Einführung
Die Integrität und Sicherheit von Unternehmens- und Kundendaten ist angesichts der zunehmenden Zahl von Hackerangriffen und der gesetzlichen Anforderungen an Systemzugangskontrollen wie dem Sarbanes-Oxley Act (SOX) und dem Health Insurance Portability and Accountability Act (HIPAA) in den USA sowie der General Data Protection Regulation (GDPR) in der Europäischen Union von größter Bedeutung. GO-Global® setzt die besten verfügbaren Sicherheitstechnologien ein, um seinen Kunden ein mehrschichtiges Sicherheitssystem zu bieten, das die Datensicherheit und den Schutz der Kundendaten gewährleistet. Die integrierten Sicherheitsfunktionen von GO-Global und die zusätzlichen Möglichkeiten werden im Folgenden näher erläutert.
GO - Globales Sitzungsprotokoll
GraphOn® war ein früher Wegbereiter der Client-Fernzugriffstechnologie. Die Grundlage für GO-Global ist ein proprietäres Protokoll mit geringer Bandbreite für die Konnektivität über serielle Leitungen namens RapidX Protocol (RXP). RXP ist adaptiv, verwendet mehrere Komprimierungsebenen und ist optimiert, um die geringstmögliche Bandbreitennutzung zu gewährleisten. Da RXP ein Closed-Source-Protokoll ist, bietet es im Vergleich zu Open-Source-Protokollen wie Microsoft® RDP, bei denen Sicherheitslücken gefunden und ausgenutzt wurden, zusätzlichen Schutz vor Angreifern.
Grundlegende Installation und Standardeinstellungen
GO-Global lässt sich ganz einfach mit einem einzigen Installationsprogramm auf dem Host installieren, das die GO-Global-Software entweder installiert oder aktualisiert. Nach Abschluss der Installation muss der Host neu gestartet werden, um die Registry-Einstellungen zu initialisieren und die GO-Global-Software und -Treiber zu aktivieren.
Alle Konfigurationsoptionen, die eine gemeinsame Nutzung von Server- oder Client-Ressourcen ermöglichen, sind von vornherein deaktiviert. Außerdem werden von GO-Global keine Standardanwendungen veröffentlicht. Der Zugriff auf die Konfigurations-, Verwaltungs- und Sicherheitsfunktionen von GO-Global Host erfolgt über die Admin-Konsole im Menü "Host-Optionen". Administratoren können über dieses Menü Anwendungen veröffentlichen, Benutzer- und Hostaktivitäten überwachen und Funktionen wie Client-Druck, Client-Zwischenablage, Verschlüsselung und Authentifizierung aktivieren.
Verschlüsselung von Client-Sitzungen
Standardmäßig verschlüsselt GO-Global Sitzungen mit DES (Data Encryption Standard) mit 56-Bit-Schlüsselstärke für alle Client-Sitzungsverbindungen zum Schutz vor einfachen Paket-Sniffern und Clients, die die Rohdatenkommunikation abfangen. Die Verschlüsselung ist schnell und zuverlässig und bietet ein hohes Maß an Sicherheit für LAN-basierte Verbindungen über GO-Global.
Für die Internetkommunikation und sicherheitsbewusste Umgebungen bietet GO-Global TLS-basierten Transport mit den folgenden Verschlüsselungsalgorithmen: 128-Bit RC4, 168-Bit 3DES und 256-Bit AES. Diese höheren Verschlüsselungsalgorithmen erfordern, dass der Administrator ein signiertes TLS-Zertifikat auf dem Host anwendet, das mit einer beliebigen Standardzertifizierungsstelle generiert werden kann. Administratoren können vertrauenswürdige TLS-Zertifikate für GO-Global Hosts auch über die Registerkarte "Sicherheit" des Dialogs "Host-Optionen" in der Verwaltungskonsole generieren, wenn der GO-Global Host eine öffentlich registrierte DNS-Adresse hat. Auf diese Weise können Administratoren starke Verschlüsselung und TLS-Sicherheit aktivieren, ohne ein Zertifikat von einer externen Zertifizierungsstelle zu erwerben.
Verwendung eines VPN mit GO-Global
Administratoren, die GO-Global verwenden, können VPN-Software (Virtual Private Networking) von Drittanbietern einsetzen, um einen sicheren, verschlüsselten Tunnel vom Client-Gerät zu GO-Global Hosts zu erstellen. Der Remote-Endbenutzer kann GO-Global-Sitzungen über den VPN-Tunnel starten. Bei der Verwendung eines VPN muss GO-Global's proprietäres RXP nicht direkt verschlüsselt werden, obwohl es für eine zusätzliche Sicherheitsebene verschlüsselt werden kann. Bei der Übertragung über ein VPN wird RXP von der VPN-Software verschlüsselt.
Proxy-Server-Tunneling
GO-Global unterstützt Proxy Server Tunneling, auch bekannt als HTTP Connect. Dies ermöglicht es einem Benutzer, der über einen Web-Proxy-Server auf das Internet zugreift, sich mit GO-Global Hosts im Internet zu verbinden. Bei der Verwendung eines Proxy-Servers ist zu beachten, dass standardmäßig jeglicher Datenverkehr auf allen Host-Ports abgelehnt wird. Der GO-Global Host sollte daher so konfiguriert werden, dass er nur Verbindungen auf Port 443 akzeptiert.
Anwendungssicherheit und Benutzerauthentifizierung
Eine Software-Anwendung ist nur so sicher wie das Betriebssystem, auf dem sie installiert ist. GO-Global installiert und pflegt keine eigene Benutzer- oder Anwendungsdatenbank. Stattdessen übernimmt es alle Aspekte der Benutzer- und Datensicherheit vom Windows Server®-Betriebssystem. Die Sicherheitseinstellungen für Benutzer und Anwendungen werden auf der Ebene des Windows®-Betriebssystems konfiguriert und während des Anmeldevorgangs an GO-Global weitergegeben.
Darüber hinaus werden die Windows-Berechtigungen für Dateien, Ordner, Freigaben, Drucker und die Registrierung von GO-Global respektiert und sind für die Sicherheit eines jeden Windows-Systems von zentraler Bedeutung. Solange Endbenutzer nicht über Administratorrechte oder erweiterte Rechte verfügen, können sie nicht auf Systemordner zugreifen, den Server beschädigen oder zerstören oder anderweitig Sicherheitsbedrohungen verursachen.
GraphOn empfiehlt die Verwendung von Windows-Gruppenrichtlinien für alle systemseitigen Sicherheitseinstellungen, insbesondere in einer Serverfarm mit Lastverteilung, um die Konsistenz auf allen Hosts zu gewährleisten.
Unterstützung von Single Sign-On
Single Sign-On (SSO) ist ein Tool zur Benutzerauthentifizierung, das es Benutzern ermöglicht, sich bei mehreren Anwendungen, Websites, Daten und Arbeitsstationen anzumelden und darauf zuzugreifen, indem sie einen zentral verwalteten Satz von Anmeldeinformationen - einen Benutzernamen und ein Kennwort - verwenden. Insgesamt hat Single Sign-On die Sicherung des Identitätszugriffs und die Umstellung auf die Cloud für Unternehmen erheblich vereinfacht. Darüber hinaus verringert Single Sign-on die Zahl der Helpdesk-Anrufe, die laut Gartner 30 bis 50 % aller Helpdesk-Anrufe ausmachen, um verlorene oder vergessene Passwörter abzurufen.
SSO war in der Vergangenheit nur für Webanwendungen verfügbar. Authentifizierungsereignisse innerhalb des Windows-Betriebssystems erfolgen über Winlogon, das Windows-Authentifizierungsmodul, das interaktive Anmeldungen für eine Sitzung durchführt, bei der sich ein Benutzer mit einem Benutzernamen und einem Kennwort direkt beim Betriebssystem anmeldet. Da Windows für die Anmeldung einen Benutzernamen und ein Kennwort erfordert, kann die IT-Abteilung Windows-Anwendungen nicht ohne einen angepassten Credential Provider in Cloud-Implementierungen mit Single Sign-On einbeziehen.
GO-Global beseitigt diese Anforderung mit der Single Sign-On-Unterstützung für OpenID® Connect (OIDC), die es Unternehmen ermöglicht, OIDC-Identitätsanbieter wie Okta® und Microsoft® Active Directory Federated Services (ADFS) für die einmalige Anmeldung bei GO-Global Windows Hosts zu nutzen. Mit GO-Global können Benutzer, die sich über einen Identitätsprovider wie Okta oder ADFS bei einer Unternehmens-Webanwendung oder einem Portal anmelden, von ihrem Browser aus auf GO-Global Hosts zugreifen, ohne ihre Anmeldedaten erneut eingeben zu müssen. So werden die Authentifizierungsrichtlinien des Unternehmens durchgesetzt und die Zahl der Anrufe beim Helpdesk wegen verlorener oder vergessener Passwörter reduziert.
Sobald sich ein Benutzer über OIDC authentifiziert hat, bietet GO-Global Administratoren mehrere Optionen für die automatische Authentifizierung des Benutzers unter Windows. Wenn der Identifizierungsanbieter beispielsweise mit dem Active Directory des Unternehmens integriert ist, kann GO-Global den Benutzer automatisch am Domänenkonto des Benutzers anmelden. Ist eine Active-Directory-Integration nicht erforderlich oder erwünscht, kann GO-Global auch automatisch ein lokales Windows-Konto für den Benutzer erstellen.
Zwei-Faktoren-Authentifizierung
Die Zwei-Faktor-Authentifizierung (2FA) von GO-Global (auch bekannt als "2-Schritt-Verifizierung") ist eine fortschrittliche Authentifizierungsfunktion, die eine zusätzliche Sicherheitsebene bietet, indem Benutzer optional zusätzlich zu ihrem Benutzernamen und Kennwort einen 6-stelligen Code über eine Authentifizierungs-App auf einem Smartphone eingeben müssen. Dadurch wird sichergestellt, dass ein Angreifer auch dann nicht auf das Hostsystem zugreifen kann, wenn das Kennwort eines Benutzers nicht bekannt ist, ohne auf das entsperrte Telefon des Benutzers zugreifen zu können. Dadurch werden Brute-Force- und Wörterbuch-Passwortsuchen unbrauchbar, was besonders wichtig ist, da immer mehr Unternehmen Remote-Arbeiten mit anfälligen Remote-Desktop-Clients ermöglichen. 2FA reduziert auch den Aufwand, eine komplexe Passwortrichtlinie zu erzwingen.
Die Zwei-Faktor-Authentifizierung von GO-Global erfordert, dass alle Benutzer ein Smartphone mit einer Authentifizierungs-App wie Google Authenticator™ oder Authy installiert haben.
Integrierte Windows-Authentifizierung
Administratoren können die Netzwerksicherheit von GO-Global-Endbenutzern erhöhen, indem sie die Standard-Authentifizierung (Aufforderung zur Eingabe von Benutzernamen und Kennwort) deaktivieren und die integrierte Windows-Authentifizierung auf der Registerkarte Authentifizierung des Dialogfelds Host-Optionen in der Admin-Konsole aktivieren. Mit dieser Konfiguration wird allen Nicht-Windows-Clients der Zugriff auf GO-Global-Hosts verweigert, so dass sich GO-Global-Endbenutzer bei ihren Windows-Client-Betriebssystemen mit einem Active Directory-Konto anmelden müssen, dem der GO-Global-Host vertraut. Außerdem ist der Zugriff auf lokale Benutzerkonten des GO-Global Hosts nicht möglich. Der Benutzer wird als Mitglied der Gruppe NETWORK authentifiziert, und der Zugriff auf die Netzwerkressourcen des GO-Global Hosts ist eingeschränkt.
Wenn ein Endbenutzer uneingeschränkten Netzwerkzugang vom GO-Global Host benötigt, besteht eine weniger sichere Option darin, die Einstellung Cache-Kennwort auf dem Host zu aktivieren. Dadurch wird der GO-Global Host aufgefordert, den Benutzer nach einem gültigen Benutzernamen und Passwort zu fragen. Passwörter werden mit dem Sicherheitskontext des Benutzers verschlüsselt und im Profil des Benutzers auf dem GO-Global Host gespeichert. Bei nachfolgenden Verbindungen zu GO-Global wird der Endbenutzer automatisch angemeldet, zur Gruppe INTERACTIVE des Hosts hinzugefügt und erhält die gleichen Zugriffsrechte wie bei der Anmeldung an der Host-Konsole.
Sandboxing von Anwendungen
GO-Global veröffentlicht Anwendungen einzeln, aber einige Anwendungen können andere starten und auf Dateien und Registrierungsschlüssel zugreifen. Administratoren, die dieses Verhalten aus Sicherheits-, Lizenzierungs- oder Leistungsgründen verhindern möchten, können die Sandbox-Funktion von GO-Global nutzen, mit der sie den Benutzerzugriff auf Dateien und Programme auf einem GO-Global Host einschränken können. Diese Einschränkungen gelten nur für Endbenutzer, nicht für Administratoren oder Mitglieder der Administratorengruppe.
Die Sandbox von GO-Global ermöglicht es dem Administrator, das Prozessverhalten streng einzuschränken und dem Endbenutzer eine abgeschottete Anwendung zur Verfügung zu stellen.
GO-Global Client-Konnektivität und Port-Nummern
In TCP/IP-Netzwerken ist ein Port ein Mechanismus, der es einem Computer ermöglicht, gleichzeitig mehrere Kommunikationssitzungen mit Computern und Programmen im Netzwerk zu unterstützen. Ein Port leitet die Anfrage an einen bestimmten Dienst an dieser IP-Adresse weiter. Das Ziel des Pakets kann durch eine eindeutige Portnummer weiter definiert werden. Die Portnummer wird beim Aufbau der Verbindung festgelegt.
Die Internet Assigned Numbers Authority (IANA) legt die eindeutigen Parameter und Protokollwerte fest, die für den Betrieb des Internets und seine zukünftige Entwicklung erforderlich sind. Weitere Informationen finden Sie unter http://www.iana.org/assignments/port-numbers.
