Bundesamt für Sicherheit in der Informationstechnik

M 2.469 Geregelte Außerbetriebnahme von Komponenten einer Terminalserver-Umgebung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Sollen Terminalserver, an Terminalserver angeschlossene Clients oder Infrastrukturkomponenten einer Terminalserver-Umgebung außer Betrieb genommen werden, ist eine sorgfältige Planung der notwendigen Schritte unerlässlich.

Analog zu der Maßnahme M 2.320 Geregelte Außerbetriebnahme eines Servers ist daher sicherzustellen, dass

  • keine wichtigen Daten innerhalb der Terminalserver-Umgebung verloren gehen,
  • keine Anwendungen, Clients oder nachgelagerte Dienste beeinträchtigt werden, die mit den Applikationsservern verbunden sind und
  • keine sensitiven Daten auf den Datenträgern der Terminalserver- und Client-Infrastruktur zurückbleiben.

Dazu ist es insbesondere wichtig, einen Überblick darüber zu haben, welche Daten wo auf dem System gespeichert sind und von wo aus darauf zugegriffen wird. Im Folgenden werden daher an dieser Stelle die zu berücksichtigen Punkte aus M 2.320 Geregelte Außerbetriebnahme eines Servers in Bezug auf Terminalserver-Umgebungen konkretisiert.

  • Umfang der Datensicherung:
    Folgende Informationen sollten regelmäßig gesichert werden:
    • Benutzerprofile
    • Auf dem Lizenzserver hinterlegte Informationen
    • Authentisierungsinformationen
    • die Konfiguration der Sitzungsdatenbank (Session Directory) falls vorhanden
    • die Konfiguration des Independent Management Architecture (IMA) Datenspeichers bei Citrix Systemen
    • eingesetzte Verwaltungswerkzeuge
    • eventuell vorhandene vorher definierte, geprüfte und funktionstüchtige Systemzustände des Terminalservers
    • eventuell vorhandene vorher definierte, geprüfte und funktionstüchtige Systemzustände des Clients
  • Ersatzsystem
    Für die Wartung und Aussonderung von Terminalservern in einer Terminalserver-Farm ist die Definition einer Standardarchitektur sinnvoll. Dies bedeutet, das innerhalb einer Terminalserver-Farm nur gleichartige Server-Hardware mit einem identischen Softwarestand eingesetzt werden. IT -Systeme, die auf einer Standardarchitektur basieren, haben den Vorteil, dass handelsübliche Ersatzsysteme und Ersatzteile beschafft oder auf Vorrat gekauft werden können. Im Falle eines Defekts kann das defekte Gerät kostengünstig und zeitnah ausgetauscht werden.
  • Information der Benutzer
    Die Benutzer sollten darüber informiert werden, wie und wann der Terminalserver außer Betrieb genommen werden soll. Haben die Benutzer noch Sitzungen auf dem Terminalserver geöffnet, müssen sie aufgefordert werden, diese vorher zu beenden.
  • Entfernen von Verweisen auf das System
    Damit der Terminalserver abgeschaltet werden kann, muss vorher verhindert werden, dass die Benutzer sich an dem System anmelden können, damit keine Sitzung abrupt beim Ausschalten beendet wird. Werden, um die Last gleichmäßig auf verschiedene Terminalserver zu verteilen, Loadbalancer oder andere interne Lastverteilungssysteme eingesetzt, sollte im Vorfeld der abzuschaltende Terminalserver aus den vorhandenen Lastverteilungsplänen ausgetragen werden.
  • Löschen der Daten auf dem abzuschaltenden System
    Um zu vermeiden, dass sensible Information von unberechtigten Personen eingesehen werden können, sollten folgende Informationen von dem Terminalserver gelöscht werden:
    • Benutzerprofile
    • Authentisierungsinformationen
    • Zertifikate
  • Wenn nicht nur einzelne Terminalserver, sondern die gesamte Terminalserver-Umgebung entfernt werden soll, sind folgende Informationen zu löschen:
    • Sensible Daten in der Sitzungsdatenbank,
    • Independent Management Architecture (IMA) Datenspeicher bei Citrix Systemen,
    • Zone Data Collector (ZDC) bei Citrix Systemen,
    • jegliche temporäre Dateien wie Bitmaps auf den Clients und jegliche Caches.
  • Löschen von Datensicherungsmedien
    Es wird empfohlen, nach der Außerbetriebnahme alle Datensicherungsmedien zu löschen. Eine Ausnahme bilden Datensicherungen von Terminalservern, die redundant eingesetzt werden oder die anderen Terminalservern gleichen. In diesem Fall kann es unter Umständen zu einem späteren Zeitpunkt nötig sein, die gesicherten Informationen auf den verbleibenden Terminalservern zurückzuspielen.
  • Entfernen sonstiger Information
    Bevor ein Terminalserver entsorgt wird, sollten Komponenten, wie USB-Sticks und Speicher-Karten entfernt und Informationen, die nicht auf den Festplatten gespeichert sind, gelöscht werden. Hierzu gehören z. B. Preboot eXecution Environment (PXE)-Informationen und BIOS-Einträge. Auch Fernwartungskarten und Beschriftungen sollten entfernt werden.

Prüffragen:

  • Gibt es Regelungen für die Außerbetriebnahme des Terminalservers?

  • Wurden die Benutzer vor der Außerbetriebnahme der Terminalserver informiert, ihre Sitzungen zu beenden?

  • Falls sich auf den Terminalservern Daten der Benutzer befinden, wurden diese zuvor gesichert?

  • Wurden die Terminalserver, die ausgesondert werden sollen, aus den Lastverteilungsplänen entfernt?

  • Wurden alle vertraulichen Daten auf den Datenträgern vor einer eventuellen Aussonderung der Terminalserver vernichtet?

Stand: 12. EL Stand 2011