Remote-Desktop

終端服務或 RDP 瘦客戶端解決方案是否安全?

  • April 11, 2013

我一直在研究瘦客戶端設置,這似乎是一個非常酷的概念。無需購買和維護許多 PC,您只需將瘦客戶端 RDP 連接到 Server 2008 伺服器即可。所有程序(Outlook、瀏覽器、Adobe、專業應用程序)都安裝在伺服器 2008 盒子上。

這讓我想,這種設置是否天生不安全?例如,如果使用者下載包含漏洞利用的 PDF,進入包含惡意小程序的頁面(假設 Java 仍未打更新檔),或執行某種惡意 exe,該程序是否能夠提升權限並接管整個伺服器2008 年(以及 RDP 中的所有使用者)?我假設這些程序應該以 RDPed 的使用者身份執行並執行它們。

在胖客戶端環境中,可能發生的最壞情況是惡意軟體可以接管使用者的 PC。該惡意軟體不會影響其他胖客戶端,除非它們執行它。

我怎樣才能防止這種情況?

您的擔憂基本上是正確的 - 在傳統的 Windows Server 遠端桌面服務中,您擁有共享資產。這不僅僅是因為病毒的問題,但您應該記住,任何使用者都可以通過多種方式影響機器上的其他人——CPU、RAM、磁碟 I/O 和使用等。

儘管有一些工具可以緩解這些問題,但所有這些問題都沒有簡單的答案。不過,回到您最初的問題 - 答案是確保您使用 A/V,利用基於網路的安全性並使用諸如組策略之類的工具來鎖定使用者環境。我使用過數百台終端伺服器,如果採取正確的預防措施,病毒應該幾乎不是問題。

不過,值得牢記瘦客戶端的優勢。如果您正確擴展基礎架構,使用者永遠不會注意到伺服器已停止生產。將其與良好的 DR 實踐和監控相結合,整個端到端修復可以完全透明。

引用自:https://serverfault.com/questions/498570