ThinManager

Systém pro správu a komplexní podporu architektur s tenkými klienty

Přínosy ThinManager z hlediska Cyber Security

Provoz aplikací na serverové farmě

Jeden z hlavních přínosů plynoucí z nasazení tenkých nebo ještě lépe „zero“ klientů se týká zabezpečení systému. Výhody spočívají již v topologii nasazení, kdy aplikace (např. InTouch) jsou provozovány na serverové farmě, která je v péči IT odborníků, a je tedy řádně zajištěna a zabezpečena a oddělena od klientských terminálů prostřednictvím bariéry firewall.

Vůči této farmě otevírají klienti relace vzdálené plochy, přičemž možnosti jejich interakce s relací jsou přesně vymezeny. Obvyklé a doporučené je klientům zpřístupnit pouze rozhraní aplikací, které používají. Při nasazení ThinManager potom dochází automaticky k tomu, že klient nemá přístup na plochu Windows ani nemá k dispozici funkčnost Windows kláves a zkratek (WIN, CTRL, ALT, DEL), přičemž však není omezen pouze na používání jedné aplikace, neboť může mít navázáno více relací současně (vlastnost MultiSession).

Tenký HW = omezené možnosti pro vstup malware

Další bezpečnostní aspekty plynou přímo z použití tenkého HW, kdy určitá zařízení obvyklá pro PC na tenkých klientech zcela chybí (CD mechaniky, lokální úložiště). V takovém případě může klientský terminál naběhnout pouze ve spolupráci s ThinManager. Administrátor ThinManageru má tedy plnou kontrolu nad tím, která „zbylá“ HW rozhraní bude mít klient k dispozici, tj. které ovladače budou do tenkého klienta zavedeny. ThinManager ve výchozí konfiguraci nezavádí na tenké klienty např. ovladače USB, neboť USB představují významnou bránu pro vstup malware do systému.

Oddělení přihlašovacích údajů od účtů Windows/ActiveDirectory

Další významnou vlastností je, že klientská relace může být otevřena prostřednictvím účtu Windows, který klient nezná. Tento Windows účet je pouze zaveden v systému ThinManager, kde je bezpečně uložen, a je rovněž bezpečně předán klientskému zařízení při náběhu. Uživatel tedy nemůže tento účet zneužít ani vyzradit.

Často je však potřebné, aby se uživatelé do systému interaktivně přihlašovali a na základě jejich přihlášení jim byly aktivovány příslušné aplikace. Potom je vhodné využít systém TermSecure (součást ThinManager). Uživatel se může do TermSecure přihlásit prostřednictvím klávesnice, snímače otisku prstu, čipové karty, USB flash klíče a RFID proximity card (detekce přiblížení) nebo vhodnou kombinací zmíněných metod, přičemž je systémem TermSecure ověřen a autorizován (jsou mu zpřístupněny konkrétní aplikace v relacích vzdálené plochy).

Účet TermSecure je interně propojen s Windows účtem pro otevírání relací, ale tento Windows účet je uživateli zcela utajen. Uživatel, který se tedy přihlašuje k terminálům účtem TermSecure svá přihlašovací data nemůže zneužít jinde (například při přihlášení z PC) neboť nejde o Windows přihlášení. Mezi konkrétním přihlášením uživatele a účtem Windows je tedy bariéra, která radikálně posiluje systém zabezpečení.

Standardní zásady zabezpečení poskytované Windows

Popsané bezpečnostní mechanismy je vhodné doplnit limitací práv skupiny uživatelů přistupujících k serveru prostřednictvím vzdálené plochy (přestože plénu uživatelů nejsou tyto účty známy) a dále zabezpečením na úrovni provozovaných aplikací (např. InTouch).

Chci více informací

Technická podpora

495 219 072 až 3
495 211 405
podpora@pantek.cz

Ing. Pavel Průša









Close

Zadejte prosím následující údaje.





Kliknutím na tlačítko níže souhlasíte se zpracováním osobních údajů.