Bundesamt für Sicherheit in der Informationstechnik

M 4.367 Sichere Verwendung von Client-Applikationen für Terminalserver

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Terminalserver-Dienste werden oft über Client-Systeme mit einem eigenständigen Betriebssystem (Fat Client) bereitgestellt. Dem Benutzer stehen in einer solchen Umgebung oft potentiell Möglichkeiten zur Verfügung, die Konfiguration oder die Client-Software abzuändern. Dieser kann dann etwa die Sicherheit seiner eigenen Verbindung herabsetzen oder Details über den internen Aufbau des Informationsverbunds an unberechtigte Dritte offenbaren.

Um dies zu verhindern sollten, wenn möglich alle Verbindungsparameter, wie die Verschlüsselungstiefe und das Verfahren administrativ auf der Serverseite vorgegeben werden. Auch Informationskanäle, wie die Einbindung von lokalen Laufwerken, Druckern, Schnittstellen oder die Zwischenablage sollten so gesteuert werden. Aber nicht immer ist dies innerhalb der eingesetzten Terminalserver-Lösung zentral, benutzerbezogen sowie für alle Einstellungen erzielbar und zudem können die Anforderungen der Anwender variieren.

In Terminalserver-Umgebungen mit normalem Schutzbedarf ist in den Benutzerrichtlinien vorzusehen, dass der Anwender in keinem Fall Konfigurationsdaten, etwa aus .ICA- oder .RDP-Dateien, an unberechtigte Personen versenden darf. Zudem dürfen keine vorgegebenen Einstellungen verändert oder Zugänge zu abweichenden Serveradressen ausprobiert werden. Weitere Hinweise zur Gestaltung angemessener Richtlinien können der Maßnahme M 2.464 Erstellung einer Sicherheitsrichtlinie zur Terminalserver-Nutzung entnommen werden. In Informationsverbünden mit hohem und sehr hohem Schutzbedarf genügen diese organisatorischen Festlegungen allein nicht.

Eine mögliche Alternative stellt hier die Nutzung von nicht konfigurierbaren Client-Programmen, wie die so genannte Gray Version des Citrix Program Neighborhood, dar. Voraussetzung ist in diesem Fall, dass der Client, auf der die Terminalsoftware bereitgestellt wird, unter der vollen Kontrolle der IT-Administration steht. Zudem muss ein Schreibzugriff auf die Dateien der Client-Software wirksam unterbunden werden.

Nicht geeignet für dieses Verfahren sind jedoch Entwicklersysteme, bei denen, z. B. mittels Softwareanalysewerkzeugen (Debugger) oder Netzwerkmonitoren (Sniffer) der Verbindungsaufbau überwacht oder manipuliert werden kann. Insbesondere eine automatische Authentisierung (Pass-Through-Authentication) kann so leicht gebrochen werden.

Wird auf die lokale Installation der Terminalsoftware und deren Konfiguration auf den Rechnern der Anwender verzichtet, können die oben genannten Sicherheitsmängel vermieden werden. Realisierbar wird dies durch den Einsatz von Portallösungen, wie beispielsweise:

  • Microsoft Terminalserver Web-Access
  • Citrix Access Gateway
  • NX-Builder für X-Window Systeme

Für eine Benutzerauthentisierung gegenüber einer Porttallösung über ein unsicheres Netz wird empfohlen, auf eine Zwei-Faktor-Authentisierung zurückzugreifen.

Auch bei der Auslieferung von Client-Software für Terminalserver über Webserver, sind restriktive Vorgaben zur Konfigurierbarkeit des Clients üblicherweise nicht Standard. Sie müssen daher vor der Inbetriebnahme der Terminalserver-Umgebung administrativ festgelegt werden. Überdies sind für das Portal die korrespondierenden Maßnahmen aus dem Baustein B 5.4 Webserver zu berücksichtigen.

Prüffragen:

  • Wurden alle Verbindungsparameter, wie die Verschlüsselungstiefe und das Verfahren, administrativ beim Terminalserver vorgegeben?

  • Sind die Anwender der Terminalserver über Ihre Pflichten zum Schutz der Vertraulichkeit von Konfigurationsdaten informiert?

  • Ist bei Systemen mit hohem oder sehr hohem Schutzbedarf spezielle Client-Software für die Nutzung des Terminalservers vorgesehen oder werden Portallösungen genutzt?

Stand: 12. EL Stand 2011