Bundesamt für Sicherheit in der Informationstechnik

B 3.305 Terminalserver

Logo Terminalserver

Beschreibung

Terminalserver stellen zentral Ressourcen bereit, die mehrere Clients nutzen können. Diese Ressourcen können Bestandteile des Server-Betriebssystems, Standard-Anwendungen oder Kommandozeilen sein. Auf diese Weise können Applikationen bereitgestellt werden, ohne dass sie auf den Clients installiert werden müssen. In der Regel können mehrere Clients über das Netz gleichzeitig auf die vom Terminalserver angebotenen Applikationen zugreifen.

Terminalserver stellen ein besonders zentralisiertes Szenario einer Client-Server Architektur dar. Anwendungen werden auf den leistungsstarken Terminalservern installiert, von den Clients werden diese gestartet, gesteuert und dargestellt. Diese Ein- und Ausgaben können auf verhältnismäßig einfach ausgestatteten Arbeitsplatz-Rechnern (Fat-Clients) mit der entsprechenden Client-Software verarbeitet werden. Zudem existieren Lösungen, die mit dedizierten Terminals (Thin-Clients) funktionieren.

In diesem Baustein wird ein systematischer Weg aufgezeigt, wie ein Konzept zum Einsatz von Terminalservern innerhalb einer Institution erstellt und wie deren Umsetzung und Einbettung sichergestellt werden kann. Er ist auf jeden Terminalserver des betrachteten Informationsverbunds anzuwenden.

Abgrenzung des Bausteins

Bestandteil dieses Bausteins sind lediglich die für Terminalserver spezifischen Gefährdungen und Maßnahmen. Daher muss zusätzlich der Baustein B 3.101 Allgemeiner Server berücksichtigt werden. Wird auf dem Terminalserver-Client ein eigenständiges Betriebssystem ausgeführt und wird dieses nicht von dem Server bezogen, so ist des Weiteren der Baustein B 3.201 Allgemeiner Client zu betrachten. Terminalserver-Dienste existieren für zahlreiche Betriebssysteme z. B. Unix bzw. Linux, Microsoft Windows und z/OS. Die einzelnen Umsetzungen unterscheiden sich in vielen Punkten sehr stark, beispielsweise durch die

  • Verwendung des benutzten Übertragungsprotokolls,
  • Anforderungen an die Übertragungsraten des Netzes,
  • Anforderungen an die Geschwindigkeit des Servers,
  • Nutzung von verteilten Ressourcen und Geräten und
  • insbesondere durch die unterschiedliche Konfiguration und Administration des unter diesem Dienst operierenden Betriebssystems.

Für die Sicherheit eines Terminalservers ist es daher unabdingbar, zusätzlich die Bausteine anzuwenden, die das konkrete Betriebssystem beschreiben.

Gefährdungslage

Für den IT-Grundschutz eines Terminalservers gestützten Netzes werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.7 Unerlaubte Ausübung von Rechten
G 2.32 Unzureichende Leitungskapazitäten
G 2.36 Ungeeignete Einschränkung der Benutzerumgebung
G 2.153 Ungeeignete Sicherung des Übertragungsweges in einer Terminalserver Umgebung
G 2.154 Ungeeignete Anwendungen für den Einsatz auf Terminalservern

Menschliche Fehlhandlungen

G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.38 Konfigurations- und Bedienungsfehler

Technisches Versagen

G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
G 4.12 Fehlende Authentisierungsmöglichkeit zwischen X-Server und X-Client
G 4.22 Software-Schwachstellen oder -Fehler
G 4.33 Schlechte oder fehlende Authentikationsverfahren und -mechanismen
G 4.35 Unsichere kryptographische Algorithmen
G 4.81 Erweiterte Rechte durch Programmdialoge auf Terminalservern
G 4.82 Ausfall und Nichterreichbarkeit von Terminalservern

Vorsätzliche Handlungen

G 5.19 Missbrauch von Benutzerrechten
G 5.23 Schadprogramme
G 5.112 Manipulation von ARP-Tabellen
G 5.161 Gefälschte Antworten auf XDMCP-Broadcasts bei Terminalservern
G 5.162 Umleiten von X-Window-Sitzungen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für den erfolgreichen Aufbau eines Terminalservers sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb dieses Servers. Die Schritte, die dabei durchlaufen werden, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Bei der Planung eines Terminalservers müssen eine Reihe von Rahmenbedingungen bedacht werden. Im ersten Schritt sollte die allgemeine Sicherheitsrichtlinie um eine detaillierte Richtlinie für Terminalserver ergänzt werden (siehe M 2.464 Erstellung einer Sicherheitsrichtlinie zur Terminalserver-Nutzung ). Die hierin schriftlich festgehaltenen Maßgaben sowie Zielsetzungen müssen die individuellen Bedingungen und Anforderungen einer sicheren Terminalserver-Umgebung widerspiegeln. Bei der Migration einer bestehenden Client-Server-Architektur auf eine Terminalserver-gestützte Umgebung muss vor der Umsetzung eingehend überprüft werden, ob die zu migrierenden Anwendungen überhaupt dafür geeignet sind (M 2.466 Migration auf eine Terminalserver-Architektur ).

Innerhalb von Mehrbenutzerumgebungen, wie sie Terminalserver-Systeme darstellen, ist die Abschottung der Anwender voneinander sowie gegenüber riskanten Systemfunktionen von erheblicher Bedeutung. Um einen störungsfreien Betrieb zu gewährleisten und die Vertraulichkeit der innerhalb einzelner Benutzersitzungen verarbeiteten Daten zu schützen, müssen die Rechte restriktiv vergeben werden (siehe M 5.163 Restriktive Rechtevergabe auf Terminalservern ).

Terminalserver können dazu benutzt werden, dass Clients auf Inhalte in unsicheren Netzen, beispielsweise auf Internetseiten mit aktiven Inhalten, zugreifen können. Anstatt des Clients kommuniziert der Terminalserver über das unsichere Netz, dem Client werden nur die Inhalte übermittelt. Ein Terminalserver, der anstelle des Clients auf das unsichere Netz zugreift, wird als grafische Firewall bezeichnet (siehe Maßnahme M 4.365 Nutzung eines Terminalservers als grafische Firewall ).

Beschaffung

Sollen Anwendungen, die bislang in einer Client-Server basierten Netzarchitektur genutzt werden, auf einen Terminalserver zentral bereitgestellt werden, sind lizenzrechtlich relevante Verträge im Vorfeld der Migration zu prüfen und eventuell neue Software zu beschaffen (siehe M 2.468 Lizenzierung von Software in Terminalserver-Umgebungen ).

Umsetzung

Die Verwaltung der Terminalserver-Infrastruktur ist für Administratoren sowie für Benutzer ohne Vorerfahrung in einigen Punkten erklärungsbedürftig. Alle Personen, die mit einem Terminalserver-System arbeiten, sollten daher geschult werden (siehe M 3.81 Schulung zum sicheren Terminalserver-Einsatz ).

Betrieb

Es muss verhindert werden, dass die Anwender die Benutzerumgebung auf den Terminalservern verändern und nur auf Ressourcen zugreifen können, auf die sie auch zugreifen sollen (siehe M 4.367 Sichere Verwendung von Client-Applikationen für Terminalserver ). Läuft die Verbindung zwischen Terminalservern und deren Clients über ein unsicheres Netz, sind Vorkehrungen zu treffen, damit die Kommunikation nicht belauscht, verändert oder gestört werden kann (siehe M 5.164 Sichere Nutzung eines Terminalservers aus einem entfernten Netz ).

Aussonderung

Sollen Terminalserver, an Terminalserver angeschlossene Clients oder Infrastruktur-Komponenten einer Terminalserver-Umgebung außer Betrieb genommen werden, sollte die Maßnahme M 2.469 Geregelte Außerbetriebnahme von Komponenten einer Terminalserver-Umgebung berücksichtigt werden.

Notfallvorsorge

Da vom Ausfall einer Terminalserver-Umgebung zumeist eine größere Anzahl Anwender betroffen sein können, sind Maßnahmen zu ergreifen, damit bei einem Ausfall der Schaden verringert wird. Durch Terminalserver-Verbünde können auch hohe Anforderungen an die Verfügbarkeit erfüllt werden (siehe M 6.142 Einsatz von redundanten Terminalservern ).

Fällt ein Terminalserver-Client aus, stehen die Anwendungen auf dem Terminalserver dem betroffenen Benutzer nicht mehr zur Verfügung. Daher könnten beim Einsatz von Terminals ohne eigenes Betriebssystem (Thin-Clients) Ersatzmaschinen bereitgehalten werden (M 6.143 Bereitstellung von Terminalserver-Clients aus Depot-Wartung ).

Werden vorsorglich die Applikationen sowohl auf dem Terminalserver als auch auf den Client-PCs installiert, kann bei einem Ausfall vorübergehend ein Notfallbetrieb aufrecht erhalten werden (M 6.144 Konfiguration von Terminalserver-Clients für die duale Nutzung als normale Client-PCs ).

Nachfolgend wird das Maßnahmenbündel für den Baustein "Terminalserver" vorgestellt.

Planung und Konzeption

M 2.464 (A) Erstellung einer Sicherheitsrichtlinie zur Terminalserver-Nutzung
M 2.465 (A) Analyse der erforderlichen Systemressourcen von Terminalservern
M 2.466 (A) Migration auf eine Terminalserver-Architektur
M 2.467 (C) Planung von regelmäßigen Neustartzyklen von Terminalservern
M 4.250 (Z) Auswahl eines zentralen, netzbasierten Authentisierungsdienstes
M 4.365 (Z) Nutzung eines Terminalservers als grafische Firewall
M 5.64 (Z) Secure Shell
M 5.162 (A) Planung der Leitungskapazitäten beim Einsatz von Terminalservern
M 5.163 (A) Restriktive Rechtevergabe auf Terminalservern

Beschaffung

M 2.468 (Z) Lizenzierung von Software in Terminalserver-Umgebungen

Umsetzung

M 3.81 (C) Schulung zum sicheren Terminalserver-Einsatz
M 4.9 (A) Einsatz der Sicherheitsmechanismen von X-Window
M 4.106 (A) Aktivieren der Systemprotokollierung
M 4.366 (B) Sichere Konfiguration von beweglichen Benutzerprofilen in Terminalserver-Umgebungen
M 5.72 (A) Deaktivieren nicht benötigter Netzdienste

Betrieb

M 2.273 (A) Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates
M 4.3 (A) Einsatz von Viren-Schutzprogrammen
M 4.367 (B) Sichere Verwendung von Client-Applikationen für Terminalserver
M 4.368 (B) Regelmäßige Audits der Terminalserver-Umgebung
M 5.164 (B) Sichere Nutzung eines Terminalservers aus einem entfernten Netz

Aussonderung

M 2.469 (A) Geregelte Außerbetriebnahme von Komponenten einer Terminalserver-Umgebung

Notfallvorsorge

M 6.142 (Z) Einsatz von redundanten Terminalservern
M 6.143 (C) Bereitstellung von Terminalserver-Clients aus Depot-Wartung
M 6.144 (Z) Konfiguration von Terminalserver-Clients für die duale Nutzung als normale Client-PCs

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK