ThinManager a Cyber Security

Jeden z hlavních přínosů plynoucí z nasazení tenkých nebo ještě lépe „zero“ klientů se týká zabezpečení systému. Výhody spočívají již v topologii nasazení, kdy aplikace (např. InTouch) jsou provozovány na serverové farmě, která je v péči IT odborníků, a je tedy řádně zajištěna a zabezpečena a oddělena od klientských terminálů prostřednictvím bariéry firewall.

Vůči této farmě otevírají klienti relace vzdálené plochy, přičemž možnosti jejich interakce s relací jsou přesně vymezeny. Obvyklé a doporučené je klientům zpřístupnit pouze rozhraní aplikací, které používají. Při nasazení ThinManager potom dochází automaticky k tomu, že klient nemá přístup na plochu Windows ani nemá k dispozici funkčnost Windows kláves a zkratek (WIN, CTRL, ALT, DEL), přičemž však není omezen pouze na používání jedné aplikace, neboť může mít navázáno více relací současně (vlastnost MultiSession).

Další bezpečnostní aspekty plynou přímo z použití tenkého HW, kdy určitá zařízení obvyklá pro PC na tenkých klientech zcela chybí (CD mechaniky, lokální úložiště). V takovém případě může klientský terminál naběhnout pouze ve spolupráci s ThinManager. Administrátor ThinManageru má tedy plnou kontrolu nad tím, která „zbylá“ HW rozhraní bude mít klient k dispozici, tj. které ovladače budou do tenkého klienta zavedeny. ThinManager ve výchozí konfiguraci nezavádí na tenké klienty např. ovladače pamětí USB (flashdisk), neboť tato zařízení představují významnou bránu pro vstup malware do systému.

Další významnou vlastností je, že klientská relace může být otevřena prostřednictvím účtu Windows, který klient nezná. Tento Windows účet je pouze zaveden v systému ThinManager, kde je bezpečně uložen, a je rovněž bezpečně předán klientskému zařízení při náběhu. Uživatel tedy nemůže tento účet zneužít ani vyzradit.

Často je však potřebné, aby se uživatelé do systému interaktivně přihlašovali a na základě jejich přihlášení jim byly aktivovány příslušné aplikace. Potom je vhodné využít systém TermSecure (součást ThinManager). TermSecure je v podstatě systém pro řízení oprávnění v systému s tenkými klienty. Uživatel se může do TermSecure přihlásit prostřednictvím klávesnice, snímače otisku prstu, čipové karty, USB flash klíče a RFID proximity card (detekce přiblížení) nebo vhodnou kombinací zmíněných metod, přičemž je systémem TermSecure ověřen a autorizován (jsou mu zpřístupněny a doručeny konkrétní aplikace v relacích vzdálené plochy).

Účet TermSecure je interně propojen s Windows/ActiveDirectory účtem pro otevírání relací, ale tento Windows/ActiveDirectory účet je uživateli zcela utajen. Uživatel, který se tedy přihlašuje k terminálům účtem TermSecure svá přihlašovací data nemůže zneužít jinde (například při přihlášení z PC) neboť nejde o Windows přihlášení. Mezi konkrétním přihlášením uživatele a účtem Windows je tedy bariéra, která radikálně posiluje systém zabezpečení.

Namísto speciálního TermSecure přihlášení lze použít pro přihlášení do systému ThinManager rovněž účty z ActiveDirectory. ThinManager potom páruje doménový účet uživatele s účtem pro otevření relací vzdálené plochy (rovněž ActiveDirectory) pro daného uživatele.

Integrace ThinManager a ActiveDirectory byla již částečně popsána v předchozím odstavci. Pro účty Windows/ActiveDirectory uložené v systému ThinManager lze navíc zapnout vlastnost „spravované z ThinManager“. V takovém případě ThinManager automaticky v pravidelných intervalech zajišťuje změnu hesel tak, aby byla zajištěna politika stáří hesel požadovaná v ActiveDirectory a zároveň je plněn požadavek komplexity těchto hesel (počet znaků, povinné skupiny znaků). Takto spravovaná hesla jsou již utajena všem včetně administrátora systému, který úvodní loginy zakládal a nelze je tak zneužít a vyzradit.

Popsané bezpečnostní mechanismy je vhodné doplnit limitací práv skupiny uživatelů přistupujících k serveru prostřednictvím vzdálené plochy (přestože plénu uživatelů nejsou tyto účty známy) a dále zabezpečením na úrovni provozovaných aplikací (např. InTouch).

Rozcestník ThinManager