Stosowane przez wiele firm pełnodyskowe szyfrowanie, które zapewnia integralność oprogramowania cienkiego klienta również nie zapewni stuprocentowego bezpieczeństwa, gdyż komputer taki cały czas jest podatny na atak polegający na odtworzeniu zawartości pamięci RAM po wyłączeniu zasilania i wymrożeniu modułów (atak nazywany popularnie Evil Maid). Aby zapewnić bezpieczne przetwarzanie informacji w modelu cienkiego klienta, należy opracować urządzenia, które będą bezpieczne nie tylko pod względem ochrony firmware'u, ale także będą chronić najważniejsze obiekty systemowe terminala przed infiltracją. Nie wyczerpuje to jednak problemu systemu operacyjnego stacji roboczej. Typowe systemy operacyjne (Windows, Linux, Mac OS X) nie były projektowane pod kątem bezpieczeństwa i zawierają poważne niedostatki, które są trudne do usunięcia.

Niezbędna izolacja

Poprawa bezpieczeństwa może nastąpić na dwa sposoby - albo przez pisanie dobrej jakości kodu, stosowanie dodatkowych narzędzi ochronnych oraz szybkie aktualizacje, albo zachowując izolację poszczególnych składników. Metoda pierwsza w praktyce nie przynosi oczekiwanych rezultatów, zatem być może szansę będą miały systemy operacyjne, które odseparują poszczególne funkcje w nieuprzywilejowanych kontenerach, chronionych przez hypervisor. Do tego celu niezbędne jest wsparcie sprzętowe, gdyż jądro dzisiejszych systemów zawiera bardzo wiele dziurawych sterowników, GPU są skomplikowane, co skutkuje lukami w bezpieczeństwie serwera GUI, a programowa wirtualizacja powoduje skomplikowanie zadań związanych z obsługą pamięci. Chociaż przeniesienie części zadań na sprzęt nie powoduje automatycznie poprawy bezpieczeństwa, wsparcie wirtualizacji w dzisiejszych procesorach i chipsetach sprawia, że niektóre funkcje łatwiej zrealizować metodą sprzętową.

Model bezpiecznego systemu

Aby osiągnąć najlepsze rezultaty, należy przenieść do niezaufanej strefy te składniki systemu operacyjnego, które nie wymagają podwyższonych uprawnień, dzięki czemu przełamanie zabezpieczeń może spowodować co najwyżej atak odmowy obsługi. Obecnie żaden system operacyjny nie posiada takiego rozwiązania, najbliższy ideałowi jest Qubes, opracowywany przez ITL. W dalszym ciągu ma on podsystem storage oraz GUI w zaufanej strefie Dom0, ale trwają prace związane z realizacją podsystemu składowania danych w niezaufanej strefie.

Niezaufany podsystem graficzny jest znacznie trudniejszy w realizacji, gdyż z samej natury świadczonych przez niego usług wynika, że "widzi" całą zawartość ekranu, w tym także poufne wiadomości i dokumenty. W odróżnieniu od podsystemów sieciowego i storage, gdzie można zrealizować szyfrowany protokół transmisji chroniący przed podsłuchem, przy GUI nie można zaszyfrować danych, dopóki karta graficzna nie będzie mogła deszyfrować strumienia, zachowując przy tym bezpieczeństwo stosowanych kluczy.

Wyjściem jest model rozdzielenia I/O, w którym urządzenia wejściowe (klawiatura, mysz) są umiejscowione w Dom0, ale wyjściowe (GUI, dźwięk) zostają przeniesione do niezaufanych domen i oddzielone przez hypervisor. Chociaż model ten wygląda bardzo obiecująco, praktyczniejszym wyjściem jest zachowanie GUI w zaufanej domenie, gdyż tylko wtedy można wykorzystać akcelerację 3D, niezbędną w grach i niektórych aplikacjach.