Sécuriser un serveur TS2log

Vue d'ensemble

Sécuriser n'importe quel serveur est une histoire sans fin où chaque expert peut ajouter un autre chapitre.
L'avantage de TS2log est qu'il est compatible avec l'infrastructure de sécurité existante dans une entreprise (Active Directory, GPO, serveurs HTTPS, systèmes de télécommunication SSL ou SSL, VPN, contrôle d'accès avec ou sans cartes d'identité, etc.).
Pour les clients souhaitant sécuriser facilement leurs serveurs, TS2log propose un ensemble de moyens simples et efficaces pour appliquer de bons niveaux de sécurité.

Changement du numéro de port RDP et paramétrage du pare-Feu

Modification du numéro de port RDP et configuration du pare-feu

Avec l'AdminTool, vous pouvez sélectionner un numéro de port TCP / IP différent pour que le service RDP accepte les connexions. La valeur par défaut est 3389.
Vous pouvez choisir n'importe quel port de manière arbitraire, en supposant qu'il n'est pas déjà utilisé sur votre réseau et que vous définissez le même numéro de port sur vos pare-feu et sur chaque programme d'accès utilisateur TS2log.

TS2log inclut une fonction unique de redirection de port et de tunneling: quel que soit le port RDP défini, le RDP sera également disponible sur HTTP et sur le numéro de port HTTPS !

Si les utilisateurs souhaitent accéder à votre serveur TS2log en dehors de votre réseau, vous devez vous assurer que toutes les connexions entrantes sur le port choisi sont transmises au serveur TS2log. Dans l'onglet Serveur, cliquez sur la vignette "Modifier le port RDP" :

Options de sécurité côté serveur

L'AdminTool vous permet d'interdire l'accès à tout utilisateur qui n'utilise pas un client de connexion TS2log généré par l'administrateur. Dans ce cas, tout utilisateur qui tenterait d'ouvrir une session avec un client Remote Desktop autre que le client TS2log (en supposant qu'il possède l'adresse du serveur, le numéro de port, une connexion valide et un mot de passe valide) sera automatiquement déconnecté.

L'administrateur peut décider que seuls les membres du groupe Utilisateurs du Bureau à distance seront autorisés à ouvrir une session.

L'administrateur peut décider qu'un mot de passe est obligatoire pour ouvrir une session.

En définissant la stratégie de groupe locale applicable, l'administrateur peut spécifier s'il convient d'appliquer un niveau de chiffrement à toutes les données envoyées entre le client et l'ordinateur distant au cours d'une session des services Terminal Server.
Si le statut est défini sur Activé, le cryptage de toutes les connexions au serveur est défini sur le niveau défini par l'administrateur. Par défaut, le cryptage est défini sur Élevé.

L'administrateur peut également définir comme règle que seuls les utilisateurs disposant d'un client de connexion TS2log pourront ouvrir une session.
Tout accès entrant avec un accès RDP standard ou un accès Web sera automatiquement rejeté.

Masquage des lecteurs de disque du serveur :

L'AdminTool comprend un outil permettant de masquer les lecteurs de disque du serveur pour empêcher les utilisateurs d'accéder aux dossiers via le Poste de travail ou les boîtes de dialogue Windows standard. Sous l'onglet Sécurité, cliquez sur "Masquer les lecteurs de disque" :

Cet outil fonctionne globalement. Cela signifie que même l’administrateur n’aura pas un accès normal aux lecteurs après l’application des paramètres. Sur l'exemple ci-dessous, tous les pilotes ont été sélectionnés avec le bouton "Sélectionner tout", ce qui cochera toutes les cases correspondant aux lecteurs qui seront cachés à tout le monde :

Remarques : Cette fonctionnalité est puissante et ne désactive pas l'accès aux lecteurs de disque. Cela empêche simplement l'utilisateur de l'afficher.

L'outil marque les disques comme étant masqués, mais ajoute également la propriété HIDDEN à la totalité des dossiers racine et à la liste des utilisateurs dans Document et paramètres..

Si l'administrateur veut voir ces fichiers, il doit:

  1. Tapez la lettre du lecteur de disque. Par exemple: D: \ qui vous mènera au lecteur D
  2. Activez l'option SHOW HIDDEN FILES AND FOLDERS dans les propriétés d'affichage du dossier.

Option de sécurité avancées

Vous pouvez trouver de nombreuses « options de sécurité avancées « si vous cliquez sur  l’icône du même nom dans l'onglet sécurité :