我的公司生产运行 Windows CE 的设备,必须通过客户的互联网连接才能连接到我们的网站。我们向具有各种网络配置和安全需求的各种客户销售这些设备。
这些设备让那些我们销售这些设备的公司的 IT 部门感到担忧,这是理所当然的。他们担心管理数百台设备的代理设置,担心这些设备可能会将病毒或其他安全风险下载到他们的网络中,担心这些设备运行 Windows,担心这些设备会下载软件更新,等等……
我能想到的最好的类比是,一家企业拥有大量连接到互联网的 Tivo。企业需要这些设备,但 IT 部门并不希望它们接入网络。
我们可以做些什么来减轻 IT 部门的担忧,并使配置工作量最小化。如果我们可以通过 VPN 之类的东西将它们引导到连接到公司代理服务器的单个服务器上,这样可以吗?
我对网络只了解一点点,但解决这个问题仍然是我的工作,因此非常感谢任何帮助。
答案1
如果我是负责运行这些设备的网络的管理员,我会很高兴如果您提供一个单独的“更新”服务,我可以运行该服务,这是唯一可以与您的网站对话的主机(使其更容易控制和维护) - 然后这些设备将(最好通过 dhcp 选项远程)配置为与我控制的这个更新服务主机对话。
如果设备下载的软件数量足够多,那么如果此更新服务能够缓存这些软件,那么其他任何请求相同下载的设备都可以从更新服务中获取这些软件,那就太好了。就像任何本地安装的防病毒镜像或 Windows 更新服务 (WUS) 一样。
答案2
Microsft System Management Server 2003 有一个设备功能包插件,可以为平台提供 Windows CE 设备管理功能。
http://technet.microsoft.com/en-us/sms/bb676769.aspx
设备管理功能包提供以下功能:
- 硬件清单
- 软件清单
- 文件收集
- 软件分发
- 设置管理
- 密码策略管理
部署此产品或与 SMS 最新版本相当的产品应该可以为您提供 Windows CE 设备所需的所有管理功能。
答案3
作为管理员,如果您能做到以下几点我会非常高兴:
- 将设备锁定到完成其工作所需的最低限度(操作系统、硬件、端口、服务)
- 提供一份其用于通信的具体端口列表
- 研究企业工具 (WSUS、AV),并确保我知道我可以将您的设备与我的整体战略相结合
- 尽可能禁止用户更改设置(或安装软件)(如果它是单一用途的设备)
如果没有关于设备需要做什么的更多细节,就很难说。只需考虑攻击面和用户可能为了破坏我的网络而做的最愚蠢的事情。例如,CE 设备是否有端口(USB、火线)——它们需要这些端口吗?——如果没有,你能锁定它们吗?
答案4
首先,我想说,如果你要销售产品的公司以某种方式抱怨 Windows 存在问题,那么你永远都不会赢。这些人真的认为隔壁的孩子比价值数十亿美元的软件公司更了解安全。至于管理方面的担忧,你必须解释组策略和 WMI 等概念,这些概念将允许他们通过 1 个查询或设置管理数千台设备。此外(无需了解你销售的设备的任何具体信息),你可以解释说,该设备可以设置为仅运行在其上运行的应用程序所需的可执行文件。关于病毒方面的担忧,我想解释的是,只有用户实际安装并运行病毒时,病毒才会执行(我的理解是,有 4 种病毒,其中 3 种需要用户干预才能运行,第 4 种是 DOS 攻击)。希望你能保证你自己的服务器不会成为感染点,并且你使用 EV 证书来消除欺骗问题。就我个人而言,如果您向我出售一堆基于 Linux 的设备,我会更加担心,因为它们将是一场管理噩梦,而且几乎任何东西都可以安装在它们上面。您不一定需要任何额外的软件来管理这些设备,但拥有活动目录的客户端已经具有管理优势。对于那些没有活动目录的客户端,我会预先开发一些执行常见管理功能的 powershell 或 VBscript,并将它们提供给任何想要或需要它们的客户。