Bundesamt für Sicherheit in der Informationstechnik

M 3.81 Schulung zum sicheren Terminalserver-Einsatz

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Leiter Fachabteilung, Leiter IT

Die Verwaltung der Terminalserver-Infrastruktur ist für Administratoren komplex, für Benutzer ohne Vorerfahrung in einigen Punkten erklärungsbedürftig. Alle Personen, die mit einem Terminalserver-System arbeiten, sollten daher geschult werden. Dies gilt im besonderen Maße für Administratoren.

Schulungsinhalte Administratoren

Für die Administration werden detaillierte Kenntnisse der verwendeten Applikationsservertechnik und die dahinter stehenden Verwaltungswerkzeuge und Dienste benötigt. Zudem sind Erfahrungen im Umgang mit dem Betriebssystem notwendig, das die Basis der jeweilig eingesetzten Lösung bildet.

Die Terminalserver-Architektur trennt die Eingabe, Ausgabe und Programmausführung voneinander. Durch diese Abstraktion ist es möglich, dass den Terminals ein völlig anderes Betriebssystem zu Grunde liegt, als dem Server. In dem Fall ist zusätzliches Fachwissen der zuständigen Personen über die Client-Systeme erforderlich. Ansonsten kann es leicht zu Fehlkonfigurationen kommen, die erhebliche sicherheitstechnische Auswirkungen haben können. Eine Schulung der Administratoren auf diesem Gebiet und insbesondere zu Schutzmechanismen im Terminalserver-Umfeld ist daher unerlässlich.

Die Schulungsinhalte sind dem Nutzungsspektrum der zu schulenden Personen anzupassen. Ein Teil der Schulung sollte immer auch sicherheitsrelevante Themen ansprechen, so dass eine Sensibilisierung für den sicheren Umgang mit Terminalservern erfolgt.

Es empfiehlt sich in regelmässigen Abständen das Bewusstsein für die Sicherheit aufzufrischen (Security-Awareness-Programm) und auf veränderte oder neue Situationen, Mechanismen oder Verfahren hinzuweisen. In diesem Rahmen sollten die in der Institution gültigen Sicherheitsrichtlinien angesprochen und die Terminalserver-spezifischen Themen aufgegriffen sowie etwaige Unklarheiten ausgeräumt werden.

  • Grundlagen:
    • Überblick über die eingesetzte Terminalserver-Umgebung
    • Überblick über die zugrundeliegende Netzarchitektur
    • Sicherheitsverwaltung und Werkzeuge
  • Anwendungsumgebung:
    • Softwareinstallation
    • Erstellen einer sicheren Benutzerumgebung
    • Serverdimensionierung und Lasterverteilung
    • Druckszenarien
  • Anbindung von Benutzern an Terminalserver:
    • Zugangs- und Zugriffsmethoden
    • Perimeterschutz
    • Endgerätesicherheit
    • Verschlüsselung
    • Verteilung der Client-Software
    • Gegebenenfalls Bereitstellung über ein Webportal
  • Terminalserver-Umgebung:
    • Anbindung von Verwaltungsservern und nachgelagerten Diensten
    • Migrations- und Integrationsstrategie
    • Lizenzierung
  • Betrieb:
    • Rechtevergabe und Härtung der Terminalserver-Umgebung
    • Softwareaktualisierung
    • Neustartzyklen
    • Sicherheits- und Datenschutzaspekte bei der Sitzungsspiegelung
    • Überwachung und Protokollierung
  • Notfallvorsorge:
    • Redundanzmechanismen
    • Sicherungsrelevante Daten der Terminalserver-Umgebung
  • Aussonderung:
    • Löschen kritischer Daten

Schulungsinhalte Anwender

An Schulungen für Anwender sind hiervon abweichende Anforderungen zu stellen. Für Benutzer ist vorrangig das Wissen über die Besonderheiten und Sicherheitsaspekte von entfernten Benutzersitzungen von Bedeutung. Vor allem wenn zuvor noch keine Erfahrungen im Umgang mit der Terminalserver-Technologie bestanden, können leicht Fehler bei der Bedienung entstehen.

So können bei Clients mit eigenständigen Betriebssystem, beispielsweise Dateipfade und Druckernamen anders lauten als auf dem Terminalserver-Client. Zudem kann leicht Verwirrung über das vom Client abweichende Verhalten der entfernten Benutzeroberfläche entstehen.

Personen die Terminalserver nutzen, sind daher mindestens über die folgenden Themengebiete zu unterrichten:

  • Aufklärung über die eingesetzten Sicherheitsmaßnahmen, mit dem ausdrücklichen Verbot diese zu deaktivieren oder zu versuchen diese zu umgehen
  • Erlaubte Zugangswege und Endgeräte
  • Pfade und Laufwerksverknüpfungen zur Dateiablage und zum Drucken
  • Zugriff auf nachgelagerte Dienste
  • Zugelassene Austauschmöglichkeiten von Informationen zwischen dem Betriebssystem des Clients und dem Terminalserver
  • Verhalten bei Verbindungsabbrüchen
  • Anweisung zum Abmelden am Ende der Nutzungszeit
  • Anweisung zum Sperren des Clients bei Verlassen des Raumes
  • Erlaubte Terminalserver, zu denen Benutzer sich mit der Terminalsoftware verbinden dürfen
  • Verbot des Versendens von Konfigurationsdaten ( z. B. .RDP oder .ICA Dateien)
  • Handlungsanweisungen bei verdächtigem Verhalten (wie etwa ein sich selbstständig bewegender Mauszeiger)

Steht leicht verständliches schriftliches Schulungsmaterial zu Terminalservern bereit, so kann anstelle der Schulung auch die Aufforderung stehen, sich selbstständig einzuarbeiten. Eine wesentliche Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit.

Prüffragen:

  • Wurden alle Anwender, insbesondere die zuständigen Administratoren für die Arbeit mit Terminalservern geschult und wurde die Schulungsinhalte an die zu schulenden Personen angepasst?

  • Ist der Umgang mit allen Sicherheitsmechanismen der Terminalserver dargestellt worden?

  • Wurden die Benutzer über den sicheren Umgang mit entfernt ablaufenden Anwendungen auf Terminalservern geschult?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK