Как безопасно подключить компьютер с Windows, на котором не может быть антивирус (из-за требований реального времени), к Интернету через компьютер с защитой Windows?

Question

У меня есть компьютер под управлением Windows, на котором не может быть установлен антивирус из-за влияния на производительность, которое может повлиять на роль компьютера в качестве контроллера в микшерной консоли в режиме реального времени. Эта установка является коммерчески доступной системой, а не той, которую я сам создаю.

Я считаю, что этот вопрос имеет ценность не только для применения в радиовещании, для других областей, которые нуждаются в детерминированной производительности в реальном времени - или настолько близки к этому, насколько это возможно.

Я обнаружил, что антивирусное программное обеспечение может использовать значительное количество циклов ЦП / вычислительной мощности, особенно при обновлении определений вирусов и их последующей установке. Фактически я наблюдал, как машины зависали / зависали в течение нескольких секунд, поэтому определения обновляются после их загрузки.

Ожидаемое замедление / зависание во время антивирусных обновлений недопустимо в среде радиостудии, так как это приведет к невосприимчивости консоли, что приведет к "мертвому воздуху" - тишина в эфире и изумленный ведущий. Обновления антивируса происходят, как только они становятся доступными, и их желательно устанавливать как можно скорее, но это непредсказуемо.

К машине нужно подключить интернет так, чтобы:

• Удаленное управление: им можно управлять удаленно, используя VNC для управления станцией или некоторых докладчиков, работающих из дома
• Потоковое вещание: оно может передавать потоковое вещание на сторонний сервер потокового интернет-радио для слушателей на базе Интернета.
• FTP: он может принимать файлы, например, предварительно записанные радиопередачи, отчеты, музыку для автоматического воспроизведения или использования в прямом эфире. Также для регистрации выходных данных докладчика, для загрузки руководством станции для просмотра
• Локальная сеть с другими локальными студийными и офисными машинами, подключенными к Интернету

Докладчики не будут использовать веб-браузер или электронную почту на этом компьютере, они используют другой компьютер. Таким образом, потребность в интернете по существенным причинам управления.

Поэтому я предлагаю подключить его к Интернету без установки антивируса и обновлений Windows, которые планируется планировать вручную в непиковое время, через другую машину, которая фильтрует трафик и проверяет его на наличие вирусов. Как это можно сделать?

Answer 1

Я бы использовал аппаратный брандмауэр для защиты компьютера как от доступа в Интернет, так и от доступа к интрасети. Я аппаратный брандмауэр даст вам надежность и скорость.

Я бы начал с того, что машина заблокировала весь трафик, а затем разрешил только те IP-адреса, порты, протоколы и направления, которые необходимы для ее работы. Например, если не будет веб-серфинга, я бы не стал добавлять правило для открытия 80-го порта. Если у вас есть удаленный администратор, я бы разрешил порты для VNC с их IP-адреса. То же самое для FTP. Таким образом, если вы не говорите с правильного IP-адреса, вы заблокированы. Кроме того, если кто-то пытается выйти на компьютер и проверить свою электронную почту, он блокируется.

Я также установил бы эти правила для остальной части внутренней сети. Я только создал бы правила, чтобы позволить связь с теми компьютерами / портами / протоколами, которые необходимы. Таким образом, если машина в интрасети скомпрометирована, ей будет труднее распространиться на незащищенную машину.

По сути, эта машина будет в конфигурации DMZ.

Я также запустил бы Spybot Search & Destroy и SpywareBlaster и иммунизировал машину. Это не требует затрат в реальном времени, потому что это не сканирование, а просто настройка конфигурации. Все, что он делает, - это в основном черный список элементов управления ActiveX и плохих сайтов в файле Hosts. Это может предотвратить заражение компьютера, предотвращая выполнение некоторых плохих действий. Конечно, вы должны были бы разрешить через аппаратный брандмауэр возможность обновления машины. Вы можете сделать это вручную или белый список этих сайтов.

Выбранный вами брандмауэр должен быть в состоянии предупредить вас о проблемах. Я бы пометил некоторые правила, чтобы увидеть, пытается ли кто-либо сделать что-то, что он не должен делать (например, проверять электронную почту, просматривать веб-страницы, кто-то пытается получить доступ к порту FTP (особенно если он оставлен на портах по умолчанию)). Я использую Zywall, который имеет все вышеперечисленные функции, но есть много компаний. Одна вещь, которую вы должны учитывать, это то, что аппаратный брандмауэр имеет спецификации пропускной способности. Вы хотите получить брандмауэр, который может обрабатывать информацию достаточно быстро.

Удаленные пользователи также могут подключаться к VPN через некоторые брандмауэры, так что вам не нужно публично выставлять такие вещи, как VNC или FTP.

Кроме того, некоторые программы VNC позволят вам использовать сертификаты для аутентификации. Это может помочь, потому что это обеспечит лучшую безопасность, потому что имя пользователя / пароль не будут угадываться, и конечный пользователь сможет запустить программное обеспечение, и оно будет работать (меньше для конечного пользователя, чтобы помнить). Если нет, я рекомендую использовать Keepass и генерировать высокий энтропийный пароль, который будет трудно взломать.

Я надеюсь, что эти советы помогут.

(Кроме того, поскольку это критически важная для бизнеса машина, я хотел бы создать образ системы, чтобы, если что-то произошло, вы могли вернуться в известное исправное состояние.)

Answer 2

Компьютер, который достаточно изолирован от сети, не может быть заражен.

Если вы не используете общие жесткие диски, не удаляете Microsoft или сторонние устройства, которые прослушивают порты TCP/UDP (например, IIS), и что существует только одно безопасное рабочее приложение, то нет никакого способа, которым оно может заразиться

Вывод: антивирус не требуется.

Тем не менее, я вижу, что обновления Windows представляют гораздо большую опасность для такого жизненно важного компьютера, поскольку всегда есть вероятность, что он нарушит вашу установку Windows. Я бы установил Обновления Windows на «проверить, но позвольте мне выбрать, когда», и обязательно сделаю резервную копию системы раньше. В этом случае было бы полезно, если бы системный диск содержал только систему и приложения, а данные сохранялись на другом диске / разделе. Таким образом, вы можете сделать резервную копию образа системного диска перед применением обновлений Windows один раз в месяц и быть уверенным в случае возникновения проблемы с возможностью восстановления работающей системы.

Answer 3

Я бы не стал беспокоиться. Антивирус не слишком помогает, если вы не открываете хитрые вложения электронной почты или загружаете много исполняемых файлов. Например, Стив Гибсон из Security Now не использует антивирус.

Наличие роутера между компьютером и интернетом гораздо важнее.

Answer 4

Если вы хотите быть в безопасности, я бы порекомендовал вам взглянуть на Microsoft Security Essentials. Это очень быстрая и небольшая антивирусная программа, которая работает очень хорошо.

Раньше я не использовал антивирус и был безопасным в течение многих лет, но дело в том, что MSE и некоторые другие (если вы немного изучите) занимают почти не место на жестком диске, менее 50 МБ памяти и очень низкие циклы ЦП. Если вы хотите быть в безопасности, на самом деле нет причин не использовать его.

Откровенно говоря, любая машина, которая будет работать из-за (любой) антивирусной программы, я бы сказал, что в наши дни не следует полагаться на серьезную производственную среду в любом случае.

После этого вы можете захотеть просто использовать брандмауэр Windows и заблокировать все, кроме необходимых портов.

Наконец, в вашей радиопрограмме вы можете перейти к диспетчеру задач и увеличить приоритет, чтобы он занимал более высокую долю процессорного времени.

Answer 5

виртуализировать ваши веб-приложения (например, в песочнице).

в качестве более радикального подхода вы можете заморозить системный раздел, чтобы система не могла быть повреждена (случайно или иначе) и после перезапуска будет в своем первоначальном состоянии.

Впрочем, без антивирусного ПО я бы не обошелся, так как машина подключается к FTP-серверам. не то, чтобы вирус мог повлиять на глубоко замерзшую систему, просто по санитарным соображениям я предлагаю регулярные (по расписанию или вручную) сканирования с помощью сканера командной строки A-sqaured, по крайней мере, охватывающего папку загрузки, A-squared является чрезвычайно быстрым и точным и не не оказывает заметного влияния на производительность системы во время сканирования. никакая защита при доступе или защита в реальном времени не приведет к сбою системы.

Answer 6

Если невозможно установить какое-либо антивирусное программное обеспечение, даже такое легковесное, как Panda Cloud Antivirus, у которого нет обновления определений, лучше всего было бы инвестировать в выделенный аппаратный брандмауэр с подпиской на фильтрацию содержимого. Это гарантирует, что все пакеты будут проверены на наличие неприятностей, прежде чем они попадут во внутреннюю сеть, независимо от способа их передачи.

Пример списка таких аппаратных брандмауэров с приблизительными затратами можно найти здесь. На веб-сайте SonicWALL также имеется удобный селектор продуктов , чтобы дать вам представление о том, какие продукты могут подойти.

Answer 7

Антивирус, как правило, последняя линия защиты. Хороший брандмауэр важнее для предотвращения заражения, которое может произойти без какого-либо вмешательства пользователя. Если аппаратный брандмауэр не подходит, брандмауэр Windows лучше, чем ничего, и, конечно, его необходимо настроить для предоставления доступа к нужным сетевым приложениям.