Защита от «дурака». Тонкие клиенты для построения безопасных сетей

 ЭРИК ПАЛВАНОВ, генеральный директор ООО «Удаленные системы» (http://www.remotesystems.ru). Профессиональные интересы: построение безопасной и надежной ИТ-инфраструктуры для современного бизнеса

Защита от «дурака»
Тонкие клиенты для построения безопасных сетей^*

Как построить безопасную сеть? Ответить на этот вопрос можно, соблюдая системный и последовательный подход. Построить полностью безопасную сеть нельзя – можно лишь снизить риски по различным направлениям потенциальных угроз

В этой статье я расскажу вам о защите пользовательских рабочих мест – казалось бы, незатейливой, однако самой значительной части любой информационной корпоративной сети.

Исходные данные

Заказчик – оптово-розничная сеть продажи станочного инструмента. Заказчик имеет в своем активе:

• 1 шлюзовой интернет-сервер и контроллер Active Directory;
• 1 терминальный сервер для работы с бухгалтерией;
• 1 терминальный сервер для работы с офисными документами, электронной почтой и CRM;
• примерно 50 постоянных пользователей;
• примерно 10 со «своими» ноутбуками;
• 3 удаленных рабочих места (склад).

Задача

Максимально снизить риски инсайдерских повреждений/взломов и вирусных опасностей при повседневной работе персонала компании.

После рекогносцировки на местности заказчика делаем неутешительный вывод, что ситуация, как обычно, стандартная: достаточно грамотный администратор, построив единожды хорошую сетевую инфраструктуру, со временем потерял контроль над ситуацией из-за того, что руководство загрузило его смежными задачами. Руководство в условиях кризиса, естественно, старалось сэкономить на всем на чем можно.

В результате информация пользователей в компании размазалась вместо общего сетевого ресурса и перемещаемых/перенаправленных профилей по локальным компьютерам. Часть баз открывалась с компьютеров бухгалтеров, резервные копии не охватывали полностью всей наработанной пользователями информации.

Ко всему прочему, как и везде, персонал норовил при отсутствии постоянного контроля тратить время на всяческие онлайн-сервисы вроде социальных сетей, флеш-игр и портабельных программ для развлечений.

Само собой разумеется, что все это было хорошо приправлено периодическими эпидемиями вирусов.

После очередного увольнения менеджера произошла утечка коммерческой информации, и терпение руководства кончилось – было решило обратиться в стороннюю организацию. А именно – к нам.

Реализация

Поскольку серверная часть была отстроена хорошо, а проблемы связаны со сложностью контроля рабочих мест, было решено использовать в организации рабочих мест тонких клиентов, которые могли решить множество проблем:

• вирусы;
• локальное использование компьютеров не по назначению;
• постоянные перенастройки локальных программ;
• несанкционированный внос/вынос данных с рабочего места;
• установка легальных программных средств на каждом рабочем месте (локальные лицензии на тонкие клиенты);
• готовность к использованию «из коробки»;
• дистанционный контроль и настройки рабочего места;
• унификация рабочего места;
• эргономика рабочего пространства пользователей;
• снижение уровня шума и энергопотребления.

После анализа представленных на рынке тонких клиентов и пассивных сетевых компьютеров было решено использовать продукцию компании «ТОНК» (http://www.tonk.ru) по следующим причинам: широкий выбор как ОС (MS Windows Compact, MS Windows Standard, LinuxEmbedded), так и платформ, вплоть до производительности «продвинутых неттопов» при форм-факторе компактного терминала.

Все эти факторы при примерно одинаковой цене на аналогичные, но менее производительные продукты других вендоров склонили чашу весов в пользу ТОНКих.

В линейке производителя были выбраны модели:

• ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6) – для большинства рабочих мест;
• ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe) – для рабочих мест, где стояли МФУ и сканеры;
• ТОНК 1611 (Intel Atom N270 1,6 ГГц c предустановленной MS WinXPe) – для замены рабочих ноутбуков.

Быстрее всего процесс установки прошел для 43 самых маленьких терминалов ТОНК 1207 – их все подключили за день.

Выяснилась особенность – нет возможности скопировать файл на все тонкие клиенты с настройками подключений. Однако имеется встроенный VNC-сервер, благодаря которому бегать после подключения к каждому ТОНКу уже не приходилось.

На рис. 1 предcтавлен снимок экрана ТОНК 1207 с MS WinCE6. Запуск VNC-сервера обеспечивается в приложении Others, сами настройки VNC-сервера легко изменяются через утилиту, доступную в Control Panel тонкого клиента.

Рисунок 1. Снимок экрана тонкого клиента ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6)

С тремя терминалами на Дотане (ТОНК 1411) и семью моноблоками в 19-тидюймовых ЖК на Атоме (ТОНК 1611) пришлось повозиться подольше – там все, как и с обычной Windows XP. Пришлось установить драйверы МФУ и крипто-систем банк-клиентов. В процессе настроек явственно ощущалась полезность функции Enhanced Write Filter (расширенного фильтра на запись).

Работает она очень просто: установив все необходимое программное обеспечение и настроив терминал, необходимо запустить команду ewfmgr c: -commit для сохранения настроек, в противном случае все останется таким, какми было на момент включения.

Иными словами, все изменения за время сеанса работы с момента включения (например, сохраненный портабельный софт и испорченные настройки программ) отменятся, все вернется к исходному настроенному состоянию! Замечательная защита от «дурака».

Можно работать не с командной строкой, а через приложение Disk manager, доступное из панели управления системы, – так, как это показано на рис. 2.

Рисунок 2. Снимок экрана тонкого клиента ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe)

Отдельно скажем про трех кладовщиков. Там тоже установили модели с MS Windows Compact, причем подключение осуществлялось по VPN – благо имеется встроенный клиент PPTP. Для раздачи Интернета использовался недорогой роутер, в котором был задан единственный маршрут – к IP-адресу главного офиса. Это избавило кладовщиков от ненужного им Интернета, оставив их наедине с работой. Сканеры штрих-кода пришлось заменить на включаемые в разрыв клавиатуры, т.к. те, что были с USB-интерфейсом, отказались работать с WinCE6, а ставить более дорогие терминалы с MS Windows Standard на склад не хотелось.

Полученный результат полностью оправдал ожидания. Весь рабочий документооборот стал проходить только в терминальных сессиях, возможности «растащить» информацию с серверов исчезли – на ТОНК с MS WinCE6 ее нельзя использовать, а на моделях тонких клиентов с MS Windows Standard она не сохраняется локально после перезагрузки. Эпидемии вирусов стали невозможны, а контроль оставшихся трех ноутбуков уже не доставлял никаких проблем. Возможности встроенных браузеров Интернета не позволяли использовать интерактивные онлайн-сервисы, что заставило менеджеров не отвлекаться от работы, а также снизило потребление интернет-трафика.

К тому же у всех расчистилось жизненное пространство под ногами и на столах. Отдельно порадовала тишина – действительно, никаких движущихся частей в терминалах нет, как и было заявлено производителем.

***

Наша цель была достигнута. Избавив рабочие места от присущих им «болячек», мы подняли безопасность сети на качественно иной уровень. Руководство было удовлетворено, системный администратор, поняв, что ему осталось лишь лелеять серверы и уделять внимание только «директорским» ноутбукам, с удовольствием принял работу. Правда, ворчал персонал на существенное ограничение «свобод», но что поделать, всем не угодишь.

* На правах рекламы

Комментарии могут оставлять только зарегистрированные пользователи