Como conectar com segurança uma máquina Windows que NÃO PODE ter antivírus (devido a demandas em tempo real) à Internet através de uma máquina Windows protegida?

2

Eu tenho uma máquina baseada no Windows que não pode ter um antivírus instalado devido ao impacto no desempenho que teria na função da máquina como o controlador em um console de mixagem de estúdio de rádio ao vivo. Essa configuração é um sistema comercialmente disponível e não um que eu mesmo estou construindo.

Acredito que a questão tem valor além da aplicação no rádio de transmissão, para outros domínios que precisam de desempenho determinístico em tempo real - ou o mais próximo possível disso.

Descobri que o software antivírus pode usar uma quantidade significativa de ciclos de CPU / capacidade de processamento, especialmente ao atualizar as definições de vírus e instalá-las. Na verdade, observei as máquinas bloquear / congelar por vários segundos porque as definições são atualizadas após o download.

A desaceleração / congelamento esperada durante as atualizações de antivírus é inaceitável em um ambiente de estúdio de rádio, pois resultaria em falta de resposta do console, resultando em "ar morto" - silêncio no ar e um apresentador confuso. As atualizações de antivírus ocorrem assim que são disponibilizadas e é preferível instalá-las o quanto antes, mas isso é imprevisível.

A máquina precisa estar conectada à internet para que:

  • Remoting: pode ser controlado remotamente usando VNC para gerenciamento de estação ou alguns apresentadores trabalhando em casa
  • Streaming: ele pode transmitir a transmissão para um servidor de streaming de rádio da Internet fora do local para ouvintes baseados na Internet
  • FTP: pode aceitar arquivos, por exemplo programas de rádio pré-gravados, relatórios, música para reprodução automática ou uso em um show ao vivo. Também para registrar a saída do apresentador, para download pelo gerenciamento da estação para revisão
  • Rede local com outras máquinas de estúdio e máquinas de escritório no local conectadas à internet

Os apresentadores não usam um navegador da Web ou e-mail nesta máquina, eles usam outra máquina. Portanto, a necessidade de internet é por motivos essenciais de gerenciamento.

Portanto, proponho conectá-lo à Internet, sem que o antivírus seja instalado e as atualizações do Windows sejam programadas manualmente em horários de pico, por meio de outra máquina que filtre o tráfego e verifique se há vírus. Como isso poderia ser feito?

    
por therobyouknow 10.01.2010 / 16:30

7 respostas

5

Eu usaria um firewall de hardware para proteger a máquina do acesso à Internet e do acesso à intranet. Eu firewall de hardware lhe dará confiabilidade e velocidade.

Gostaria de começar com a máquina com todo o tráfego bloqueado e, em seguida, permitir apenas o endereço IP, as portas, os protocolos e as instruções necessárias para que funcione. Por exemplo, se não houver navegação na web, não adicionarei uma regra para abrir a porta 80. Se você tiver um administrador remoto, eu permitiria as portas para o VNC de seu endereço IP. O mesmo para o FTP. Desta forma, se você não está falando do endereço IP correto, você está bloqueado. Além disso, se alguém tentar sair na máquina e verificar seu e-mail, ele será bloqueado.

Eu também configuraria essas regras para o restante da intranet. Eu criaria apenas regras para permitir a comunicação com esses computadores / portas / protocolos necessários. Dessa forma, se uma máquina na intranet for comprometida, será mais difícil se espalhar para a máquina desprotegida.

Basicamente, esta máquina estaria em uma configuração DMZ.

Eu também executaria o Spybot Search & Destrua e SpywareBlaster e imunize a máquina. Não há custo em tempo real para isso, porque não é uma varredura, mas apenas uma configuração. Tudo isso é basicamente lista de controles ActiveX da lista negra e sites ruins no arquivo Hosts. Isso pode impedir que uma máquina seja infectada, impedindo que algumas coisas ruins sejam executadas. Claro, você teria que permitir, através do firewall de hardware, a capacidade de atualização da máquina. Você pode fazer isso manualmente ou listar esses sites em branco.

O firewall escolhido deve ser capaz de alertá-lo sobre problemas. Gostaria de sinalizar algumas regras para ver se alguém está tentando fazer algo que não deveria (ou seja, verificar e-mail, navegar na web, alguém tentando acessar a porta FTP (especialmente se deixado nas portas padrão)). Eu uso um Zywall que tem todos os recursos acima, mas existem muitas empresas. Uma coisa que você deve considerar é que o firewall de hardware tem especificações sobre taxa de transferência. Você deseja obter um firewall que possa processar as informações com rapidez suficiente.

Os usuários remotos também podem fazer VPN em alguns firewalls, assim você não precisa expor publicamente algumas coisas, como VNC ou FTP.

Além disso, alguns softwares VNC permitem que você use certificados para autenticar. Isso pode ajudar, porque permitirá uma melhor segurança, pois nenhum nome de usuário / senha pode ser adivinhada e o usuário final poderá executar o software e isso apenas funcionaria (menos para o usuário final lembrar). Se não, eu recomendo usar o Keepass e fazer com que ele gere uma senha de alta entropia que seria difícil para as máquinas quebrarem.

Espero que essas dicas ajudem.

(Além disso, como essa é uma máquina crítica para os negócios, eu imaginaria o sistema de forma que, se algo acontecesse, você pudesse voltar a um estado bom conhecido.)

    
por 10.01.2010 / 20:32
4

Um computador isolado da rede não pode ser infectado.

Contanto que você não compartilhe seus discos rígidos, que desinstale qualquer Microsoft ou de terceiros que ouça portas TCP / UDP (como o IIS) e que exista apenas um aplicativo em funcionamento seguro, não há como que pode ser infectado.

Conclusão: o antivírus não é necessário.

No entanto, vejo o Windows Update como um perigo muito maior para uma máquina tão vital, pois há sempre a chance de que ele interrompa a instalação do Windows. Gostaria de definir as atualizações do Windows para "verificar, mas deixe-me escolher quando", e certifique-se de fazer um backup do sistema antes. Ajudaria, nesse caso, o disco do sistema conter apenas o sistema e os aplicativos, com os dados sendo armazenados em outro disco / partição. Dessa forma, você pode fazer um backup de imagem do disco do sistema antes de aplicar as Atualizações do Windows uma vez por mês e ter certeza de que poderá restaurar um sistema em funcionamento.

    
por 10.01.2010 / 16:53
3

Eu não me incomodaria. O antivírus não ajuda muito, desde que você não esteja abrindo anexos de e-mail suspeitos ou baixando muitos arquivos executáveis. Por exemplo, Steve Gibson, da Security Now, não executa nenhum antivírus .

Ter um roteador entre o computador e a internet é muito mais importante.

    
por 10.01.2010 / 16:38
3

Se quiser estar seguro, recomendo que você dê uma olhada no Princípios básicos de segurança da Microsoft . É um programa antivírus muito rápido e pequeno e funciona muito bem.

Eu costumava não usar antivírus e estava seguro por muitos anos, mas o fato é que o MSE e alguns outros (se você fizer um pouco de pesquisa) não ocupam espaço no disco rígido, com menos de 50MB de memória e muito ciclos de baixa cpu, se você quer estar seguro, não há realmente uma razão para não usá-lo.

Francamente, qualquer máquina que desacelerasse devido a (algum) programa antivírus, eu diria que hoje em dia, não deve ser invocado para um ambiente de produção sério.

Depois disso, você pode querer simplesmente usar o Firewall do Windows e bloquear tudo que não seja necessário.

Por último, o seu programa de rádio, você pode querer ir para o gerenciador de tarefas e aumentar a prioridade para que ele receba uma parcela maior do tempo da CPU.

    
por 10.01.2010 / 20:38
2

veicule seus aplicativos relacionados à Web como virtualizados (por exemplo, em um sandbox ).

Como uma abordagem mais drástica, você pode deepfreeze a partição do sistema. maneira que o sistema não pode ser danificado (acidentalmente ou não) e estará em seu estado puro após o reinício.

no entanto, eu não iria totalmente sem software anti-vírus desde que a máquina está se conectando a servidores FTP. não que um vírus possa afetar um sistema deepfrozen, apenas por razões sanitárias eu sugiro scans regulares (programados ou manualmente) com Um scanner de linha de comando A-sqaured , pelo menos cobrindo a pasta de download, A-quadrado é extremamente rápido e preciso e não tem um impacto perceptível no desempenho do sistema durante uma varredura. nenhuma proteção no acesso ou em tempo real atrapalhará o sistema.

    
por 10.01.2010 / 16:52
2

Se não for possível instalar nenhum software antivírus, mesmo algo tão leve como o Panda Cloud Antivirus que não tenha definição atualizar, você seria melhor investir em um firewall de hardware dedicado com assinatura de filtragem de conteúdo. Isso garantirá que todos os pacotes sejam verificados quanto a antes de entrarem em sua rede interna, independentemente do método em que estão sendo transmitidos.

Uma lista de exemplos de firewalls de hardware com custos aproximados pode ser encontrada aqui . Há também um prático seletor de produtos no site da SonicWALL para dar uma idéia de quais produtos podem ser adequados.

    
por 10.01.2010 / 17:36
1

Antivírus é geralmente a última linha de defesa. Um bom firewall é mais importante para impedir infecções que podem ocorrer sem qualquer intervenção do usuário. Se um firewall de hardware não for uma opção, o Firewall do Windows é melhor do que nada e, é claro, deve ser configurado para permitir o acesso aos aplicativos de rede desejados.

    
por 10.01.2010 / 22:54