Sea*_*anm 8 windows windows-server-2008 rdp citrix remote-desktop-services
我有一个供应商表示,除非所有用户使用相同的用户名和密码登录,否则他们将不支持他们正在安装的 Microsoft Server 2008 R2 终端服务器。他们声称这是为了让最终用户更轻松。
服务器是独立的,同时运行应用程序 (EMR) 和后端数据库 (MySQL)。我们的每个办公室都将获得其中一台服务器。我的担忧是 1) 安全性和 2) 使用同一用户帐户的所有用户可能出现的问题。安全性是一个问题,因为我们属于 HIPAA 和 DB 以及所有包含 PHI 的存储文档,都未加密存储在 TS 上,并且没有任何 ACL 限制来自通用用户帐户的访问。供应商说数据库需要密码才能登录,所以这个设置是安全的。
在使用 RDP、Citix 等服务器或服务器群时,我一直要求用户拥有自己的帐户,因此我没有任何此类设置的实际经验。想知道每个人对这种设置的看法。
squ*_*man 12
如果文件存储在文件系统级别,没有基于用户的加密并且没有 ACL,那么是的,逃跑。如果所有数据都存储在数据库中,那么我会感到稍微不那么犹豫,但即使如此,任何说可以使用共享 ID 的供应商(尤其是在混合使用 HIPPA 时)在我的书中都是可疑的。如果您将机器加入域,那么从最终用户的角度来看,使用他们自己的个人 ID 没有任何混淆。相反,拥有额外的共享 ID 会让他们更加困惑。
小智 7
同意,个人资料共享带来了一系列问题 - 其中最重要的是无法对谁做了什么以及发生的确切时间进行良好的问责制(甚至任何问责制)。寻找另一家供应商 - 遵守基本安全原则的供应商。如果可能,尝试寻找拥有 SAS 70 II 型认证的人。我保证这些组织不会允许个人资料共享。感谢您在跳入这个之前询问并稍后后悔。