Linux Thin Clients zweistufig schützen
Potentielle Malware im Sinne von BadUSB gibt sich dem Zielsystem gegenüber als harmloses Gerät aus, beispielsweise als Tastatur. So ist es möglich, unbemerkt Informationen abzuzweigen, Systemänderungen vorzunehmen oder andere USB-Geräte zu infizieren. Um einen Linux Thin Client wirkungsvoll zu schützen, empfiehlt der deutsche Marktführer für Linux Thin Clients IGEL Technology eine zweistufige Maßnahme.
1. Schritt: Rechte am Linux Thin Client einschränken
Zu den vielfältigen Möglichkeiten der im Lieferumfang Remote-Managementlösung IGEL Universal Management Suite (UMS) gehört eine umfassende Rechtevergabe für alle IGEL Thin Clients, Zero Clients und Software-Thin Clients. Sie versetzt IT-Administratoren in die Lage, schnell und einfach zu definieren, welcher Benutzer welchen Typ von USB-Gerät verwenden darf. Die USB-Kontrolle am Linux Thin Client erfolgt anhand der Geräteklasse, des Herstellers oder des genauen Modells. So weiß der IGEL Linux Thin Client genau, welche USB-Geräte vom System freigegeben, und welche gesperrt werden.
2. Schritt: USB-Monitoring am Linux Thin Client
Darüber hinaus bietet IGEL seinen Kunden die Möglichkeit, am Linux Thin Client angeschlossenen USB-Geräte mittels der Software DriveLock des USB-Sicherheitsexperten Centertools zu überwachen. Mit ihrer integrierten Applikationskontrolle hindert die Lösung die USB-Geräte daran, vom USB-Stick oder aus dem Internet geladene Schadsoftware auszuführen. Bei entsprechender Aktivität werden USB-Devices von der Sicherheitssoftware noch vor ihrer Freigabe durch das System blockiert.
Whitelist schützt Linux Thin Client vor unberechtigten Aktivitäten
Über eine sogenannte Whitelist lässt sich in DriveLock genau bestimmen, welche USB-Geräte vom Linux Thin Client akzeptiert werden. Die Zugriffsrechte und Sicherheitseinstellungen für USB-Datenträger können dabei sehr detailliert über die IGEL UMS konfiguriert werden - sogar bis hin zur Seriennummer des Geräts. Bei Bedarf gibt ein Protokoll Aufschluss über alle Dateizugriffe. Darüber hinaus empfehlen IGEL und Centertools, die USB-Boot-Option am Linux Thin Client zu deaktivieren.
Je weniger USB-Datenträger, desto besser
Die beste Prävention besteht letztendlich darin, möglichst ganz auf USB-Datenträger zu verzichten und Daten von einem Linux Thin Client zum anderen ausschließlich über ein gut gesichertes Netzwerk auszutauschen, beispielsweise über ein Virtual Private Network (VPN). Denn die zentrale Datenhaltung und der ortsunabhängige Zugriff darauf macht schließlich eine wesentliche Stärke des Thin Client Computing aus, die es zu nutzen gilt.