如何通过受保护的 Windows 机器将无法安装防病毒软件(由于实时需求)的 Windows 机器安全地连接到互联网?

如何通过受保护的 Windows 机器将无法安装防病毒软件(由于实时需求)的 Windows 机器安全地连接到互联网?

我有一台基于 Windows 的机器,无法安装防病毒软件,因为安装防病毒软件会影响机器作为现场广播工作室混音控制台控制器的性能。此设置是商用系统,不是我自己构建的。

我相信这个问题的价值不仅仅在于广播电台的应用,还在于其他需要确定性实时性能的领域——或者尽可能接近这种性能。

我发现防病毒软件会占用大量 CPU 周期/处理能力,尤其是在更新病毒定义并安装它们时。事实上,我观察到机器在下载定义后会锁定/冻结几秒钟,这是因为定义会更新。

在广播演播室环境中,防病毒更新期间预期的减速/冻结是不可接受的,因为这会导致控制台无响应,从而导致“死气沉沉”——广播中一片寂静,主持人不知所措。防病毒更新一经推出就会立即进行,最好尽快安装,但这是不可预测的。

机器需要连接互联网以便:

  • 远程控制:可以使用 VNC 进行远程控制,用于站点管理或一些在家工作的演示者
  • 流媒体:它可以将广播流式传输到异地互联网广播流媒体服务器,供互联网听众收听
  • FTP:它可以接受文件,例如预先录制的广播节目、报告、用于自动播放或用于现场表演的音乐。还可用于记录主持人输出,供电台管理人员下载以供审查
  • 与连接到互联网的其他现场工作室机器和办公室机器进行本地联网

演讲者不会在这台机器上使用网页浏览器或电子邮件,他们会使用另一台机器。因此,需要互联网是出于必要的管理原因。

因此,我建议将其连接到互联网,无需安装防病毒软件,也无需在非高峰时间手动安排 Windows 更新,而是通过另一台过滤流量并扫描病毒的机器。如何做到这一点?

答案1

我会使用硬件防火墙来保护机器免受互联网和内联网访问的影响。硬件防火墙将为您提供可靠性和速度。

我会先阻止机器的所有流量,然后只允许那些需要运行的 IP 地址、端口、协议和方向。例如,如果没有网络浏览,那么我不会添加规则来打开端口 80。如果您有远程管理员,我会允许 VNC 端口从他们的 IP 地址进入。FTP 也是如此。这样,如果您没有从正确的 IP 地址通话,您就会被阻止。此外,如果有人试图通过机器查看他们的电子邮件,他们也会被阻止。

我还会为内联网的其余部分设置这些规则。我只会创建允许与需要的计算机/端口/协议进行通信的规则。这样,如果内联网上的某台机器受到攻击,它将更难传播到未受保护的机器。

基本上,这台机器将处于 DMZ 配置。

我也会跑Spybot 搜索和摧毁间谍软件冲击波并使机器免疫。这不会产生任何实际时间成本,因为它不是扫描,而只是配置设置。它所做的基本上就是将 Hosts 文件中的 ActiveX 控件和不良站点列入黑名单。这可以通过阻止执行某些不良操作来防止机器受到感染。当然,您必须通过硬件防火墙允许机器更新。您可以手动执行此操作或将这些站点列入白名单。

您选择的防火墙应该能够提醒您问题。我会标记一些规则,以查看是否有人试图做他们不应该做的事情(例如,检查电子邮件、浏览网页、有人试图访问 FTP 端口(尤其是如果保留在默认端口上))。我使用具有上述所有功能的 Zywall,但有很多公司。您应该考虑的一件事是硬件防火墙对吞吐量有规范。您希望获得能够足够快地处理信息的防火墙。

远程用户还可以通过 VPN 进入某些防火墙,这样您就不必公开展示 VNC 或 FTP 之类的东西。

此外,一些 VNC 软件允许您使用证书进行身份验证。这可能会有所帮助,因为它可以提供更好的安全性,因为无需猜测用户名/密码,最终用户可以运行该软件,它会正常工作(最终用户需要记住的更少)。如果没有,我建议使用Keepass并让它生成一个机器难以破解的高熵密码。

我希望这些建议能有所帮助。

(此外,因为这是一台关键业务机器,所以我会对系统进行映像处理,这样如果确实发生了什么事情,你就可以恢复到已知的良好状态。)

答案2

与网络足够隔离的计算机不会受到感染。

只要您不共享其硬盘,卸载任何侦听 TCP/UDP 端口的 Microsoft 或第三方(例如 IIS),并且只有一个安全的工作应用程序,那么它就不可能被感染。

结论:不需要防病毒软件。

然而,我认为 Windows 更新对如此重要的机器来说是一个更大的危险,因为它总是有可能破坏您的 Windows 安装。我会将 Windows 更新设置为“检查但让我选择何时”,并确保在此之前备份系统。在这种情况下,系统磁盘只包含系统和应用程序,数据存储在另一个磁盘/分区上会有所帮助。这样,您可以在每月应用一次 Windows 更新之前对系统磁盘进行映像备份,并确保在出现问题时能够恢复正常工作的系统。

答案3

我不会费心。只要你没有打开可疑的电子邮件附件或下载大量可执行文件,防病毒软件就没什么用。例如,安全部门的 Steve Gibson 现在不要运行任何杀毒软件

在计算机和互联网之间配备路由器更为重要。

答案4

以虚拟化方式运行与 Web 相关的应用程序(例如沙箱)。

作为一种更激进的方法,你可以深度冻结系统分区,这样系统就不会被损坏(意外或其他原因),并且在重启后将处于原始状态。

但是,由于机器正在连接到 FTP 服务器,我不会完全不使用防病毒软件。病毒可能不会影响深度冻结的系统,只是出于卫生原因,我建议定期(计划或手动)扫描A-squared 命令行扫描仪,至少覆盖下载文件夹,A-squared 非常快速和准确,并且在扫描期间对系统性能没有明显影响。没有访问或实时保护会拖慢系统。

相关内容