در سال 2008، ریچارد استالمن، که به عنوان بنیانگذار آزاد شناخته می شود نرم افزاردر مصاحبه ای با گاردین، گفت: "یکی از دلایلی که ما نباید از برنامه های کاربردی وب برای انجام محاسبات خود استفاده کنیم، این است که کنترل خود را بر آنها از دست می دهیم." با جمع بندی سخنان استالمن، می توان ادعا کرد که استفاده از هر سرویس از راه دور، آزادی کاربر را محدود می کند.

ایوان چیژوف
رئیس اداره توسعه
ابزار حفاظتی "فناوری های درون خطی"،
Ph.D.

تاریخچه دسترسی به ترمینال

همه چیز با محصول WinFrame، یک شرکت جوان Citrix در آن زمان آغاز شد. این برنامه چیزی جز ویندوز NT 3.51 با پشتیبانی چند کاربره نبود. کمی بعد، در سال 1998، بر اساس WinFrame، مایکروسافت اولین نسخه Windows NT 4.0 Terminal Server را توسعه داد که به کاربران اجازه می داد تا کار از راه دور. یعنی برنامه ها روی سرور خاصی اجرا می شدند و فقط تصویر در ایستگاه کاری برای کاربر پخش می شد. کار از راه دور کاربران بر اساس پروتکل RDP 4.0 بود که بعداً فراگیر شد. این منجر به این واقعیت شد که هکرها شروع به توجه ویژه به جستجوی آسیب پذیری های موجود در آن کردند که معلوم شد تعداد کمی از آنها وجود دارد. AT لحظه معینمدیران از ترس هک شدن سرورها شروع به کنار گذاشتن استفاده از این پروتکل کردند. و تنها توانایی استفاده از پروتکل TLS برای محافظت از آن به RDP یک زندگی دوم داد.

پروتکل RDP

نسخه فعلی پروتکل RDP 7.1 است. بسیاری از باگ ها، کاستی ها و آسیب پذیری های نسخه های جوان تر را برطرف می کند. از جمله ویژگی های اصلی آن عبارتند از:

محدودیت آزادی یک اشکال مهم برای کاربر است، اما یک مزیت برای صاحب سرویس است، زیرا او این فرصت را پیدا می کند که کنترل کاملی بر اعمال کاربر در سیستم اعمال کند. این منجر به این ایده می شود که دسترسی به ترمینال می تواند یک ابزار عالی برای ایجاد سیستمی برای محافظت از سیستم های خودکار خصوصی باشد.

  • امکان انتشار برنامه های کاربردی برای کاربر؛
  • پشتیبانی از احراز هویت لایه شبکه؛
  • افزایش بهره وری؛
  • کاهش تاخیر در پخش صدا و تصویر

به لطف عملکرد گسترده برای نظارت بر اقدامات کاربر، پروتکل RDP دارای "باد سوم" است - توانایی سازماندهی دسترسی ترمینال ایمن برای کاربران از راه دور به سیستم های خودکار با کاهش هزینه برای ابزارهای حفاظتی و نگهداری بیشتر آنها.

لازم به ذکر است که همراه با RDP، پروتکل های دسترسی ترمینال دیگری نیز تکامل یافته اند. یکی از قدیمی‌ترین و کاملاً محبوب‌ترین پروتکل‌ها، پروتکل ICA است که زیربنای خط تولید Citrix است. اشکال اصلی آن این است که دارای ویژگی Citrix است، بنابراین انجام یک مطالعه مستقل از پروتکل برای وجود آسیب‌پذیری‌ها و ویژگی‌های غیرمستند در آن تقریباً غیرممکن است. و چنین مطالعاتی ضروری است، برای مثال، اگر سیستم PD کلاس K1 را پردازش کند. در این رابطه همیشه نمی توان از این پروتکل در همه جا استفاده کرد.


از نقطه نظر امنیت اطلاعات، فناوری دسترسی به ترمینال دارای تعدادی ویژگی جذاب است:

  • پایانه ها یا تین کلاینت هایی که از آنها می توانید به منابع سیستم دسترسی داشته باشید، ندارند هارد دیسک;
  • از یک سیستم عامل تخصصی استفاده کنید که یکی از وظایف آن سازماندهی یک جلسه با یک سرور ترمینال برای کار کاربر است.
  • شامل قطعات متحرک نیست؛
  • در موارد تخصصی با خنک کننده کاملا غیرفعال اجرا می شوند.

ایده دسترسی به ترمینال مدت‌ها پیش، زمانی که کامپیوترها کند بودند و اتاق‌های بزرگی را اشغال می‌کردند، مطرح شد. در سال 1970، یکی از خالقان شبکه ARPANET - پدربزرگ شبکه اینترنت مدرن - گفت که روزی هر فرد روی زمین به شبکه ای متصل می شود که از آن نه تنها داده های مورد نیاز خود را دریافت می کند، بلکه می تواند از آن استفاده کند. برنامه هایی برای پردازش آنها حتی قبل از آن، در سال 1961، جان مک کارتی، بنیانگذار برنامه نویسی تابعی و هوش مصنوعی، پیشنهاد کرد که در آینده، قدرت کامپیوتر و حتی برنامه های کاربردی را می توان به همان روشی که در زمینه خدمات رفاهیفروش برق یا آب

این بدان معنی است که کاربر که در ترمینال کار می کند، نمی تواند چیزی بنویسد، زیرا دیسک سختی ندارد. سیستم عامل مورد استفاده را می توان به یک تابع کاهش داد - ایجاد یک جلسه RDP، که به شما اجازه می دهد تا به طور قابل توجهی اقدامات را محدود کنید. ایستگاه کاری. اتصال به ترمینال درایوهای خارجیبه کاربر اجازه نمی دهد اطلاعاتی را برای آنها بنویسد، زیرا سیستم عامل قابلیت نصب چنین دستگاه هایی را بر روی سرور برنامه ندارد. محکم بودن ترمینال دسترسی کاربر به داخل آن را پیچیده می کند. سیستم‌عامل و نرم‌افزاری که ترمینال استفاده می‌کند عملاً نیازی به به‌روزرسانی ندارند، بنابراین می‌توان آن‌ها را بدون صرف هزینه برای تأیید نسخه‌ها و به‌روزرسانی‌های جدید، تعمیر، تأیید و فراموش کرد. با خرید چنین نرم افزاری می توانید مطمئن باشید که برای مدت طولانی نیازی به تغییرات و آپدیت نخواهد بود. علاوه بر این، استحکام گفته شده و برخی ماهیت "ایستا" ترمینال باعث می شود که از نرم افزار ضد ویروس برای محافظت از ایستگاه های ترمینال استفاده نشود.

استفاده از پروتکل RDP امکان پیاده سازی سیستمی متشکل از حلقه های امنیتی مختلف را فراهم می کند. به عنوان مثال، مشکل زیر را در نظر بگیرید: تعدادی ایستگاه کاری وجود دارد که پردازش می کنند اطلاعات محرمانه. به دلیل وظایف رسمی، کاربران، از جمله موارد دیگر، نیاز به دسترسی به اینترنت دارند. در عین حال، مالک سیستم نمی‌خواهد کاربران به طور همزمان در شبکه جهانی کار کنند و داده‌های محرمانه را پردازش کنند و بنابراین لازم است ایستگاه‌های کاری از اینترنت قطع شود و دسترسی به اینترنت از ایستگاه‌های کاری اختصاصی جداگانه سازماندهی شود. چگونه استفاده از RDP می تواند به ما در حل این مشکل کمک کند؟

بیایید دو سرور برنامه را برداریم و همه برنامه هایی را که برای کار در اینترنت لازم است را روی یک مرورگر اینترنت نصب کنیم و در دیگری برنامه هایی را برای پردازش اطلاعات محرمانه نصب کنیم. به جای ایستگاه های کاری، پایانه هایی (تین کلاینت ها) را برای کاربران نصب خواهیم کرد. و فرض کنید سیستم عامل ترمینال لینوکس با پشتیبانی از دو دسکتاپ باشد. و کاملاً از یکدیگر جدا شده اند و تبادل اطلاعات بین آنها غیرممکن است. بیایید یک جلسه RDP را برای اولین سرور برنامه در اولین دسکتاپ و برای دومین در دومین دسکتاپ ایجاد کنیم. بنابراین ، در همان ترمینال روی یک دسکتاپ ، کاربر در اینترنت می نشیند و از طرف دیگر - اطلاعات محرمانه را پردازش می کند. صاحب سیستم با آرامش می خوابد و نگران نشت احتمالی داده های محرمانه نیست.

موارد فوق به وضوح نشان می دهد که دسترسی به ترمینال یک راه حل موثر برای افرادی است که به امنیت اطلاعات خود فکر می کنند و نمی خواهند پول زیادی را برای ایجاد یک سیستم امنیتی یکپارچه خرج کنند.

معماری معمولی یک سیستم حفاظتی دسترسی ترمینال

  • از پروتکل SSLTTLS برای حفاظت از داده ها استفاده کنید.
  • احراز هویت کاربر را فعال کنید، به عنوان مثال، از طریق یک دامنه با ورود به سیستم و رمز عبور.

با این حال، این رویکرد اغلب قابل توجیه نیست. این امر به ویژه در مورد سیستم هایی که در آنها الزامات افزایش امنیت اطلاعات اعمال می شود صادق است.

بیایید یک معماری امنیتی معمولی از یک سیستم که بر اساس فناوری دسترسی به ترمینال ساخته شده است را در نظر بگیریم (شکل 1).

بیایید فرض کنیم که ما مزرعه ای از سرورهای برنامه ترمینال و بسیاری از دستگاه های مشتری (ترمینال) داریم که از طریق پروتکل RDP با هم ارتباط برقرار می کنند و امکان استفاده از برنامه های مورد نیاز کاربران را فراهم می کنند. چگونه سیستم توصیف شده را ایمن کنیم؟

الزامات کنترل دسترسی

سیستم باید مکانیزمی را برای محدود کردن دسترسی به منابع اجرا کند. باید مبتنی بر تنظیم قوانین دسترسی بر اساس ویژگی های گروهی کاربران، برنامه ها و اشیایی باشد که اجرا می کنند. به طور معمول، مجوزهای زیر در نظر گرفته می شوند: خواندن، نوشتن، حذف و اجرا.

الزامات به امنیت اطلاعاتسیستم های
تمام الزامات را می توان به پنج تقسیم کرد گروه های بزرگ:
1) شناسایی و احراز هویت؛
2) برای کنترل دسترسی؛
3) ثبت نام و حسابداری؛
4) برای اطمینان از یکپارچگی؛
5) برای محافظت از اطلاعات ارسال شده و ذخیره شده.

منابعی که معمولاً توابع کنترل دسترسی برای آنها پیاده‌سازی می‌شوند عبارتند از: فایل‌ها و دایرکتوری‌هایی که هم در محلی و هم روی آن قرار دارند درایوهای شبکه(از جمله منابع مشترک)؛ دستگاه های داخلی و خارجی؛ پورت های ورودی-خروجی داخلی؛ شعب و ورودی های ثبت.

کنترل دسترسی باید بازدارنده باشد، یعنی منابعی که هیچ دسترسی به آنها به صراحت تعریف نشده است باید برای کاربر غیرقابل دسترسی باشد. کنترل دسترسی باید برای همه کاربران بدون استثنا اعمال شود. هیچ کاربری نباید حقوق مدیر داشته باشد و به تمام منابع با دور زدن زیرسیستم حفاظت دسترسی داشته باشد.

الزامات شناسایی
در یک سیستم متوسط ​​معمولی، شناسایی و احراز هویت موضوعات دسترسی هنگام ورود به سیستم با ورود و رمز عبور مورد نیاز است. علاوه بر این، شناسایی پایانه ها، دستگاه های خارجی پایانه ها با نام های منطقی باید انجام شود. شناسایی برنامه ها، دایرکتوری ها، فایل ها، رکوردها و فیلدهای رکورد بر اساس نام الزامی است.

علاوه بر این، اغلب در سیستم ها مشکل کنترل اتصال رسانه های خارجی مانند درایوهای فلش USB وجود دارد. کاربر فقط می تواند از فلش درایو تایید شده در سیستم استفاده کند. او نمی تواند از خانه بیاورد و استفاده کند.

سیستم باید کنترل دسترسی به برنامه ها را فراهم کند. کاربران به مواردی که صراحتاً توسط مدیر امنیتی به آنها اختصاص داده شده است دسترسی دارند و برای آنهایی که برای اجرا به آنها اختصاص داده نشده است دسترسی دارند. در حالت ایده آل، آنها حتی نباید برای کاربر قابل مشاهده باشند.

در مورد استفاده از دسترسی RDP، موقعیتی پیش می‌آید که برنامه‌های کاربران مختلف می‌توانند روی یک سرور اجرا شوند. در این راستا، لازم است یک جداسازی قابل اعتماد از برنامه های در حال اجرا تحت یک کاربر از برنامه های در حال اجرا تحت دیگری، در همان سرور برنامه ارائه شود.

همچنین باید از بارگیری سیستم عامل خود در ترمینال توسط کاربر جلوگیری کنید.

الزامات ثبت نام و حسابداری

الزامات حفاظت از اطلاعات ارسال شده و ذخیره شده
در سیستم، این ساده ترین، اما در عین حال پیچیده ترین نیاز است. به طور معمول، سیستم ها نیاز به رمزگذاری تمام داده های ارسال شده از طریق کانال های ارتباطی ناامن دارند.

به طور معمول، سیستم ثبت نام و حسابداری مشمول موارد زیر است:

  • اتصال کاربران به سیستم؛
  • راه اندازی برنامه؛
  • دسترسی به اشیاء دسترسی کنترل شده؛
  • ایجاد اشیاء دسترسی محافظت شده؛
  • تغییر قدرت سوژه های دسترسی

پس از تمیز کردن، اولین ورودی در پروتکل ثبت باید به طور خودکار واقعیت تمیز کردن را ثبت کند و تاریخ، زمان و اطلاعات مربوط به شخصی که این عملیات را انجام داده است را نشان دهد. این نیاز برای کنترل مدیر است. شما می‌توانید کار مدیر را در سیستم فقط با تجزیه و تحلیل گزارش رویداد بررسی کنید، بنابراین به ابزاری نیاز دارید که به مدیران بی‌وجدان اجازه تغییر گزارش حسابرسی از جمله پاک کردن آن را ندهد.

الزامات صداقت

  1. تمامیت ابزارهای نرم افزاریحفاظت.
  2. با تغییر ناپذیری محیط نرم افزار.

در عین حال، یکپارچگی آن را می توان با عدم وجود مترجم از زبان های سطح بالا و اشکال زدایی برنامه در سیستم تضمین کرد. با این حال، این مکانیسم به اندازه کافی موثر نیست، زیرا می توان محیط نرم افزار را شکست، به عنوان مثال، با معرفی برخی از برنامه شخص ثالثدر سیستم عامل، دور زدن سیستم کنترل دسترسی. به نظر می رسد که یکپارچگی تنها در ارتباط با یک سیستم کنترل دسترسی ایده آل تضمین می شود. در برخی موارد، این الزام آور مطلوب نیست. و سپس معمولاً سخت افزار را اعمال می کنند - ماژول های نرم افزاریبوت مورد اعتماد (APMBD). با توجه به اینکه سیستم نیاز به نصب دارد برنامه های خود، باید هر بار این سخت افزار را دوباره پیکربندی کنید یا فقط روی هسته سیستم عامل کنترل کنید. در مورد استفاده از ترمینال به جای ایستگاه کاری، به طور کلی می توانید سیستم عامل را به سختی تعمیر کنید.

معماری سیستم حفاظتی

ثبت نتایج ثبت نام و حسابداری به صورت الکترونیکی در پروتکل ثبت باید فقط برای مطالعه و فقط برای مدیر امنیتی موجود باشد. در عین حال فقط می تواند پروتکل ثبت نام را مشاهده، کپی و کاملاً پاک کند.

چگونه با این نیازها بسازیم سیستم موثرحفاظت از دسترسی ترمینال؟ رویکرد در اینجا باید جامع باشد. با توجه به این واقعیت که دسترسی به ترمینال مستلزم متمرکز شدن است، یک متمرکز سازی واضح نیز باید در معماری سیستم حفاظتی ردیابی شود.

از این نتیجه می شود که سیستم باید یک نقطه ورود واحد داشته باشد: برخی از سرویس ها که سیستم حفاظتی را مدیریت می کند و وظایف شناسایی کاربران و اجزای سیستم را انجام می دهد. از الزامات یکپارچگی سیستم عامل ترمینال، راه حلی به دنبال دارد که در آن بسیار است اندازه کوچکو در سرور اختصاصی ذخیره می شود. پس از اتصال ترمینال و احراز هویت کاربر و ترمینال در سیستم، سیستم عامل از طریق یک کانال ارتباطی به آن منتقل می شود، یعنی از بوت شبکه استفاده می شود. این یکپارچگی سیستم عامل را بررسی می کند.

الزامات و معماری دسترسی ترمینال نشان می دهد که سیستم باید حداقل دارای اجزای زیر باشد:

  • سرویس احراز هویت - یک نقطه ورود به سیستم - یک نقطه متمرکز.
  • کنسول مدیر سیستم - مدیریت سیستم حفاظتی.
  • سرویس متعادل کننده بار - برای ساخت یک سیستم حفاظتی سطح صنعتی، تمام خدمات امنیتی باید خوشه بندی شوند.
  • خدمات توزیع سیستم عامل ترمینال - فروشگاه ها نسخه فعلیسیستم عامل ترمینال؛
  • ماژول امنیتی - حداقل سیستم عامل مورد نیازترمینال برای شروع تعامل با سیستم؛
  • سیستم عامل ترمینال؛
  • جزء "Application Server" - به ویژه عملکردهای محدود کردن دسترسی کاربر در سیستم را انجام می دهد.
  • ماژول های رمزگذاری ترافیک IP - برای ارائه رمزگذاری داده ها مورد نیاز است.

معرفی ابزارهای دسترسی به ترمینال اخیراً علاقه قابل توجهی را در بین روسای بسیاری از شرکت ها برانگیخته است - از این گذشته ، این دسته از محصولات در صورت استفاده صحیح می توانند هزینه های نگهداری نرم افزار شرکت و هزینه های به روز رسانی منظم سخت افزار را به میزان قابل توجهی کاهش دهند. در این مقاله در مورد آنچه می تواند استفاده از این دسته از محصولات را به شرکت های کوچک بدهد صحبت خواهیم کرد.

دسترسی به ترمینال چیست؟

روزی روزگاری، زمانی که بشر هنوز آگاه نشده بود کامپیوترهای شخصیمعماری معمولی هر برنامه کاربردی سازمانی، معماری است که از یک پردازنده مرکزی (یا در مورد یک شرکت فقیرتر، یک مینی کامپیوتر) و تعدادی دستگاه ترمینال خارجی غیرهوشمند که توسط همان مین فریم (یا مینی کامپیوتر) کنترل می شوند، استفاده می کند. این رویکرد، بر اساس تمرکز کامل منابع، داده ها و برنامه های کاربردی، دارای مزایای خاصی بود - با وجود تمام کاستی ها و هزینه های بالای فناوری رایانه در آن سال ها، اولاً این امکان را فراهم کرد که مشکلاتی را که کاربران اولین شخصی برای آنها وجود دارد حل کند. رایانه ها هرگز رویای آنها را نمی دیدند و ثانیاً با سهولت نسبی (طبیعی، برای آن زمان) متمایز می شدند - از این گذشته ، همه تجهیزات محاسباتی به طور فیزیکی در یک مکان قرار داشتند و کاربران به طور مشترک از یک پردازنده مشترک ، حافظه ، دستگاه های خارجی و سیستم عامل چند وظیفه ای و مجموعه ای از برنامه های کاربردی.

ابزارهای مدرن دسترسی به ترمینال مورد استفاده در رایانه های شخصی، ایستگاه های کاری ترمینال تخصصی و دستگاه های دستی بر اساس اصل مشابهی از متمرکز سازی محاسبات و جمع آوری منابع است. در این حالت، کاربر بخش کلاینت ابزار دسترسی ترمینال را بر روی ایستگاه کاری راه اندازی می کند و از آن برای دسترسی به کامپیوتر سرور راه دور حاوی بخش سرور مربوطه این ابزار استفاده می کند. پس از احراز هویت موفقیت آمیز، بخش سرور ابزار دسترسی به ترمینال، جلسه مخصوص به خود را برای کاربر ایجاد می کند که در آن کاربر به صورت دستی یا خودکار (بسته به تنظیمات جلسه و حقوق دسترسی) برنامه های مورد نیاز خود را در فضای آدرس سرور راه اندازی می کند. رابط کاربری برنامه‌های راه‌اندازی شده به این روش در پنجره قسمت کلاینت ابزار دسترسی به ترمینال در دسترس کاربر ایستگاه کاری است و می‌تواند از صفحه کلید و ماوس ایستگاه کاری برای کنترل این برنامه - اطلاعات کلیدها استفاده کند. فشار داده شده و حرکت ماوس (و اغلب محتویات کلیپ بورد) به جلسه منتقل می شود این کاربرروی سرور، و تغییرات به آن ارسال می شود رابط کاربریبرنامه های کاربردی. هنگامی که یک جلسه کاربر به پایان می رسد، تمام برنامه های در حال اجرا در آن بسته می شوند.

هزینه های دسترسی به ترمینال و زیرساخت فناوری اطلاعات

مزایای استفاده از دسترسی ترمینال زمانی آشکار می شود که تعداد زیادی ایستگاه کاری وجود داشته باشد یا با افزایش نیاز به امنیت و تمرکز ذخیره سازی داده ها وجود داشته باشد. اگر با استفاده از ابزار دسترسی به ترمینال به برنامه‌ها دسترسی پیدا کنید، تنها سیستم عامل و بخش کلاینت این ابزار بر روی ایستگاه‌های کاری نصب می‌شوند، در حالی که خود برنامه‌هایی که کاربران با آنها کار می‌کنند روی سرور پایانه نصب می‌شوند. در این مورد، هزینه های نگهداری ایستگاه های کاری به طور قابل توجهی کمتر از زمانی است که آنها به طور کامل با بخش های مشتری برنامه های کاربردی شرکت مجهز هستند. سوئیت های اداری, مشتریان پست الکترونیکیو سایر محصولات مورد استفاده در این شرکت و الزامات سخت افزاری چنین ایستگاه های کاری بسیار متوسط ​​است. علاوه بر این، ایستگاه های کاری ویژه برای کنترل ویندوز CE، برای کار در این حالت طراحی شده است. درست است، بسته به تعداد کاربران همزمان، الزامات سخت افزار سرور ترمینال می تواند بسیار زیاد باشد. ولی امکانات مدرندسترسی به ترمینال، به عنوان یک قاعده، می تواند با خوشه های سرور کار کند و تعادل بار را انجام دهد.

در حالی که صرفه جویی در هزینه برای دستیابی، ارتقا و نگهداری ایستگاه های کاری را می توان نسبتاً به راحتی محاسبه کرد، صرفه جویی مرتبط با امنیت اضافی برای دسترسی به داده های شرکت بلافاصله آشکار نمی شود. از آنجایی که برنامه‌ها روی یک سرور راه دور اجرا می‌شوند، ایستگاه کاری کاربر نهایی نه بخش سرویس گیرنده DBMS سرور مورد استفاده در شرکت را دارد، بلکه به فایل‌های DBMS دسکتاپ دسترسی کمتری دارد، و این به طور قابل توجهی خطر دسترسی غیرمجاز به داده‌های شرکت را کاهش می‌دهد - به جز با ابزارهای معمولی (یعنی با استفاده از یک برنامه شرکتی) نمی توانید به آنها دسترسی پیدا کنید.

ارائه دهندگان پیشرو دسترسی به ترمینال

مایکروسافت

ساده ترین ابزار دسترسی به ترمینال، به نام خدمات ترمینال، بخشی از سرور است نسخه های ویندوز. خدمات ترمینال برای Windows NT Server 4.0، Terminal Server Edition (اولین نسخه از ترمینال دسترسی ایجاد شده با Citrix)، Windows 2000 Server، Windows 2000 Advanced Server، Windows 2000 Datacenter Server، در دسترس است. ویندوز سرور 2003 (همه نسخه ها).

ابزارهای مدیریت پارامترهای عملیاتی ترمینال خدمات ویندوزنسبتا ساده هنگام استفاده از Windows Server 2003، Enterprise Edition، می توانید تعادل سرورها را بارگذاری کنید. امکان مدیریت پویا پارامترهای جلسه؛ وضوح صفحه نمایش تا 1600X1200 و حالت True Color برای جلسات سرویس گیرنده در دسترس است و سرویس گیرندگان Windows Server 2003 Terminal Services می توانند به منابع محلی خود دسترسی داشته باشند ( دستگاه های خارجی، دیسک ها و غیره) از داخل یک جلسه ترمینال. این در واقع تمام قابلیت‌های Windows Terminal Services است که امروزه در دسترس است. با این حال، این خدمات اغلب توسط مدیران شبکه برای مدیریت سرورها از راه دور و توسط شرکت‌ها و بخش‌های نرم‌افزاری برای دسترسی به برنامه‌های کاربردی نصب شده بر روی رایانه‌های دیگر استفاده می‌شود.

صدور مجوز دسترسی از طریق خدمات ترمینال به شرح زیر انجام می شود. همه دستگاه‌هایی که به خدمات ترمینال دسترسی دارند باید مجوز دستگاه سرور پایانه ویندوز سرور 2003 (CAL) را داشته باشند که دسترسی به ویندوز سرور 2003 را برای دستگاه اعطا می‌کند، یا کاربر باید CAL کاربر پایانه سرور ویندوز سرور 2003 داشته باشد. علاوه بر این، وجود دارد لایسنس ویندوز Server 2003 Terminal Server External Connector License، که امکان اتصال همزمان ناشناس به خدمات ترمینال را از طریق اینترنت فراهم می کند و برای ارائه دهندگان برنامه در نظر گرفته شده است.

سیتریکس

Citrix به حق رهبر بازار در دسترسی به ترمینال امروزی در نظر گرفته می شود. این شرکت ابزارهای دسترسی به ترمینال را برای ویندوز و یونیکس تولید می کند. در عین حال، این مجموعه از ابزارها با خدمات ترمینال ویندوز (در یک زمان دارای مجوز از همان Citrix) در طیف بسیار گسترده ای از گزینه های پیکربندی جلسه مشتری و ابزارهای مدیریت سرورهای ترمینال و سایر منابع شبکه درگیر در استفاده از دسترسی ترمینال متفاوت است. و همچنین مجموعه ای جامع از ابزارها و فناوری های مرتبط با یکدیگر، به عنوان مثال، ابزارهای مدیریت رمز عبور، دسترسی ایمن، رومینگ اتصالات ترمینال هنگام جابجایی مشتری از مکانی به مکان دیگر. به عنوان مثال، با استفاده از ابزارهای موجود در مجموعه دسترسی Citrix که در بالای سرویس های ترمینال ویندوز اجرا می شود، می توانید طیف گسترده ای از پارامترهای جلسه (اندازه پنجره، وضوح صفحه، تعداد رنگ ها، قوانین کار با داده های صوتی) را تنظیم کنید. برای ایجاد جلساتی که در حالت پنجره ای تنها یک برنامه خاص اجرا می شوند و در پایان کار آن به پایان می رسند، برای انجام نظارت دقیق بر کل سیستم توزیع شده و تجزیه و تحلیل استفاده از منابع در جلسات کاربر، برای اجرای مدیریت بهینه مزارع سرور نامیده می شوند - خوشه هایی از سرورهای حاوی برنامه های کاربردی از یک نوع، با متعادل کردن بار آنها.

توجه داشته باشید که هنگام استفاده از فناوری های Citrix (به ویژه معماری ICA - معماری محاسباتی مستقل)، فقط اطلاعات مربوط به ورودی ماوس و صفحه کلید و همچنین تغییرات در تصویر صفحه نمایش از طریق شبکه منتقل می شود که پهنای باند مورد نیاز برای جلسه را محدود می کند. کمتر از 20 کیلوبیت بر ثانیه

Citrix Access Suite از دسترسی به سرورهای ترمینال از DOS، Windows، Mac OS، UNIX، Linux، OS/2، ایستگاه های کاری جاوا از مرورگرها با استفاده از پلاگین های Netscape یا کنترل های Active X برای پشتیبانی می کند. اینترنت اکسپلورر، و همچنین از طیف گسترده ای از دستگاه های تلفن همراه.

محصولات همراه

با شروع استفاده از دسترسی به ترمینال، شرکت‌ها اغلب با چالش‌های دیگری مانند مدیریت دسترسی به برنامه‌ها، گذرواژه‌های چندگانه کاربر، حفاظت از داده‌های ارسالی، ارائه دسترسی‌هایی که به زیرساخت و نوع دستگاه بستگی ندارد، تعامل کاربر بین خود و نگهداری مؤثر از آن‌ها، مواجه می‌شوند. خدمات فناوری اطلاعات آنها. برای این منظور، آنها ممکن است به ابزارهایی برای مدیریت رمزهای عبور، سازماندهی کنفرانس ها، مدیریت از راه دور ایستگاه های کاری و رابط آنها نیاز داشته باشند. همه این محصولات به عنوان بخشی از مجموعه دسترسی Citrix در دسترس هستند که انتشار آن به ما امکان می دهد در مورد یک راه حل کاملا یکپارچه صحبت کنیم که زیرساخت واحدی را برای دسترسی کاربر به برنامه ها فراهم می کند.

دسترسی به ترمینال برای مشاغل کوچک

به طور سنتی اعتقاد بر این بود که ابزارهای دسترسی به ترمینال باید در شرکت‌های بزرگ با تعداد زیادی از ایستگاه‌های کاری مشابه اجرا شوند و گزارش‌های مربوط به معروف‌ترین پروژه‌ها برای معرفی چنین ابزارهایی اغلب شامل ده‌ها هزار شغل و بودجه‌های هنگفت می‌شوند. با این حال، محصولاتی در این دسته وجود دارند که پیاده سازی آنها در شرکت های کوچک و متوسط ​​منطقی است.

از نوآوری های این حوزه، اول از همه، ما به تمرکز بر آن اشاره می کنیم این بخشمحصول بازار Citrix Access Essentials. این محصول می تواند به شرکت هایی که از پلتفرم استفاده می کنند خدمات رسانی کند ویندوز مایکروسافتبا تعداد ایستگاه های کاری ترمینال بیش از 75 (از جمله قابل حمل و دستگاه های تلفن همراه، و الزامات شرکت های کوچک را برآورده می کند - خرید و پیاده سازی آن به دلیل مجوزهای ارزان قیمت (کمتر از 250 دلار برای هر صندلی که قبلاً شامل مجوز استفاده از خدمات ترمینال ویندوز - مجوز دسترسی مشتری ترمینال ویندوز سرور) و سهولت استقرار و مدیریت

ویژگی های فنی Citrix Access Essentials

Citrix Access Essentials یک برنامه سرور است که بر روی ویندوز سرور 2003 اجرا می شود و دسترسی به برنامه های نصب شده روی آن سرور را از طریق یک رابط وب فراهم می کند. این محصول به یک سرور با یک عامل نیاز دارد سیستم مایکروسافت Windows Server 2003 Standard or Enterprise Edition، اتصال شبکهبین دستگاه های کاربران و سرور، و یک مرورگر وب در هر دستگاه متصل.

Citrix Access Essentials از دو حالت عملیاتی پشتیبانی می کند: عملکرد تک سرور (شکل 1) و عملکرد با استفاده از سخت افزار Citrix Access Gateway (شکل 2). در حالت اول، کاربران راه دور می توانند از طریق فایروال به سرور ترمینال دسترسی داشته باشند، در حالت دوم، از طریق سرور مجازی. شبکه خصوصی Access Gateway VPN (در این مورد، سرور ترمینال در DMZ نصب شده است که امنیت دسترسی به برنامه ها را افزایش می دهد).

برای دسترسی امن به سرور، Citrix Access Essentials از چندین روش احراز هویت کاربر، از جمله استفاده از رمزگذاری، پشتیبانی می‌کند.

استقرار سرور Citrix Access Essentials تا حد امکان ساده شده است - برای این منظور، ابزار Quick Start در بسته محصول گنجانده شده است که یک جادوگر برای نصب و پیکربندی سرور، ثبت مجوزها، تولید توزیع قطعات مشتری و انتشار است. برنامه های کاربردی روی سرور قطعات سرویس گیرنده برای همه نسخه‌های Windows، Windows CE، Pocket PC 2003، Mac OS X، Linux، Solaris و دستگاه‌هایی که جاوا را پشتیبانی می‌کنند در دسترس هستند.

ابزارهای مدیریت سرور، تغییر پیکربندی و مدیریت دسترسی کاربر که بخشی از Citrix Access Essentials هستند نیز تا حد امکان ساده هستند: به نظر من، تسلط بر آنها نباید برای متخصصان درگیر در اداره شبکه های شرکت های کوچک مشکلی ایجاد کند. شکل 3). آنها به شما امکان می دهند تقریباً هر عملیاتی را تا تنظیم انجام دهید ظاهررابط بخش مشتری این محصول (شکل 4). علاوه بر این، این محصول با مستندات بسیار دقیق ارائه شده است که هر اقدام مدیر را توصیف می کند، از نصب سرور گرفته تا بهینه سازی عملکرد آن، پیکربندی تنظیمات امنیتی و دسترسی به دستگاه های خارجی.

به عبارت دیگر، این محصول واقعاً با در نظر گرفتن ویژگی‌های شرکت‌های کوچک، از جمله بودجه محدود برای استفاده از خدمات متخصصان فناوری اطلاعات بسیار ماهر (و در نتیجه گران‌قیمت) ایجاد شده است.

صدور مجوز

Citrix Access Essentials به شرح زیر مجوز دارد. این محصول به عنوان مجوزهای نامگذاری شده برای هر کاربری که از نرم افزار استفاده می کند خریداری شده است. این محصول از استفاده جانبی یا مجوز دستگاه یا سرور پشتیبانی نمی کند. محصول را می توان با یا بدون مزیت اشتراک خریداری کرد.

هنگام استفاده از Citrix Access Essentials (مانند سایر ابزارهای دسترسی به ترمینال)، باید قوانین مجوز نرم افزارهایی را که در حالت ترمینال به آنها دسترسی پیدا می کند، رعایت کنید - موافقت نامه های مجوز برای نرم افزارهای مدرن معمولاً قوانین خاصی را برای استفاده از محصولات در چنین حالتی ارائه می دهند. به طور خاص، اغلب هنگام کار در این حالت، تعداد مجوزهای خریداری شده باید برابر با تعداد ایستگاه های کاری متصل باشد، علیرغم اینکه فقط یک نسخه از برنامه در واقع بر روی سرور نصب شده است.

Citrix Access Essentials و کاهش هزینه

کسب و کارهای کوچک و متوسط ​​با اجرای Citrix Access Essentials از چه هزینه هایی می توانند جلوگیری کنند؟ مزایای استاندارد استفاده از ابزارهای دسترسی به ترمینال، مانند هزینه های کمتر برای نگهداری از همان نوع ایستگاه های کاری، آنهاست سخت افزار، در مورد شرکت های کوچک در ابتدا چندان واضح به نظر نمی رسد. اما به هر حال، بودجه چنین شرکت هایی کوچک است، بنابراین توانایی جلوگیری از هزینه های غیرضروری برای پشتیبانی، حتی اگر به اندازه شرکت های بزرگ نباشد، حتی برای شرکت های کوچک مرتبط تر است. و ایجاد امنیت بیشتر برای دسترسی به داده‌های شرکتی برای کسب‌وکارهای کوچک می‌تواند حیاتی باشد - اگر داده‌ها به بیرون درز کند، عواقب آن برای شرکت‌های کوچک می‌تواند بسیار جدی‌تر از شرکت‌های بزرگ باشد.

از هزینه‌هایی که شرکت‌های کوچکی که Citrix Access Essentials را پیاده‌سازی کرده‌اند، می‌توانند از آن اجتناب کنند، اول از همه، لازم است هزینه‌های تبدیل زیرساخت‌های فناوری اطلاعات موجود و ارائه راه‌حل‌های جدید را در هنگام گسترش کسب‌وکار خود، به عنوان مثال، هنگام افتتاح موارد جدید تخصیص دهند. دفاتر و شعب در این حالت، اجرای دسترسی ترمینال به سیستم‌های اطلاعات شرکت موجود در دفتر مرکزی (مانند سیستم‌های مدیریت شرکت، انبار، حسابداری یا سوابق پرسنل) معمولاً بسیار ساده‌تر و ارزان‌تر از استقرار یک زیرساخت مستقل در شعبه است. و سازماندهی همگام سازی داده ها با دفتر مرکزی. علاوه بر این، بخش نسبتاً بزرگی از کسب و کارهای کوچک و متوسط ​​مدرن به اصطلاح کارمندان سیار را استخدام می کنند که برقراری ارتباط با دفاتر، امنیت دسترسی به برنامه ها و داده های شرکتی و همچنین کنترل این فرآیندها کار بسیار دشواری است. ، که به حل Citrix Access Essentials نیز کمک می کند. با توجه به صرفه جویی در هزینه های بالقوه ذکر شده در بالا، رهبران فناوری اطلاعات کسب و کارهای کوچک باید نگاه دقیق تری به این محصول داشته باشند، زیرا ممکن است بتواند برخی از مشکلات آنها را حل کند.

یکی دیگر از گزینه های رایج دسترسی از راه دور، دو حالت تقریباً یکسان است - کنترل از راه دورو دسترسی به ترمینال. با این روش، کامپیوتر راه دور در واقع به یک پایانه مجازی کامپیوتر میزبان تبدیل می شود که ممکن است به شبکه متصل باشد یا نباشد. این گزینه به شما اجازه می دهد تا هر برنامه ای را در رایانه میزبان اجرا کنید و همچنین به هر داده ای در این میزبان دسترسی داشته باشید. اگر رایانه میزبان به شبکه متصل باشد، کاربران راه دور آن به عضویت کامل شبکه در می آیند و به عنوان کاربران رایانه میزبان عمل می کنند.

قبلاً در بالا گفته شد که تنها تفاوت بین کنترل از راه دور و دسترسی ترمینال این است که کاربر در حین کنترل از راه دور با سیستم عاملی تماس می گیرد که برای پشتیبانی از حالت چند ترمینال طراحی نشده است (MS-DOS، Windows 3.1، Windows 95/98، Windows NT، OS / 2 Warp)، و دسترسی به ترمینال به انجام می شود سیستم های عامل، که حالت چند ترمینال اصلی آن است (Unix، IBM، 1MB OS-400، VAX VMS).

کنترل از راه دور یا دسترسی به ترمینال زمانی مورد نیاز است که یک کاربر راه دور با برنامه‌هایی کار می‌کند که برای شبکه بهینه نشده‌اند، مانند DBMS رایانه شخصی سنتی مانند dBase، Paradox یا Access. در غیر این صورت، زمانی که چنین برنامه‌ای روی یک رایانه قرار دارد و فایل‌های پایگاه داده روی رایانه دیگری قرار دارند، شبکه ترافیک زیادی ایجاد می‌کند.

طرح متمرکز کنترل از راه دور نیاز به نصب یک محصول نرم افزاری ویژه در شبکه محلی شرکت دارد - یک سرور کنترل از راه دور، به عنوان مثال، سرور WinFrame از Citrix. در رایانه های راه دور مشتری، شما همچنین باید نرم افزار اضافی را نصب کنید - کلاینت کنترل از راه دور.

پروتکل هایی که توسط برنامه های کنترل از راه دور برای برقراری ارتباط اطلاعات در مورد به روز رسانی صفحه نمایش، ضربه زدن به کلید و حرکات ماوس استفاده می شود غیر استاندارد هستند - بنابراین باید سرور کنترل از راه دور و قطعات مشتری را از همان سازنده نصب کنید. برای مثال، کاربران نرم‌افزار دسترسی از راه دور Norton pcAnywhere نمی‌توانند به میزبانی که ReachOut، LapLink را اجرا می‌کند، شماره‌گیری کنند. برای ویندوز، کپی کربن، از راه دور ممکن یا نمای نزدیک.

با دسترسی به ترمینال، نصب یک محصول ویژه در شبکه مرکزی - سرور ترمینال - نیز مطلوب است. می توانید بدون آن کار کنید، اما سپس برای هر رایانه ای که می خواهید در حالت ترمینال از راه دور به آن متصل شوید، باید یک مودم نصب کنید و یک مودم جداگانه اختصاص دهید. شماره تلفن. سرور ترمینال درخواست هایی برای برقراری ارتباط با یک کامپیوتر خاص دریافت می کند و کدها و کاراکترهای ضربه زدن به کلید را از طریق شبکه محلی ارسال می کند تا روی صفحه پایانه کاربر نمایش داده شوند. برای برقراری ارتباط با سیستم عامل های چند ترمینالی از طریق یک شبکه محلی، سرور ترمینال از پروتکل های شبیه سازی ترمینال استاندارد، مانند telnet برای Unix، DEC LAT برای VAX VMS استفاده می کند.

ایمیل

ایمیل نوع دیگری از دسترسی از راه دور است. درگاه‌های ایمیل شماره‌گیری و سرویس گیرنده‌های ایمیل دسترسی از راه دور ممکن است برای رفع نیازهای بسیاری از افراد کافی باشد. کاربران عادی. این درگاه های پستی به کاربران راه دور یا حتی دفاتر راه دور اجازه می دهد تا به سیستم پستی دفتر مرکزی شماره گیری کنند، پیام ها و فایل های دریافتی و خروجی را مبادله کنند و سپس اتصال را قطع کنند.

محصولات طراحی شده برای این منظور از برنامه های مشتری تک کاربره مانند Lotus' cc:mail Mobile تا دروازه های تمام عیار که تبادل نامه بین سرورهای راه دور و شرکت ها را تسهیل می کند را شامل می شود. شبکه محلی(به عنوان مثال، اکسچنج مایکروسافت).

درگاه های ایمیل زمانی می توانند مفید باشند که میزان داده ای که کاربران راه دور با دفتر مرکزی مبادله می کنند خیلی زیاد نباشد. از آنجایی که میانگین زمان جلسه کاربر دروازه نسبتا کوتاه است، دروازه شبکه اصلی نیازی به پشتیبانی از تعداد زیادی خطوط تلفن ندارد. به طور معمول، راه اندازی یک اتصال ایمیل آسان است و هزینه نرم افزار دروازه ناچیز است.

دروازه ها در حالت خودکاربدون دخالت انسان اگر یک یا دو کارمند در یک دفتر از راه دور کار می کنند و نیازی به دسترسی بلادرنگ به داده های شرکت ندارند، در آن صورت می توان دروازه نامه را تصمیم خوب. برخی از برنامه ها به صورت خودکار درخواست ها را در قالب ایمیل می پذیرند پست الکترونیکو سپس همان پاسخ ها را ارسال کنید. بنابراین، برای مثال، بسیاری از DBMS ها کار می کنند.

نه تنها پست، بلکه سایر برنامه های کاربردی که برای محلی نوشته شده اند شبکه کامپیوتری، ممکن است دارای ماژول های نرم افزاری خاصی باشد که برای اتصالات از راه دور طراحی شده اند. چنین برنامه‌هایی با استفاده از پروتکل‌های غیر استاندارد بین خود ارتباط برقرار می‌کنند و اغلب با ترفندهای خاصی مانند انتقال فقط به‌روزرسانی‌ها بین رایانه راه دور و میزبان، کارایی اتصال را افزایش می‌دهند. نمونه ای از این دسته از محصولات هستند سیستم های نرم افزاریکار جمعی

امروزه یکی از محبوب ترین روش های تعامل شبکه ها، برنامه ها و رایانه ها است دسترسی از راه دور. انواع مختلفی از این سرویس وجود دارد که در میان آنها می خواهم دسترسی به ترمینال را برجسته کنم. با این دسترسی، کاربر برنامه‌های سرویس‌گیرنده-سرور رایانه شخصی خود را اجرا می‌کند (مثلاً 1C) که روی آن نصب شده است. کامپیوتر از راه دور، و در مانیتور خود فقط نتیجه اعدام آنها را می بیند. این روش سازماندهی کار شرکت به مدیریت اجازه می دهد تا زمان کارمندان را کنترل کرده و به طور موثر استفاده کند و همچنین هزینه مدیریت کاربر را کاهش دهد، زیرا همه برنامه ها به صورت مرکزی - روی سرور ترمینال راه اندازی می شوند.

چرا به دسترسی ترمینال به سرور نیاز دارید؟

در حالت ترمینال می توانید عملکرد تمامی نرم افزارهای شرکت را حفظ کنید. مهمترین ویژگی دسترسی به ترمینال دسترسی به آن است برنامه های کاربردی ویندوز. یک برنامه کلاینت در رایانه کاربران استفاده می شود که وظیفه آن اتصال به سرور ترمینال است. برای کاربر، کار در هر برنامه‌ای که از راه دور بر روی سرور راه‌اندازی می‌شود، دقیقاً به نظر می‌رسد که نرم‌افزار روی رایانه او نصب شده است.

پس از انتقال به دسترسی به ترمینال چه تغییری در کار شرکت ایجاد خواهد شد؟

  • مدیریت کلیه مجوزهای شرکت متمرکز خواهد شد. این منجر به یک نمای یکپارچه از مشاغل می شود و نصب به روز رسانی ها را آسان تر می کند. حتی برای خدمت به صدها شغل، فقط یک مدیر مورد نیاز است.
  • کارمندان می‌توانند از هر مکان دور (از خانه، سفرهای کاری، تعطیلات) با همان برنامه‌ها و داده‌های موجود در دفتر کار کنند.
  • کار برنامه های کاربردی کلاینت-سرور کارآمدتر و قابل اعتمادتر خواهد شد. به عنوان مثال، وظایف 1C سریعتر تکمیل می شود. این به دلیل این واقعیت است که ارتباط بین سرور و بخش های سرویس گیرنده برنامه بهبود می یابد، زیرا ترافیک شبکه مرکز داده را ترک نمی کند.
  • مهاجرت به تین کلاینت امکان پذیر است. این شرکت دیگر نیازی به نگهداری کامپیوترهای شخصی کامل در محل کار خود ندارد؛ برای دسترسی به ترمینال از راه دور، کافی است. تین مشتریان(دستگاه‌های کوچک بدون دیسک که نگهداری از آنها بسیار ساده‌تر از رایانه‌های شخصی است).
  • صرفه جویی در ترافیک ترافیک انتقال تصویر از راه دور صفحه نمایش از نظر پهنای باند و پهنای باند بسیار مقرون به صرفه تر از ترافیک بین ایستگاه های مشتری و سرورها است.

دسترسی ترمینال به سرور هم برای کاربر و هم برای مدیر سیستم مزایای خود را دارد. کاربران با ثبات تر و کار سریعبا برنامه های شرکتی مدیران سیستمقادر خواهد بود به سرعت وظایف مربوط به نگهداری از محل کار (به روز رسانی برنامه ها، استقرار دسکتاپ های جدید و غیره) را ببندد. اتصال به ترمینال دسترسی به ویندوزسرور شامل مجوزهایی برای استفاده از یک سرور پایانه و یک سرویس پشتیبان گیری از داده ها است.

بنابراین، انتقال به دسترسی به ترمینال باعث افزایش قابل توجهی در بهره وری شرکت به دلیل موارد زیر می شود:

  • انتقال داده از کامپیوترهای محلیکاربران به فضای اطلاعات مشترک سرور ترمینال.
  • توانایی ها کار از راه دورهمه کاربران در قالب و حجم مشابه در دفتر.
  • افزایش بهره وری از مدیریت کاربر، که به طور قابل توجهی زمان از کار افتادن کارگران را کاهش می دهد.

6.1. اطلاعات کلیدرباره فناوری دسترسی به ترمینال

در ابتدا، حالت ترمینال عملکرد ظاهر شد و در مین فریم ها استفاده شد. کاربران با پایانه هایی کار می کردند که ارتباط با سرور پایانه و نمایش اطلاعات دریافتی از رایانه میزبان را فراهم می کرد. تمام محاسبات توسط کامپیوتر اصلی انجام شد. تا به امروز، ماهیت دسترسی به ترمینال دستخوش تغییرات ایدئولوژیکی نشده است. در طرح های مدرن برای سازماندهی فرآیندهای محاسباتی، به جای یک مجموعه سخت افزاری خاص، برنامه های مشتریکه امکان تعامل با سرور و نمایش اطلاعات دریافتی از آن را فراهم می کند. کل بار محاسباتی نیز توسط سرور حمل می شود.

فناوری دسترسی به ترمینال به شما امکان می دهد محاسبات را انتقال دهید

هزینه های بالا از ایستگاه های کاری به سرور، حل تعدادی از مشکلات:

تمام پردازش داده ها بر روی سرور انجام می شود، نیازی به se-

انتقال فایل، فقط محتویات تغییر یافته پنجره های اطلاعاتی از سرور به ایستگاه های کاری منتقل می شود ویرایشگرهای متنیا DBMS، که حفاظت از ترافیک شبکه را ساده می کند و به شما امکان می دهد تقریباً از هر رایانه ای با هر سیستم عاملی به عنوان ایستگاه کاری از جمله ایستگاه های بدون دیسک استفاده کنید.

هیچ نیازی به دسترسی کاربران به شبکه بالقوه خطرناک به فایل های داده ذخیره شده در سرور وجود ندارد.

رسانه های مغناطیسی و خارجی، که ممکن است حاوی یک کپی کامل یا جزئی از فایل های داده محافظت شده باشند، فقط در سرور قرار دارند و می توانند به طور کامل توسط مدیر کنترل شوند.

طرح زیر برای استفاده از فناوری دسترسی به ترمینال در نظر گرفته شده است. سرویس دسترسی به ترمینال بر روی سرور نصب شده است، برنامه های کاربردی لازم برای کار کاربران مستقر می شوند. سرور

دسترسی به ترمینال نباید موارد دیگری را انجام دهد توابع شبکهبه غیر از خدمات حالت ترمینال، یعنی منابع شبکه مشترک، از جمله چاپگرها، مستثنی هستند. لیست شبکه

سرویس‌هایی که روی سرور اجرا می‌شوند و از شبکه قابل دسترسی هستند فقط به یک سرویس پایانه و در صورت لزوم سرویسی که رمزگذاری ترافیک شبکه را ارائه می‌کند محدود می‌شود.

یک سرویس گیرنده ترمینال بر روی ایستگاه های کاری کاربر نصب شده و برای اتصال به یک سرور ترمینال پیکربندی شده است. کلاینت ترمینال می تواند از سیستم عامل اصلی نصب شده بر روی رایانه کاربر یا از سیستم عاملی که از رسانه خارجی راه اندازی شده است راه اندازی شود.

(فلاپی یا سی دی رام) یا قابل بوت شدن با استفاده از کارت شبکهحذف شده-

دانلود.

در حالت اول، برای کار با داده های محافظت شده، کاربر از سیستم عامل اصلی یک کلاینت دسترسی ترمینال را راه اندازی می کند. در عین حال، ابزارهای محافظت از اطلاعات در برابر دسترسی غیرمجاز را می توان روی رایانه نصب کرد. مزیت - فایده - سود - منفعت این روشامکان سازماندهی است حفاظت اضافی(رمزگذاری) ترافیک شبکه با استفاده از پروتکل IPSec(در سیستم عامل ویندوز XP) یا امکانات تخصصی امنیت اطلاعات.

در حالت دوم، به منظور کار با داده های محافظت شده، کاربر کامپیوتر را از یک رسانه مخصوص آماده شده (CD-ROM یا

فلاپی دیسک) که سیستم عامل لینوکس با سرویس گیرنده ترمینال سرور روی آن نوشته شده است. می توان از یک ایستگاه بدون دیسک استفاده کرد که با استفاده از سرور بوت می شود آداپتور شبکه، امکان دانلود از راه دور را فراهم می کند. منفی-

ویژگی کلیدی این راه حل عدم امکان استفاده از ابزار اضافی رمزگذاری ترافیک است. دلیل آن این است که هیچ ابزار امنیتی اطلاعات تایید شده دانلود شده از آن وجود ندارد

رسانه خارجی یا از طریق شبکه

برای پردازش داده های محافظت شده، کاربر برنامه را اجرا می کند -

مشتری ترمینال، با استفاده از سرور ترمینال ثبت نام می کند

خصوصی میخورم حساب. یکی از ویژگی های راه اندازی سرور ترمینال، ایجاد تعدادی محدودیت برای کاربران است که مهمترین آنها ممنوعیت استفاده از کلیپ بورد مشترک است. به لطف این ممنوعیت، مشکل کپی غیرمجاز داده های محافظت شده بر روی رسانه ایستگاه کاری حل شده است. کاربر ترمینال می تواند هم فایل داده و هم محتویات پنجره اطلاعات را در کلیپ بورد ویندوز ترمینال انتخاب و کپی کند. با این حال، عملیات چسباندن فقط در یک پنجره سرور ترمینال قابل انجام است. در پنجره ایستگاه کاری، امکان چسباندن از کلیپ بورد مسدود خواهد شد.

بنابراین، کپی کردن تمام اطلاعات محافظت شده یا بخشی از آن فقط در رسانه هایی که به صورت فیزیکی متصل هستند قابل انجام است

به سرور این امر محدودیت هایی را برای امکان صادرات ایجاد می کند

که / واردات داده ها، زیرا عملیات صادرات و واردات نیز انجام می شود

فقط از طریق رسانه نصب شده روی سرور منتقل می شوند. مزیت اصلی این است که تمام رسانه ها، از جمله رسانه های خارجی، که ممکن است حاوی یک نسخه کامل یا جزئی از داده های محافظت شده باشند، فقط در سرور تحت کنترل سرپرست قرار دارند. این امر کنترل متمرکز آنتی ویروس را ساده می کند و امکان بدافزار را مسدود می کند.

مشکل تشکیل "زباله" فناوری در ایستگاه های کاری نیز به طور خودکار حل می شود. برای هر جلسه ترمینال روی سرور

یک دایرکتوری موقت ایجاد می شود. اگر تنظیمات مناسب تنظیم شده باشد،

سپس در پایان جلسه این دایرکتوری حذف خواهد شد. بنابراین، فناوری

chesky "زباله" فقط در رسانه سرور ترمینال باقی می ماند.

مشکل انتقال ترافیک شبکه باز در درجه اول با این واقعیت حل می شود که در فناوری دسترسی ترمینال تمام پردازش داده های محافظت شده روی سرور انجام می شود و فقط محتوای اصلاح شده پنجره های اطلاعات برنامه های مربوطه به ایستگاه های کاری منتقل می شود. علاوه بر این، رمزگذاری ترافیک با استفاده از یک سرور ترمینال امکان پذیر است. سرور ترمینال چندین سطح امنیتی را پشتیبانی می کند که هر کدام جهت ترافیک رمزگذاری شده و طول کلید مورد استفاده در رمزگذاری را تعیین می کند.

Windows Server 2003 شامل خدمات ترمینال مایکروسافت (MSTS) است. این امکان را برای مدیریت از راه دور فراهم می کند

سرور rirovat، یا آن را به یک سرور برنامه (ترمینال) تبدیل کنید

سرور). علاوه بر این، یک افزونه برای این سرویس وجود دارد که توسط

توسط Citrix، که تعدادی از ویژگی های اضافیو تعداد پلتفرم های پشتیبانی شده را افزایش می دهد.

لازم به ذکر است که اجرای MSTS خود عاری از کاستی نیست.

kov، که به طور بالقوه می تواند توسط مهاجمان برای به خطر انداختن امنیت داده ها استفاده شود. از آنجایی که همه کاربرانی که در حالت ترمینال به سرور متصل می شوند، در واقع به صورت تعاملی وارد سیستم می شوند، می توانند از کنسول سرور وارد سیستم شوند. در نتیجه، استفاده از سرور ترمینال، نیازهای بیشتری را بر مدیریت و اجرای تنظیمات امنیتی لازم برای نرم افزار مورد استفاده تحمیل می کند.

امنیت حالت دسترسی به ترمینال با ترکیبی از تنظیمات سیستم عامل Windows Server 2003، بخش سرور MSTS و پروتکل دسترسی ترمینال - RDP فراهم می شود. هر یک از این اجزا اجرا می شود

مکانیسم های حفاظتی مختلفی وجود دارد، اما در عین حال، هر جزء دارای آسیب پذیری های خاص خود است که می تواند توسط مهاجمان مورد سوء استفاده قرار گیرد.

گروه های اصلی آسیب پذیری در ویندوز سرور 2003 که به نظر می رسد برای محافظت در حالت ترمینال مرتبط هستند عبارتند از:

امکان پذیری دسترسی شبکهبه اطلاعات پردازش شده توسط سرور؛

امکان گسترش اختیارات در اجرای دسترسی محلی.