Toon posts:

[2003 terminal server] surfen onder terminal server omgeving

Pagina: 1
Acties:

vrijdag 8 september 2006 20:04

Acties:
  • rossecorp
  • Registratie: Juli 2005
  • Laatst online: 13-02 16:41

rossecorp

Topicstarter
Hallo,

bij mij op de zaak hebben we de volgende opstelling:

server1: W2K3 domain controller, file- en printerserver, Exchange
server2: W2K3 terminal server met ERP-pakket, testomgeving voor nieuw ERP-pakket, office-suite
server3: W2K webserver

Nu zijn onlangs de policies opnieuw ingesteld en sindsdien kunnen alle users vanuit een terminalsessie het internet op (zonder standaard enhanced security zoals wordt gebruikt bij de standaard install van W2K3). We benaderen de terminal server vanaf fat clients, aangezien we pas sinds relatief korte tijd met een terminal server werken.

Mijn mening (ik ben geen sysadmin, maar enthousiaste gebruiker): het is onverstandig users vanuit de terminal sessie te laten browsen, aangezien we geen redundancy hebben qua terminal server (slechts 1): bij iedere mogelijke besmetting komt de veiligheid van de terminal server in het gedrang.
Bovendien benadert iedereen de terminal server vanaf een fat client, dus een absolute noodzaak lijkt er ook niet te zijn.

Toen ik vandaag aan onze systeembeheerder vroeg of dit anders kan, werd ik niet serieus genomen en werd mij verteld dat er geen enkele reden is om dit anders te doen.

Sla ik hier de plank mis of klopt het wat ik zeg? Ik begin aan mezelf te twijfelen.

vrijdag 8 september 2006 21:57

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

zolang als de users geen administrator zijn en er een goed Antivirus pakket geinstalleerd is is er niet veel aan de hand

* Zwelgje onderhoudt omgevingen met honderden users op terminalserver/citrix op die manier

A wise man's life is based around fuck you

vrijdag 8 september 2006 22:49

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Het ligt er een beetje aan hoe de omgeving is ingericht - als de terminal server een desktop aanbied is het gewoon erg 'on gebruikers vriendelijk' om de users apart in een sessie te laten surfen :)

zaterdag 9 september 2006 00:34

Acties:
  • rossecorp
  • Registratie: Juli 2005
  • Laatst online: 13-02 16:41

rossecorp

Topicstarter
@Zwelgje: enkele collega's, waaronder ikzelf, hebben local adminrechten. de rest zijn gewone users.

@elevator: er wordt een gewone desktop aangeboden, dus het is zeker gemakkelijker om vanuit die sessie te surfen. Echter waar mijn vrees ligt is niet in eerste instantie bij het gebruikersgemak, maar bij de security.

Een goed antiviruspakket is natuurlijk onontbeerlijk en geinstalleerd, maar er komt toch meer bij kijken dan alleen antivirus? Ik heb op onze server geen firewall kunnen ontdekken; ik stel daar mijn vraagtekens bij, misschien onterecht.

zaterdag 9 september 2006 00:48

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

In een bedrijfs netwerk firewall je meestal niet (alleen) op de hosts (server) maar op netwerk niveau - dat je dus op die terminal server geen firewall aantreft wil niet zeggen dat dat netwerk niet firewalled is :)

zaterdag 9 september 2006 16:19

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

rossecorp schreef op zaterdag 09 september 2006 @ 00:34:
@Zwelgje: enkele collega's, waaronder ikzelf, hebben local adminrechten. de rest zijn gewone users.

@elevator: er wordt een gewone desktop aangeboden, dus het is zeker gemakkelijker om vanuit die sessie te surfen. Echter waar mijn vrees ligt is niet in eerste instantie bij het gebruikersgemak, maar bij de security.

Een goed antiviruspakket is natuurlijk onontbeerlijk en geinstalleerd, maar er komt toch meer bij kijken dan alleen antivirus? Ik heb op onze server geen firewall kunnen ontdekken; ik stel daar mijn vraagtekens bij, misschien onterecht.
jij bent niet de beheerder maar hebt wel admin rechten :? dat lijkt me niet echt veilig, je gaat me niet vertellen dat je onder dat account ook nog zit te werken :? :X

A wise man's life is based around fuck you

zondag 10 september 2006 09:58

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Draait er niet ergens ook nog een proxy server die een virus/spyware/whateverscan aan boord heeft? Ik laat iig terminal servers niet rechtstreeks het internet op.

Denk niet dat het veel zin heeft om dit hier te bespreken, aangezien je toch niet de beheerder bent. Je kan het de beheerder wel moeilijk maken omdat je adminrechten hebt.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zondag 10 september 2006 10:16

Acties:
  • Microkid
  • Registratie: Augustus 2000
  • Nu online

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Surfen vanaf een terminal server (of Citrix server) is altijd riskant, zeker als de rechten niet goed ingesteld zijn. De manier waarop ik het doe is een IE aanbieden waarin de gebruik geen enkele rechten heeft. Niets installeren, niets mogen uitvoeren, geen ActiveX, het Tools menu afgeschermd, goede virusscanner erop. Maar dan nog kan er iets doorheen glippen. Daarom gebruiken wij in grotere omgevingen dedicated terminal servers om te surfen, zodat er niets anders besmet kan worden. Soms op VMware, zodat het het eenvoudig is om de machine middels een snapshot weer in originele staat terug te zetten. Wijs je admin eens op de Iexplorer GPO's waarmee ze een hoop kunnen afdichten.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

zondag 10 september 2006 12:10

Acties:
  • rossecorp
  • Registratie: Juli 2005
  • Laatst online: 13-02 16:41

rossecorp

Topicstarter
jij bent niet de beheerder maar hebt wel admin rechten
klopt, ik ben de enige op de zaak die "enige kennis" heeft van ICT. Aangezien ik de eerste persoon ben die vaak voorkomende problemen mag oplossen (printerproblemen, aanmeldproblemen, etc.), hebben de sysadmins mij local adminrechten gegeven. Dit hadden ze idd beter op kunnen lossen met een extra account i.p.v. mijn dagelijkse useraccount aan te passen. Dit is een van de redenen waarom ik vrees voor de security.
Draait er niet ergens ook nog een proxy server die een virus/spyware/whateverscan aan boord heeft? Ik laat iig terminal servers niet rechtstreeks het internet op.
Nee, er draait bij mij weten geen proxyserver. Virusscan draait wel op de servers zelf.
... Maar dan nog kan er iets doorheen glippen. ...
@Microkid: dat is precies wat ik bedoel! Je bevestigt mijn vermoedens. Ik twijfel of de sysadmins mijn advies zullen aannemen, maar iig zal ik aangeven dat ik de gebruikers met local admin-rechten een gewone useraccount wil laten gebruiken en dat er voor eenvoudige probleemoplossing een aparte account moet komen.

Heel erg bedankt voor jullie reacties.

zondag 10 september 2006 13:06

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
rossecorp schreef op zondag 10 september 2006 @ 12:10:
hebben de sysadmins mij local adminrechten gegeven. Dit hadden ze idd beter op kunnen lossen met een extra account i.p.v. mijn dagelijkse useraccount aan te passen. Dit is een van de redenen waarom ik vrees voor de security.
Nu je toch administrator bent kan je daar mooi wat aan veranderen :Y)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq