Größere Sicherheit durch Thin-Clients

Warum Terminalserver dem "fettem" PC überlegen sind

25. Juli 2008, 19:11 Uhr | Bernd Reder | Kommentar(e)

Fortsetzung des Artikels von Teil 3

Schwachstellen des Terminalserver-Konzepts

Die große Stärke von SBC ist zugleich auch seine größte Schwachstelle: Die Zentralisierung und damit die Abhängigkeit vom Server und vom Netzwerk. Fällt eine dieser Komponenten aus, ob durch einen Angriff, eine Panne oder höhere Gewalt, sinkt die Produktivität der Mitarbeiter mit einem Schlag auf Null. Entsprechend wichtig sind redundante, sichere Lösungen. Die Server-Software spielt hier eine Schlüsselrolle.

Sprechen Administratoren oder Hersteller vom Windows-Terminalserver, meinen sie damit heutzutage den Windows-Server-2003 mit eingeschalteten Terminal-Services.

Dieser leidet am Alleskönner-Syndrom: Richtig ausgefeilt sind seine Terminal-Fähigkeiten nicht, er ist eher schon für bloße Fernwartung geeignet. Wer einige Zeit einen Terminalserver unter Windows-Server-2003 betreibt, vermisst eine einfache Bereitstellung der Anwendungen, Sicherheits-Funktionen, Load-Balancing, eine Lizenzverwaltung und einen gewissen Nutzerkomfort.

Windows-Server-2008: überladen und unsicher

Der neue Windows-Server-2008 verspricht zwar eine Vielzahl von Verbesserungen, in der Praxis erweisen sich die neuen Features aber als unnötig komplex und erfüllen die vom Marketing geschürten Erwartungen nur eingeschränkt.

Auch in puncto Server-Sicherheit haben beide Windows-Server ihre Lücken. Die Härtung des Terminalservers mit Bordmitteln, eine straffe Konfiguration und der Einsatz gängiger Sicherheitsmechanismen zur Viren- und Trojaner-Abwehr verstehen sich von selbst.

Doch reichen diese Maßnahmen nicht aus, um den Terminalserver wirklich effizient gegen unerlaubte Zugriffe abzuschotten. Hier müssen Verfahren eingesetzt werden, die das Ausführen von Programmcode bereits auf Kernel-Ebene steuern und überwachen.

Drittanbieter wie H+H rüsten hier mit Zusatzlösungen Funktionen nach.Bei der H+H-Lösung »NetMan Desktop Manager« (NDM) ist beispielsweise die Gültigkeit der RDP-Datei, die für jeden Anwendungsstart benötigt wird, zeitlich begrenzt. Das verhindert, dass böswillige Anwender die entsprechenden Daten mehrfach verwenden und etwa von einer nicht autorisierten Station eine Anwendung starten.

NDM beschränkt oder sperrt außerdem optional den Zugriff auf Anwendungen, wenn die Clients bestimmte IP-Adressen oder DNS-Namen aufweisen. Auch der Zugriff auf lokale Laufwerke des Clients lässt sich reglementieren – beispielsweise um zu verhindern, dass Daten aus einer Terminalserver-Sitzung heraus auf einen USB-Stick übertragen werden.


  1. Warum Terminalserver dem "fettem" PC überlegen sind
  2. Viele Fliegen, eine Klappe
  3. Thin-Clients sind ausfallsicherer als PCs
  4. Schwachstellen des Terminalserver-Konzepts
  5. Kommunikationssicherheit

Das könnte Sie auch interessieren

Matchmaker+