我们有一些现成的 OCR 软件,我们将使用这些软件自动处理全天候通过传真发送给我们的某些客户表格。OCR 流程需要全天候运行,但我们的软件没有作为服务安装的选项,因此用户需要登录才能“查看”文件夹或队列以查找要处理的项目。
我一直非常热衷于在不直接管理 Windows 服务器时注销它们,但运行 OCR 软件的文件夹监视功能将要求我始终让安装该软件的服务器处于登录和锁定状态。从安全角度来看,我知道这会将帐户名称泄露给任何可以物理访问服务器的人(因为当您解锁时它会填写登录用户的名称),我将采取一些相应的措施来进一步确保物理访问的安全,但我想知道是否有人对在我们的 LAN 上始终登录运行 Windows Server(在本例中为 2003)的风险(特别是安全性,因为性能在本例中不太可能成为问题)有其他警告或建议。
答案1
把它放到虚拟机中。这样,进程就可以在后台运行,用户就无法触碰不该触碰的部分。
答案2
您可以通过设置“计算机配置\Windows 设置\安全设置\本地策略\安全选项\交互式登录:会话锁定时显示用户信息”来避免显示锁定用户的登录名。此处的漏洞是,显示名称允许查看控制台或通过 RDP 连接到控制台的人查看用户名。您还应将远程访问限制为仅允许那些允许登录服务器的用户。
答案3
任何能够直接物理访问服务器的人都能够入侵服务器。在这种情况下,他甚至不需要知道任何用户名。
因此,锁定服务器/PC 与将其“注销”一样安全。