. El predeterminado es 3389. Puede elegir cualquier puerto arbitrario, suponiendo que no se utilice ya en su red y que configure el mismo número de puerto en sus cortafuegos y en cada uno de los programas de acceso de los usuarios de TSplus.
TSplus incluye una capacidad única de reenvío de puertos y túneles: independientemente del puerto RDP que se haya establecido, el RDP también estará disponible en el número de puerto HTTP y HTTPS!
Si los usuarios quieren acceder a su servidor TSplus fuera de su red, debe asegurarse de que todas las conexiones entrantes en el puerto elegido sean reenviadas al servidor TSplus. En la pestaña Inicio, haga clic en el botón del lápiz situado junto al “Puerto RDP”:
Cambie el puerto RDP y guarde.
Opciones de seguridad del lado del servidor
La herramienta de administración (AdminTool) le permite denegar el acceso a cualquier usuario que no esté utilizando un programa de conexión de TSplus generado por el administrador. En este caso, cualquier usuario que intente abrir una sesión con cualquier cliente de Escritorio Remoto que no sea el de TSplus (suponiendo que tenga la dirección del servidor, el número de puerto y unas credenciales válidas) será desconectado automáticamente.
El administrador puede decidir que sólo los miembros del grupo de “Usuarios de Escritorio remoto” puedan abrir una sesión.
El administrador puede decidir que una contraseña sea obligatoria para abrir una sesión.
A través de la configuración de la Directiva de Grupo local aplicable (GPO), el administrador puede especificar si se debe imponer un nivel de cifrado para todos los datos enviados entre el cliente y el equipo remoto durante una sesión de “Terminal Services”.
Si el estado se establece como Habilitado, el cifrado para todas las conexiones con el servidor se establece en el nivel decidido por el administrador. Por defecto, el cifrado se establece en Alto.
El administrador también puede establecer como regla que sólo los usuarios con un cliente de conexión TSplus puedan abrir una sesión
Cualquier acceso entrante con un RDP estándar o un acceso web será rechazado automáticamente.
Permisos de las Sesiones
Puede encontrar múltiples opciones de seguridad avanzadas si hace clic en la subpestaña Sesiones > Permisos:
- Permitir el acceso desde el cliente RDP de Microsoft para todos: Permite que todos los usuarios se conecten usando mstsc.exe.
- Permitir el acceso desde el cliente RDP de Microsoft sólo a los administradores: Permite solo a los administradores conectarse utilizando mstsc.exe.
- Denegar el acceso desde el cliente RDP de Microsoft: Impide la conexión usando mstsc.exe.
- Denegar el acceso desde el exterior: Significa que sólo las IPs privadas de la LAN podrán abrir una sesión.
- Limitar el acceso a los miembros de los usuarios de Escritorio Remoto: Este límite se aplica sólo a este grupo local de usuarios (que puede ver pulsando en el botón Usuarios y Grupos).
- Cifra las comunicaciones de extremo a extremo: La comunicación cliente/servidor será realizada utilizando un cifrado de 128 bits. Utilice este nivel cuando los clientes que acceden al servidor de terminales también admitan el cifrado de 128 bits.
- Bloquea todos los accesos entrantes a este servidor: Todas las sesiones vivas permanecerán activas, pero todos los intentos de conexiones entrantes serán bloqueados. Asegúrese de que puede acceder físicamente a la consola del servidor si marca esta casilla. No utilice esta opción si su servidor está alojado en un entorno Cloud.
- Desactivar UAC y mejorar el acceso a Windows: Desactiva el Control de Cuentas de Usuario, elimina todas las ventanas emergentes de seguridad no deseadas de Windows.
- La casilla “Permitir tecla Windows” permite el uso de la tecla Windows y sus combinaciones dentro de una sesión de TSplus.
- Permitir sólo a los usuarios con, al menos, una aplicación asignada: Los usuarios que no tengan ninguna aplicación asignada no podrán abrir una sesión.
- Permitir CORTAR/PEGAR dentro de una sesión: al desmarcar esta casilla se desactivan los comandos CTRL + C / CTRL + V
Restricciones de acceso al portal web
- Sin restricciones
- El Portal Web es obligatorio para todos: los usuarios sólo podrán conectarse a través del Portal Web.
- El portal web es obligatorio, excepto para los administradores: los usuarios deberán conectarse a través del portal web, excepto los administradores.
- Prohibir el Portal Web para cuentas de administrador: Los administradores no podrán conectarse a través del Portal Web.
Ocultar las unidades de disco del servidor:
La AdminTool incluye una herramienta que permite ocultar las unidades de disco del servidor para evitar que los usuarios accedan a las carpetas a través de Mi PC o de los cuadros de diálogo estándar de Windows. En la subpestaña Sesiones > Configuración, haga clic en “Ocultar unidades de disco”:
Esta herramienta funciona de forma global. Esto significa que incluso el administrador no tendrá un acceso normal a las unidades después de aplicar los ajustes. En el ejemplo de abajo, se han seleccionado todas las unidades con el botón “seleccionar todo”, que marcará todas las casillas correspondientes a las unidades que estarán ocultas para todo el mundo:
Notas: Esta funcionalidad no desactiva el acceso a las unidades de disco. Sólo impide que el usuario las visualice.
Código PIN del Administrador
El administrador puede asegurar el acceso a la herramienta de administración estableciendo un código pin que se le pedirá en cada inicio, en la pestaña avanzada de la AdminTool, en la configuración del producto:
TSplus Advanced Security Ultimate
Desde la versión 11.40 de TSplus, encontrará una herramienta complementaria de seguridad única, que puede iniciar en la pestaña Complementos:
Que aporta potentes funciones, documentadas en esta página.
El rol de Defensor de Ataques de Fuerza Bruta en el Portal Web se describe en esta página.
Autenticación de dos factores
Desde la versión 12 de TSplus, puede habilitar la autenticación de dos factores como complemento para su Portal Web TSplus.
En esta página encontrará más información sobre esta nueva y sorprendente función.
Certificados SSL
El proceso de los certificados SSL se detalla en estas páginas:
– HTTPS, SSL y Certificados Tutoriales.
– TSplus proporciona una herramienta fácil de usar para generar un certificado SSL gratuito y válido: Certificado SSL gratuito y fácil de instalar
– Elija sus suites de cifrado para mejorar la seguridad.
Opciones de seguridad de acceso del programa TSplus:
El generador de clientes TSplus da la capacidad, en su pestaña de Seguridad, de bloquear el cliente TSplus para:
- Un nombre de equipo/dispositivo específico. Esto significa que este programa no podrá iniciarse desde ningún otro.
- Un número de serie de la unidad física (disco duro del PC o memoria USB). Esta es una forma muy fácil y potente de establecer un alto nivel de seguridad.
La única forma de conectarse es con un cliente específico, y este cliente específico sólo puede iniciarse en una memoria USB o un disco duro de PC específicos.
Algunos de nuestros clientes entregan a cada uno de sus usuarios memorias USB que leen las huellas dactilares y cada programa generado se bloquea con el número de serie del dispositivo.
De este modo, pueden restringir el acceso al propio programa del cliente, así como garantizar que no pueda copiarse de la memoria USB y utilizarse en otro lugar.
Para más información sobre las características de seguridad, consulte la documentación del Generador de Clientes portables TSplus y nuestra base de conocimiento.