Я проводил исследования по настройке тонких клиентов, и это кажется очень крутой концепцией. Вместо того, чтобы покупать и обслуживать множество ПК, вы можете просто подключить тонкие клиенты к серверу Server 2008 по протоколу RDP. Все программы (Outlook, Browser, Adobe, специальные приложения) устанавливаются на ящик server 2008.
Это заставляет меня задуматься, действительно ли эта установка небезопасна? Например, если пользователь загружает PDF-файл, содержащий эксплойт, переходит на страницу, содержащую вредоносный апплет (при условии, что Java все еще не исправлен), или запускает вредоносный исполняемый файл какого-либо типа, сможет ли эта программа повысить привилегии и захватить весь Сервер 2008 (вместе со всеми пользователями, подключенными к RDP)? Я предполагаю, что программы должны запускаться от имени пользователя, подключенного по протоколу RDP, и выполнять их.
В среде толстого клиента худшее, что может случиться, - это то, что вредоносное ПО может захватить компьютер пользователя. Вредоносная программа не повлияет на другие толстые клиенты, если они не запустят ее.
Как я могу от этого защититься?
По сути, ваши опасения верны - в традиционных службах удаленных рабочих столов Windows Server у вас есть общее имущество. Это проблема не только из-за вирусов, но вы должны помнить, что любой пользователь может повлиять на всех остальных пользователей коробки множеством способов - ЦП, ОЗУ, дисковый ввод-вывод, использование и т. Д.
На все эти вопросы нет простого ответа, хотя есть инструменты, которые можно смягчить. Однако вернемся к исходному вопросу - ответ заключается в том, чтобы убедиться, что вы используете аудио / видео, пользуетесь преимуществами сетевой безопасности и такими инструментами, как групповая политика, для блокировки пользовательской среды. Я работал с сотнями терминальных серверов, и при правильных мерах предосторожности вирусы не должны быть проблемой.
Однако стоит помнить о преимуществах для тонких клиентов. Если вы правильно масштабируете свою инфраструктуру, пользователи никогда не должны заметить, что сервер снят с производства. Совместите это с передовой практикой аварийного восстановления и мониторингом, и весь комплексный ремонт станет полностью прозрачным.
Является ли решение для тонких клиентов служб терминалов или RDP небезопасным?
Во многих отношениях среда терминального сервера в точности похожа на типичный настольный компьютер с точки зрения безопасности. Но в некотором роде все иначе.
Хотя я, безусловно, могу согласиться с тем, что существует потенциальный риск того, что конечный пользователь получит что-то, что использует ошибку эскалации, а затем уничтожает всю систему. Я ни разу не видел, чтобы это происходило на самом деле за те ~ 10 лет, которые я поддерживал среды TS для пары школ. Время от времени что-то проникало и уничтожало профиль пользователя, но вредоносное ПО, уничтожающее всю систему, еще не произошло.
Системы, которые поддерживаются должным образом, с очень плотно закрытым доступом и приличной установкой антивирусной программы, будут защищать вашу систему большую часть времени. Обслуживание серверов будет проще, чем обслуживание множества рабочих столов.