Windows
保護網路上基於 Windows 7 的資訊亭
應採取哪些步驟來保護執行 Windows 7 的資訊亭和網路上的專有應用程序?
資訊亭需要能夠通過埠 443 進行撥出電話。我正在從等式兩邊尋求建議。保護網路,並保護在資訊亭本身上執行的作業系統。
我認為網路所有者和資訊亭硬體所有者之間必須在安全性和資訊亭功能方面取得一些平衡。
您可能可以使用瘦客戶端而不是 PC,而使用 Citrix 或終端服務,這消除了將 PC 放置在公共場所的許多風險。
但是,如果您必須使用 PC,請考慮以下事項:
1)聽起來您不需要執行許多應用程序,因此首先使用組策略鎖定工作站以僅執行特定允許的應用程序。
將 Windows 防火牆配置為僅允許該應用程序進出,除了基本的域連接、更新、AV 等。
移除 CD/DVD/磁片?從工作站驅動並禁用 USB 大容量儲存驅動程序以幫助防止物理規避。您也可以在工作站本身上安裝電纜鎖,或者將 PC 放在配置了 WOL 的上鎖機櫃中,以便在斷電時遠端恢復。
將工作站配置為不在本地記憶體密碼,並且不使用特權域帳戶登錄工作站,以防工作站被盜。
其他組策略可以配置為禁止訪問硬碟、限制開始菜單程序等。其中許多可以在使用者配置 -> 管理模板 -> 開始菜單和工作列下找到
考慮將資訊亭放置在他們自己的子網上,並通過防火牆或至少路由器上的 ACL 限制對網路其餘部分的訪問,這樣他們就只能訪問您在您選擇的埠上選擇的伺服器。
考慮在交換機和 PC 上設置 dot1x 身份驗證,以防止有人拔下 PC 並插入筆記型電腦,從而獲得不受限制的訪問。