服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在将联网的第三方Windows CE设备添加到networking时,我们如何减轻安全隐患?
Intereting Posts
如何检测哪个帐户正在发送垃圾邮件 防止用户隐藏Windows更新 vSphere网卡configuration? Kerberos身份validation,服务主机和对KDC的访问 不一致的域名从主机名-f和域名 在双WAN路由器中通过WAN2隧道SSH和数据库端口 忘记帐户密码 如何使用munin监视不同networking中的服务器? 在启动时启动Corosync 2.X + Pacemaker 1.1集群(Debian Wheezy) LVM – 在相同物理卷内的逻辑卷之间移动数据 通过Active Directory拆分Horizo​​n DNS? 重新启动服务器后,Mysql不能开始工作 当使用proxy_pass到Apache时,Nginx会在Host头之前忽略HTTP头 在Nagios服务检查上设置临时check_interval 在同一networking中获取IP地址和计算机名称

在将联网的第三方Windows CE设备添加到networking时,我们如何减轻安全隐患?

我的公司生产运行Windows CE的设备,并且必须通过客户的互联网连接到我们的网站。 我们通过多种networkingconfiguration和安全需求将这些设备出售给各种客户。

这些设备担心我们出售给他们的公司的IT部门,这样做是正确的。 他们担心在数百台设备上pipe理代理设置,他们可能会将病毒或其他安全风险下载到他们的networking,运行Windows,关于下载软件更新的设备,等等。

我能想到的最好的比喻是有一大堆Tivos连接到互联网的企业。 这些设备存在业务需求,但IT并不真正需要它们在networking上。

我们可以做些什么来缓解IT部门的担忧并使configuration成为最小的工作。 如果我们可以通过像VPN这样的东西将它们汇集到连接到公司代理服务器的单个服务器上,那么会这样做吗?

我只知道一些关于networking的知识,但解决这个问题仍然是我的工作,所以任何帮助都是深深的赞赏。

如果我是负责运行这些设备的networking的pipe理员,我会很高兴,如果你提供了一个单独的“更新”服务,我可以运行,这是唯一的主机,要与你的网站谈话(使得更容易控制和维护) – 然后设备将(最好是远程的DHCP选项)configuration为与此更新服务主机进行通信,以便对其进行控制。

如果这些设备以任何有意义的数量下载软件,那么如果这个更新服务能够caching这个,那么请求相同下载的任何其他设备将仅从更新服务中获取它,这将是整洁的。 就像任何本地安装的防病毒镜像工作,或Windows更新服务(WUS)。

Microsft系统pipe理服务器2003有一个设备function包加载项,为平台提供Windows CE设备pipe理function。

http://technet.microsoft.com/en-us/sms/bb676769.aspx

设备pipe理function包提供以下function:

  • 硬件清单
  • 软件清单
  • 文件收集
  • 软件分发
  • 设置pipe理
  • 密码策略pipe理

为最新版本的SMS部署此产品或同等产品应为您提供Windows CE设备所需的所有pipe理function。

作为pipe理员,如果您能够:

  • 将设备locking到最低限度,它需要完成其工作(操作系统,硬件,端口,服务)
  • 为我提供一个确切的通讯端口列表
  • 研究企业工具(WSUS,AV),并确保我知道我可以将您的设备与我的整体策略相集成
  • 尽可能将用户locking在更改设置(或安装软件)之外(如果是单用途设备)

没有关于设备需要做什么的更多细节,很难说过去。 考虑一下攻击面,以及用户可能做的最愚蠢的事情来破坏我的networking。 例如,CE设备有端口(USB,火线) – 他们需要它们吗? – 如果没有,你可以locking他们吗?

我会细分networking,以使无线设备能够访问互联网(这是大多数人正在寻找的),并且拒绝任何对内部networking的访问。

有时候可以说不。

首先我要说的是,如果你所销售的公司以某种方式抱怨问题中的窗户,你永远不会赢。 这些人真的认为隔壁的孩子比那十亿美元的软件公司更了解安全。 就pipe理方面的担忧而言,您必须解释像组策略和WMI这样的概念,这将允许他们使用1个查询或设置来pipe理数千个设备。 另外(不知道你销售的设备具体是什么),你可以解释设备可以被设置为只运行在其上运行的应用程序所需的可执行文件。 关于病毒的担心,我会解释一下,只有当用户真正安装并运行病毒时(我的理解是有4个和3个需要用户干预才能运行第四个DOS攻击),病毒才能被执行。 希望你能够保证你自己的服务器不会成为感染点,你可以使用EV证书来消除欺骗问题。 就个人而言,如果你卖给我一堆基于Linux的设备,我会更加担心,因为它们会成为pipe理上的噩梦,而任何东西都可以安装在它们身上。 您不一定需要任何额外的软件来pipe理这些设备,但具有活动目录的客户端已经具有pipe理优势。 对于那些不想预先开发一些执行常见pipe理function的PowerShell或VBscripts,并将它们提供给任何想要或需要它们的客户。

就configuration方面而言,还有可用于pipe理数千个Windows CE设备的工具。

至less有一家我知道的公司Odyssey Software(www.odysseysoftware.com),它有一个名为Athena的产品,它可以与Microsoft System Management Server连接,并且可以远程pipe理这些设备,包括远程桌面一个VNC)给他们。

雅典娜的问题是它是一个框架,而不是一个开箱即用的产品,你可以用它来pipe理你的设备。 它需要大量的开发来创build一个全面的远程监控/configuration应用程序。

有些公司已经将雅典娜整合到一个产品中,并将其出售。 奥德赛可以指导你。 你的微软代表也应该能够让你更多地了解Windows CE的远程configuration。

也就是说,只要您有兴趣让公司远程pipe理设备的configuration。 如果他们在企业防火墙后面(希望如果防火墙是好的),您可以自己远程pipe理设备。

与微软公司推出WSUS时一样 。

制作一个服务器组件,可以在客户公司networking内的主机上运行。 该服务器将成为CE设备的中央pipe理主机。 服务器将负责与您的网站连接,CE设备将与此中央服务器通话。

鉴于这些设备在客户的场所,需要“回家”到您的网站,我会:

  • 将networking分段,使这些设备位于独立的DMZ中,无法访问客户的内部networking。 如果他们的function没有被详细阐述,就不需要访问客户的networking。 如果他们“像TiVos”一样,那就是事实:他们有一个function,他们需要互联网,但他们不需要知道或关心客户的其他networking。

  • 为客户提供定义数量的端口和IP以configuration这些设备出站,并且不允许访问入站。 可能,他们需要http或https到你的web服务器,而不是别的。 客户可以在防火墙上对这些设备进行configuration,以保护这些设备“活着”

  • configuration设备以自动检测代理设置。 协助那些要求使用networking代理的客户设置PAC文件和“wpad”主机名以进行自动检测,假定设备使用IE连接到您的Web服务器。 有很多关于如何设置的步骤。 通过这种方式,代理设置不需要在“100个设备”上configuration,所需要的只是托pipePAC文件的wpad位置,以便设备可以发现代理。

  • 我假设设备将在客户networking中使用DHCP? 基本networkingconfiguration如何处理?

  • 软件更新 – 减轻客户的负担。 configuration这些设备,以便可以将更新推送给它们。 在这个线程的SMS答案看起来像一个很好的解决scheme。

  • 正如在线程中已经指出的那样,强化设备 – closures所有符合要求的Windows CE服务。 想出一个Windows CEconfiguration,为您提供应用程序所需的所有function,除此之外,

控制可以连接到主机的服务是关键。 你不想有任何端口可连接,除非你明确需要它的function(RDP,VNC,HTTP等)。 如果您可以通过常见软件(IIS,MSSQL等)远程利用设备来保护设备,您可以让客户在设备上运行所需的任何漏洞扫描,以确保其不会助长恶意软件的传播。