2008 m. Richardas Stallmanas, žinomas kaip laisvojo įkūrėjas programinė įranga, duodamas interviu „The Guardian“, sakė, kad „viena iš priežasčių, kodėl neturėtume naudoti žiniatinklio programų, kad galėtume patys atlikti skaičiavimus, yra tai, kad prarandame jų kontrolę“. Apibendrinant Stallmano žodžius, galima teigti, kad bet kokios nuotolinės paslaugos naudojimas apriboja vartotojo laisvę.

Ivanas Čižovas
Vystymo skyriaus vedėjas
apsaugos priemonės „Inline Technologies“,
Ph.D.

Terminalo prieigos istorija

Viskas prasidėjo nuo produkto WinFrame, tuo metu jaunos Citrix kompanijos. Ši programa buvo ne kas kita, kaip Windows NT 3.51 su kelių vartotojų palaikymu. Šiek tiek vėliau, 1998 m., remdamasi „WinFrame“, „Microsoft“ sukūrė pirmąjį „Windows NT 4.0 Terminal Server Edition“, kuris leido vartotojams nuotolinis darbas. Tai yra, programos buvo vykdomos tam tikrame serveryje, o vartotojui darbo vietoje buvo transliuojamas tik vaizdas. Nuotolinis vartotojų darbas buvo pagrįstas RDP 4.0 protokolu, kuris vėliau plačiai paplito. Tai lėmė tai, kad įsilaužėliai pradėjo skirti ypatingą dėmesį pažeidžiamumui jame, kurių pasirodė nemažai. AT tam tikras momentas administratoriai pradėjo atsisakyti šio protokolo naudojimo, bijodami, kad serveriai nebus nulaužti. Ir tik galimybė naudoti TLS protokolą jį apsaugoti suteikė KPP antrą gyvenimą.

KPP protokolas

Dabartinė KPP protokolo versija yra 7.1. Tai ištaiso daugybę jaunesnių versijų klaidų, trūkumų ir pažeidžiamumų. Tarp pagrindinių jo savybių yra:

Laisvės apribojimas yra reikšmingas trūkumas vartotojui, bet pranašumas paslaugos savininkui, nes jis gauna galimybę visiškai kontroliuoti vartotojo veiksmus sistemoje. Tai veda prie idėjos, kad prieiga prie terminalo gali būti puiki priemonė kuriant privačių automatizuotų sistemų apsaugos sistemą.

  • galimybė skelbti programas vartotojui;
  • tinklo lygmens autentifikavimo palaikymas;
  • produktyvumo padidėjimas;
  • sumažinti garso ir vaizdo atkūrimo delsą.

Dėl išplėsto vartotojo veiksmų stebėjimo funkcionalumo, RDP protokolas turi „trečią vėją“ – galimybę organizuoti saugią terminalo prieigą nuotoliniams vartotojams prie automatizuotų sistemų su mažesnėmis apsaugos priemonių ir tolimesnės jų priežiūros sąnaudomis.

Pažymėtina, kad kartu su KPP išsivystė ir kiti terminalo prieigos protokolai. Vienas iš seniausių ir gana populiarių protokolų yra ICA protokolas, kuris yra Citrix produktų linijos pagrindas. Pagrindinis jo trūkumas yra tai, kad tai yra „Citrix“ nuosavybė, todėl beveik neįmanoma atlikti nepriklausomo protokolo tyrimo dėl pažeidžiamumų ir nedokumentuotų savybių jame. Ir tokie tyrimai būtini, pavyzdžiui, jei sistema apdoroja K1 klasės PD. Šiuo atžvilgiu ne visada įmanoma naudoti šį protokolą visur.


Informacijos saugumo požiūriu terminalo prieigos technologija turi keletą patrauklių savybių:

  • terminalų ar plonųjų klientų, iš kurių galite pasiekti sistemos išteklius, neturi kietasis diskas;
  • naudoti specializuotą OS, kurios viena iš užduočių yra suorganizuoti seansą su terminalo serveriu, kad vartotojas dirbtų;
  • neturi judančių dalių;
  • atliekami specializuotais atvejais su visiškai pasyviu aušinimu.

Terminalo prieigos idėja kilo seniai, kai kompiuteriai buvo lėti ir užėmė didžiulius kambarius. 1970 metais vienas iš ARPANET tinklo kūrėjų – šiuolaikinio interneto tinklo senelis – pasakė, kad kada nors kiekvienas žmogus Žemėje bus prisijungęs prie tinklo, iš kurio galės gauti ne tik jam reikalingus duomenis, bet ir jų apdorojimo programos. Dar anksčiau, 1961 m., John McCarthy, funkcinio programavimo ir dirbtinio intelekto įkūrėjas, pasiūlė, kad ateityje kompiuterių galia ir net programos galėtų būti parduodamos taip pat, kaip ir programavimo srityje. Komunalinės paslaugos parduoda elektrą ar vandenį.

Tai reiškia, kad vartotojas, dirbantis terminale, negali nieko rašyti, nes neturi standžiojo disko. Naudojama OS gali būti sumažinta iki vienos funkcijos - KPP seanso sukūrimo, kuris leidžia žymiai apriboti veiksmus darbo vieta. Prisijungimas prie terminalo išoriniai diskai neleis vartotojui į juos rašyti informacijos, nes OS neturi funkcionalumo prijungti tokius įrenginius programų serveryje. Terminalo tvirtumas apsunkina vartotojo prieigą prie jo vidaus. OS ir programinė įranga, kurią naudoja terminalas, praktiškai nereikalauja atnaujinimų, todėl juos galima pataisyti, sertifikuoti ir pamiršti neišleidžiant pinigų naujų versijų ir atnaujinimų sertifikavimui. Įsigiję tokią programinę įrangą galite būti tikri, kad pakeitimų ir atnaujinimų nereikės ilgai. Be to, minėtas tvirtumas ir tam tikras terminalo „statiškumas“ leidžia nenaudoti antivirusinės programinės įrangos terminalų stočių apsaugai.

KPP protokolo naudojimas leidžia įdiegti sistemą, susidedančią iš įvairių saugumo kilpų. Apsvarstykite, pavyzdžiui, šią problemą: yra daug darbo stočių, kurios apdoroja Konfidenciali informacija. Dėl oficialių pareigų vartotojai, be kita ko, reikalauja prieigos prie interneto. Tuo pačiu metu sistemos savininkas nenori, kad vartotojai vienu metu dirbtų pasauliniame tinkle ir apdorotų konfidencialius duomenis, todėl būtina atjungti darbo vietas nuo interneto ir organizuoti prieigą prie interneto iš atskirų tam skirtų darbo vietų. Kaip naudojant KPP gali padėti išspręsti šią problemą?

Paimkime du aplikacijų serverius ir vienoje interneto naršyklėje suinstaliuokime visas programas, kurios reikalingos vartotojams darbui internete, o kitoje įdiegiame programas, skirtas konfidencialiai informacijai apdoroti. Vietoj darbo stočių vartotojams įdiegsime terminalus (plonuosius klientus). Ir tarkime, kad terminalo operacinė sistema yra „Linux“ su dviejų stalinių kompiuterių palaikymu. Ir jie yra visiškai izoliuoti vienas nuo kito, ir keistis informacija tarp jų neįmanoma. Sukurkime KPP seansą su pirmuoju programų serveriu pirmame darbalaukyje, o su antruoju – antrajame. Taigi tame pačiame viename darbalaukyje esančiame terminale vartotojas sėdi internete, o kitame - apdoroja konfidencialią informaciją. Sistemos savininkas miega ramiai, nesijaudindamas dėl galimo konfidencialių duomenų nutekėjimo.

Tai aiškiai parodo, kad prieiga prie terminalo yra efektyvus sprendimas žmonėms, kurie galvoja apie savo informacijos saugumą ir nenori išleisti daug pinigų integruotos apsaugos sistemos kūrimui.

Tipiška terminalo prieigos apsaugos sistemos architektūra

  • duomenų apsaugai naudoti SSLTTLS protokolą;
  • įgalinti vartotojo autentifikavimą, pavyzdžiui, per domeną, naudojant prisijungimo vardą ir slaptažodį.

Tačiau šis požiūris dažnai nėra pagrįstas. Tai ypač pasakytina apie sistemas, kuriose taikomi didesni reikalavimai informacijos saugumui.

Panagrinėkime tipinę sistemos, sukurtos terminalo prieigos technologijos pagrindu, saugos architektūrą (1 pav.).

Tarkime, kad turime terminalų taikomųjų serverių fermą ir daugybę klientų įrenginių (terminalų), kurie bendrauja per KPP protokolą ir suteikia galimybę naudoti vartotojams reikalingas programas. Kaip aprašytą sistemą padaryti saugią?

Reikalavimas prieigos kontrolei

Sistema turi įdiegti prieigos prie išteklių ribojimo mechanizmą. Jis turėtų būti pagrįstas prieigos taisyklių nustatymu, pagrįstu vartotojų grupės savybėmis, programomis ir jų vykdomais objektais. Paprastai atsižvelgiama į šiuos leidimus: skaityti, rašyti, ištrinti ir vykdyti.

Reikalavimai tam informacijos saugumas sistemos
Visus reikalavimus galima suskirstyti į penkis didelės grupės:
1) identifikavimui ir autentifikavimui;
2) prieigos kontrolei;
3) į registraciją ir apskaitą;
4) užtikrinti vientisumą;
5) apsaugoti perduodamą ir saugomą informaciją.

Ištekliai, kuriems paprastai diegiamos prieigos kontrolės funkcijos, yra šie: failai ir katalogai, esantys tiek vietinėje, tiek vietoje tinklo diskai(įskaitant bendrus išteklius); įmontuoti ir išoriniai įrenginiai; įmontuoti įvesties-išvesties prievadai; filialai ir registro įrašai.

Prieigos kontrolė turėtų būti draudžiama, ty ištekliai, prie kurių prieiga nėra aiškiai apibrėžta, turėtų būti nepasiekiami vartotojui. Prieigos kontrolė turėtų būti taikoma visiems vartotojams be išimties. Nė vienas vartotojas neturi turėti administratoriaus teisių, turintis prieigą prie visų išteklių, apeinant apsaugos posistemį.

Identifikavimo reikalavimai
Įprastoje vidutinėje sistemoje prisijungiant su prisijungimo vardu ir slaptažodžiu reikalingas prieigos subjektų identifikavimas ir autentifikavimas. Be to, turėtų būti atliktas terminalų, išorinių terminalų įrenginių identifikavimas pagal loginius pavadinimus. Būtina identifikuoti programas, katalogus, failus, įrašus ir įrašų laukus pagal pavadinimą.

Be to, labai dažnai sistemose kyla problemų dėl išorinių laikmenų, tokių kaip USB atmintinės, prijungimo. Vartotojas sistemoje gali naudoti tik patikrintą „flash drive“. Jis negali atsinešti iš namų ir juo naudotis.

Sistema turi užtikrinti prieigos prie taikomųjų programų kontrolę. Vartotojai turi prieigą prie tų, kuriuos jiems aiškiai priskyrė saugos administratorius, ir nepasiekia tie, kurie nėra priskirti vykdyti. Idealiu atveju jie net neturėtų būti matomi vartotojui.

Naudojant KPP prieigą, susidaro situacija, kai tame pačiame serveryje gali veikti skirtingų vartotojų programos. Šiuo atžvilgiu būtina užtikrinti patikimą vieno naudotojo taikomų programų atskyrimą nuo kitų tame pačiame programų serveryje veikiančių programų.

Taip pat turite neleisti vartotojui įkelti savo OS į terminalą.

Reikalavimai registracijai ir apskaitai

Perduodamos ir saugomos informacijos apsaugos reikalavimai
Sistemoje tai yra paprasčiausias, bet kartu ir sudėtingiausias reikalavimas. Paprastai sistemos reikalauja šifruoti visus duomenis, perduodamus nesaugiais ryšio kanalais.

Paprastai registracijos ir apskaitos sistemai taikoma:

  • vartotojų prijungimas prie sistemos;
  • programos paleidimas;
  • prieiga prie kontroliuojamos prieigos objektų;
  • saugomų prieigos objektų kūrimas;
  • keičiant prieigos subjektų įgaliojimus.

Po valymo pirmame įraše registracijos protokole turėtų būti automatiškai užfiksuotas valymo faktas, nurodant datą, laiką ir informaciją apie asmenį, atlikusį šią operaciją. Šis reikalavimas skirtas administratoriaus kontrolei. Tikrinti administratoriaus darbą sistemoje galite tik analizuodami įvykių žurnalą, todėl reikalingas įrankis, kuris neleistų nesąžiningiems administratoriams keisti audito žurnalo, įskaitant jo išvalymą.

Sąžiningumo reikalavimai

  1. Sąžiningumas programinės įrangos įrankiai apsauga.
  2. Dėl programinės įrangos aplinkos nekintamumo.

Tuo pačiu metu jo vientisumą gali užtikrinti tai, kad sistemoje nėra vertėjų iš aukšto lygio kalbų ir programų derinimo. Tačiau šis mechanizmas nėra pakankamai efektyvus, nes galima sulaužyti programinės įrangos aplinką, pavyzdžiui, įdiegiant kai kuriuos trečiosios šalies programa OS, apeinant prieigos kontrolės sistemą. Pasirodo, vientisumą galima užtikrinti tik kartu su idealia prieigos kontrolės sistema. Kai kuriais atvejais šis surišimas nepageidautinas. Ir tada dažniausiai taikykite aparatinę įrangą programinės įrangos moduliai Patikimas įkrovimas (APMBD). Dėl to, kad reikia įdiegti sistemą savo programas, kiekvieną kartą turite iš naujo sukonfigūruoti šią aparatinę įrangą arba valdyti tik OS branduolį. Jei naudojate terminalą, o ne darbo stotį, paprastai galite sunkiai pataisyti OS.

Apsaugos sistemos architektūra

Registracijos ir apskaitos rezultatų fiksavimas elektronine forma registracijos protokole turėtų būti prieinamas tik perskaityti ir tik saugos administratoriui. Tuo pačiu metu jis gali tik peržiūrėti, kopijuoti ir visiškai išvalyti registracijos protokolą.

Kaip statyti laikantis šių reikalavimų efektyvi sistema terminalo prieigos apsauga? Šiuo atveju požiūris turi būti išsamus. Atsižvelgiant į tai, kad prieiga prie terminalo reiškia centralizavimą, apsaugos sistemos architektūroje taip pat turėtų būti atsekama ryški centralizacija.

Iš to išplaukia, kad sistemoje turėtų būti vienas įėjimo taškas: tam tikra tarnyba, kuri valdo apsaugos sistemą ir atlieka vartotojų bei sistemos komponentų identifikavimo funkcijas. Iš terminalo OS vientisumo reikalavimų išplaukia sprendimas, kuriame jis turi labai mažas dydis ir saugomi tam skirtame serveryje. Prijungus terminalą ir vartotoją bei terminalą autentifikavus sistemoje, OS perduodama į jį ryšio kanalu, tai yra, naudojamas tinklo įkrovimas. Tai patikrina OS vientisumą.

Terminalo prieigos reikalavimai ir architektūra rodo, kad sistemoje turi būti bent šie komponentai:

  • autentifikavimo paslauga – vienas įėjimo į sistemą taškas – centralizacijos taškas;
  • sistemos administratoriaus pultas – apsaugos sistemos valdymas;
  • apkrovos balansavimo paslauga – norint sukurti pramoninio lygio apsaugos sistemą, visos apsaugos paslaugos turi būti sugrupuotos;
  • terminalo OS platinimo paslauga – parduotuvės Dabartinė versija terminalo OS;
  • apsaugos modulis – minimalus reikalinga programinė įranga terminalas, skirtas pradėti sąveiką su sistema;
  • terminalo OS;
  • komponentas „Application Server“ – visų pirma atlieka vartotojo prieigos atribojimo sistemoje funkcijas;
  • IP srauto šifravimo moduliai – reikalingi duomenų šifravimui užtikrinti.

Terminalo prieigos įrankių įdiegimas pastaruoju metu sulaukė nemažo susidomėjimo tarp daugelio įmonių vadovų, juk šios kategorijos produktai, tinkamai pritaikyti, gali žymiai sumažinti tiek įmonės programinės įrangos priežiūros, tiek reguliarių techninės įrangos atnaujinimų išlaidas. Šiame straipsnyje kalbėsime apie tai, kas gali suteikti šios kategorijos gaminių naudojimą mažoms įmonėms.

Kas yra prieiga prie terminalo

kažkada, kai žmonija dar nežinojo asmeninius kompiuterius, tipinė bet kurios įmonės taikomosios programos architektūra buvo tokia, kurioje buvo naudojamas pagrindinis kompiuteris (arba, prastesnės įmonės atveju, mini kompiuteris) ir daugybė neprotingų išorinių galinių įrenginių, valdomų to paties pagrindinio kompiuterio (arba mažojo kompiuterio). Šis metodas, pagrįstas visišku išteklių, duomenų ir programų centralizavimu, turėjo tam tikrų pranašumų dėl visų savo trūkumų ir didelių tų metų kompiuterinių technologijų kainų, todėl, pirma, leido išspręsti problemas, su kuriomis susidūrė pirmųjų asmeninių kompiuterių vartotojai. niekad nesvajojo, o antra, pasižymėjo santykiniu (natūralu, tuo metu) paprastu valdymu, nes visa skaičiavimo įranga fiziškai buvo vienoje vietoje, o vartotojai bendrai naudojo bendrą procesorių, atmintį, išorinius įrenginius, daugiafunkcinę operacinę sistemą ir programų rinkinys.

Šiuolaikiniai terminalų prieigos įrankiai, naudojami asmeniniuose kompiuteriuose, specializuotose terminalų darbo vietose ir delniniuose įrenginiuose, yra pagrįsti panašiu skaičiavimo centralizavimo ir išteklių kolektyvizavimo principu. Tokiu atveju vartotojas darbo vietoje paleidžia terminalo prieigos įrankio kliento dalį ir naudoja ją, kad pasiektų nuotolinio serverio kompiuterį, kuriame yra atitinkama šio įrankio serverio dalis. Sėkmingai autentifikavus, terminalo prieigos įrankio serverio dalis sukuria vartotojui savo seansą, kurio metu vartotojas rankiniu būdu arba automatiškai (priklausomai nuo seanso nustatymų ir prieigos teisių) paleidžia jam reikalingas programas serverio adresų erdvėje. Tokiu būdu paleidžiamų programų vartotojo sąsaja yra prieinama darbo vietos vartotojui terminalo prieigos įrankio kliento dalies lange ir jis gali valdyti šią programą naudodamasis darbo stoties klaviatūra ir pele informacija apie paspaustus klavišus ir pelės judėjimas (o dažnai ir iškarpinės turinys) perkeliamas į sesiją šis vartotojas serveryje, o pakeitimai siunčiami atgal vartotojo sąsaja programos. Kai vartotojo sesija baigiasi, visos joje veikiančios programos uždaromos.

Prieigos prie terminalo ir IT infrastruktūros išlaidos

Terminalo prieigos naudojimo pranašumai išryškėja, kai yra daug darbo stočių arba išaugę reikalavimai saugumui ir duomenų saugojimo centralizavimui. Jei programos pasiekiamos naudojant terminalo prieigos įrankį, tada darbo vietose bus įdiegta tik operacinė sistema ir šio įrankio kliento dalis, o pačios programos, su kuriomis dirba vartotojai, yra įdiegtos terminalo serveryje. Šiuo atveju darbo stočių priežiūros išlaidos yra žymiai mažesnės nei tada, kai jos yra visiškai aprūpintos korporatyvinių programų klientų dalimis, biuro komplektai, pašto klientai ir kiti įmonėje naudojami produktai, o reikalavimai tokių darbo vietų techninei įrangai yra labai nuosaikūs. Be to, yra specialios darbo vietos „Windows“ valdymas CE, skirtas dirbti šiuo režimu. Tiesa, reikalavimai terminalo serverio aparatinei įrangai gali būti gana aukšti, priklausomai nuo vienu metu dirbančių vartotojų skaičiaus. Bet modernios patalpos terminalo prieiga, kaip taisyklė, gali dirbti su serverių klasteriais ir atlikti apkrovos balansavimą.

Nors darbo stočių įsigijimo, atnaujinimo ir priežiūros sutaupytas išlaidas galima gana nesunkiai apskaičiuoti, taupymas, susijęs su papildoma prieiga prie įmonės duomenų sauga, nėra akivaizdus iš karto. Kadangi programos veikia nuotoliniame serveryje, galutinio vartotojo darbo stotis neturi nei įmonėje naudojamos serverio DBVS kliento dalies, nei prieigos prie darbalaukio DBVS failų, o tai žymiai sumažina neteisėtos prieigos prie įmonės duomenų riziką, išskyrus įprastą. reiškia (ty naudojant įmonės programą), jūs negalėsite jų pasiekti.

Pirmaujantys terminalo prieigos teikėjai

Microsoft

Paprasčiausi terminalo prieigos įrankiai, vadinami terminalo paslaugomis, yra serverio dalis Windows versijos. Terminalo paslaugos yra prieinamos Windows NT Server 4.0, Terminal Server Edition (pirmoji terminalo prieigos versija, sukurta naudojant Citrix), Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server, „Windows Server“. 2003 (visi leidimai).

Terminalo veikimo parametrų valdymo įrankiai „Windows“ paslaugos palyginti paprasta. Naudodami Windows Server 2003, Enterprise Edition, galite balansuoti serverių apkrovą; galimas dinaminis seanso parametrų valdymas; Ekrano skiriamoji geba iki 1600x1200 ir True Color režimas yra prieinami klientų seansams, o Windows Server 2003 terminalo tarnybų klientai gali pasiekti savo vietinius išteklius ( išoriniai įrenginiai, diskai ir kt.) iš terminalo seanso. Tiesą sakant, tai yra visos šiandien prieinamos „Windows Terminal Services“ galimybės. Tačiau šias paslaugas dažnai naudoja tinklo administratoriai, norėdami nuotoliniu būdu valdyti serverius, o programinės įrangos įmonės ir skyriai – norėdami pasiekti kituose kompiuteriuose įdiegtas programas.

Prieigos licencijavimas naudojant terminalo paslaugas vykdomas taip. Visi įrenginiai, pasiekiantys terminalo paslaugas, turi turėti „Windows Server 2003“ terminalo serverio įrenginio licenciją (CAL), suteikiančią įrenginiui prieigą prie „Windows Server 2003“, arba vartotojas turi turėti „Windows Server 2003“ terminalo serverio vartotojo KPL. Be to, yra Windows licencija Server 2003 terminalo serverio išorinės jungties licencija, kuri leidžia anonimiškai vienu metu prisijungti prie terminalo paslaugų internetu ir yra skirta programų tiekėjams.

Citrix

Šiandien Citrix pagrįstai laikoma prieigos prie terminalų rinkos lydere. Ši įmonė gamina terminalo prieigos įrankius, skirtus Windows ir UNIX; tuo pačiu metu šis įrankių rinkinys skiriasi nuo „Windows“ terminalo paslaugų (vienu metu licencijuotų iš tos pačios „Citrix“) labai įvairiomis kliento seanso konfigūravimo parinktimis ir įrankiais, skirtais terminalo serveriams ir kitiems tinklo ištekliams, susijusiems su terminalo prieiga, valdyti. , taip pat išsamus susijusių įrankių ir technologijų rinkinys, integruotas tarpusavyje, pavyzdžiui, slaptažodžių valdymo įrankiai, saugi prieiga, tarptinklinis terminalų jungtys perkeliant klientą iš vienos vietos į kitą. Pavyzdžiui, naudodami įrankius, įtrauktus į „Citrix Access Suite“, veikiantį „Windows Terminal Services“ viršuje, galite nustatyti labai platų seanso parametrų spektrą (lango dydį, ekrano skiriamąją gebą, spalvų skaičių, darbo su garso duomenimis taisykles) kurti seansus, kurie veikia tik vienos konkrečios programos langiniu režimu ir baigiasi jos darbo pabaigoje, atlikti detalų visos paskirstytos sistemos stebėjimą ir analizuoti resursų panaudojimą vartotojų sesijose, įdiegti optimalų programos valdymą. - vadinami serverių ūkiais serverių klasteriais, kuriuose yra to paties tipo programos, subalansuojant jų apkrovą.

Atkreipkite dėmesį, kad naudojant Citrix technologijas (ypač ICA nepriklausomą skaičiavimo architektūrą), tinkle perduodama tik informacija apie pelės ir klaviatūros įvestį, taip pat ekrano vaizdo pokyčius, o tai riboja seansui reikalingą pralaidumą. mažiau nei 20 kbps.

Citrix Access Suite palaiko prieigą prie terminalų serverių iš DOS, Windows, Mac OS, UNIX, Linux, OS/2, Java darbo stočių iš naršyklių, naudojančių Netscape papildinius arba Active X valdiklius. Internet Explorer, taip pat iš daugybės mobiliųjų įrenginių.

Pridedami produktai

Pradėdamos naudotis terminalo prieiga, įmonės dažnai susiduria su kitais iššūkiais, tokiais kaip prieigos prie programų valdymas, kelių vartotojų slaptažodžiai, perduodamų duomenų apsauga, prieigos, nepriklausančios nuo infrastruktūros ir įrenginio tipo, suteikimas, vartotojų tarpusavio sąveika ir efektyvi programėlių priežiūra. jų IT paslaugos. Šiuo tikslu jiems gali prireikti slaptažodžių valdymo, konferencijų organizavimo, darbo vietų ir jų sąsajos nuotolinio valdymo įrankių. Visi šie produktai yra „Citrix Access Suite“ dalis, kurio išleidimas leis kalbėti apie visiškai integruotą sprendimą, suteikiantį vieną infrastruktūrą vartotojo prieigai prie programų.

Prieiga prie terminalo mažoms įmonėms

Tradiciškai buvo manoma, kad prieigos prie terminalų įrankiai turėtų būti diegiami didelėse įmonėse, turinčiose daug to paties tipo darbo stočių, o ataskaitos apie garsiausius tokių priemonių diegimo projektus dažnai apima dešimtis tūkstančių darbo vietų ir didžiulius biudžetus. Tačiau šioje kategorijoje yra produktų, kuriuos prasminga įdiegti mažose ir vidutinėse įmonėse.

Iš naujovių šioje srityje, visų pirma, atkreipiame dėmesį į šis segmentas rinkos produktas Citrix Access Essentials. Šis produktas gali tarnauti platformą naudojančioms įmonėms Microsoft Windows kurių terminalo darbo vietų skaičius ne didesnis kaip 75 (įskaitant nešiojamas ir mobiliuosius įrenginius), ir atitinka mažų įmonių reikalavimus, jį įsigyti ir įdiegti bus gana pigu dėl nebrangių licencijų (mažiau nei 250 USD už vietą, į kurią jau įtraukta licencija naudoti „Windows Terminal Services“ „Windows Terminal Server Client Access License“) ir lengvumo. diegimo ir administravimo.

Techninės Citrix Access Essentials savybės

„Citrix Access Essentials“ yra serverio programa, kuri veikia „Windows Server 2003“ ir suteikia prieigą prie tame serveryje įdiegtų programų per žiniatinklio sąsają. Šiam produktui reikalingas vienas serveris su veikiančiu Microsoft sistema Windows Server 2003 Standard arba Enterprise Edition, tinklo prisijungimas tarp vartotojų įrenginių ir serverio, ir žiniatinklio naršyklę kiekviename prijungtame įrenginyje.

Citrix Access Essentials palaiko du darbo režimus: vieno serverio veikimą (1 pav.) ir veikimą naudojant Citrix Access Gateway aparatinę įrangą (2 pav.). Pirmuoju atveju nuotoliniai vartotojai gali pasiekti terminalo serverį per ugniasienę, antruoju – per virtualų serverį. privatus tinklas Prieigos šliuzo VPN (šiuo atveju terminalo serveris yra įdiegtas DMZ, kuris užtikrina didesnį prieigos prie programų saugumą).

Siekdama užtikrinti prieigą prie serverio, Citrix Access Essentials palaiko kelis vartotojo autentifikavimo būdus, įskaitant šifravimo naudojimą.

„Citrix Access Essentials“ serverio diegimas yra kuo paprastesnis – šiuo tikslu į produkto paketą įtraukta „Quick Start“ programa, kuri yra serverio diegimo ir konfigūravimo, licencijų registravimo, klientų dalių platinimo rinkinių generavimo ir publikavimo vedlys. programas serveryje. Kliento dalys yra prieinamos visoms „Windows“, „Windows CE“, „Pocket PC 2003“, „Mac OS X“, „Linux“, „Solaris“ ir „Java“ palaikančių įrenginių versijoms.

Įrankiai, skirti valdyti serverį, keisti konfigūraciją ir valdyti vartotojų prieigą, kurie yra „Citrix Access Essentials“ dalis, taip pat yra kuo paprastesni: mano nuomone, jų įsisavinimas neturėtų sukelti sunkumų specialistams, administruojantiems mažų įmonių tinklus ( 3 pav.). Jie leidžia atlikti beveik bet kokią operaciją, iki nustatymo išvaizdašio gaminio kliento dalies sąsaja (4 pav.). Be to, gaminyje pateikiama labai išsami dokumentacija, kurioje aprašomi visi administratoriaus veiksmai – nuo ​​serverio įdiegimo iki jo veikimo optimizavimo, saugos nustatymų konfigūravimo ir prieigos prie išorinių įrenginių.

Kitaip tariant, šis produktas tikrai sukurtas atsižvelgiant į mažų įmonių ypatumus, įskaitant ribotas lėšas naudotis aukštos kvalifikacijos (taigi ir brangiomis) IT specialistų paslaugomis.

Licencijavimas

Citrix Access Essentials licencijuojama taip. Produktą galima įsigyti kaip vardines licencijas, įsigytas kiekvienam vartotojui, kuris naudos programinę įrangą. Šis gaminys nepalaiko nei vienodo naudojimo, nei įrenginio ar serverio licencijavimo. Produktą galima įsigyti su prenumeratos pranašumu arba be jo.

Naudodami Citrix Access Essentials (kaip ir bet kurį kitą terminalo prieigos įrankį), taip pat turite laikytis programinės įrangos, kuri bus pasiekiama terminalo režimu, licencijavimo taisyklių šiuolaikinėse programinės įrangos licencijos sutartyse paprastai yra numatytos tam tikros produktų naudojimo šiuo režimu taisyklės. Ypač dažnai dirbant šiuo režimu įsigytų licencijų skaičius turi būti lygus prijungtų darbo stočių skaičiui, nepaisant to, kad serveryje iš tikrųjų įdiegta tik viena programos kopija.

„Citrix Access Essentials“ ir sąnaudų mažinimas

Kokių išlaidų mažos ir vidutinės įmonės gali išvengti įdiegusios Citrix Access Essentials? Standartiniai privalumai naudojant terminalo prieigos priemones, pvz., mažesnės išlaidos to paties tipo darbo vietų priežiūrai, jų Aparatūra, mažų įmonių atveju iš pradžių neatrodo tokie akivaizdūs. Bet juk tokių įmonių biudžetas nedidelis, todėl galimybė išvengti bereikalingų išlaidų paramai, kad ir ne tokių didelių, kaip didelėse įmonėse, yra dar aktualesnė mažoms įmonėms. Papildomos prieigos prie įmonių duomenų saugumas mažoms įmonėms gali būti labai svarbus, jei duomenys nutekėtų, o pasekmės mažoms įmonėms gali būti daug rimtesnės nei didelėms įmonėms.

Iš kaštų, kurių „Citrix Access Essentials“ įdiegusios mažos įmonės galės išvengti, visų pirma, plečiant verslą, pavyzdžiui, atidarant naujus, reikia paskirstyti esamos IT infrastruktūros pertvarkos ir naujų sprendimų diegimo kaštus. biurai ir filialai. Tokiu atveju terminalo prieigos prie centriniame biure esančių įmonės informacinių sistemų (pavyzdžiui, įmonės valdymo sistemų, sandėlio, apskaitos ar personalo apskaitų) diegimas dažniausiai pasirodo daug paprastesnis ir pigesnis, nei diegti filiale nepriklausomą infrastruktūrą. ir organizuoti duomenų sinchronizavimą su centriniu biuru. Be to, santykinai didelė dalis šiuolaikinio smulkaus ir vidutinio verslo įdarbina vadinamuosius mobilius darbuotojus, kuriems užtikrinti komunikacija su biurais, prieigos prie įmonių programų ir duomenų saugumas bei šių procesų kontrolė yra labai sunki užduotis. , kuri taip pat padės išspręsti Citrix Access Essentials. Atsižvelgdami į aukščiau paminėtą galimą išlaidų taupymą, mažesnių įmonių IT lyderiai turėtų atidžiau pažvelgti į šį produktą, nes jis gali išspręsti problemas, su kuriomis kai kurios iš jų susiduria.

Kita įprasta nuotolinės prieigos parinktis yra du beveik to paties režimo variantai - nuotolinio valdymo pultas ir prieiga prie terminalo. Taikant šį metodą, nuotolinis kompiuteris tampa virtualiu pagrindinio kompiuterio terminalu, kuris gali būti prijungtas prie tinklo arba neprisijungęs. Ši parinktis leidžia paleisti bet kurią programą pagrindiniame kompiuteryje, taip pat pasiekti visus šio pagrindinio kompiuterio duomenis. Jei pagrindinis kompiuteris yra prijungtas prie tinklo, tada jo nuotoliniai vartotojai tampa visateisiais tinklo nariais, veikdami kaip pagrindinio kompiuterio vartotojai.

Aukščiau jau buvo pasakyta, kad vienintelis skirtumas tarp nuotolinio valdymo ir terminalo prieigos yra tas, kad nuotolinio valdymo metu vartotojas susisiekia su operacine sistema, kuri nėra skirta palaikyti kelių terminalų režimą (MS-DOS, Windows 3.1, Windows 95/98, Windows NT, OS / 2 Warp) ir prieiga prie terminalo atliekama Operacinės sistemos, kuriam pagrindinis yra kelių terminalų režimas (Unix, IBM, 1MB OS-400, VAX VMS).

Nuotolinis valdymas arba prieiga prie terminalo reikalinga, kai nuotolinis vartotojas dirba su programomis, kurios nėra optimizuotos tinkle, pvz., tradicinėmis asmeninių kompiuterių DBVS, tokiomis kaip dBase, Paradox arba Access. Priešingu atveju, kai tokia programa yra viename kompiuteryje, o duomenų bazės failai yra kitame, tinklas generuoja pernelyg didelį srautą.

Centralizuota nuotolinio valdymo schema reikalauja, kad įmonės vietiniame tinkle būtų įdiegtas specialus programinės įrangos produktas - nuotolinio valdymo serveris, pavyzdžiui, WinFrame serveris iš Citrix. Klientų nuotoliniuose kompiuteriuose taip pat reikia įdiegti papildomą programinę įrangą - nuotolinio valdymo klientą.

Nuotolinio valdymo programų protokolai, kuriais perduodama informacija apie ekrano atnaujinimus, klavišų paspaudimus ir pelės judesius, yra nestandartiniai – todėl reikia įdiegti to paties gamintojo nuotolinio valdymo serverio ir kliento dalis. Pavyzdžiui, „Norton pcAnywhere“ nuotolinės prieigos programinės įrangos kliento vartotojai negalės skambinti prie pagrindinio kompiuterio, kuriame veikia „ReachOut“, „LapLink“. skirta Windows, Anglinė kopija, Galima nuotoliniu būdu arba stambiu planu.

Su terminalo prieiga taip pat pageidautina centriniame tinkle įdiegti specialų produktą - terminalo serverį. Galite apsieiti ir be jo, bet tada kiekvienam kompiuteriui, prie kurio norite prisijungti nuotoliniu terminalo režimu, turite įdiegti modemą ir skirti atskirą telefono numeris. Terminalo serveris priima užklausas susisiekti su konkrečiu kompiuteriu ir vietiniu tinklu perduoda klavišų kodus ir simbolius, kurie bus rodomi vartotojo terminalo ekrane. LAN ryšiui su kelių terminalų operacinėmis sistemomis terminalo serveris naudoja standartinius terminalo emuliacijos protokolus, tokius kaip telnet, skirta Unix, DEC LAT, skirta VAX VMS.

Paštas

Paštas yra dar vienas nuotolinės prieigos tipas. Daugelio poreikiams patenkinti gali pakakti telefono ryšio pašto šliuzų ir nuotolinės prieigos pašto klientų paprasti vartotojai. Šie pašto šliuzai leidžia nuotoliniams vartotojams ar net nutolusiems biurams paskambinti į centrinio biuro pašto sistemą, keistis gaunamais ir siunčiamais pranešimais bei failais ir tada atsijungti.

Šiam tikslui sukurti produktai – nuo ​​vieno vartotojo klientų programų, tokių kaip „Lotus“ cc:mail Mobile, iki visapusiškų šliuzų, palengvinančių apsikeitimą el. paštu tarp nuotolinių serverių ir įmonės. vietinis tinklas(pavyzdžiui, „Microsoft Exchange“).

Pašto šliuzai gali būti naudingi, kai duomenų, kuriais nuotoliniai vartotojai keičiasi su centriniu biuru, kiekis nėra labai didelis. Kadangi vidutinis vartotojo šliuzo seanso laikas yra palyginti trumpas, pagrindinio tinklo šliuzui nereikia palaikyti daug telefono linijų. Paprastai pašto ryšį lengva nustatyti, o šliuzo programinės įrangos kaina yra nereikšminga.

Vartai veikia automatinis režimas be žmogaus įsikišimo. Jei vienas ar du darbuotojai dirba nuotoliniame biure ir jiems nereikia realiojo laiko prieigos prie įmonės duomenų, pašto vartai gali būti geras sprendimas. Kai kurios programos automatiškai priima užklausas el. laiškų forma El. paštas, tada išsiųskite tuos pačius atsakymus. Taigi, pavyzdžiui, veikia daugelis DBVS.

Ne tik paštu, bet ir kitomis vietiniams skirtomis programomis kompiuterinis tinklas, gali turėti specialių programinės įrangos modulių, skirtų nuotoliniam ryšiui. Tokios programos užmezga ryšius tarpusavyje naudodamos nestandartinius protokolus ir dažnai padidina ryšio efektyvumą pasitelkdamos specialias gudrybes, pavyzdžiui, perduodant tik atnaujinimus tarp nuotolinio kompiuterio ir pagrindinio kompiuterio. Šios klasės produktų pavyzdys yra programinės įrangos sistemos kolektyvinis darbas.

Vienas iš populiariausių tinklų, programų ir kompiuterių sąveikos būdų šiandien yra Nuotolinis prisijungimas. Yra keletas šios paslaugos tipų, tarp kurių norėčiau pabrėžti prieigą prie terminalo. Turėdamas šią prieigą, vartotojas savo kompiuteryje paleidžia kliento-serverio programas (pavyzdžiui, 1C), įdiegtas nuotolinis kompiuteris, o savo monitoriuje mato tik jų vykdymo rezultatą. Toks įmonės darbo organizavimo būdas leidžia vadovybei kontroliuoti ir efektyviai išnaudoti darbuotojų laiką, taip pat sumažinti vartotojų administravimo kaštus, nes visos aplikacijos paleidžiamos centralizuotai – terminalo serveryje.

Kodėl jums reikia terminalo prieigos prie serverio?

Terminalo režimu galite palaikyti visos įmonės programinės įrangos veikimą. Paklausiausia terminalo prieigos funkcija yra prieiga prie „Windows“ programos. Vartotojų kompiuteriuose naudojama kliento programa, kurios užduotis – prisijungti prie terminalo serverio. Vartotojui darbas su bet kokia nuotoliniu būdu paleista programa serveryje atrodo lygiai taip pat, lyg programinė įranga būtų įdiegta jo kompiuteryje.

Kas pasikeis įmonės darbe perėjus prie terminalo prieigos?

  • Visų įmonių licencijų valdymas taps centralizuotas. Taip gaunamas vieningas darbų vaizdas ir lengviau įdiegti naujinimus. Net norint aptarnauti šimtus darbo vietų, reikia tik vieno administratoriaus.
  • Darbuotojai galės dirbti iš bet kurios atokios vietos (iš namų, komandiruočių, atostogų) su tomis pačiomis programomis ir duomenimis kaip ir biure.
  • Kliento-serverio programų darbas taps efektyvesnis ir patikimesnis. Pavyzdžiui, 1C užduotys bus baigtos greičiau. Taip yra dėl to, kad pagerėja ryšys tarp serverio ir kliento programos dalių, nes tinklo srautas nepalieka duomenų centro.
  • Galimas perkėlimas į plonuosius klientus. Įmonei nebereikia savo darbo vietose laikyti visaverčių asmeninių kompiuterių, nuotolinei prieigai prie terminalo pakanka ploni klientai(maži įrenginiai be diskų, kuriuos daug lengviau prižiūrėti nei asmeninius kompiuterius).
  • Sutaupoma srauto Nuotolinio ekrano vaizdo perdavimo srautas pralaidumo ir pralaidumo požiūriu yra daug ekonomiškesnis nei srautas tarp klientų stočių ir serverių.

Terminalo prieiga prie serverio turi pranašumų tiek vartotojui, tiek sistemos administratoriui. Vartotojai įvertins stabilesnį ir greitas darbas su įmonių programomis. Sistemos administratoriai galės greitai uždaryti užduotis, susijusias su darbo vietų priežiūra (atnaujinti programas, diegti naujus stalinius kompiuterius ir pan.). Prisijungimas prie terminalo „Windows“ prieiga Serveryje yra licencijos naudoti terminalo serverį ir duomenų atsarginės kopijos paslaugą.

Taigi perėjimas prie terminalo prieigos žymiai padidina įmonės efektyvumą dėl:

  • duomenų perdavimas iš vietiniai kompiuteriai vartotojai į bendrą terminalo serverio informacinę erdvę;
  • pajėgumus nuotolinis darbas visi vartotojai tokiu pat formatu ir apimtimi kaip ir biure;
  • padidinti vartotojų administravimo efektyvumą, o tai žymiai sumažina darbuotojų prastovos laiką.

6.1. Bendra informacija apie prieigos prie terminalo technologiją

Iš pradžių atsirado terminalo veikimo režimas ir buvo naudojamas pagrindiniuose kompiuteriuose. Vartotojai dirbo su terminalais, kurie teikė ryšį su terminalo serveriu ir atvaizdavo informaciją, gautą iš pagrindinio kompiuterio. Visi skaičiavimai buvo atlikti pagrindiniu kompiuteriu. Iki šiol terminalo prieigos esmė nepatyrė jokių ideologinių pokyčių. Šiuolaikinėse skaičiavimo procesų organizavimo schemose vietoj specialaus aparatūros komplekso, kliento programos, kurios užtikrina sąveiką su serveriu ir rodo iš jo gautą informaciją. Visą skaičiavimo apkrovą taip pat neša serveris.

Terminalo prieigos technologija leidžia perkelti skaičiavimus

didelės išlaidos nuo darbo stočių iki serverio, išsprendžiančios daugybę problemų:

Visas duomenų apdorojimas atliekamas serveryje, nereikia

Failų perkėlimas, iš serverio į darbo vietas perkeliamas tik pakeistas informacinių langų turinys teksto redaktoriai arba DBVS, kuri supaprastina tinklo srauto apsaugą ir leidžia kaip darbo stotis naudoti beveik bet kurį kompiuterį su bet kokia OS, įskaitant stotis be diskų;

Nereikia vartotojams suteikti potencialiai pavojingos tinklo prieigos prie duomenų failų, saugomų serveryje;

Magnetinės ir išorinės laikmenos, kuriose gali būti visa arba dalinė apsaugotų duomenų failų kopija, yra tik serveryje ir jas gali visiškai valdyti administratorius.

Daroma prielaida, kad tokia terminalo prieigos technologijos naudojimo schema. Serveryje įdiegta terminalo prieigos paslauga, diegiamos vartotojų darbui reikalingos aplikacijos. Serveris

prieiga prie terminalo neturi atlikti kitų tinklo funkcijas kitos nei terminalo režimo paslaugos, ty bendri tinklo ištekliai, įskaitant spausdintuvus, neįtraukiami. Tinklo sąrašas

serveryje veikiančios ir iš tinklo pasiekiamos paslaugos apsiriboja tik terminalo paslauga ir, jei reikia, paslauga, kuri užtikrina tinklo srauto šifravimą.

Terminalo klientas yra įdiegtas vartotojo darbo vietose ir sukonfigūruotas prisijungti prie terminalo serverio. Terminalo klientą galima paleisti iš pagrindinės OS, įdiegtos vartotojo kompiuteryje, arba iš OS, paleistos iš išorinės laikmenos.

(diskelis arba kompaktinis diskas) arba paleidžiamas naudojant tinklo plokštė pašalintas -

parsisiųsti.

Pirmuoju atveju, norėdamas dirbti su apsaugotais duomenimis, vartotojas iš pagrindinės OS paleidžia terminalo prieigos klientą. Tuo pačiu metu kompiuteryje gali būti įdiegtos priemonės, apsaugančios informaciją nuo neteisėtos prieigos. pranašumas šis metodas yra galimybė organizuoti papildoma apsauga(šifravimo) tinklo srautą naudojant IPSec protokolas(operacinėje sistemoje „Windows XP“) arba specializuotas informacijos saugos priemones.

Antruoju atveju, norėdamas dirbti su apsaugotais duomenimis, vartotojas įkelia kompiuterį iš specialiai paruoštos laikmenos (CD-ROM arba

diskeliai), į kuriuos įrašyta Linux OS su terminalo serverio klientu. Galima naudoti bedisko stotį, paleidžiamą iš serverio naudojant Tinklo adapteris, leidžiantis atsisiųsti nuotoliniu būdu. Neigiamas -

Pagrindinis šio sprendimo bruožas yra tai, kad neįmanoma naudoti papildomų srauto šifravimo priemonių. Priežastis ta, kad nėra atsisiųstų sertifikuotų informacijos saugos įrankių

išorinę laikmeną arba per tinklą.

Norėdami apdoroti apsaugotus duomenis, vartotojas paleidžia programą -

terminalo klientas, registruojasi terminalo serveryje naudodamas

Valgau privačiai sąskaitą. Terminalo serverio sąrankos ypatybė yra tam tikrų apribojimų nustatymas vartotojams, iš kurių svarbiausias yra draudimas naudoti bendrinamą iškarpinę. Šio draudimo dėka išspręsta neteisėto saugomų duomenų kopijavimo į darbo vietos laikmenas problema. Terminalo vartotojas gali pasirinkti ir nukopijuoti tiek duomenų failą, tiek informacijos lango turinį į terminalo Windows iškarpinę. Tačiau įklijavimo operaciją galima atlikti tik terminalo serverio lange. Darbo vietos lange galimybė įklijuoti iš mainų srities bus užblokuota.

Taigi visos saugomos informacijos ar jos dalies kopijavimas gali būti atliekamas tik fiziškai sujungtose laikmenose

į serverį. Tai nustato tam tikrus eksporto galimybės apribojimus

kad / importuoti duomenis, nes taip pat atliekamos eksporto ir importo operacijos

perduodami tik per serveryje įdiegtą laikmeną. Pagrindinis privalumas yra tas, kad visos laikmenos, įskaitant išorines laikmenas, kuriose gali būti visa arba dalinė saugomų duomenų kopija, yra tik administratoriaus valdomame serveryje. Tai supaprastina centralizuotą antivirusinę kontrolę ir blokuoja kenkėjiškų programų galimybę.

Automatiškai išsprendžiama ir technologinių „šiukšlių“ susidarymo darbo vietose problema. Už kiekvieną terminalo seansą serveryje

sukuriamas laikinas katalogas. Jei nustatyti atitinkami nustatymai,

tada seanso pabaigoje šis katalogas bus ištrintas. Taigi, technologija

chesky "šiukšlės" lieka tik terminalo serverio laikmenoje.

Atvirojo tinklo srauto perdavimo problemą pirmiausia sprendžia tai, kad terminalo prieigos technologijoje visas saugomų duomenų apdorojimas atliekamas serveryje, o į darbo vietas perduodamas tik atitinkamų programų informacinių langų modifikuotas turinys. Be to, srautą galima užšifruoti naudojant terminalo serverį. Terminalo serveris palaiko kelis saugumo lygius, kurių kiekvienas nustato užšifruoto srauto kryptį ir šifruojant naudojamo rakto ilgį.

„Windows Server 2003“ apima „Microsoft Terminal Services“ (MSTS). Tai suteikia galimybę nuotoliniu būdu administruoti

rirovat serverį arba paverskite jį programų serveriu (terminalu

serveris). Be to, yra šios paslaugos priedas, kurį sukūrė

sukūrė Citrix, kuri pristato daugybę papildomos funkcijos ir padidina palaikomų platformų skaičių.

Pažymėtina, kad pats MSTS diegimas nėra be trūkumų.

kov, kurį potencialiai gali naudoti užpuolikai, siekdami pažeisti duomenų saugumą. Kadangi visi vartotojai, prisijungiantys prie serverio terminalo režimu, iš tikrųjų interaktyviai prisijungia, jie gali prisijungti prie sistemos iš serverio konsolės. Vadinasi, terminalo serverio naudojimas kelia didesnius reikalavimus administravimui ir būtinų naudojamos programinės įrangos saugos nustatymų įdiegimui.

Terminalo prieigos režimo saugumą užtikrina Windows Server 2003 OS, MSTS serverio dalies ir terminalo prieigos protokolo – RDP nustatymų derinys. Kiekvienas iš šių komponentų įgyvendina

Apsaugos mechanizmų yra įvairių, tačiau tuo pačiu kiekvienas komponentas turi savo pažeidžiamumą, kuriuo gali pasinaudoti užpuolikai.

Pagrindinės Windows Server 2003 pažeidžiamumo grupės, kurios, atrodo, yra svarbios apsaugai terminalo režimu:

Galimybė prieiga prie tinkloį serverio apdorojamą informaciją;

Galimybių išplėtimas įgyvendinant vietinę prieigą.