应该采取哪些措施来确保在networking上运行Windows 7和专有应用程序的信息亭?
该亭需要能够通过端口443打出去的电话。我正在从等式两边寻求build议。 确保networking安全,确保自助服务机上运行的操作系统。
我认为networking所有者和信息亭硬件的所有者之间在安全性和信息亭function方面必须达成一定的平衡。
您可以使用瘦客户端而不是PC,并使用Citrix或terminal服务,这消除了将PC放置在公共场所的诸多风险。
但是,如果您必须使用PC,请考虑以下事项:
1)这听起来像你不需要运行许多应用程序,所以从组策略locking工作站,只运行特定的允许的应用程序。
2)将Windows防火墙configuration为除了基本域连接,更新,AV等之外,仅允许input/输出该应用程序。
3)删除CD / DVD /软盘? 从工作站驱动器,并禁用USB海量存储驱动程序,以帮助防止物理规避。 您也可以在工作站上放置电缆锁,或者将电脑放置在configuration了WOL的锁柜中,以便在电源松动时远程重新启动。
4)将工作站configuration为不在本地caching密码,并且在工作站被盗的情况下不要login到具有特权域帐户的工作站。
5)其他组策略可以configuration为禁止访问硬盘驱动器,限制开始菜单程序等。其中许多可在用户configuration – >pipe理模板 – >开始菜单和任务栏
6)考虑将自助服务terminal放置在自己的子网上,并通过防火墙或至less在路由器上限制访问networking的其余部分,以便他们只能访问您select的端口上的服务器。
7)考虑在交换机和PC上设置dot1x身份validation,以防止有人拔掉电脑并插入笔记本电脑,以获得不受限制的访问。