[TerminalServer] Risico's van Internet en oplossingen

Ik zit al een tijdje met een dilemma en dit zal vast ook wel bekend zijn bij collega's / collega-bedrijven.
Een Windows 2003 Terminal Server omgeving is ideaal en over een ruim spectrum uit te rollen voor diverse situaties. Het volgende punt doet zich voor:

Internetten op een TerminalServer en daar de risico's / gevolgen er van

Ik vroeg mij zo af hoe jullie mede-tweakers dat doen op het moment dat jullie een Windows 2003 Terminal Server omgeving bij een klant uitrollen.

Laat je het internetten wel toe en accepteer je de gevolgen van spyware/virussen risico's?
Of op welke manier kunnen jouw klanten wel gemakkelijk internetten?

Op dit moment heb ik via een GPO een proxy instelling uit laten rollen die niet bestaat, wat dus resulteerd in geen internet. Uiteraard is dit geen nette manier, maar wel effectief genoeg om mensen niet op een Terminal Server te laten internetten.

Ik heb zelf het één en ander nagekeken en geprobeerd om een LTSP project op een pc uit te voeren en zodoende een Firefox client in een window in een Terminal Server omgeving te starten. Afgezien van het feit dat een LTSP project aardig ingewikkeld is, is er op dit moment nog geen goed werkende oplossing te bedenken met LTSP.

Uiteraard i.c.m. Citrix en meerdere servers kun je het internet verkeer op 1 server beperken en die af en toe restoren van een image. In een virtuele omgeving is het zelfs nog makkerlijker d.m.v. een Snapshot terug te zetten, maar deze situatie zul je weinig tegen komen in de MKB sector.

Uiteindelijk als het puntje bij het paaltje komt is mijn vraag uiteindelijk hoe jullie dit "probleem" bij klanten oplossen en uberhaupt ben ik wel benieuwd naar bepaalde werkwijzes van jullie.

elevator schreef op woensdag 04 juni 2008 @ 05:27:
Als je gebruikers 'normale' rechten hebben (dat wil zeggen - geen power user zijn, geen administrator zijn, e.d.) dan kunnen ze feitelijk erg weinig aanrichten met spyware of virussen.

Combineer dat met een virusscanner, en ik denk dat je ze veilig genoeg kan laten internetten op een TS?

Maar de gevolgen als in de zin van al die rommel die Internet met zich mee brengt?
Noem bijv. de cookies, temp files, etc. Dit sta je gewoon toe?

Als ik bij wijze van 2 pc's heb, met 1 die verbonden is met internet en de ander niet. Dan kun je duidelijk zien dat internet genoeg rommel met zich mee brengt dat die pc na verloop van tijd langzamer wordt.

Nu weet ik uiteraard wel hoe alles in elkaar steekt en wat je zou kunnen doen om dit op te lossen, maar om dit toe te staan op een Terminal Server?

Ps. ben je uit bed gevallen ofzo? 5.27

[ Voor 3% gewijzigd door Verwijderd op 04-06-2008 11:14 ]

Vicarious schreef op woensdag 04 juni 2008 @ 12:06:
Helemaal eens met elevator: als de gebruikers normale rechten hebben en er een virusscanner aanwezig is, zie ik weinig problemen. De cookie-rommel etc. wordt in het profiel opgeslagen. De server zelf wordt er dus niet langzamer van, maar het laden van het profiel van de gebruiker vlak na het inloggen zal na verloop van tijd wel langer gaan duren inderdaad.

Overigens, als je niet wil dat je Terminal Servers het internet op kunnen, kun je natuurlijk ook gewoon een je firewall hierop instellen.

Afgezien van het feit dat ik erg benieuwd ben hoe andere icters een server uitleveren etc is dat met een firewall natuurlijk opgelost als je helemaal GEEN internet wilt hebben.

Alleen sommige sites moeten wel benaderbaar blijven. Ik heb dit opgelost d.m.v. een fake proxy in te stellen en met een exclude list te gaan werken, maar op één of andere manier zal daar toch een maximum in zitten en daar is het ook niet echt voor bedoeld denk ik.

Je zou hier inderdaad een wat uitgebreidere firewall voor kunnen gebruiken met content filter etc.
Maar misschien verwacht ik teveel, maar ik ben al tijden op zoek naar zo'n oplossing op het moment dat je Internet explorer etc start kun je doen en laten wat je wilt. De volgende keer dat je hem start is alles weer 100% zoals het orgineel was.

Ik weet dat je dan terecht komt bij Sandbox technologie, maarja zie dat maar is toe te passen op een terminal server.

Question Mark schreef op woensdag 04 juni 2008 @ 19:00:
We maken hier gebruik van Citrix provisioning server @work.

Dit betekent dat elke terminal server gebruik maakt van dezelfde virtuele disk die via het Lan wordt aangeboden vanaf de provisioning server. Deze disk staat standaard in "read mode", wijzigingen worden in een cache dir op de lokale schijven weggeschreven.

Aangezien de terminal servers elke nacht herstart worden, staat er elke ochtend weer een "maagdelijk' schoon systeem klaar

Mocht dus een van de systemen hier een probleem krijgen met een virus of wat dan ook, dan volstaat een simpele herstart.

Dit is inderdaad wel een ERG leuke oplossing, maar niet echt haalbaar voor midden en klein bedrijf.
Maar daar in tegen als je het goed wilt doen

mutsje schreef op donderdag 05 juni 2008 @ 09:23:
* mutsje is jalours.

Niet ieder bedrijf heeft die mogelheid question mark

Maar IE open zetten op een terminal server als je die goed dicht getimmerd hebt moet gewoon goed gaan. Goede virusscanner erop (trendmicro, nod32 etc) en draaien maar

Niet dat ik zo'n angstig persoon bent met internet etc, alleen ik weet hoe innovatief medewerkers soms kunnen zijn en op één of andere manier krijgen ze het altijd wel weer voor elkaar om iets stuk te maken.
Ik heb door de loop van de tijd een GPO uitgezocht waar medewerkers niet heel erg veel meer kunnen, behalve werken. Nu zit daar dan ook geen Internet Explorer toegang tussen.

Als ze willen internetten, bijv zoeken op google, moeten ze Extern Bureaublad minimaliseren en dan kunnen ze gaan internetten. Met deze werkwijze is er zo weinig onderhoud nodig aan de server, het draait en blijft simpelweg ook gewoon draaien zonder gekke meldingen of what so ever.

Nu kwam ik gisteren weer terug op een vergeten applicatie en dat is SandboxIE. Ik zit te overwegen om Internet Explorer in een Sandbox te laten lopen. Het programma werkt erg goed en is eenvoudig in te stellen zonder dat een gebruiker daar wat van merkt.

Hoe denken jullie hierover?