Terminaldienste konfigurieren

Mit den Terminaldiensten lassen sich Anwendungen zentralisieren – was nicht nur aus Gründen der Administration, der Verfügbarkeit und der Nutzung älterer Hardware oft sinnvoll ist, sondern auch aus Gründen der Sicherheit. Gerade beim Thema Sicherheit muss man aber vorsichtig sein, denn hier steigen bei zentralisierten Umgebungen auch die Risiken, da der Anwender direkt auf dem Server arbeitet.

Der abschließende Teil der Serie behandelt die Konfiguration von Sicherheitseinstellungen im Zusammenhang mit den Terminaldiensten. Da sehr viele Benutzer auf einem physischen System arbeiten, ist hier jedoch etwas Vorsicht geboten.

Die grundlegende Implementierung der Terminaldienste verhindert viele der Sicherheitsrisiken
bereits wirksam. Da die Anwender jeweils in dedizierten Umgebungen arbeiten, ist der Zugriff auf die Systemumgebung des Servers beschränkt.

Zu den grundlegenden Maßnahmen gehört die Sicherung des Servers durch Deaktivierung nicht erforderlicher Dienste und differenzierte Zugriffsberechtigungen auf Freigaben, Dateisystem und Registry.

Zusätzlich sollten aber vor allem die Gruppenrichtlinien verwendet werden, um ein noch höheres Maß an Sicherheit zu erreichen. Damit wird einerseits das Verhalten der Clients, andererseitsaber auch das der Server beeinflusst.

Wichtige Bereiche in den Gruppenrichtlinien

Nachfolgend werden die wichtigsten Bereiche in den Gruppenrichtlinien, mit denen Terminaldienste geschützt werden können, kurz vorgestellt. Für die Serverkonfiguration sind das:

  • Im Bereich Computerkonfiguration können Einschränkungen für die Terminalserver vorgenommen werden. Dazu gehört bei den Sicherheitsoptionen die Beschränkung des Zugriffs auf CD-ROMs und Diskettenlaufwerke auf dem Terminalserver auf lokal angemeldete Benutzer.

  • Das Hilfe- und Support-Center sollte auf dem Terminalserver deaktiviert werden. Es war wiederholt der Ansatzpunkt für Angriffe

  • Bei den administrativen Vorlagen finden sich Einstellungen im Bereich Terminaldienste unterhalb von Windows-Komponenten. Mit diesen Parametern kann das Verhalten der Systeme stark eingeschränkt werden. So kann der automatische Neuaufbau von Verbindungen beschränkt und der Aufbau paralleler Verbindungen unter dem gleichen Benutzernamen verhindert werden. Außerdem sind dort auch viele weitere Einschränkungen möglich. So lässt sich der Eintrag Windows-Sicherheit aus dem Startmenü entfernen, die Verschlüsselungsstufe für Client-Verbindungen konfigurieren und das Löschenverhalten für temporäre Daten anpassen.

Neben diesen Einstellungen, mit denen das Verhalten der Terminaldienste gesteuert wird und die für die Container mit Serverobjekten gesetzt werden müssen, bietet der Bereich Benutzerkonfiguration auch einige Parameter, um den Handlungsspielraum von Anwendern einzuschränken. Sie werden über die Gruppenrichtlinien für alle Container gesetzt, in denen Benutzer enthalten sind, die auf die Terminaldienste zugreifen dürfen. Hier sind folgende Bereiche der Gruppenrichtlinien zu nennen:

  • Die Ordnerumleitung, über die Standardverzeichnisse auf andere Serververzeichnisse umgeleitet werden.

  • Die Einstellungen bei den administrativen Vorlagen unterhalb von Windows-Komponenten für die Terminaldienste. Sie betreffen insbesondere die Zeitlimits für Verbindungen und die Speicherung von Kennwörtern. Die meisten Einstellungen erfolgen aber auf Serverebene, da die Terminaldienste dort ausgeführt und entsprechend auch konfiguriert werden.

In jedem Fall ist eine genaue Planung der Sicherheit beim Einsatz von Terminaldiensten erforderlich, um keine Sicherheitslücken entstehen zu lassen. Letztlich unterscheiden sich die Maßnahmen im Grundsatz aber nicht wesentlich von denen, die auch bei der lokalen Ausführung von Anwendungen auf den Clients ergriffen werden müssen.

Whitepaper zur Sicherheitskonfiguration

Die Sicherheitskonfiguration der Terminaldienste wird
im Whitepaper „Locking Down Windows Server 2003
Terminal Server Sessions“ von Microsoft ausführlich
besprochen, einschließlich aller relevanten Parameter
in den Gruppenrichtlinien.