Управление доступом клиентов к серверу MetaFrame
Вы можете заставить клиента более безопасно подключаться к серверу MetaFrame несколькими способами. Учтите: каждый из следующих предложенных методов сделает сервер MetaFrame менее удобным в использовании. Ваши пользователи могут не заметить разницы, влияние будет не слишком большим. Однако, если, например, однажды вы разрешили сквозную аутентификацию, а позже ее запретили, то вашим пользователям потребуется небольшая настройка, поскольку вы должны обучить их, как нужно регистрироваться на сервере MetaFrame.
Отключение сквозной аутентификации
Мы обсуждали сквозную аутентификацию в Главе 6. Как говорилось, сквозная аутентификация представляет брешь в защите, потому что вы разрешаете автоматический вход к ресурсам домена. Будучи разрешенным, этот автоматический вход возможен только для того, кто уже имеет некоторую степень доступа к домену, но некоторые приложения или данные, которые могут быть доступны на сервере MetaFrame, не доступны через стандартный вход в домен. В дополнение к очевидным соображениям защиты, связанным со сквозной аутентификацией, существует еще одна не столь очевидная проблема. Когда вы разрешаете сквозную аутентификацию, при входе запускается процесс ssonsvr.exe и берет имя текущего пользователя, домен и пароль. Соединения, настроенные на использование сквозной аутентификации, берут информацию для входа в систему от этой службы. Пользователь, который имеет право Debug Programs (расширенное право) может использовать отладчик, чтобы просмотреть эту информацию в текстовом виде. Пока пользователи осторожны при выходе, эта настройка не опасна, но не стоит сохранять информацию о пароле в текстовом виде в незащищенном файле. Если эта потенциальная уязвимость является для вас проблемой, вы можете совсем отключить сквозную аутентификацию: откройте Program Neighborhood, выберите из меню Tools, ICA Settings. На закладке General сбросьте флажок Pass-Through Authentication.
Ладно, думаете вы, а если кто-то полезет в настройки и снова включит сквозную аутентификацию? Тогда вы можете удалить файлы ssoncom.exe, ssonstub.dll, и ssonsvr.exe, находящиеся в каталоге Program Files\Citrix\ICA Client. Без этих файлов сквозная аутентификация работать не будет.
Использование шифрования
Текущая версия клиента ICA поддерживает шифрование, и Citrix рекомендует его использовать для защиты сеансов ICA, чтобы предотвратить перехват пакетов. Для принудительного использования минимального уровня шифрования вам нужно изменить настройки ICA. В утилите Citrix Connection Configuration дважды щелкните на протоколе ICA, чтобы открыть диалоговое окно свойств соединения. Щелкните кнопку Advanced и откроется окно дополнительных настроек:
Как видно, в этом окне вы можете настроить параметры протокола, не полагаясь на настройки в свойствах пользователя. Раздел Security мы хотим настроить на уровне протокола. Выберите из списка требуемый уровень шифрования, и клиент ICA будет принужден его использовать. Для шифрования всей информации сеанса вам необходимо использовать шифрование RC5 (40 бит) или выше. Шифрование RC5 (128 бит) использует полное шифрование сеанса по 128-битному алгоритму RC5. Однако, там есть еще выбор RC5 128-Bit Logon Only, который обеспечивает 128-битное шифрование только процесса входа, а затем выполняет сеанс без сильного шифрования.
Ограничение доступа к дискам сервера MetaFrame
После того, как правомочные пользователи зарегистрировались на сервере MetaFrame, вам следует предпринять меры, чтобы они не совали свой нос куда не следует. Комбинация групповых политик, прав доступа к файлам и аудита сеансов позволяет следить за тем, что пользователи делают на сервере.
Использование NTFS
Инсталлируйте MetaFrame на раздел NTFS. В сущности, весь сервер должен быть отформатирован с NTFS. Это позволяет использовать не только такие достоинства NTFS, как шифрование, квотирование, компрессия и пр., но и локальные права доступа, тогда как FAT и FAT32 поддерживают только сетевые разрешения.
Поскольку любой, кто использует сервер MetaFrame, имеет локальный доступ к нему, вам необходимы локальные разрешения для блокировки среды. Кроме того, если вы инсталлируете MetaFrame на раздел NTFS, то защищается каталог Program Files\Citrix\Independent
Management Architecture. К этому каталогу имеют доступ только локальные администраторы и SYSTEM.
Устанавливайте MetaFrame на готовый раздел NTFS. Если вы установите MetaFrame на FAT или FAT32, а потом сконвертируете раздел в NTFS, то это даст группе Everyone полный доступ ко всем частям раздела (поскольку FAT и FAT32 не поддерживают локальных разрешений). Хотя вы можете вручную установить разрешения, гораздо проще и надежнее установить на "родной" раздел NTFS.
