Как безопасно подключить машину Windows, которая не МОЖЕТ иметь антивируса (из-за оперативных требований) к Интернету через машину Windows, которая защищена?
У меня есть машина на базе Windows, которая не может иметь антивируса, установленного из-за влияния производительности, которое имело бы на роли машины контроллера в студийном микшерном пульте радио в прямом эфире. Эта установка является коммерчески доступной системой не один, я создаю меня.
Я полагаю, что вопрос имеет значение вне приложения в широковещательном радио для других доменов, которым нужна детерминированная производительность в реальном времени - или максимально близко к этому.
Я нашел, что антивирусное программное обеспечение может использовать существенное количество энергии CPU-cycles/processing особенно при обновлении описаний вирусов и затем установке их. На самом деле я наблюдал машины lock-up/freeze в течение нескольких секунд, почему определения обновляются после их загрузки.
Ожидаемый slow-down/freezing во время антивирусных обновлений недопустим в радио-студийной среде, поскольку он привел бы к безразличности консоли, приводящей к "мертвому воздуху" - тишина на воздухе и изумленном предъявителе. Обновления вируса муравья происходят, как только они сделаны доступными и его предпочтительное для установки их как можно скорее, но это непредсказуемо.
Машина должна быть подключена Интернет так, чтобы:
- Дистанционная работа: этим можно управлять удаленно с помощью VNC для управления станцией или некоторых предъявителей, работающих из дома
- Потоковая передача: это может передать широковещательную передачу потоком к удаленному интернет-радио потоковая передача сервера для Интернета - базирующиеся слушатели
- FTP: это может принять файлы, например, записанные заранее радиопередачи, отчеты, музыку для автоматизированного playout или использования в шоу в прямом эфире. Также для входа предъявителя производит, для загрузки управлением станцией для обзора
- Локальные Сети с другими локальными студийными машинами и офисными машинами, которые подключены к Интернету
Предъявители не будут использовать веб-браузер или электронную почту на этой машине, они используют другую машину. Таким образом, потребность в Интернете по существенным причинам управления.
Таким образом, я предлагаю подключить его к Интернету без антивируса установленный и Windows Updates, который будет запланирован вручную в непиковые времена через другую машину, которая фильтрует трафик и сканирует его для вирусов. Как это могло быть сделано?
7 ответов
Я использовал бы аппаратный брандмауэр для защиты машины и от доступа в Интернет и от доступа интранет. Я аппаратный брандмауэр дам Вам надежность и скорость.
Я запустил бы с машины, блокирующей весь трафик, и затем только позволил бы им IP-адрес, порты, протоколы и направления, которые необходимы, чтобы это работало. Например, если бы не будет никакого веб-перемещения, то я не добавил бы правило к открытому порту 80. Если бы у Вас есть удаленный администратор, я позволил бы порты для VNC в от их IP-адреса. То же для FTP. Таким образом, если Вы не говорите от правильного IP-адреса, Вы заблокированы. Кроме того, если кто-то пытается выйти на машине, и проверять их электронную почту они заблокированы.
Я также установил бы эти правила для остальной части интранет. Я только создал бы правила позволить коммуникацию тем необходимым компьютерам/портам/протоколам. Таким образом, если машина на интранет поставлена под угрозу, ей придется тяжелее для распространения на незащищенную машину.
В основном эта машина была бы в конфигурации демилитаризованной зоны.
Я также выполнил бы Spybot Search & Destroy и SpywareBlaster и иммунизировал бы машину. Нет никакой оперативной стоимости для этого, потому что это не сканирование, но просто параметр конфигурации. Все это делает в основном поместить в черный список элементы управления ActiveX и плохие сайты в Файле hosts. Это может препятствовать тому, чтобы машина была заражена путем препятствования некоторым плохим вещам быть выполненным. Конечно, необходимо было бы позволить через аппаратный брандмауэр способности к машине обновлять. Можно сделать это вручную или белый список те сайты.
Брандмауэр, который Вы выбираете, должен смочь предупредить Вас проблем. Я отметил бы некоторые правила видеть, пытается ли кто-либо сделать что-нибудь, что они не были должны (т.е. проверяющая электронная почта, работа в сети, кто-то делающий попытку доступа к порту FTP (особенно, если оставлено на портах по умолчанию)). Я использую Zywall, который имеет все вышеупомянутые функции, но существуют многие компании. Одной вещью, которую необходимо рассмотреть, является аппаратный брандмауэр, имеют спецификации на пропускной способности. Вы хотите получить брандмауэр, который может обработать информацию достаточно быстро.
Удаленные пользователи могли также VPN в к некоторым брандмауэрам, тот способ, которым Вы не должны публично выставлять некоторые вещи как VNC или FTP.
Кроме того, некоторое программное обеспечение VNC позволит Вам использовать сертификаты для аутентификации. Это могло помочь, потому что это позволит лучшую безопасность, потому что никакое имя пользователя/пароль для предположения и конечный пользователь не могло запустить программное обеспечение, и это будет просто работать (меньше на конечного пользователя для запоминания). В противном случае я рекомендую использовать Keepass и иметь его, генерируют высокий энтропийный пароль, который был бы трудным для машин повредиться.
Я надеюсь эти подсказки справка.
(Кроме того, потому что это - критически важная для бизнеса машина, я отобразил бы систему поэтому, если бы что-то действительно происходило, то Вы могли бы возвратиться к известному хорошему состоянию.)
Компьютер это изолировало достаточно от сети, не может быть заражен.
Пока Вы не совместно используете его жесткие диски, что Вы удаляете любую Microsoft или третье лицо, которое слушает на портах TCP/UDP (таких как IIS), и что существует только одно безопасное рабочее приложение, затем нет никакого способа, которым это может быть заражено.
Заключение: Антивирус не требуется.
Однако я вижу Windows Updates, как являющийся намного большей опасностью для такой жизненной машины, поскольку всегда существует шанс, что это повредит Вашу установку Windows. Я установил бы Windows Updates, чтобы "проверить, но позволить мне выбрать, когда", и удостоверяются, что взяли резервное копирование системы прежде. Это помогло бы в этом случае, чтобы системный диск содержал только систему и приложения, при этом данные хранились на другом диске/разделе. Таким образом, можно взять резервное копирование образа системного диска прежде, чем применить Windows Updates один раз в месяц и быть уверены в случае проблемы способности восстановить рабочую систему.
Я не обеспокоился бы. Антивирус не помогает слишком много, пока Вы не открываете изворотливые почтовые вложения или загружаете много исполняемых файлов. Например, Steve Gibson безопасности Теперь не запускают антивируса.
Наличие маршрутизатора между компьютером и Интернетом намного более важно.
Если бы Вы хотите быть в безопасности, я рекомендовал бы смотреть на Основы Защиты Microsoft. Это - очень быстрая и маленькая антивирусная программа, и это работает очень хорошо.
Я раньше не использовал антивируса и много лет был в безопасности, но факт, MSE и некоторые другие (если Вы проводите немного исследования), не поднимают рядом ни с каким пространством на жестком диске, менее чем 50 МБ памяти и очень низкие циклы CPU, если Вы хотите быть в безопасности, там действительно, не являются причиной не использовать его.
Вполне откровенно говоря, любая машина, которая замедлилась бы из-за (любой) антивирусной программы, я скажу, что в этот день и возраст, не должен быть положен для серьезной продуктивной среды так или иначе.
После этого можно хотеть посмотреть на простое использование Windows Firewall и заблокировать все кроме требуемых портов.
Наконец, Ваша радиопередача, можно хотеть перейти к диспетчеру задач и увеличить приоритет, таким образом, это получает более высокую долю процессорного времени.
запустите свои связанные с сетью виртуализированные приложения (например, в песочнице).
как более решительный подход, Вы можете холодильник системный раздел, этот путь система не может быть повреждена (случайно или иначе) и будет в его нетронутом состоянии после перезапуска.
однако, я не пошел бы полностью без антивирусного программного обеспечения, так как машина соединяется с FTP-серверами. не, что вирус мог возможно влиять на свежезамороженную систему, только по санитарным причинам, которые я предлагаю регулярный (запланированный или вручную) сканирования со сканером командной строки A-sqaured, по крайней мере, покрывая папку загрузки, A-squared является чрезвычайно быстрым и точным и не оказывает значимое влияние на производительность системы во время сканирования. никакая защита в реальном времени или при запуске не сорвет систему.
Если не возможно установить какое-либо антивирусное программное обеспечение, даже что-то столь же легкое как Облачный Антивирус Panda, который не имеет обновления определения, Вы лучше всего вложили бы капитал в брандмауэр выделенного оборудования с подпиской фильтрации контента. Это гарантирует, что все пакеты сканируются для nasties, прежде чем они введут Вашу внутреннюю сеть, независимо от метода, они передаются.
Список в качестве примера таких аппаратных брандмауэров с грубыми затратами может быть найден здесь. Существует также удобный селектор продукта на веб-сайте SonicWALL для давания Вам общее представление о том, какие продукты могут подойти.
Антивирус обычно является последней линией обороны. Хороший брандмауэр более важен в останавливающихся заражениях, которые могли произойти без любого вмешательства пользователя. Если бы аппаратный брандмауэр не является опцией, Windows Firewall лучше чем ничего, и должен был бы, конечно, быть настроен для предоставления доступа к желаемым сетевым приложениям.