应采取哪些步骤来保护运行 Windows 7 的信息亭和网络上的专有应用程序的安全?
自助服务终端需要能够通过端口 443 拨打电话。我正在寻求双方的建议。既要确保网络安全,又要确保自助服务终端本身运行的操作系统的安全。
我认为,在安全性和信息亭功能方面,网络所有者和信息亭硬件所有者之间必须实现某种平衡。
答案1
您可能可以使用瘦客户端而不是 PC,并使用 Citrix 或终端服务,这消除了将 PC 放置在公共场所的许多风险。
但如果必须使用 PC,请考虑以下事项:
1)听起来您不需要运行很多应用程序,因此首先使用组策略锁定工作站以仅运行特定的允许应用程序。
2)配置 Windows 防火墙,除了基本域连接、更新、AV 等之外,只允许该应用程序进出。
3) 从工作站移除 CD/DVD/软盘驱动器并禁用 USB 大容量存储驱动程序,以帮助防止物理绕过。您也可以在工作站上放置一个电缆锁,或者将 PC 放在带锁的柜子中并配置 WOL,这样如果断电,您就可以远程将其恢复。
4)配置工作站不要在本地缓存密码,并且不要使用特权域帐户登录工作站,以防工作站被盗。
5)可以配置其他组策略以禁止访问硬盘驱动器、限制开始菜单程序等。其中许多可以在用户配置 -> 管理模板 -> 开始菜单和任务栏下找到
6)考虑将信息亭放在自己的子网上,并通过防火墙或至少路由器上的 ACL 限制对网络其余部分的访问,以便它们只能访问您选择的端口上的服务器。
7)考虑在交换机和PC上设置dot1x身份验证,以防止有人拔下PC电源并插入笔记本电脑以获得不受限制的访问权限。