Terminalserver-Regeln

Je nach Verbindungsart findet die Konfiguration clientseitig oder serverseitig statt. Es ist wichtig, ein Berechtigungskonzept aufzusetzen. Was soll gesperrt werden und wie sehen Ausnahmen davon aus? Wie weit geht man ins Detail? Reicht eine Freigabe nach Benutzern/Gruppen, nach verbundenen Laufwerksbuchstaben, nach Hardwaredaten oder einer Kombination dessen?

Eine weitere Unterscheidung gilt den Whitelist-Regeln. Es können mindestens Berechtigungen anhand des verbundenen Laufwerkbuchstabens am Terminalserver vergeben werden. Das Vergeben von Berechtigungen basierend auf einzelne Laufwerke anhand der Hardwaredaten (z.B. USB-Stick Kingston DataTraveler) geht nur unter bestimmten Voraussetzungen.

Generell empfiehlt es sich die Konfiguration von Terminalservern und Clients zu trennen, z.B. durch eine separate Konfiguration.

Globale Berechtigungen

Im einfachsten Fall können Berechtigungen auf alle verbunden Laufwerke eines Clients vergeben werden. Dabei spielt es keine Rolle, was für ein Laufwerk verbunden wird, z.B. eine Festplatte oder ein USB-Stick. Die Berechtigungen werden für all diese verbunden Laufwerke anhand von Benutzern oder Gruppen umgesetzt. Hierbei wird nach Verbindungsprotokoll unterschieden: (Erweiterte Konfiguration ->) Laufwerke-> Sperr-Einstellungen

  • Windows Terminal Services (RDP) Client-Laufwerkszuordnungen: Alle Verbindungen über RDP, Windows-Standard.
  • Citrix XenApp (ICA) Client-Laufwerkszuordnungen: Alle Verbindungen über ICA, Citrix-Standard. Setzt Citrix Presentation Server 4.5 (64-Bit) oder XEN 5 oder höher voraus.

Basierend auf den verbunden Laufwerksbuchstaben

Um Laufwerke zu sperren, müssen Sie die Terminalserver Umgebung so konfigurieren, dass vordefinierte Laufwerksbuchstaben für bestimme Laufwerkstypen (z.B. USB-Wechseldatenträger) verwendet werden. Dies kann auf Thin-Client Seite eingestellt werden. Anschließend können Sie eine Terminaldienste-Regel erstellen, um auf diesen Laufwerksbuchstaben Berechtigungen oder zeitliche Einschränkungen festzulegen.

Beispiel: Ein Benutzer stellt eine Verbindung mit einem Terminalserver her. Als Client hat er einen Thin-Client. Der Administrator hat an allen Thin-Clients eingestellt, dass USB-Laufwerke immer als Laufwerk U: innerhalb der Terminalserversitzung verbunden werden. Der Administrator erstellt in DriveLock eine Terminaldienste-Regel für das Laufwerk U: und vergibt darauf Berechtigungen für eine Gruppe. Damit kann über die Gruppe der Zugriff auf USB-Laufwerke geregelt werden.

Um eine Ausnahme basierend auf den verbunden Laufwerksbuchstaben zu erstellen, navigieren Sie zu Laufwerke: Laufwerks-Whitelist-Regeln, dann mit Rechtsklick darauf auf Neu –> Terminaldienste-Regel...

Anschließend wählen Sie dazu aus dem Dropdown-Menü einen Buchstaben und aktivieren Sie das dazu passende Protokoll, das in Ihrer Umgebung verwendet wird. Berechtigungen werden auf dem Reiter Zugriffsrechte vergeben:

Basierend anhand der Hardwaredaten

Wenn Sie eine Whitelist-Regel anhand der Hardwaredaten erstellen möchten, die Verbindungsart es erlaubt, können Sie wie gewohnt eine Regel erstellen: Laufwerke –> Laufwerks-Whitelist Regeln –> Laufwerks-Regel... und verbinden Sie sich anschließend mit dem Client oder dem Terminalserver, je nach Verbindungsart, und wählen das freizugebende Laufwerk aus. Anschließend vergeben Sie noch die Berechtigungen auf dem Reiter Zugriffsrechte.

Dateifilter

Mithilfe des Dateifilters lassen sich Zugriffe anhand der Dateitypen (PDF, DOCX, etc.) einschränken und protokollieren. Der Dateifilter muss jedoch vorher erzeugt worden sein.

Der Dateifilter kann in allen Regeln verwendet und zugewiesen werden. Generell gilt, der clientseitige Dateifilter ist leistungsfähiger als serverseitig. Einschränkungen aufgrund der Verbindungsarten können Sie der Übersichtstabelle in Kapitel Verbindungsarten entnehmen.

Ein Dateifilter kann auf alle Arten von Regeln angewendet werden.

Im folgenden Beispiel verwenden wir eine Dateifilter-Vorlage (die ausführbare Dateien sperrt), und wenden diesen serverseitig auf Verbindungen an, die über das Protokoll ICA hergestellt werden: Laufwerke –> Sperr-Einstellungen –> Citrix XenApp (ICA) Client-Laufwerkszuordnungen –> Reiter Filter /Schattenk.

Anschließend gibt es folgende Optionen:

  • Dateien filtern: Dateitypen werden anhand der gewählten Dateifilter-Vorlage zugelassen/gesperrt.
  • Protokollieren und Schattenkopie: Operationen (Lesen, Schreiben) werden protokolliert und können später mit dem DOC ausgewertet werden.
  • Zugriff wie eingestellt nur auf spezielle Unterordner erlauben: Hier lassen sich durch Klick auf die Schaltfläche die Ordner konfigurieren.