Sécuriser un serveur TS2log

Aperçu

La sécurisation de n'importe quel serveur est une histoire sans fin où chaque expert pourrait ajouter un autre chapitre.
TS2log bénéficie et est compatible avec les infrastructures de sécurité existantes dans une entreprise (Active Directory, GPO, serveurs HTTPS, SSL ou systèmes de télécommunication SSL, VPN, contrôle d'accès avec ou sans cartes d'identité, etc.).
Pour les clients qui souhaitent sécuriser facilement leurs serveurs, TS2log propose un ensemble de moyens simples et efficaces pour appliquer de bons niveaux de sécurité.

Modification du numéro de port RDP et configuration du pare-feu

Avec l'Admin Tool, vous pouvez sélectionner un numéro de port TCP/IP différent pour le service RDP sur lequel accepter les connexions. La valeur par défaut est 3389.
Vous pouvez choisir n'importe quel port arbitraire, en supposant qu'il n'est pas déjà utilisé sur votre réseau et que vous définissiez le même numéro de port sur vos pare-feux et sur chaque programme d'accès utilisateur TS2log.

TS2log inclut une capacité unique de transfert de port et de tunneling : quel que soit le port RDP qui a été défini, le RDP sera également disponible sur le numéro de port HTTP et HTTPS !

Si des utilisateurs souhaitent accéder à votre serveur TS2log en dehors de votre réseau, vous devrez vous assurer que toutes les connexions entrantes sur le port choisi sont transférées vers le serveur TS2log.
Dans l'onglet "Accueil", cliquez sur le bouton crayon à côté du "Port RDP" :

Capture d'écran 1-1

Modifiez le port RDP et enregistrez.

Options de sécurité côté serveur

L'Admin Tool permet de refuser l'accès à tout utilisateur qui n'utilise pas un programme de connexion TS2log généré par l'administrateur. Dans ce cas, tout utilisateur qui tenterait d'ouvrir une session avec un Client Remote Desktop autre que celui de TS2log (en supposant qu'il ait la bonne adresse de serveur, le numéro de port, une connexion et un mot de passe valides) sera automatiquement déconnecté.

L'administrateur peut décider que seuls les membres du groupe d'utilisateurs du Bureau à distance seront autorisés à ouvrir une session.

L'administrateur peut décider qu'un mot de passe est obligatoire pour ouvrir une session.

En définissant la stratégie de groupe locale applicable, l'administrateur peut spécifier s'il faut appliquer un niveau de cryptage pour toutes les données envoyées entre le client et l'ordinateur distant au cours d'une session de services TS2log.
Si l'état est défini sur "Activé", le cryptage de toutes les connexions au serveur est défini au niveau décidé par l'administrateur. Par défaut, le cryptage est défini sur "Élevé".

L'administrateur peut également définir comme règle que seuls les utilisateurs avec un Client de connexion TS2log pourront ouvrir une session.
Tout accès entrant avec un RDP standard ou un accès web sera automatiquement rejeté.

Autorisations de sessions

Vous pouvez trouver plusieurs options de sécurité avancées si vous cliquez sur l'onglet "Sessions - Autorisations" :

Screenshot 2-1

  • Autoriser l'accès à partir du Client RDP Microsoft pour tout le monde : Permet à chaque utilisateur de se connecter en utilisant mstsc.exe.
  • Autoriser l'accès depuis le Client RDP Microsoft pour les administrateurs uniquement : Autorise uniquement les administrateurs à se connecter à l'aide de mstsc.exe.
  • Refuser l'accès à partir du Client RDP Microsoft : Empêche quiconque de pouvoir se connecter en utilisant mstsc.exe.
  • Refuser l'accès depuis l'extérieur : Cela signifie que seules les adresses IP privées du réseau local pourront ouvrir une session.
  • Limiter l'accès aux membres des utilisateurs du Bureau à distance : Cette limite s'applique uniquement à ce groupe local d'utilisateurs (que vous pouvez voir en cliquant sur le bouton "Utilisateurs et groupes").
  • Crypte les communications de bout en bout : Cryptage élevé des communications client/serveur à l'aide d'un cryptage de 128 bits. Utilisez ce niveau lorsque les clients accédant au serveur de terminaux prennent également en charge le cryptage de 128 bits.
  • Bloquer tous les accès entrants à ce serveur : Toutes les sessions actives resteront actives, tandis que toutes les tentatives de connexions entrantes seront bloquées. Assurez-vous que vous pouvez accéder physiquement à la console du serveur si vous cochez cette case.
    N'utilisez pas cette option si votre serveur est hébergé dans un environnement Cloud.
  • Désactiver l'UAC et améliorer l'accès Windows : Désactive les contrôles des comptes utilisateurs, supprime toutes les fenêtres contextuelles de sécurité indésirables de Windows. Limitation des utilisateurs (messages) lors du lancement des applications.
  • La case "Autoriser la clé Windows" permet l'utilisation des touches et combinaisons Windows au sein d'une session TS2log.
  • Autoriser uniquement les utilisateurs avec au moins une application attribuée : Les utilisateurs avec une application et plus sont autorisés à ouvrir une session.
  • Autoriser Couper/Coller dans une session : Décocher cette case désactivera les commandes CTRL + C/CTRL + V

Restrictions d'accès au portail web

  • Aucune restriction
  • Le portail web est obligatoire pour tout le monde : les utilisateurs ne peuvent se connecter que via le portail web.
  • Le portail web est obligatoire, sauf pour les administrateurs : les utilisateurs ne peuvent se connecter que via le portail web, à l'exception des administrateurs.
  • Interdire le portail web pour les comptes d'administrateurs : les administrateurs ne peuvent pas se connecter via le portail web.

Masquer les lecteurs de disque du serveur

L'Admin Tool comprend un outil qui permet de masquer les lecteurs de disque du serveur pour empêcher les utilisateurs d'accéder aux dossiers via le poste de travail ou les boîtes de dialogue Windows standard.
Dans l'onglet "Sessions - Paramètres" cliquez sur "Masquer les lecteurs de disque" :

Screenshot 3-1

Cet outil fonctionne à l'échelle mondiale. Cela signifie que même l'administrateur n'aura pas un accès normal aux lecteurs une fois les paramètres appliqués.
Dans l'exemple ci-dessous, tous les pilotes ont été sélectionnés avec le bouton "Tout sélectionner", ce qui cochera toutes les cases correspondantes aux lecteurs qui seront cachés à tout le monde :

Capture d'écran 3-2

Remarques :
Cette fonctionnalité est puissante et ne désactive pas l'accès aux lecteurs de disque. Elle empêche simplement l'utilisateur de l'afficher.

L'outil signale les lecteurs de disque comme masqués mais il ajoute également la propriété HIDDEN à l'ensemble des dossiers racine et à la liste des utilisateurs dans "Document et paramètres".

Si l'administrateur veut voir ces fichiers, il doit :

  1. Saisir la lettre du lecteur de disque. Par exemple : D:\, ce qui amènera au lecteur D:.
  2. Activer "AFFICHER LES FICHIERS ET DOSSIERS HIDDEN" dans les propriétés d'affichage des dossiers.

Code PIN administrateur

L'administrateur peut sécuriser l'accès à l'Admin Tool en définissant un code PIN qui lui sera demandé à chaque démarrage, dans l'onglet "Avancé" sous les "Paramètres du produit" :

Screenshot 4-1

TS2log Advanced Security Ultimate

Depuis la version 11.40 TS2log, il existe un outil complémentaire de sécurité unique en son genre que vous pouvez lancer depuis l'onglet "Extensions" :

Capture d'écran 5-1

Ce qui apporte des fonctionnalités puissantes, documentées sur cette page.

Capture d'écran 5-2

Le rôle du défenseur des attaques par force brute sur le portail web est décrit sur cette page.

Authentification à deux facteurs

Depuis la version 12 TS2log, vous pouvez activer l'authentification à deux facteurs en tant qu'extension pour votre portail web TS2log.

Screenshot 6-1

Vous trouverez plus d'information à propos de cette nouvelle fonctionnalité étonnante sur cette page.

Certificats SSL

Le processus des certificats SSL est détaillé dans ces pages :
- HTTPS, SSL & Tutoriels sur les certificats.
- TS2log fournit un outil facile à utiliser pour générer un Certificat SSL valide, gratuit et facile à installer
- Choisissez vos Suites cryptographiques pour améliorer la sécurité.

Options de sécurité du programme d'accès TS2log

Le générateur de Client TS2log permet, via son onglet "Sécurité", de verrouiller le Client TS2log pour :

  • Un nom de PC spécifique. Cela signifie que ce programme ne pourra pas démarrer à partir d'un autre PC.
  • Un numéro de série de lecteur physique (PC HDD ou clé USB). Il s'agit d'un moyen très simple et puissant pour définir un niveau de sécurité élevé.
    La seule façon de se connecter est avec un Client spécifique, et ce Client spécifique ne peut démarrer que sur une clé USB ou un disque dur de PC spécifiques.
    Certains de nos clients fournissent des clés USB à lecture d'empreintes digitales à chacun de leurs utilisateurs et chaque programme généré est verrouillé sur le numéro de série de l'appareil.
    De cette façon, ils peuvent restreindre l'accès au programme du Client lui-même, tout en s'assurant qu'il ne peut pas être copié de la clé USB et utilisé ailleurs.

Capture d'écran 7-1

Vous trouverez plus d'information sur les fonctionnalités de sécurité avec la documentation sur le générateur de Client portable TS2log et notre FAQ.