Citrix XP Thinclient - Sicher?

#1 Hallo zusammen...
Ich bin auf der Suche nach Schwachstellen in meiner ThinClient Konstruktion.
Und zwar sieht die folgendermaßen aus:

Es ist ein abgespecktes Windows XP Prof. 32bit welches per Citrix Provisioning Service (TFTP) verteilt wird.
Es ist ein geschlossenen Image, es kann also nichts mehr daran verändert werden.
Selbst wenn, wäre die Änderung nach einem Neustart wieder hinfällig.
Nur noch die nötigsten Dienste laufen (inkl. Firewall) und alle unnötigen Anwendungen wurde runter geschmissen.
Der Rechner startet automatisch (kein Strg + Alt + Entf) mit einem User ohne Passwort welcher auch keinerlei Rechte besitzt.
Der Taskmanager ist gesperrt, die Windows Shell startet nicht automatisch... man sieht praktisch nur einen blauen Bildschirm am Anfang (keine Taskbar o.Ä.) und hat sonst keinerlei Möglichkeiten irgendwas zu starten, zu beenden oder sonst was zu tun.
Anstatt der Shell wird ein InternetExplorer im Kioskmodus gestartet (ohne Proxy Einstellung etc., der IE kommt also auch nicht raus ins www) der auf Citrix Webinterface verweist.
Über das Webinterface wird dann ein Desktop gestartet der keinerlei Verbindung zu dem XP Rechner hat (kein USB forwarding, kein lpt, gar nichts).

Der XP Rechner ist in keiner Domäne aber bekommt eine DHCP Adresse in einem Bereich, in dem Clients und Server unserer Domäne drin stehen.
Er hat bis Tag X Sicherheitsupdates bekommen und bekommt seit dem keine mehr.


Meine Frage ist, kann der Rechner irgendwie (Würmer, Viren etc.) kompromittiert werden und diese Kompromittierung in die Domäne weiter tragen?

Sorry falls irgendwelche wichtigen Infos fehlen sollte, diese werde ich natürlich dann nachreichen.

Grüße,
Dominik

#2 Versteh' ich nicht, warum muss es denn WinXP sein?
Nimm doch einfach was aktuelles und gut ist, ich mein Internet Explorer (wenn ja welche Version?) in WinXP?
Läuft da überhaupt noch was drauf... läßt sich damit noch arbeiten?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Weil wir Windows XP Lizenzen ohne Ende haben.

Das XP ist nichts anderes als ein "Sprungbrett" in die Citrix (Terminalserver) Welt. Mehr hat es nicht zu tun, mehr kann man damit auch nicht mehr machen.

#4 Der Support für Win XP läuft im April aus. Je nachdem wie du das System für den gefahr- und reibungslosen Betriebsablauf siehst kannst du es natürlich weiterverwenden (technisch).
Ich würde aber eher auf aktuelle Systeme setzen.
Vor allem wenn du andeutest, dass du/ihr XP Lizenzen ohne Ende habt, dann höre ich ja daraus, dass du mehrere/viele Systeme dieser Art einsetzen möchtest oder gar erst aufsetzen möchtest. Davon würde ich grds. abraten.
Letztendlich fährt man mit alten Systemen sowieso irgendwann vor die Wand, weil z.B. das kommende Release von Citrix oder RDS plötzlich nicht mehr supportet wird aber vielleicht coole oder wichtige Features hat.

In deinem Szenario sehe ich, dass du dir viel Gedanken bzgl. Sicherheit gemacht hast, aber der Teufel ist ein Eichhörnchen. Ich würde zusehen, dass die alten Kisten mit dem alten OS zukzessive wegkommen. Da hat man dann auch als Admin mehr Spaß dran.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 Ich denke es wird noch eine ganze Weile dauern bis es keinen Citrix Receiver mehr geben wird, der zwingend Voraussetzung für Citrix XY ist und nicht mehr XP unterstützt.
Wenn ich bedenke, dass sogar noch Windows 2000 Maschinen durchaus auf eine Citrix XenApp 7 Farm zugreifen kann. Natürlich mit einigen Einschränken wie z.B. der fehlende HDX support (was nicht weiter tragisch ist).

Da der XP ThinClient, wie gesagt, nur das Tor zur Citrix Welt, ist mir die Aktualität und Handhabung als Admin relativ egal. Es ist eher ein "Fire and Forget" Bestandteil. An dem Image muss nie wieder was gemacht werden. Der User sieht das XP nicht einmal, weder beim starten noch beim herunterfahren. Das einzige was sie sehen ist ein hübsches Logo am Anfang und dann taucht nach ein paar Sekunden schon das Citrix Webinterface im Vollbild auf.
Dort melden sich die User an und gelangen auf einen Server 2008 R2 Desktop auf dem sie dann arbeiten.

Meine Kollegen haben aber halt bedenken, dass es eine Sicherheitslücke ist.
Es könnte sich Würmer und Viren über die ThinClients in der Domäne verbreiten (zur Erinnerung, die XP ThinClients sind in keiner Domäne).
Ich bin da eher anderer Meinung. Würmer z.B. brauchen doch ebenfalls ein Medium um überhaupt erst auf den Rechner zu gelangen (ICQ, Mail, IRC etc.) und selbst wenn sie dort sind, haben sie, außer dem gleichen Subnetz, keinerlei Kontakt zu den Rechnern in der Domäne.

Klar, ich kann auch auf Windows 7 oder 8 setzen oder gar auf Linux, aber warum kosten oder Mühen verursachen wenn doch Windows XP völlig ausreicht?

Daher meine Frage... kann es sein, dass sich die Würmer, Viren etc. trotzdem von den Thinclients auf Rechner in der Domäne schleichen können?

#6 warum habe ich gerade dieses Bild vom Geldautomaten vor Augen, der da mit einer Windows-Fehlernachricht hing?
Und an einem Fahrkartenautomat habe ich das auch mal gesehen.

Aber warte.. halt.. das ist ja was ganz anderes.

T S

#7 Was möchtest du mir damit nun mitteilen?

#8

Zitat

TurnRstereO postete
warum habe ich gerade dieses Bild vom Geldautomaten vor Augen, der da mit einer Windows-Fehlernachricht hing?
Und an einem Fahrkartenautomat habe ich das auch mal gesehen.

Aber warte.. halt.. das ist ja was ganz anderes.

T S

Weil es IT N00bs nun an jeder Ecke gibt, vermutlich ein Geld Problem... die Manager bekommen nun mal fast alles.

@Dominik87
Nimm doch einfach ein aktuelles Debian GNU/Linux (ohne irgendwelchen Schnickschnack)
und dann zimmerst du X11+fluxbox+libs+firefox drauf und hast deine sichere Browser-only Kombination.
Ganz ohne spyware von Microsoft oder IE der ja auch nicht sonderlich vertrauenswürdig ist (besonders alte Versionen).

Dann musst du dir auch nicht so komische Fragen stellen in wie weit man in einem vermeidlich sicheren System eine unsichere Komponente verwenden kann (und ob das zu welchem Preis möglich ist/zu empfehlen ist).

Edit:

Zitat

Ich bin da eher anderer Meinung. Würmer z.B. brauchen doch ebenfalls ein Medium um überhaupt erst auf den Rechner zu gelangen (ICQ, Mail, IRC etc.) und selbst wenn sie dort sind, haben sie, außer dem gleichen Subnetz, keinerlei Kontakt zu den Rechnern in der Domäne.

Ja IE ist schon einer der besten Lücken für Win überhaupt... NT5 bleibt NT5 und das ist alter Kaffee.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Ein "it n00b" bin ich sicherlich nicht wage ich einfach mal zu behaupten, danke. ;-)

Wie kann der IE eine Sicherheitslücke sein, wenn er lediglich auf ein Webinterface im LAN Zugriff hat?

Klar, ich könnte mir sicher auch eine IOS emulation zurecht biegen die genau das macht, was ich will.
Aber ist der Aufwand auch gerechtfertigt? Das versuche ich ja herauszufinden.
Nicht zu unterschätzen sind auch die lizenzkosten. Linux an sich mag zwar kostenfrei sein, eine Terminalserverlizenz und (vor ein paar Jahren jedenfalls noch) eine device cal braucht man trotzdem um sauber zu sein. Was Lizenzrecht angeht bin ich allerdings evtl auch nicht up to date, ms lässt sich ja gern immer was neues einfallen.
Jedenfalls wäre man mit XP definitiv sauber was das angeht.

#10

Zitat

Ein "it n00b" bin ich sicherlich nicht wage ich einfach mal zu behaupten, danke. ;-)

Naja war halt eine direkte Antwort auf TurnRstereO's Post - wegen den Fahrkartenautomaten, du musst halt sehen wenn die Leute für so wichtige infrastrukturelle Dinge Windows nutzen und nicht zb. BSD oder änhliches dann sind diese einfach nur Faul oder sehr schlecht informiert.

In unserer Politik spiegelt sich das ganze glänzend wieder, Internet == #Neuland usw.

Zitat

Was Lizenzrecht angeht bin ich allerdings evtl auch nicht up to date, ms lässt sich ja gern immer was neues einfallen.

Da hast du recht, dass kann ich dir jetzt auch nicht ganz genau sagen.

Zitat

Wie kann der IE eine Sicherheitslücke sein, wenn er lediglich auf ein Webinterface im LAN Zugriff hat?

Tja wenn du das so sicher und 100%ig weißt dann hast du deine Frage irgendwie auch selbst beantwortet.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 Die Device Cal benötigst du ja sowieso. Die ist ja nicht bei XP mit drin.

Wie Xeper schon geschrieben hat musst du dir überlegen, ob du in einem vermeintlich sicheren System unsichere Komponenten haben möchtest.

Zitat

Daher meine Frage... kann es sein, dass sich die Würmer, Viren etc. trotzdem von den Thinclients auf Rechner in der Domäne schleichen können?

Frage ist doch eher, ob du es ausschließen kannst? Dein "Plan" hört sich zwar gut an, aber keiner wird dir darauf eine Garantie geben. Mit aktuellen Systemen auch nicht, aber da auf jeden Fall schon eher...
Selbst wenn sie nicht in der Domäne sind, aber im selben IP Bereich, dann ist mE alles möglich. Ist ja nicht so, dass allein die Domänenmitgliedschaft ein ausreichendes Sicherheitsmerkmal ist. Dann stellt sich ja auch die Frage, ob es nicht irgendwelche Ausnahmen gibt? Muss evtl. auch nur bei einem PC nicht doch USB mitgeschliffen werden?
Kann überhaupt ein USB- Stick angeschlossen werden? Das könnte ja evtl. schon reichen um den PC zu kompromittieren...
Falls eine IT Prüfung im Rahmen der Jahresabschlussprüfung gemacht wird, wäre das sicherlich auch eine Feststellung.
Wie sieht es versicherungstechnisch aus, falls doch einmal eine Verseuchung von so einem PC ausgehen sollte? Zahlt die, wenn veraltete, abgelaufene, nicht mehr supportete Software zum Einsatz kommt? Das ist mE ein Problem mit dem Risikomanagement.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#12

Zitat

Frage ist doch eher, ob du es ausschließen kannst? Dein "Plan" hört sich zwar gut an, aber keiner wird dir darauf eine Garantie geben. Mit aktuellen Systemen auch nicht, aber da auf jeden Fall schon eher...

Genau so ist das, dass Zauberwort lautet nun mal Prävention - das ist wie mit den dummen 0815/SOHO Routern bei einigen gibt's ja jetzt so backdoors und bei D-Link gar eine eingebaute von den Entwicklern der Firmware (laut IT News).
Da denk ich mir einfach nur, solche embedded Teile hast du nie genutzt - schon bin ich aus dem Schneider.

Genau so muss man halt auch agieren nicht nur bei einer Sache sondern bei allem, sobald man wieder sehr nachlässig wird kommt dann irgendwann später heraus wo es überall Schwierigkeiten gibt - gerade dann wenn man es nicht gebrauchen kann.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#13 Also... nur mal so: die meisten ThinClients gibt es ja auf Linux-Basis. Dort ist in der Regel ein Citrix-Client mit drauf installiert und die ThinClients auf Linux-Basis sind billiger, weil keine Lizenzkosten für Windows im Preis enthalten sind.

Und ich würde Linux einem Windows XP defintiv vorziehen.

Aber selbst mit Windows XP müssten die Domäne und das Netzwerk schon schlecht konfiguriert sein, dass ein beliebiger PC, der nicht in der Domäne ist, einfach so Viren im Netzwerk verteilen kann.

Dazu kommt, dass viele Viren erst so richtig aktiv werden (auch unter XP), wenn der PC einmal neu gestartet wurde. Da hier ja bei jedem Neustart ein neues Systemimage aufgespielt wird, sehe ich kein großes Problem. Und wenn der XP-Rechner hinter einer Firewall steht und nicht aktiv genutzt wird, um im Internet zu surfen, müsste schon ein wirklich gezielter Angriff dahinter stehen, um den PC (zumindest bis zum nächsten Neustart) zu kompromittieren.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser