none
Consulta acerca de Autenticación en Terminal Server RRS feed

  • Pregunta

  • Buenos días.

    Me han preguntado en mi empresa si hay alguna forma de securizar las conexiones de terminal server, para que si a un usuario le roban la clave y usuario haya otra barrera que impida que accedan a su cuenta.

    EL asunto es que  los clientes se conectan desde cualquier parte del mundo, no hay IP´s fijas de conexión, varían.

    ¿Hay alguna forma de hacer esto? He estado buscando pero no encuentro nada.

    Gracias.!

    martes, 29 de julio de 2014 9:11

Respuestas

  • Hola, Mam.vig:

    Como norma básica para cualquier Administrador, tienes que dar a entender a TODOS los usuarios que las credenciales de incio de sesión en cualquier servicio asociado al dominio son personales e intransferibles, lo que implica que ante cualquier sospecha de usurpación de identidad, el usuario afectado debe comunicarlo INMEDIATAMENTE al departamente IT correspondiente para que bloqueen la cuenta y/o cambien el passcode de acceso. Cualquier actividad que se realice sin que el usuario haga la denuncia pertinente será responsabilidad suya. Sin excusas. Te recomiendo MUY encarecidamente te asegures que los usuarios comprenden perfectamente ésta directiva universal, porque te evitará muchos problemas en el futuro..

    Ahora respondiendo directamente a tu consulta, la metodología más segura para tu caso es que los usuarios tengan que establecer una VPN a la oficina que les corresponde y una vez conectados por VPN, establecer la conexión a un CITRIX o a un REMOTEAPP (NO recomiendo un acceso TS de clientes a un servidor, precisamente por asunto de seguridad) que les pedira una segunda contraseña para acceder al servicio definitivo. Más info acerca de cómo hacer todo esto:

    · Configurar un servicio VPN para acceso remoto:
    http://technet.microsoft.com/es-es/library/cc725734(v=ws.10).aspx

    · Guia paso-a-paso sobre RemoteApp de TS en MS w2k8:
    http://technet.microsoft.com/es-es/library/cc730673(v=ws.10).aspx


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Uriel Almendra martes, 29 de julio de 2014 15:17
    • Marcado como respuesta Uriel Almendra miércoles, 30 de julio de 2014 15:50
    martes, 29 de julio de 2014 12:26
  • Hola!

    La mejor forma de dar ese tipo de seguridad a tus conexiones RDS es a través de la autenticación de múltiple factor y el uso de RD-Gateway (que forzará el uso de SSL en las conexiones evitando tener que usar otro tipo de tecnología de conexión). Con multifactor el usuario tendrá dos factores de autenticación diferentes que deberá poseer para poder autenticarse (usuario/contraseña + Smartcard por ejemplo), de esta manera te aseguras que no sea suficiente con que logren vulnerar una de las credenciales. Puedes investigar por ejemplo RD-Gateway con Azure Multifactor u otras soluciones de terceros. Te dejo esta nota sobre el tema http://msdn.microsoft.com/en-us/library/azure/dn249471.aspx

    Espero te sea de ayuda!

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE


    martes, 29 de julio de 2014 14:45

Todas las respuestas

  • Hola, Mam.vig:

    Como norma básica para cualquier Administrador, tienes que dar a entender a TODOS los usuarios que las credenciales de incio de sesión en cualquier servicio asociado al dominio son personales e intransferibles, lo que implica que ante cualquier sospecha de usurpación de identidad, el usuario afectado debe comunicarlo INMEDIATAMENTE al departamente IT correspondiente para que bloqueen la cuenta y/o cambien el passcode de acceso. Cualquier actividad que se realice sin que el usuario haga la denuncia pertinente será responsabilidad suya. Sin excusas. Te recomiendo MUY encarecidamente te asegures que los usuarios comprenden perfectamente ésta directiva universal, porque te evitará muchos problemas en el futuro..

    Ahora respondiendo directamente a tu consulta, la metodología más segura para tu caso es que los usuarios tengan que establecer una VPN a la oficina que les corresponde y una vez conectados por VPN, establecer la conexión a un CITRIX o a un REMOTEAPP (NO recomiendo un acceso TS de clientes a un servidor, precisamente por asunto de seguridad) que les pedira una segunda contraseña para acceder al servicio definitivo. Más info acerca de cómo hacer todo esto:

    · Configurar un servicio VPN para acceso remoto:
    http://technet.microsoft.com/es-es/library/cc725734(v=ws.10).aspx

    · Guia paso-a-paso sobre RemoteApp de TS en MS w2k8:
    http://technet.microsoft.com/es-es/library/cc730673(v=ws.10).aspx


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Uriel Almendra martes, 29 de julio de 2014 15:17
    • Marcado como respuesta Uriel Almendra miércoles, 30 de julio de 2014 15:50
    martes, 29 de julio de 2014 12:26
  • Hola!

    La mejor forma de dar ese tipo de seguridad a tus conexiones RDS es a través de la autenticación de múltiple factor y el uso de RD-Gateway (que forzará el uso de SSL en las conexiones evitando tener que usar otro tipo de tecnología de conexión). Con multifactor el usuario tendrá dos factores de autenticación diferentes que deberá poseer para poder autenticarse (usuario/contraseña + Smartcard por ejemplo), de esta manera te aseguras que no sea suficiente con que logren vulnerar una de las credenciales. Puedes investigar por ejemplo RD-Gateway con Azure Multifactor u otras soluciones de terceros. Te dejo esta nota sobre el tema http://msdn.microsoft.com/en-us/library/azure/dn249471.aspx

    Espero te sea de ayuda!

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE


    martes, 29 de julio de 2014 14:45