我一直在研究瘦客户端设置,这似乎是一个非常酷的概念。您无需购买和维护多台 PC,只需拥有通过 RDP 连接到 Server 2008 服务器的瘦客户端即可。所有程序(Outlook、浏览器、Adobe、专业应用程序)都安装在 Server 2008 机箱上。
这让我不禁想,这种设置是否天生就不安全?例如,如果用户下载了包含漏洞的 PDF,转到包含恶意小程序的页面(假设 Java 仍未打补丁),或者运行某种恶意 exe,那么该程序是否能够提升权限并接管整个 Server 2008(以及所有通过 RDP 登录的用户)?我假设这些程序应该以通过 RDP 登录并执行的用户身份运行。
在胖客户端环境中,最糟糕的情况就是恶意软件可以接管用户的 PC。除非其他胖客户端运行该恶意软件,否则它不会影响其他胖客户端。
我该如何预防?
答案1
您的担忧基本上是正确的 - 在传统的 Windows Server 远程桌面服务中,您拥有共享资产。这不仅仅是病毒造成的问题,但您应该记住,任何用户都可能以多种方式影响机器上的其他人 - CPU、RAM、磁盘 I/O 和使用率等。
虽然有一些工具可以缓解这些问题,但所有这些问题都没有简单的答案。不过,回到你最初的问题 - 答案是确保使用 A/V、利用基于网络的安全性并使用组策略等工具来锁定用户环境。我曾使用过数百台终端服务器,只要采取正确的预防措施,病毒几乎不成问题。
不过,值得记住的是瘦客户端的优势。如果您正确扩展基础架构,用户永远不会注意到服务器停止生产。再加上良好的灾难恢复实践和监控,整个端到端修复过程将完全透明。
答案2
终端服务或 RDP 瘦客户端解决方案是否不安全?
从安全角度来看,终端服务器环境在很多方面与典型的桌面完全一样。但在某些方面,它们有所不同。
- 您的用户不是管理员/高级用户
- 他们无法安装软件。因此,您可以轻松选择有限的软件,以便继续应用补丁。订阅所有供应商邮件列表等。
- 因为他们抱怨太多而让某些高层成为管理员/高级用户根本不是一个选择。如果你给任何最终用户管理员访问权限,你的终端服务器很有可能很快被所有人破坏。你很快就会学会永远不要在终端服务器上做出例外。
- 您需要维护/监控的系统数量较少,并且它们很可能相似/相同。
- 您无需处理模糊的硬件差异,您可以自动化安装/更新过程。您的池中应该有足够的服务器,因此您可以从服务器群中拉出一台服务器进行更新、测试,并在发布关键问题补丁后立即恢复在线状态。您可以更新每个成员 TS,并且非常确定您已使用最新补丁更新了所有内容。
- 您可以(也应该)设置监控系统来收集终端服务器的 CPU、内存、I/O 统计数据,以便监控性能。典型的感染可能很快就会被注意到,因为它会消耗系统资源。
- 由于您正在运行一组可识别且有限的软件,因此软件白名单工具可能是可行的。例如软件限制策略或 Faronics Anti-EXE 或类似软件。
- 白名单方法意味着你明确批准每个可以运行的程序。绝大多数恶意软件根本无法绕过白名单
- 您将使用漫游配置文件和重定向文件夹将您的最终用户数据保存在文件服务器上。
- 由于您的所有数据都在其他地方,因此如果终端服务器损坏,您只需重建它即可。同样,在您的服务器群中拥有一台备用服务器可轻松完成此操作。
- 您的终端服务器几乎肯定会是 64 位系统。这意味着您可以启用所有高级 DEP、内存随机化功能等。这些功能并非万无一失,但它们可以减少攻击面
虽然我完全同意最终用户可能会遇到利用升级漏洞然后破坏整个系统的潜在风险。在我为几所学校维护 TS 环境的大约 10 年时间里,我从未真正见过这种情况发生。偶尔会有恶意软件进入并破坏用户配置文件,但破坏整个系统的恶意软件尚未发生。
维护得当、访问权限严格锁定、安装了良好的反恶意软件程序的系统将在大多数情况下保护您的系统。维护服务器比维护大量台式机更容易。