the*_*now 2 windows proxy real-time anti-virus
我有一台基于 Windows 的机器,它无法安装防病毒软件,因为这会对机器在现场广播工作室混音控制台中作为控制器的角色产生性能影响。此设置是一种商用系统,而不是我自己构建的系统。
我相信这个问题的价值超出了广播无线电中的应用,对于需要确定性实时性能的其他领域 - 或尽可能接近。
我发现防病毒软件可以使用大量的 CPU 周期/处理能力,尤其是在更新病毒定义然后安装它们时。事实上,我观察到机器锁定/冻结几秒钟,为什么在下载后更新定义。
在广播演播室环境中,防病毒更新期间预期的减速/冻结是不可接受的,因为这会导致控制台无响应,从而导致“死气沉沉” - 广播沉默和演示者困惑。防病毒更新一旦可用就会发生,最好尽快安装它们,但这是不可预测的。
机器需要连接到互联网,以便:
演示者不会在这台机器上使用网络浏览器或电子邮件,他们使用另一台机器。因此,对互联网的需求是出于必要的管理原因。
因此,我建议将它连接到互联网,无需安装防病毒软件,并在非高峰时间通过另一台过滤流量并扫描病毒的机器手动安排 Windows 更新。这怎么可能?
我会使用硬件防火墙来保护机器免受 Internet 访问和 Intranet 访问。I 硬件防火墙将为您提供可靠性和速度。
我会从阻止所有流量的机器开始,然后只允许它工作所需的那些 IP 地址、端口、协议和方向。例如,如果没有网上冲浪,那么我就不会添加打开80端口的规则。如果您有远程管理员,我会允许 VNC 的端口从他们的 IP 地址进入。FTP 也一样。这样,如果您不是从正确的 IP 地址讲话,您就会被阻止。此外,如果有人试图在机器上查看他们的电子邮件,他们会被阻止。
我还会为 Intranet 的其余部分设置这些规则。我只会创建规则以允许与所需的那些计算机/端口/协议进行通信。这样,如果 Intranet 上的一台机器受到威胁,它就会更难传播到未受保护的机器上。
基本上,这台机器将采用 DMZ 配置。
我还会运行Spybot Search & Destroy和SpywareBlaster并使机器免疫。这没有实时成本,因为它不是扫描,而只是配置设置。所有这些基本上都是在 Hosts 文件中将 ActiveX 控件和不良站点列入黑名单。这可以通过阻止一些不好的事情被执行来防止机器被感染。当然,您必须通过硬件防火墙允许机器更新的能力。您可以手动执行此操作或将这些站点列入白名单。
您选择的防火墙应该能够提醒您出现问题。我会标记一些规则,看看是否有人试图做任何他们不应该做的事情(即检查电子邮件、上网、有人试图访问 FTP 端口(特别是如果保留在默认端口上))。我使用具有上述所有功能的 Zywall,但有很多公司。您应该考虑的一件事是硬件防火墙对吞吐量有规范。您希望获得能够足够快地处理信息的防火墙。
远程用户也可以通过 VPN 连接到一些防火墙,这样你就不必公开暴露一些东西,比如 VNC 或 FTP。
此外,某些 VNC 软件将允许您使用证书进行身份验证。这可能会有所帮助,因为它将提供更好的安全性,因为没有用户名/密码可以猜测,最终用户可以运行该软件并且它会正常工作(最终用户记住的更少)。如果没有,我建议使用Keepass并让它生成一个机器难以破解的高熵密码。
我希望这些提示有所帮助。
(此外,因为这是一台关键业务机器,我会对系统进行映像,因此如果确实发生了某些事情,您可以恢复到已知的良好状态。)
| 归档时间: |
|
| 查看次数: |
399 次 |
| 最近记录: |