如何通过受保护的 Windows 机器将无法安装防病毒软件（由于实时需求）的 Windows 机器安全地连接到互联网？

我会使用硬件防火墙来保护机器免受互联网和内联网访问的影响。硬件防火墙将为您提供可靠性和速度。

我会先阻止机器的所有流量，然后只允许那些需要运行的 IP 地址、端口、协议和方向。例如，如果没有网络浏览，那么我不会添加规则来打开端口 80。如果您有远程管理员，我会允许 VNC 端口从他们的 IP 地址进入。FTP 也是如此。这样，如果您没有从正确的 IP 地址通话，您就会被阻止。此外，如果有人试图通过机器查看他们的电子邮件，他们也会被阻止。

我还会为内联网的其余部分设置这些规则。我只会创建允许与需要的计算机/端口/协议进行通信的规则。这样，如果内联网上的某台机器受到攻击，它将更难传播到未受保护的机器。

基本上，这台机器将处于 DMZ 配置。

我也会跑Spybot 搜索和摧毁和间谍软件冲击波并使机器免疫。这不会产生任何实际时间成本，因为它不是扫描，而只是配置设置。它所做的基本上就是将 Hosts 文件中的 ActiveX 控件和不良站点列入黑名单。这可以通过阻止执行某些不良操作来防止机器受到感染。当然，您必须通过硬件防火墙允许机器更新。您可以手动执行此操作或将这些站点列入白名单。

您选择的防火墙应该能够提醒您问题。我会标记一些规则，以查看是否有人试图做他们不应该做的事情（例如，检查电子邮件、浏览网页、有人试图访问 FTP 端口（尤其是如果保留在默认端口上））。我使用具有上述所有功能的 Zywall，但有很多公司。您应该考虑的一件事是硬件防火墙对吞吐量有规范。您希望获得能够足够快地处理信息的防火墙。

远程用户还可以通过 VPN 进入某些防火墙，这样您就不必公开展示 VNC 或 FTP 之类的东西。

此外，一些 VNC 软件允许您使用证书进行身份验证。这可能会有所帮助，因为它可以提供更好的安全性，因为无需猜测用户名/密码，最终用户可以运行该软件，它会正常工作（最终用户需要记住的更少）。如果没有，我建议使用Keepass并让它生成一个机器难以破解的高熵密码。

我希望这些建议能有所帮助。

（此外，因为这是一台关键业务机器，所以我会对系统进行映像处理，这样如果确实发生了什么事情，你就可以恢复到已知的良好状态。）

与网络足够隔离的计算机不会受到感染。

只要您不共享其硬盘，卸载任何侦听 TCP/UDP 端口的 Microsoft 或第三方（例如 IIS），并且只有一个安全的工作应用程序，那么它就不可能被感染。

结论：不需要防病毒软件。

然而，我认为 Windows 更新对如此重要的机器来说是一个更大的危险，因为它总是有可能破坏您的 Windows 安装。我会将 Windows 更新设置为“检查但让我选择何时”，并确保在此之前备份系统。在这种情况下，系统磁盘只包含系统和应用程序，数据存储在另一个磁盘/分区上会有所帮助。这样，您可以在每月应用一次 Windows 更新之前对系统磁盘进行映像备份，并确保在出现问题时能够恢复正常工作的系统。

我不会费心。只要你没有打开可疑的电子邮件附件或下载大量可执行文件，防病毒软件就没什么用。例如，安全部门的 Steve Gibson 现在不要运行任何杀毒软件。

在计算机和互联网之间配备路由器更为重要。

以虚拟化方式运行与 Web 相关的应用程序（例如沙箱）。

作为一种更激进的方法，你可以深度冻结系统分区，这样系统就不会被损坏（意外或其他原因），并且在重启后将处于原始状态。

但是，由于机器正在连接到 FTP 服务器，我不会完全不使用防病毒软件。病毒可能不会影响深度冻结的系统，只是出于卫生原因，我建议定期（计划或手动）扫描A-squared 命令行扫描仪，至少覆盖下载文件夹，A-squared 非常快速和准确，并且在扫描期间对系统性能没有明显影响。没有访问或实时保护会拖慢系统。