2008 yılında, özgür düşüncenin kurucusu olarak bilinen Richard Stallman, yazılım The Guardian ile yaptığı bir röportajda, "Kendi bilgisayarlarımızı yapmak için Web uygulamalarını kullanmamamızın nedenlerinden biri, onlar üzerindeki kontrolümüzü kaybetmemizdir" dedi. Stallman'ın sözlerini özetlersek, herhangi bir uzaktan hizmet kullanımının kullanıcının özgürlüğünü kısıtladığı söylenebilir.

Ivan Chizhov
Geliştirme Departmanı Başkanı
koruma araçları "Inline Technologies",
Doktora

Terminal erişiminin geçmişi

Her şey o zamanlar genç bir Citrix şirketi olan WinFrame ürünüyle başladı. Bu program, çoklu kullanıcı desteğine sahip Windows NT 3.51'den başka bir şey değildi. Biraz sonra, 1998'de WinFrame'e dayanan Microsoft, kullanıcıların ilk Windows NT 4.0 Terminal Server Edition'ı geliştirdi. uzaktan çalışma. Yani programlar belirli bir sunucuda yürütüldü ve iş istasyonunda kullanıcıya yalnızca resim yayınlandı. Kullanıcıların uzaktan çalışması, daha sonra yaygınlaşan RDP 4.0 protokolüne dayanıyordu. Bu, bilgisayar korsanlarının, oldukça az olduğu ortaya çıkan güvenlik açıklarını aramaya özel dikkat göstermeye başlamasına neden oldu. AT belirli an yöneticiler, sunucuların saldırıya uğramasından korkarak bu protokolün kullanımını bırakmaya başladılar. Ve yalnızca onu korumak için TLS protokolünü kullanma yeteneği, RDP'ye ikinci bir hayat verdi.

RDP protokolü

RDP protokolünün mevcut sürümü 7.1'dir. Daha genç sürümlerin birçok hatasını, eksikliğini ve güvenlik açığını giderir. Başlıca özellikleri arasında şunlar bulunmaktadır:

Özgürlüğün kısıtlanması, kullanıcı için önemli bir dezavantajdır, ancak hizmetin sahibi için bir avantajdır, çünkü kullanıcının sistemdeki eylemleri üzerinde tam kontrol sahibi olma fırsatına sahiptir. Bu, terminal erişiminin özel otomatik sistemleri korumak için bir sistem oluşturmak için mükemmel bir araç olabileceği fikrine yol açar.

  • kullanıcı için uygulama yayınlama yeteneği;
  • ağ katmanı kimlik doğrulaması için destek;
  • verimlilik artışı;
  • ses ve video oynatmadaki gecikmeyi azaltır.

Kullanıcı eylemlerini izlemek için genişletilmiş işlevsellik sayesinde, RDP protokolü "üçüncü bir rüzgara" sahiptir - koruma araçları ve daha fazla bakım için daha düşük maliyetlerle uzak kullanıcılar için otomatik sistemlere güvenli terminal erişimi düzenleme yeteneği.

RDP ile birlikte diğer terminal erişim protokollerinin de geliştiğine dikkat edilmelidir. En eski ve oldukça popüler protokollerden biri, Citrix ürün serisinin temelini oluşturan ICA protokolüdür. Başlıca dezavantajı, Citrix'in mülkü olmasıdır, bu nedenle güvenlik açıklarının ve belgelenmemiş özelliklerin varlığı için protokolün bağımsız bir incelemesini yapmak neredeyse imkansızdır. Ve bu tür çalışmalar, örneğin sistem K1 sınıfı PD'yi işlerse gereklidir. Bu bakımdan bu protokolü her yerde kullanmak her zaman mümkün değildir.


Bilgi güvenliği açısından bakıldığında, terminal erişim teknolojisi bir dizi çekici özelliğe sahiptir:

  • sistem kaynaklarına erişebileceğiniz terminaller veya ince istemciler sabit disk;
  • görevlerinden biri, kullanıcının çalışması için bir terminal sunucusuyla bir oturum düzenlemek olan özel bir işletim sistemi kullanın;
  • hareketli parçalar içermez;
  • tamamen pasif soğutma ile özel durumlarda yürütülür.

Terminal erişimi fikri uzun zaman önce, bilgisayarların yavaş olduğu ve büyük odaları işgal ettiği zamanlarda ortaya çıktı. 1970 yılında, modern İnternet ağının büyükbabası olan ARPANET ağının yaratıcılarından biri, bir gün dünyadaki her insanın yalnızca ihtiyaç duyduğu verileri değil, aynı zamanda alabileceği bir ağa bağlanacağını söyledi. Onları işlemek için programlar. Daha önce, 1961'de, işlevsel programlama ve yapay zekanın kurucusu John McCarthy, gelecekte bilgisayar gücünün ve hatta uygulamaların bilgisayar alanında olduğu gibi satılabileceğini öne sürdü. araçlar elektrik veya su satmak.

Bu, terminalde çalışan kullanıcının sabit diski olmadığı için hiçbir şey yazamayacağı anlamına gelir. Kullanılan işletim sistemi tek bir işleve indirgenebilir - bir RDP oturumu kurmak, iş istasyonu. Bir terminale bağlanma harici sürücüler işletim sisteminin bu tür cihazları uygulama sunucusuna monte etme işlevi olmadığından kullanıcının kendilerine bilgi yazmasına izin vermez. Terminalin sağlamlığı, kullanıcının iç kısımlarına erişimini zorlaştırıyor. Terminalin kullandığı işletim sistemi ve yazılım neredeyse hiç güncelleme gerektirmez, bu nedenle yeni sürümleri ve güncellemeleri onaylamak için para harcamadan düzeltilebilir, sertifikalandırılabilir ve unutulabilirler. Bu tür yazılımları satın alarak uzun süre değişiklik ve güncellemelere gerek kalmayacağından emin olabilirsiniz. Ayrıca, söz konusu sağlamlık ve terminalin bir miktar "statik" yapısı, terminal istasyonlarını korumak için anti-virüs yazılımının kullanılmamasını mümkün kılmaktadır.

RDP protokolünün kullanılması, çeşitli güvenlik döngülerinden oluşan bir sistemin uygulanmasını mümkün kılar. Örneğin, aşağıdaki sorunu ele alalım: İşlem yapan birkaç iş istasyonu var. kesin bilgi. Resmi görevler nedeniyle, kullanıcıların diğer şeylerin yanı sıra İnternet'e erişmesi gerekir. Aynı zamanda, sistem sahibi, kullanıcıların aynı anda Global Ağda çalışmasını ve gizli verileri işlemesini istemez ve bu nedenle iş istasyonlarının İnternet'ten bağlantısını kesmek ve ayrı ayrılmış iş istasyonlarından İnternet erişimini düzenlemek gerekir. RDP kullanmak bu sorunu çözmemize nasıl yardımcı olabilir?

İki uygulama sunucusunu alalım ve bir İnternet tarayıcısına, kullanıcıların İnternet'te çalışması için gerekli tüm programları yükleyelim ve diğerinde gizli bilgileri işlemek için programlar yükleyelim. İş istasyonları yerine, kullanıcılar için terminaller (ince istemciler) kuracağız. Ve terminaldeki işletim sisteminin iki masaüstünü destekleyen Linux olduğunu varsayalım. Ve birbirlerinden tamamen izoledirler ve aralarında bilgi alışverişi imkansızdır. İlk masaüstündeki ilk uygulama sunucusuna, ikincisi üzerindeki ikinci uygulama sunucusuna bir RDP oturumu oluşturalım. Böylece, bir masaüstündeki aynı terminalde, kullanıcı İnternette oturur ve diğerinde - gizli bilgileri işler. Sistemin sahibi, olası bir gizli veri sızıntısı konusunda endişelenmeden huzur içinde uyur.

Yukarıdakiler, terminal erişiminin bilgilerinin güvenliğini düşünen ve entegre bir güvenlik sistemi oluşturmak için çok para harcamak istemeyen kişiler için etkili bir çözüm olduğunu açıkça göstermektedir.

Bir terminal erişim koruma sisteminin tipik mimarisi

  • veri koruması için SSLTTLS protokolünü kullanın;
  • örneğin, oturum açma ve parola ile bir etki alanı aracılığıyla kullanıcı kimlik doğrulamasını etkinleştirin.

Ancak, bu yaklaşım çoğu zaman haklı değildir. Bu, özellikle bilgi güvenliği için artan gereksinimlerin uygulandığı sistemler için geçerlidir.

Terminal erişim teknolojisi temelinde inşa edilmiş bir sistemin tipik bir güvenlik mimarisini ele alalım (Şekil 1).

Bir çift terminal uygulama sunucumuz ve RDP protokolü aracılığıyla iletişim kuran ve kullanıcıların ihtiyaç duyduğu uygulamaları kullanma yeteneği sağlayan birçok istemci cihazımız (terminal) olduğunu varsayalım. Tanımlanan sistem nasıl güvenli hale getirilir?

Erişim kontrolü gereksinimi

Sistem, kaynaklara erişimi kısıtlamak için bir mekanizma uygulamalıdır. Kullanıcıların, programların ve çalıştırdıkları nesnelerin grup özelliklerine göre erişim kurallarını belirlemeye dayalı olmalıdır. Genellikle şu izinler dikkate alınır: okuma, yazma, silme ve yürütme.

Gereksinimler bilgi Güvenliği sistemler
Tüm gereksinimler beşe ayrılabilir büyük gruplar:
1) tanımlama ve doğrulama;
2) kontrole erişmek için;
3) kayıt ve muhasebe;
4) bütünlüğü sağlamak;
5) iletilen ve saklanan bilgileri korumak.

Erişim denetimi işlevlerinin uygulandığı kaynaklar genellikle şunları içerir: hem yerel hem de çevrimiçi olarak bulunan dosyalar ve dizinler. ağ sürücüleri(paylaşılan kaynaklar dahil); yerleşik ve harici cihazlar; yerleşik giriş-çıkış bağlantı noktaları; şubeler ve kayıt defteri girdileri.

Erişim denetimi engelleyici olmalıdır, yani erişimin açıkça tanımlanmadığı kaynaklar kullanıcı tarafından erişilemez olmalıdır. Erişim denetimi, istisnasız tüm kullanıcılar için geçerli olmalıdır. Hiçbir kullanıcı, koruma alt sistemini atlayarak tüm kaynaklara erişimi olan yönetici haklarına sahip olmamalıdır.

Kimlik Gereksinimleri
Tipik bir ortalama sistemde, bir kullanıcı adı ve parola ile oturum açarken erişim konularının tanımlanması ve doğrulanması gerekir. Ayrıca terminallerin, terminallerin harici cihazlarının mantıksal adlarla tanımlanması yapılmalıdır. Programların, dizinlerin, dosyaların, kayıtların ve kayıt alanlarının ada göre tanımlanması gereklidir.

Ek olarak, sistemlerde çok sık olarak, USB flash sürücüler gibi harici ortamların bağlantısını kontrol etme sorunu vardır. Kullanıcı, sistemde yalnızca doğrulanmış bir flash sürücü kullanabilir. Evden getirip kullanamıyor.

Sistem, uygulamalara erişim kontrolü sağlamalıdır. Kullanıcılar, güvenlik yöneticisi tarafından kendilerine açıkça atananlara erişime sahiptir ve çalıştırmak için atanmamış olanlar tarafından kullanılamaz. İdeal olarak, kullanıcı tarafından bile görülmemelidirler.

RDP erişiminin kullanılması durumunda, farklı kullanıcıların uygulamalarının aynı sunucu üzerinde çalışabilmesi gibi bir durum ortaya çıkmaktadır. Bu bağlamda, bir kullanıcı altında çalışan uygulamaların, aynı uygulama sunucusunda başka bir kullanıcı altında çalışan uygulamalardan güvenilir bir şekilde yalıtılması gerekir.

Ayrıca kullanıcının kendi işletim sistemini terminale yüklemesini de engellemelisiniz.

Kayıt ve muhasebe gereksinimleri

İletilen ve saklanan bilgilerin korunması için gereklilikler
Sistemde bu en basit ama aynı zamanda en karmaşık gereksinimdir. Tipik olarak sistemler, güvenli olmayan iletişim kanalları üzerinden iletilen tüm verilerin şifrelenmesini gerektirir.

Tipik olarak, kayıt ve muhasebe sistemi aşağıdakilere tabidir:

  • kullanıcıları sisteme bağlamak;
  • uygulama başlatma;
  • kontrollü erişim nesnelerine erişim;
  • korumalı erişim nesnelerinin oluşturulması;
  • erişim konularının yetkilerini değiştirmek.

Temizlikten sonra, kayıt protokolündeki ilk giriş, bu işlemi gerçekleştiren kişi hakkında tarih, saat ve bilgileri belirterek temizlik gerçeğini otomatik olarak kaydetmelidir. Bu gereksinim yönetici denetimi içindir. Yöneticinin sistemdeki çalışmasını yalnızca olay günlüğünü analiz ederek kontrol edebilirsiniz, bu nedenle vicdansız yöneticilerin denetim günlüğünü temizlemesi de dahil olmak üzere değiştirmesine izin vermeyecek bir araca ihtiyacınız var.

Bütünlük Gereksinimleri

  1. Bütünlük yazılım araçları koruma.
  2. Yazılım ortamının değişmezliği ile.

Aynı zamanda sistemde üst düzey dillerden çevirmenlerin olmaması ve program hata ayıklaması ile bütünlüğü sağlanabilir. Ancak bu mekanizma yeterince etkili değildir, çünkü yazılım ortamını, örneğin bazılarını tanıtarak kırmak mümkündür. üçüncü taraf programı işletim sisteminde, erişim kontrol sistemini atlayarak. Bütünlüğün ancak ideal bir erişim kontrol sistemi ile birlikte sağlanabileceği ortaya çıktı. Bazı durumlarda, bu bağlama arzu edilmez. Ve sonra genellikle donanım uygulayın- yazılım modülleri Güvenilir Önyükleme (APMBD). Sistemin yüklenmesi gerektiğinden kendi programları, bu donanımı her seferinde yeniden yapılandırmanız veya yalnızca işletim sistemi çekirdeği üzerinde denetim uygulamanız gerekir. İş istasyonu yerine bir terminal kullanılması durumunda, genellikle işletim sistemini sabit olarak düzeltebilirsiniz.

Koruma sistemi mimarisi

Kayıt protokolünde kayıt ve muhasebe sonuçlarının elektronik biçimde kaydedilmesi yalnızca okuma ve yalnızca güvenlik yöneticisi için mevcut olmalıdır. Aynı zamanda, kayıt protokolünü yalnızca görüntüleyebilir, kopyalayabilir ve tamamen temizleyebilir.

Bu gereksinimlerle nasıl inşa edilir etkili sistem terminal erişiminin korunması? Buradaki yaklaşım kapsamlı olmalıdır. Terminal erişiminin merkezileşme anlamına gelmesi nedeniyle, koruma sisteminin mimarisinde de belirgin bir merkezileşme izlenmelidir.

Bundan, sistemin tek bir giriş noktasına sahip olması gerektiği sonucu çıkar: koruma sistemini yöneten ve kullanıcıları ve sistem bileşenlerini tanımlama işlevlerini yerine getiren bazı hizmetler. Terminal işletim sisteminin bütünlüğü gereksinimlerinden, çok iyi bir çözüme sahip olduğu bir çözüm izler. küçük boy ve özel bir sunucuda saklanır. Terminal bağlandıktan ve sistemde kullanıcı ve terminalin kimliği doğrulandıktan sonra, işletim sistemi bir iletişim kanalı aracılığıyla ona aktarılır, yani ağ önyüklemesi kullanılır. Bu, işletim sisteminin bütünlüğünü kontrol eder.

Terminal erişiminin gereksinimleri ve mimarisi, sistemin en azından aşağıdaki bileşenlere sahip olması gerektiğini önerir:

  • kimlik doğrulama hizmeti - sisteme tek bir giriş noktası - bir merkezileştirme noktası;
  • sistem yöneticisi konsolu - koruma sistemi yönetimi;
  • yük dengeleme hizmeti - endüstriyel düzeyde bir koruma sistemi oluşturmak için tüm güvenlik hizmetleri kümelenmelidir;
  • terminal işletim sistemi dağıtım hizmeti - mağazalar şimdiki versiyonu terminal işletim sistemi;
  • güvenlik modülü - minimum gerekli donanım yazılımı sistemle etkileşime başlamak için terminal;
  • terminal işletim sistemi;
  • "Uygulama Sunucusu" bileşeni - özellikle sistemdeki kullanıcı erişimini sınırlama işlevlerini yerine getirir;
  • IP trafiği şifreleme modülleri - veri şifrelemesi sağlamak için gereklidir.

Terminal erişim araçlarının piyasaya sürülmesi, son zamanlarda birçok şirketin başkanları arasında büyük ilgi uyandırdı - sonuçta, bu ürün kategorisi, doğru kullanılırsa, hem kurumsal yazılımın bakım maliyetini hem de düzenli donanım güncellemelerinin maliyetlerini önemli ölçüde azaltabilir. Bu yazıda, bu ürün kategorisinin kullanımını küçük şirketlere neler kazandırabileceğinden bahsedeceğiz.

terminal erişimi nedir

bir zamanlar, insanlık henüz farkında değilken kişisel bilgisayarlar, herhangi bir kurumsal uygulamanın tipik mimarisi, bir ana bilgisayar (veya daha zayıf bir şirket durumunda, bir mini bilgisayar) ve aynı ana bilgisayar (veya mini bilgisayar) tarafından kontrol edilen bir dizi akıllı olmayan harici terminal cihazı kullanan bir mimariydi. Kaynakların, verilerin ve uygulamaların tamamen merkezileştirilmesine dayanan bu yaklaşımın belirli avantajları vardı - tüm eksiklikleri ve o yılların bilgisayar teknolojisinin yüksek maliyeti için, öncelikle, ilk kişisel kullanıcılarının sorunlarının çözülmesini mümkün kıldı. bilgisayarlar asla hayal edilmedi ve ikincisi göreceli (doğal olarak, o zaman için) kullanım kolaylığı ile ayırt edildi - sonuçta, tüm bilgi işlem ekipmanı fiziksel olarak tek bir yere yerleştirildi ve kullanıcılar ortak bir işlemci, bellek, harici cihazlar, bir çoklu görev işletim sistemi ve bir dizi uygulama.

Kişisel bilgisayarlarda, özel terminal iş istasyonlarında ve el cihazlarında kullanılan modern terminal erişim araçları, benzer bir bilgi işlemin merkezileştirilmesi ve kaynakların ortaklaştırılması ilkesine dayanmaktadır. Bu durumda, kullanıcı, terminal erişim aracının istemci bölümünü iş istasyonunda başlatır ve bunu, bu aracın karşılık gelen sunucu bölümünü içeren uzak sunucu bilgisayarına erişmek için kullanır. Başarılı kimlik doğrulamanın ardından, terminal erişim aracının sunucu kısmı, kullanıcı için kendi oturumunu oluşturur; bu oturumda, kullanıcı manuel veya otomatik olarak (oturum ayarlarına ve erişim haklarına bağlı olarak) sunucu adres alanında ihtiyaç duyduğu uygulamaları başlatır. Bu şekilde başlatılan uygulamaların kullanıcı arayüzü, terminal erişim aracının istemci bölümünün penceresindeki iş istasyonunun kullanıcısına açıktır ve bu uygulamayı kontrol etmek için iş istasyonunun klavyesini ve faresini kullanabilir - tuşlar hakkında bilgi basıldığında ve fare hareketi (ve genellikle panonun içeriği) oturuma aktarılır bu kullanıcı sunucuda ve değişiklikler geri gönderilir Kullanıcı arayüzü uygulamalar. Bir kullanıcı oturumu sona erdiğinde, içinde çalışan tüm uygulamalar kapatılır.

Terminal erişimi ve BT altyapı maliyetleri

Terminal erişimini kullanmanın avantajları, çok sayıda iş istasyonu olduğunda veya güvenlik ve veri depolamanın merkezileştirilmesi için artan gereksinimler olduğunda ortaya çıkar. Uygulamalara bir terminal erişim aracı kullanılarak erişiliyorsa, iş istasyonlarına yalnızca işletim sistemi ve bu aracın istemci kısmı yüklenirken, kullanıcıların birlikte çalıştığı uygulamaların kendileri terminal sunucusuna yüklenir. Bu durumda, iş istasyonlarının bakım maliyetleri, kurumsal uygulamaların istemci bölümleriyle tam olarak donatıldıklarından önemli ölçüde daha düşüktür, Ofis takımları, posta istemcileri ve şirkette kullanılan diğer ürünler ve bu tür iş istasyonlarının donanım gereksinimleri çok ılımlı. Ayrıca, özel iş istasyonları vardır. Windows denetimi CE, bu modda çalışmak üzere tasarlanmıştır. Doğru, eşzamanlı kullanıcı sayısına bağlı olarak, terminal sunucusu donanımı gereksinimleri oldukça yüksek olabilir. Fakat Modern imkanlar terminal erişimi, kural olarak, sunucu kümeleriyle çalışabilir ve yük dengeleme yapabilir.

İş istasyonlarını edinme, yükseltme ve bakımını yapma maliyet tasarrufları oldukça kolay bir şekilde hesaplanabilse de, kurumsal verilere erişim için ek güvenlikle ilişkili tasarruflar hemen belirgin değildir. Uygulamalar uzak bir sunucuda çalıştığı için, son kullanıcı iş istasyonunun ne şirkette kullanılan sunucu DBMS'sinin istemci kısmı vardır, ne de masaüstü VTYS dosyalarına daha az erişim vardır ve bu, kurumsal verilere yetkisiz erişim riskini önemli ölçüde azaltır. normal yollarla (yani kurumsal bir uygulama kullanarak) bunlara erişemeyeceksiniz.

Lider Terminal Erişim Sağlayıcıları

Microsoft

Terminal hizmetleri adı verilen en basit terminal erişim araçları, sunucunun bir parçasıdır. Windows sürümleri. Terminal Hizmetleri, Windows NT Server 4.0, Terminal Server Edition (Citrix ile oluşturulan Terminal Access'in ilk sürümü), Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server, Windows Server 2003 (tüm sürümler).

Terminal işletim parametreleri yönetim araçları Windows Hizmetleri görece basit. Windows Server 2003 Enterprise Edition kullanırken, sunucuları yük dengeleyebilirsiniz; oturum parametrelerinin olası dinamik yönetimi; 1600X1200'e kadar ekran çözünürlükleri ve Gerçek Renk modu, istemci oturumları için kullanılabilir ve Windows Server 2003 Terminal Hizmetleri istemcileri yerel kaynaklarına erişebilir ( harici cihazlar, diskler, vb.) bir terminal oturumu içinden. Aslında, bugün mevcut olan Windows Terminal Hizmetlerinin tüm yetenekleri budur. Ancak, bu hizmetler genellikle ağ yöneticileri tarafından sunucuları uzaktan yönetmek için ve yazılım şirketleri ve departmanlar tarafından diğer bilgisayarlarda kurulu uygulamalara erişmek için kullanılır.

Terminal hizmetleri aracılığıyla erişimin lisanslanması aşağıdaki şekilde gerçekleştirilir. Terminal Hizmetleri'ne erişen tüm aygıtların, aygıt için Windows Server 2003'e erişim sağlayan bir Windows Server 2003 Terminal Sunucusu Aygıt Lisansı (CAL) veya kullanıcının bir Windows Server 2003 Terminal Sunucusu Kullanıcı CAL'si olmalıdır. Buna ek olarak, var Windows lisansıİnternet üzerinden terminal hizmetlerine anonim eşzamanlı bağlantılara izin veren ve uygulama sağlayıcıları için tasarlanmış Server 2003 Terminal Server Harici Bağlayıcı Lisansı.

Citrix

Citrix, bugün terminal erişiminde haklı olarak pazar lideri olarak kabul ediliyor. Bu şirket, Windows ve UNIX için terminal erişim araçları üretir; aynı zamanda, bu araç seti, hem istemci oturumu yapılandırma seçenekleri hem de terminal sunucularını ve terminal erişimini kullanan diğer ağ kaynaklarını yönetmek için araçlar açısından çok geniş bir yelpazede Windows terminal hizmetlerinden (aynı Citrix'ten aynı anda lisanslanmıştır) farklıdır. , ayrıca, örneğin parola yönetimi araçları, güvenli erişim, bir istemciyi bir yerden diğerine taşırken terminal bağlantılarının dolaşımı gibi birbiriyle entegre edilmiş kapsamlı bir dizi ilgili araç ve teknoloji. Örneğin, Windows Terminal Hizmetlerinin üzerinde çalışan Citrix Access Suite'te bulunan araçları kullanarak, çok çeşitli oturum parametreleri (pencere boyutu, ekran çözünürlüğü, renk sayısı, ses verileriyle çalışma kuralları) ayarlayabilirsiniz. yalnızca belirli bir uygulamanın pencereli modunda çalışan ve çalışmasının sonunda biten oturumlar oluşturmak, tüm dağıtılmış sistemin ayrıntılı izlenmesini gerçekleştirmek ve kullanıcı oturumlarında kaynakların kullanımını analiz etmek, bu türlerin optimal yönetimini uygulamak. sunucu çiftlikleri - yüklerini dengeleyerek aynı türden uygulamaları içeren sunucu kümeleri.

Citrix teknolojilerini (özellikle ICA mimarisi - Bağımsız Bilgi İşlem Mimarisi) kullanırken, yalnızca fare ve klavye girişi ile ekran görüntüsündeki değişikliklerin ağ üzerinden iletildiğini ve bunun da oturum için gereken bant genişliğini sınırladığını unutmayın. 20 kbps'den az.

Citrix Access Suite, Netscape eklentilerini veya Active X kontrollerini kullanan tarayıcılardan DOS, Windows, Mac OS, UNIX, Linux, OS/2, Java iş istasyonlarından terminal sunucularına erişimi destekler. Internet Explorer, hem de çok çeşitli mobil cihazlardan.

Refakatçi Ürünler

Terminal erişimini kullanmaya başlayan şirketler genellikle uygulamalara erişimi yönetme, çoklu kullanıcı şifreleri, iletilen verileri koruma, altyapıya ve cihaz türüne bağlı olmayan erişim sağlama, kendi aralarında kullanıcı etkileşimi ve etkin bakım gibi diğer zorluklarla karşı karşıya kalmaktadır. BT hizmetleri. hizmet. Bu amaçla parolaları yönetmek, konferanslar düzenlemek, iş istasyonlarını ve arayüzlerini uzaktan yönetmek için araçlara ihtiyaç duyabilirler. Tüm bu ürünler, piyasaya sürülmesiyle uygulamalara kullanıcı erişimi için tek bir altyapı sağlayan tam entegre bir çözüm hakkında konuşmamıza izin verecek olan Citrix Access Suite'in bir parçası olarak mevcuttur.

Küçük işletmeler için terminal erişimi

Geleneksel olarak, terminal erişim araçlarının çok sayıda aynı tip iş istasyonuna sahip büyük işletmelerde uygulanması gerektiğine inanılıyordu ve bu tür araçların tanıtımı için en ünlü projelere ilişkin raporlar genellikle on binlerce işi ve büyük bütçeleri içeriyordu. Ancak bu kategoride küçük ve orta ölçekli işletmelerde uygulanması mantıklı olan ürünler var.

Bu alandaki yeniliklerden öncelikle üzerinde durulan hususlara dikkat çekiyoruz. bu segment pazar ürünü Citrix Access Essentials. Bu ürün platformu kullanan şirketlere hizmet verebilir Microsoft Windows 75'i geçmeyen terminal iş istasyonu sayısı ile (taşınabilir ve mobil cihazlar) ve küçük şirketlerin gereksinimlerini karşılar - ucuz lisanslar nedeniyle satın almak ve uygulamak nispeten ucuz olacaktır (zaten Windows Terminal Hizmetlerini kullanmak için bir lisans içeren lisans başına 250 dolardan az - Windows Terminal Sunucusu İstemci Erişim Lisansı) ve dağıtım ve yönetim kolaylığı.

Citrix Access Essentials'ın teknik özellikleri

Citrix Access Essentials, Windows Server 2003 üzerinde çalışan ve bir Web arabirimi aracılığıyla bu sunucuda kurulu uygulamalara erişim sağlayan bir sunucu uygulamasıdır. Bu ürün, işletim sistemine sahip bir sunucu gerektirir. Microsoft sistemi Windows Server 2003 Standard veya Enterprise Edition, ağ bağlantısı kullanıcıların cihazları ile sunucu arasında ve bağlı her cihazda bir Web tarayıcısı arasında.

Citrix Access Essentials iki çalışma modunu destekler: tek sunuculu çalıştırma (Şekil 1) ve Citrix Access Gateway donanımını kullanan çalıştırma (Şekil 2). İlk durumda, uzak kullanıcılar terminal sunucusuna bir güvenlik duvarı üzerinden, ikinci durumda ise bir sanal sunucu aracılığıyla erişebilir. özel ağ Access Gateway VPN (bu durumda, terminal sunucusu, uygulamalara daha fazla erişim güvenliği sağlayan DMZ'ye kurulur).

Sunucuya erişimi güvence altına almak için Citrix Access Essentials, şifreleme kullanımı da dahil olmak üzere çeşitli kullanıcı kimlik doğrulama yöntemlerini destekler.

Citrix Access Essentials sunucusunun dağıtımı mümkün olduğunca basitleştirilmiştir - bu amaçla, sunucuyu kurmak ve yapılandırmak, lisansları kaydetmek, istemci parçalarının dağıtımlarını oluşturmak ve yayınlamak için bir sihirbaz olan Hızlı Başlangıç ​​yardımcı programı ürün paketine dahil edilmiştir. sunucudaki uygulamalar. İstemci bölümleri, tüm Windows sürümleri, Windows CE, Pocket PC 2003, Mac OS X, Linux, Solaris ve Java'yı destekleyen aygıtlar için kullanılabilir.

Citrix Access Essentials'ın parçası olan sunucuyu yönetmeye, yapılandırmayı değiştirmeye ve kullanıcı erişimini yönetmeye yönelik araçlar da olabildiğince basittir: bence, bunlara hakim olmak, küçük şirketlerin ağlarını yönetmekle uğraşan uzmanlar için herhangi bir zorluğa neden olmamalıdır ( Şek. 3). Ayarlamaya kadar hemen hemen her işlemi gerçekleştirmenize izin verirler. dış görünüş bu ürünün istemci bölümünün arayüzü (Şekil 4). Ayrıca ürün, sunucuyu kurmaktan performansını optimize etmeye, güvenlik ayarlarını yapılandırmaya ve harici cihazlara erişmeye kadar her yöneticinin eylemlerini açıklayan çok ayrıntılı belgelerle sağlanır.

Başka bir deyişle, bu ürün, yüksek nitelikli (ve dolayısıyla pahalı) BT uzmanlarının hizmetlerinin kullanımı için sınırlı fonlar da dahil olmak üzere küçük şirketlerin özellikleri dikkate alınarak oluşturulmuştur.

lisanslama

Citrix Access Essentials aşağıdaki şekilde lisanslanır. Ürün, yazılımı kullanacak her kullanıcı için satın alınan adlandırılmış lisanslar olarak mevcuttur. Bu ürün, yan yana kullanımı veya cihaz veya sunucu lisansını desteklemez. Ürün, Abonelik Avantajı ile veya olmadan satın alınabilir.

Citrix Access Essentials'ı kullanırken (diğer herhangi bir terminal erişim aracında olduğu gibi), terminal modunda erişilecek yazılım lisanslama kurallarına da uymalısınız - modern yazılımlar için lisans sözleşmeleri genellikle ürünleri bu modda kullanmak için belirli kurallar sağlar. Özellikle, genellikle bu modda çalışırken, uygulamanın yalnızca bir kopyasının aslında sunucuda yüklü olmasına rağmen, satın alınan lisansların sayısı bağlı iş istasyonlarının sayısına eşit olmalıdır.

Citrix Access Essentials ve maliyet azaltma

Küçük ve orta ölçekli işletmeler Citrix Access Essentials'ı uygulayarak hangi maliyetlerden kaçınabilir? Aynı tür iş istasyonlarının bakımı için daha düşük maliyetler gibi terminal erişim araçlarını kullanmanın standart faydaları, Donanım, küçük işletmeler durumunda ilk başta çok açık görünmüyor. Ancak sonuçta, bu tür işletmelerin bütçesi küçüktür, bu nedenle büyük işletmelerdeki kadar önemli olmasa bile destek için gereksiz maliyetlerden kaçınma yeteneği küçük şirketler için daha da önemlidir. Ve küçük işletmeler için kurumsal verilere erişim için ek güvenlik sağlamak hayati olabilir - veriler sızdırılırsa, küçük şirketler için sonuçlar büyük şirketlerden çok daha ciddi olabilir.

Citrix Access Essentials'ı uygulayan küçük şirketlerin kaçınabileceği maliyetlerden, her şeyden önce, mevcut BT altyapısını dönüştürmenin ve işlerini genişletirken, örneğin yeni açarken yeni çözümler sunmanın maliyetlerini tahsis etmek gerekir. ofisler ve şubeler. Bu durumda, merkez ofiste bulunan kurumsal bilgi sistemlerine (kurumsal yönetim sistemleri, depo, muhasebe veya personel kayıtları gibi) terminal erişiminin uygulanması, genellikle şubede bağımsız bir altyapı kurmaktan çok daha basit ve daha ucuz olur. ve merkez ofis ile veri senkronizasyonunu organize etmek. Ayrıca, modern küçük ve orta ölçekli işletmelerin nispeten büyük bir kısmı, ofislerle hangi iletişimin sağlanması, kurumsal uygulamalara ve verilere erişim güvenliğinin sağlanması ve bu süreçlerin kontrolünün sağlanması çok zor bir iştir. , bu da Citrix Access Essentials'ın çözülmesine yardımcı olacaktır. Yukarıda bahsedilen potansiyel maliyet tasarrufları göz önüne alındığında, küçük işletme BT liderleri, bazı sorunlarını çözebileceğinden bu ürüne daha yakından bakmalıdır.

Diğer bir yaygın uzaktan erişim seçeneği, hemen hemen aynı modun iki çeşididir - uzaktan kumanda ve terminal erişimi. Bu yöntemle, uzak bilgisayar, aslında, ağa bağlı olabilen veya bağlanmayan ana bilgisayarın sanal bir terminali haline gelir. Bu seçenek, ana bilgisayarda herhangi bir uygulamayı çalıştırmanıza ve bu ana bilgisayardaki herhangi bir veriye erişmenize olanak tanır. Ana bilgisayar ağa bağlıysa, uzak kullanıcıları ana bilgisayarın kullanıcıları olarak hareket ederek ağın tam üyesi olurlar.

Yukarıda, uzaktan kontrol ile terminal erişimi arasındaki tek farkın, uzaktan kontrol sırasında kullanıcının çoklu terminal modunu desteklemek için tasarlanmamış bir işletim sistemiyle (MS-DOS, Windows 3.1, Windows 95/98, Windows NT, OS/2 Warp) ve terminal erişimi gerçekleştirilir. işletim sistemleri, multiterminal modun ana mod olduğu (Unix, IBM, 1MB OS-400, VAX VMS).

Uzak bir kullanıcı, dBase, Paradox veya Access gibi geleneksel kişisel bilgisayar VTYS gibi ağ iletişimi için optimize edilmemiş uygulamalarla çalıştığında, uzaktan kontrol veya terminal erişimi gerekir. Aksi takdirde, böyle bir uygulama bir bilgisayarda ve veritabanı dosyaları başka bir bilgisayarda olduğunda, ağ aşırı trafik oluşturur.

Merkezileştirilmiş uzaktan kontrol şeması, işletmenin yerel ağına özel bir yazılım ürününün yüklenmesini gerektirir - bir uzaktan kontrol sunucusu, örneğin Citrix'ten WinFrame sunucusu. İstemci uzak bilgisayarlarda, ek yazılım - uzaktan kontrol istemcisi de yüklemeniz gerekir.

Uzaktan kontrol programları tarafından ekran güncellemeleri, tuş vuruşları ve fare hareketleri hakkında bilgi iletmek için kullanılan protokoller standart değildir - bu nedenle aynı üreticiden uzaktan kontrol sunucusu ve istemci parçaları kurmanız gerekir. Örneğin, Norton pcAnywhere uzaktan erişim yazılımı istemcisinin kullanıcıları, ReachOut, LapLink çalıştıran bir ana bilgisayarı arayamaz. pencereler için, Karbon Kopya, Uzaktan Mümkün veya Yakın Çekim.

Terminal erişimi ile, merkezi ağa özel bir ürünün - bir terminal sunucusunun - kurulması da istenir. Onsuz yapabilirsiniz, ancak daha sonra uzak terminal modunda bağlanmak istediğiniz her bilgisayar için bir modem kurmanız ve ayrı bir ayırmanız gerekir. telefon numarası. Terminal sunucusu, belirli bir bilgisayarla iletişim kurma isteklerini alır ve yerel ağ üzerinden, kullanıcı terminalinin ekranında görüntülenecek tuş kodlarını ve karakterlerini iletir. Bir yerel ağ üzerinden çok terminalli işletim sistemleriyle iletişim kurmak için terminal sunucusu, Unix için telnet, VAX VMS için DEC LAT gibi standart terminal öykünme protokollerini kullanır.

Posta

Posta, başka bir uzaktan erişim türüdür. Çevirmeli posta ağ geçitleri ve uzaktan erişimli posta istemcileri, birçok kullanıcının ihtiyaçlarını karşılamak için yeterli olabilir. sıradan kullanıcılar. Bu posta ağ geçitleri, uzak kullanıcıların ve hatta uzak ofislerin merkez ofisin posta sistemini aramasına, gelen ve giden mesajları ve dosyaları değiş tokuş etmesine ve ardından bağlantıyı kesmesine izin verir.

Bu amaç için tasarlanan ürünler, Lotus' cc:mail Mobile gibi tek kullanıcılı istemci programlarından, uzak sunucular ve kurumsal arasında posta alışverişini kolaylaştıran tam gelişmiş ağ geçitlerine kadar çeşitlilik gösterir. yerel ağ(örneğin, Microsoft'un Exchange'i).

Posta ağ geçitleri, uzak kullanıcıların merkez ofisle alışverişinde bulunduğu veri miktarı çok büyük olmadığında faydalı olabilir. Ortalama kullanıcı ağ geçidi oturum süresi nispeten kısa olduğundan, çekirdek ağ geçidinin çok sayıda telefon hattını desteklemesi gerekmez. Tipik olarak, bir posta bağlantısının kurulumu kolaydır ve ağ geçidi yazılımının maliyeti ihmal edilebilir düzeydedir.

ağ geçitleri çalışır otomatik mod insan müdahalesi olmadan. Bir veya iki çalışan uzak bir ofiste çalışıyorsa ve kurumsal verilere gerçek zamanlı erişime ihtiyaç duymuyorsa, posta ağ geçidi iyi karar. Bazı uygulamalar, e-posta biçimindeki istekleri otomatik olarak kabul eder. E-posta ve ardından aynı yanıtları gönderin. Yani, örneğin, birçok DBMS çalışır.

Sadece mail değil, yerel için yazılmış diğer uygulamalar da bilgisayar ağı, uzak bağlantılar için tasarlanmış özel yazılım modüllerine sahip olabilir. Bu tür programlar, standart olmayan protokoller kullanarak kendi aralarında bağlantı kurar ve genellikle yalnızca uzak bilgisayar ile ana bilgisayar arasında güncellemeleri iletmek gibi özel hileler yoluyla bağlantının verimliliğini artırır. Bu ürün sınıfının bir örneği yazılım sistemleri toplu iş.

Günümüzde ağların, uygulamaların ve bilgisayarların etkileşime girmesinin en popüler yollarından biri, uzaktan erişim. Bu hizmetin, aralarında terminal erişimini vurgulamak istediğim birkaç türü vardır. Bu erişimle kullanıcı, bilgisayarında yüklü olan istemci-sunucu programlarında (örneğin, 1C) çalışır. uzak bilgisayar, ve monitöründe yalnızca yürütmelerinin sonucunu görür. Şirketin çalışmalarını bu şekilde organize etme yöntemi, tüm uygulamalar merkezi olarak - terminal sunucusunda başlatıldığından, yönetimin çalışanların zamanını kontrol etmesine ve verimli bir şekilde kullanmasına ve ayrıca kullanıcı yönetimi maliyetini düşürmesine olanak tanır.

Sunucuya neden terminal erişimine ihtiyacınız var?

Terminal modunda, şirketin tüm yazılımlarının çalışmasını sağlayabilirsiniz. En çok talep edilen terminal erişim özelliği, erişimdir. Windows uygulamaları. Kullanıcıların bilgisayarlarında, görevi terminal sunucusuna bağlanmak olan bir istemci programı kullanılır. Kullanıcı için, sunucuda uzaktan başlatılan herhangi bir uygulamada çalışmak, yazılımın bilgisayarına yüklenmiş gibi tamamen aynı görünüyor.

Terminal erişimine geçişten sonra şirketin işlerinde neler değişecek?

  • Tüm şirket lisanslarının yönetimi merkezi hale getirilecek. Bu, işlerin birleşik bir görünümüyle sonuçlanır ve güncellemelerin yüklenmesini kolaylaştırır. Yüzlerce işe hizmet etmek için bile sadece bir yöneticiye ihtiyaç vardır.
  • Çalışanlar, ofiste olduğu gibi aynı uygulamalar ve verilerle herhangi bir uzak konumdan (evden, iş gezilerinden, tatillerden) çalışabilecekler.
  • İstemci-sunucu uygulamalarının çalışması daha verimli ve güvenilir hale gelecektir. Örneğin, 1C görevleri daha hızlı tamamlanacaktır. Bunun nedeni, ağ trafiği veri merkezinden ayrılmadığından, programın sunucu ve istemci bölümleri arasındaki bağlantının iyileşmesidir.
  • İnce istemcilere geçiş mümkündür. Şirketin artık işyerlerinde tam teşekküllü kişisel bilgisayar bulundurmasına gerek yok, uzak terminal erişimi için bu yeterli ince istemciler(bakımı PC'lerden çok daha kolay olan küçük disksiz cihazlar).
  • Trafikten tasarruf Uzak ekran görüntüsü iletim trafiği, bant genişliği ve bant genişliği açısından istemci istasyonları ve sunucular arasındaki trafiğe göre çok daha ekonomiktir.

Sunucuya terminal erişiminin hem kullanıcı hem de sistem yöneticisi için avantajları vardır. Kullanıcılar daha kararlı ve hızlı iş kurumsal programlar ile Sistem yöneticileri iş yerlerinin bakımı ile ilgili görevleri (programları güncelleme, yeni masaüstlerini dağıtma vb.) hızlı bir şekilde kapatabilecektir. Bir terminale bağlanma Windows erişimi Sunucu, bir terminal sunucusunun ve bir veri yedekleme hizmetinin kullanımı için lisanslar içerir.

Bu nedenle, terminal erişimine geçiş, aşağıdakilerden dolayı şirketin verimliliğinde önemli bir artış sağlar:

  • veri aktarımı yerel bilgisayarlar kullanıcılar terminal sunucusunun ortak bilgi alanına;
  • yetenekler uzaktan çalışma tüm kullanıcılar ofistekiyle aynı formatta ve hacimde;
  • çalışanların çalışmama süresini önemli ölçüde azaltan kullanıcı yönetiminin verimliliğini artırın.

6.1. Genel bilgi terminal erişim teknolojisi hakkında

Başlangıçta, terminal çalışma modu ortaya çıktı ve ana bilgisayarlarda kullanıldı. Kullanıcılar, terminal sunucusuyla iletişimi ve ana bilgisayardan alınan bilgilerin görüntülenmesini sağlayan terminallerle çalıştı. Tüm hesaplamalar ana bilgisayar tarafından yapılmıştır. Bugüne kadar, terminal erişiminin özü herhangi bir ideolojik değişiklik geçirmedi. Özel bir donanım kompleksi yerine bilgi işlem süreçlerini düzenlemek için modern şemalarda, istemci programları sunucu ile etkileşimi sağlayan ve ondan alınan bilgileri görüntüleyen . Tüm hesaplama yükü de sunucu tarafından taşınır.

Terminal erişim teknolojisi, bilgi işlemi aktarmanıza olanak tanır

iş istasyonlarından sunucuya yüksek maliyetler, bir dizi sorunu çözer:

Tüm veri işlemleri sunucu üzerinde gerçekleştirilir, herhangi bir işlem yapılmasına gerek yoktur.

Dosya aktarımı, yalnızca bilgi pencerelerinin değişen içerikleri sunucudan iş istasyonlarına aktarılır metin editörleri veya ağ trafiğinin korunmasını basitleştiren ve disksiz istasyonlar da dahil olmak üzere herhangi bir işletim sistemine sahip hemen hemen her bilgisayarı iş istasyonu olarak kullanmanıza izin veren DBMS;

Kullanıcılara sunucuda depolanan veri dosyalarına potansiyel olarak tehlikeli ağ erişimi sağlamaya gerek yoktur;

Korumalı veri dosyalarının tam veya kısmi bir kopyasını içerebilen manyetik ve harici ortamlar yalnızca sunucuda bulunur ve yönetici tarafından tamamen kontrol edilebilir.

Terminal erişim teknolojisini kullanmak için aşağıdaki şema varsayılmıştır. Sunucuya terminal erişim hizmeti kurulur, kullanıcıların çalışması için gerekli uygulamalar dağıtılır. sunucu

terminal erişimi diğer işlemleri gerçekleştirmemelidir ağ işlevleri terminal modu hizmetleri dışındaki, yani yazıcılar dahil olmak üzere paylaşılan ağ kaynakları hariç tutulur. ağ listesi

sunucuda çalışan ve ağdan erişilebilen hizmetler yalnızca bir terminal hizmetiyle ve gerekirse ağ trafiğinin şifrelenmesini sağlayan bir hizmetle sınırlıdır.

Kullanıcı iş istasyonlarına bir terminal istemcisi kurulur ve bir terminal sunucusuna bağlanmak üzere yapılandırılır. Terminal istemcisi, kullanıcının bilgisayarında kurulu ana işletim sisteminden veya harici ortamdan başlatılan bir işletim sisteminden başlatılabilir.

(disket veya CD-ROM) veya kullanılarak önyüklenebilir ağ kartı kaldırıldı-

indirmek.

İlk durumda, korunan verilerle çalışmak için ana işletim sisteminden kullanıcı bir terminal erişim istemcisi başlatır. Aynı zamanda, bilgileri yetkisiz erişimden koruma araçları bilgisayara kurulabilir. avantaj Bu method organize etme olasılığıdır ek koruma(şifreleme) ağ trafiğini kullanarak IPSec protokolü(Windows XP işletim sisteminde) veya özel bilgi güvenliği tesisleri.

İkinci durumda, korunan verilerle çalışmak için kullanıcı, bilgisayarı özel olarak hazırlanmış bir ortamdan (CD-ROM veya

üzerine terminal sunucusu istemcisi ile Linux işletim sisteminin yazıldığı disketler). kullanılarak sunucudan önyüklenen disksiz bir istasyon kullanılabilir. ağ adaptörü, uzaktan indirmeye izin veriyor. Olumsuz-

Bu çözümün temel özelliği, ek trafik şifreleme araçları kullanmanın imkansızlığıdır. Bunun nedeni, şuradan indirilen sertifikalı bilgi güvenliği araçlarının bulunmamasıdır.

harici medya veya ağ üzerinden.

Korunan verileri işlemek için kullanıcı programı çalıştırır -

terminal istemcisi, kullanarak terminal sunucusuna kaydolur

ben özel yerim hesap. Terminal sunucusu kurulumunun bir özelliği, kullanıcılar için bir dizi kısıtlama belirlemesidir, bunların en önemlisi paylaşılan panoyu kullanma yasağıdır. Bu yasak sayesinde, korunan verilerin iş istasyonu ortamına yetkisiz kopyalanması sorunu çözülmüştür. Terminal kullanıcısı hem veri dosyasını hem de bilgi penceresinin içeriğini seçip terminal Windows panosuna kopyalayabilir. Ancak yapıştırma işlemi yalnızca bir terminal sunucusu penceresinde gerçekleştirilebilir. İş istasyonu penceresinde, panodan yapıştırma özelliği engellenecektir.

Bu nedenle, korunan tüm bilgilerin veya bir kısmının kopyalanması yalnızca fiziksel olarak bağlı ortamlarda gerçekleştirilebilir.

sunucuya. Bu, ihracat olasılığına bazı kısıtlamalar getirir.

o / verilerin içe aktarılması, ihracat ve ithalat işlemleri de gerçekleştirildiğinden

yalnızca sunucuda kurulu medya aracılığıyla iletilir. Başlıca avantajı, korunan verilerin tam veya kısmi bir kopyasını içerebilen harici ortam dahil tüm ortamların yalnızca sunucuda yönetici denetimi altında bulunmasıdır. Bu, merkezi anti-virüs kontrolünü basitleştirir ve kötü amaçlı yazılım olasılığını engeller.

İş istasyonlarında teknolojik "çöp" oluşumu sorunu da otomatik olarak çözülür. Sunucudaki her terminal oturumu için

geçici bir dizin oluşturulur. Uygun ayarlar yapılırsa,

daha sonra oturumun sonunda bu dizin silinecektir. Böylece, teknoloji

chesky "çöp" yalnızca terminal sunucusunun ortamında kalır.

Açık ağ trafiğinin iletilmesi sorunu, öncelikle, terminal erişim teknolojisinde, korunan verilerin tüm işlemlerinin sunucu üzerinde gerçekleştirilmesi ve ilgili uygulamaların bilgi pencerelerinin yalnızca değiştirilmiş içeriğinin iş istasyonlarına iletilmesi gerçeğiyle çözülür. Ek olarak, bir terminal sunucusu aracılığıyla trafiği şifrelemek mümkündür. Terminal sunucusu, her biri şifrelenmiş trafiğin yönünü ve şifrelemede kullanılan anahtarın uzunluğunu belirleyen çeşitli güvenlik düzeylerini destekler.

Windows Server 2003, Microsoft Terminal Hizmetleri'ni (MSTS) içerir. Uzaktan yönetme yeteneği sağlar

rirovat sunucusu veya bir uygulama sunucusuna dönüştürün (terminal

sunucu). Ayrıca, bu hizmet için tarafından geliştirilen bir eklenti var.

bir dizi tanıtan Citrix tarafından Ek özellikler ve desteklenen platformların sayısını artırır.

MSTS uygulamasının kendisinin eksikliklerden arınmış olmadığına dikkat edilmelidir.

kov, saldırganlar tarafından veri güvenliğini tehlikeye atmak için kullanılabilir. Terminal modunda sunucuya bağlanan tüm kullanıcılar aslında interaktif olarak giriş yaptıkları için sunucu konsolundan sisteme giriş yapabilirler. Sonuç olarak, bir terminal sunucusunun kullanılması, yönetim ve kullanılan yazılım için gerekli güvenlik ayarlarının uygulanması konusunda artan gereksinimleri beraberinde getirir.

Terminal erişim modunun güvenliği, Windows Server 2003 işletim sistemi, MSTS sunucu bölümü ve terminal erişim protokolü - RDP ayarlarının bir kombinasyonu ile sağlanır. Bu bileşenlerin her biri uygular

Çeşitli koruma mekanizmaları vardır, ancak aynı zamanda her bileşenin saldırganlar tarafından istismar edilebilecek kendi güvenlik açıkları vardır.

Windows Server 2003'teki, terminal modunda korumayla ilgili görünen ana güvenlik açıkları grupları şunlardır:

Olasılık Ağ Girişi sunucu tarafından işlenen bilgilere;

Yerel erişimin uygulanmasında yetkilerin genişletilmesi olasılığı.