Sichere Arbeitsumgebung im Home Office einrichten mit Rangee Thin Clients

    , 14.05.2020, zuletzt aktualisiert am 15.05.2020
    Tags: , , ,

    Remote-Management eines Thin Clients über VNCWenn Mit­arbeiter von zu Hause arbeiten, dann greifen sie meistens auf Anwen­dungen zu, die in der Firma auf einem Terminal- oder Citrix-Server laufen. Hinzu kommen Cloud-Dienste, bei denen eben­falls der Server die größte Arbeits­last trägt. Das sind grundsätzlich ideale Voraus­setzungen für Thin Clients.

    Unternehmen statten ihre Beschäftigten für die Arbeit zu Hause zumeist mit Notebooks aus, die von der IT-Abteilung konfiguriert werden. Häufig kommt es aber auch vor, dass die Mitarbeiter ihre privaten Rechner im Home Office verwenden. Sie erhalten dann vom System­verwalter einen VPN-Client und einen entsprechenden Zugang zum Netzwerk.

    Notebooks als Thin Clients

    Faktisch fungieren die Notebooks in solchen Szenarien überwiegend als Thin Clients, die einen Remotedesktop ausführen. Die ebenfalls übliche Variante, bei der Benutzer von ihrem privaten Gerät über den VPN-Tunnel direkt auf Verzeichnisse der File-Server zugreifen, birgt hingegen erhebliche Sicherheits­risiken.

    Hier bieten sich "richtige" Thin Clients als Alternative an, um Sicherheits­probleme und das Remote-Management besser in den Griff zu bekommen. Home-Office-Worker erhalten damit ein abgekapseltes System, welches sich über einen verschlüsselten Tunnel mit dem Firmennetz verbindet. 

    Flexible Deployment-Optionen

    Thin Clients lassen sich als Hardware (Rangee R800R) oder als Software-Lösung für PCs bereitstellen.Die in Aachen ansässige Rangee GmbH bietet für diesen Zweck verschiedene Systemoptionen an. Dazu zählen Standalone-Geräte, integrierte Bildschirme oder Tablets.

    Solche Geräte stellt die IT-Abteilung üblicher­weise vorkonfiguriert bereit, so dass sie zu Hause nur noch ausgepackt werden müssen und sofort in Betrieb genommen werden können.

    Alternativ lassen sich auch vorhandene Rechner wie private Laptops in Thin Clients verwandeln. Indem Anwender diese von einem USB-Stick in das Linux-basierte RangeeOS booten, können sie einen BYOD-Ansatz (Bring Your Own Device) realisieren, bei dem das nativ installierte Betriebs­system zwar erhalten bleibt, aber nicht in Kontakt mit dem Firmennetz kommt.

    Mit der Rangee Kommbox lassen sich auch Windows-Rechner als schlanke End­geräte nutzen, die man über dieselbe Web-Konsole verwalten kann wie reguläre Thin Clients. Das vorhandene Windows bleibt dabei im Einsatz, User erhalten aber einen gehärteten Desktop, den sie nicht verlassen können. Er beschränkt sich zudem auf die benötigten Applikationen.

    Die Kommbox von Rangee erlaubt das Remote-Management von Thin-Clients über einen Web-Browser.

    Software-Ausstattung für Web-Conferencing

    Alle Hersteller von Thin Clients, darunter auch Rangee, statten ihre Systeme mit den Tools aus, welche diese für ihre angestammten Einsatz­gebiete benötigen. Dazu gehören in erster Linie Clients für RDP/RemoteFX, Citrix HDX oder VMware Blast. Hinzu kommen verschiedene Terminal-Emulationen, SSH- und VPN-Clients.

    Typischer Desktop eines Homeoffice-Thin Clients - mit VPN, Remote Desktop sowie Videoconferencing-Tools

    Damit können sie sich zu allen möglichen Server-Systemen verbinden und dort verfügbare Ressourcen nutzen. Dies reicht heute aber in der Regel nicht mehr aus, wenn sich geographisch verteilte Teams über Konferenz- und Collaboration-Tools austauschen müssen.

    Sobald diese Multimedia-Anwendungen auf einem Remotedesktop laufen, dann leiden sie aufgrund von Netzwerk­latenzen und zu geringer Bandbreite häufig unter schlechter Audio- und Videoqualität sowie Verbindungs­abbrüchen.

    Aus diesem Grund stellt Rangee populäre Collaboration-Tools wie Zoom, Microsoft Teams, Bluejeans und Alphaview als Software-Pakete zur automatischen Installation samt individueller Konfiguration auf den Thin Clients bereit.

    Die Thin Clients von Rangee führen die gängigen Tools für Web-Conferencing und Collaboration lokal aus.

    Die lokale Ausführung der nativen Tools gewährleistet eine Audio- und Video-Qualität, wie man sie von normalen PCs her kennt. Das RangeeOS unterstützt dabei auf den Endgeräten handelsübliche Headsets und Lautsprecher, aber auch spezialisierte Konferenz­systeme mit deren Kamera- und Mikrofon­technik.

    Remote-Management von Endgeräten im Home-Office

    Unabhängig davon, ob man dedizierte Thin-Client-Hardware oder konvertierte PCs einsetzt, sieht Rangee mit dem Thin Client Management Server (TCMS) eine zentrale Verwaltungs­lösung vor. Sie versammelt Funktionen für Konfiguration, Rollout, Update, Monitoring der Clients sowie User-Management unter einer Web-Oberfläche.

    Systemverwalter können Konfigu­rationen dabei an ganze Gruppen von Endgeräten über­tragen, und zwar einheitlich sowohl an die Linux- und Windows-basierten Devices des Aachener Herstellers.

    Die IT kann sämtliche Geräte- und Anwender-Einstellungen bis ins Detail vorkonfigurieren und automatisch auf alle Thin Clients verteilen.

    Sämtliche vom Verwalter interaktiv vorgenommen Einstellungen lassen sich zudem als Datei herunter­laden und per Import auf Thin Clients und PCs verteilen. Die Unternehmens-IT kann damit sehr schnell eine Vielzahl von einheitlich konfigurieren Geräten an die Anwender ausgeben.

    Der Management-Server TCMS erlaubt die zentrale Verwaltung sämtlicher Rangee Thin Clients.

    Sicherheitsaspekte

    Durch unsichere Netzwerke und schlecht gewartete Privatrechner können Firmennetzwerke ungewollt kompromittiert werden, zumal Administratoren keine Kontrolle über die eigenen Geräte der Mitarbeiter haben.

    Thin Clients bieten dagegen Schadprogrammen keine Angriffsfläche und ihre Sicherheits­einstellungen lassen sich detailliert vorgeben. Auf die Anwender zugeschnittene Profile sorgen dafür, dass die passende VPN-Konfiguration automatisch auf dem jeweiligen Endgerät landet.

    Schwache Authentisierungs­methoden mit fehlender Verschlüsselung in heimischen WLANs stellen eine typische Sicherheitslücke dar, die Angreifern erlaubt, vertrauliche Daten abzugreifen.

    Über die Netzwerkkonfiguration lassen sich unsichere WLANs ausschließen.

    Der Rangee-Admin kann dieser Situation vorbeugen und die Verbindungs­optionen WEP und Unverschlüsselt in den WLAN-Einstellungen verbergen. Der Anwender ist damit gezwungen, für die Einrichtung eines mit WEP2 abgesicherten Access-Points zu sorgen.

    Beim Remote-Zugriff kann das Ablaufen eines Passworts generell zum Problem werden, weil User dann die VPN-Verbindung nicht mehr herstellen können. Diese wäre aber notwendig, um ein neues Kennwort festzulegen. Das Rangee-System erlaubt aber in dieser Situation dem Thin Client, sich über den Management-Server mit dem internen Active Directory zu verbinden.

    Remote-Support für Anwender im Homeoffice

    Thin-Client-Anwender holen sich die Unterstützung der Administratoren auf mehreren Wegen. Besteht eine aktive VPN-Verbindung, dann können sie per VNC Zugriff auf ihren Desktop gewähren. Im anderen Fall startet der User TeamViewer, über den sich der Helpdesk auf den Rechner im Heimnetz aufschaltet.

    Diese Tools können dem User als Icons auf dem Desktop sowie im Startmenü zugänglich gemacht werden. Optional steht dafür das Helpcenter zur Verfügung. Diese lokale Applikation bündelt die Remote-Support-Optionen und bietet zudem die Möglichkeit, das Netzwerk manuell zu konfigurieren, falls beispielsweise DHCP nicht korrekt funktioniert.

    Das Helpcenter ist der Rettungsanker für die Benutzer von Rangee Thin Clients.

    Der Administrator kann den Zugriff auf das Helpcenter mit einem Einmal-Passwort absichern. Nach erfolgter Konfiguration und einem Reboot ist es dann wieder gesperrt.

    Verfügbarkeit und Preise

    Rangee-Thin Clients sind ab 272,00 Euro zzgl. MwSt. verfügbar und können über Rangee direkt oder über Distributoren bezogen werden. Eine kostenfreie Teststellung kann beim Hersteller angefordert werden.

    Die RangeeOS-Software für einen PC kostet einmalig 42,00 Euro.

    Der Management-Server TCMS steht als virtuelle Maschine gratis zur Verfügung und ist alternativ als Hardware-Appliance für 499,00 Euro erhältlich.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Andrej Radonic

    Andrej Radonic beschäftigt sich als IT-Journalist und als Vorstand der interSales AG seit über 20 Jahren mit IT-Lösungen für mittel­ständi­sche Unter­nehmen. Spezial­gebiete sind Virtuali­sierung, Open Source und E-Commerce.
    // Kontakt: E-Mail, Xing, LinkedIn //

    Verwandte Beiträge

    Weitere Links