Bundesamt für Sicherheit in der Informationstechnik

M 4.366 Sichere Konfiguration von beweglichen Benutzerprofilen in Terminalserver-Umgebungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um Anwendungen für eine größere Anzahl an Benutzern bereitzustellen, werden häufig mehrere Terminalserver in einem Verbund eingesetzt. Dieser wird auch als Terminalserver-Farm bezeichnet.

Bei dem hier genannten Szenario entstehen einige spezifische Sicherheitsanforderungen an die Benutzerprofile. In Benutzerprofilen werden individuelle Benutzereinstellungen, Endgerätekonfigurationen (beispielsweise für Drucker) und gegebenenfalls auch selbst erstellte Dateien für jeden Anwender gespeichert.

In Verbünden von Terminalservern ist zumeist durch die Benutzer nicht vorherzusehen, mit welchen Terminalservern sie eine Sitzung aufbauen. Die Verwaltungsdienste der jeweiligen Terminalserver-Lösungen regeln dies automatisch, zumeist unter Berücksichtigung der Auslastung der einzelnen Server in der Farm.

Meldet sich der Anwender an, wird sein individuelles Profil von diesem Server geladen. Wurden keine entsprechenden Vorkehrungen getroffen, ist dies das lokal auf dem Server abgespeicherte Profil. Meldet sich der Benutzer nun ab und ein weiteres Mal an, kommt sehr wahrscheinlich eine Verbindung mit einem anderen Terminalserver zustande und es wird damit auch ein neues lokales Benutzerprofil erzeugt. Die auf dem ersten Terminalserver hinterlegten Einstellungen und Dateien sind erst dann wieder für den Nutzer erreichbar, wenn er sich zufällig mit genau diesem Server verbindet.

An dieser Stelle wird deutlich, dass eine zentrale Ablage der Dateien auf einem Dateiserver bei dem Einsatz von Terminalserver-Farmen notwendig ist, sollen Änderungen des Benutzers innerhalb seines Profils erhalten bleiben. Diese Methode zur Speicherung der Profildaten wird auch als "bewegliches Profil" bezeichnet.

Es ist hierbei jedoch zu beachten, dass in Anwendungsszenarien, in denen direkt auf einzelne Anwendungen anstatt eine vollständige Benutzeroberfläche (Desktop) zugegriffen wird, dies gegebenenfalls nicht erforderlich oder gewünscht ist.

Bei dem Einsatz von Windows Servern hat die Auswahl von beweglichen Benutzerprofilen, dort auch als "roaming profile" bezeichnet, einige Nachteile. So hat der Anwender, wie beabsichtigt, zahlreiche Möglichkeiten zur Änderung des Aussehens und Verhaltens seiner Benutzersitzung. Allerdings kann so auch sehr leicht durch einen Fehler des Benutzers das Sitzungsprofil unbenutzbar werden. Zudem wächst ein derart konfiguriertes Profil sehr schnell in seiner Größe an. Es benötigt dann lange Zeit um vom Dateiserver bei jeder Anmeldung geladen zu werden und erhöht so außerdem die Netz- und Serverlast.

Daher empfiehlt es sich, auf sogenannte "mandatory profiles" zurückzugreifen, die die Geschwindigkeit der Terminalserver erhöhen und die verhindern, dass Anwender sich versehentlich von der Nutzung ausschließen.

Dieser Profiltyp kann ebenfalls auf einem entfernten Server abgelegt werden, angelegte Dateien und Änderungen an Einstellungen werden jedoch nur für die Dauer der Sitzung gespeichert. Durch entsprechend erstellte Stapelverarbeitungsprogramme (Scripts) können vor dem endgültigen Schließen gezielt bestimmte Bestandteile des Profils ( z. B. neu angelegte Dokumente) auf dem Dateiserver gesichert werden.

Es sollte zudem eine Begrenzung der Größe des Profils administrativ vorgegeben werden, um ein Anwachsen über ein tolerables Maß hinaus zu unterbinden.

Prüffragen:

  • Wurde ein Verfahren definiert und umgesetzt um die Dateien von Benutzern, die innerhalb einer Terminalserver-Sitzung erstellt wurden, auf allen Terminalservern einer Terminalserver-Farm synchron verfügbar zu halten.

  • Wurde eine maximale Obergrenze für die Speichernutzung des Benutzerprofils auf den Terminalservern festgelegt?

  • Falls ja, wurde die Obergrenze der Benutzerprofile auf Terminalservern dokumentiert und die Benutzer darüber informiert?

Stand: 12. EL Stand 2011