我一直在研究瘦客户端设置,这似乎是一个非常酷的概念。 而不是购买和维护许多PC,你可以简单地将瘦客户端,RDP到Server 2008服务器。 所有程序(Outlook,浏览器,Adobe,专业应用程序)都安装在2008服务器上。
这有我思考,这个设置固有不安全? 例如,如果用户下载包含漏洞的PDF,转到包含恶意小程序的页面(假设Java仍未打补丁),或者运行某种恶意的exe文件,则此程序可以提升权限并接pipe整个服务器2008(连同所有RDPed的用户)? 我假定这些程序应该像RDP中的用户一样运行并执行它们。
在厚的客户端环境中,可能发生的最糟糕的情况是恶意软件可能占用用户的PC。 恶意软件不会影响其他胖客户端,除非他们运行它。
我怎样才能防止呢?
您的疑虑基本上是正确的 – 在传统的Windows Server远程桌面服务中,您拥有共享的资产。 这不仅仅是因为病毒造成的一个问题,但是您应该记住,任何用户都可以通过多种方式影响盒子上的其他人 – CPU,RAM,磁盘I / O和使用等。
所有这些问题都没有简单的答案,尽pipe有一些工具可以缓解。 回到原来的问题,答案是确保您使用A / V,利用基于networking的安全性并使用组策略等工具来locking用户环境。 我已经和数以百计的terminal服务器合作过了,如果采取正确的预防措施,病毒应该几乎不成问题。
尽pipe如此,瘦客户机的优势还是值得考虑的。 如果您正确地扩展您的基础设施,用户不应该注意到服务器正在生产。 结合良好的灾难恢复实践和监测,整个端到端的修复可以是完全透明的。
terminal服务或RDP瘦客户机解决scheme是否不安全?
在许多方面,terminal服务器环境就像安全angular度的典型桌面一样。 但在某些方面,情况则不同。
虽然我当然可以同意,最终用户可能会冒险利用升级漏洞,然后破坏整个系统。 我从来没有见过这种情况发生在大约10年的时间里,我一直在为一些学校维护TS环境。 偶尔会有东西进入并抛弃用户configuration文件,但是整个系统的恶意软件还没有发生。
正确维护的系统以及非常严格的locking访问,安装体面的反恶意软件程序将大部分时间保护您的系统。 维护服务器比维护许多台式机更容易。