在网络上保护基于windows 7的信息亭

Question

应该采取哪些步骤来保护运行windows 7的信息亭和网络上的专有应用程序？

该信息亭需要有通过端口443进行传出呼叫的能力。我在寻求双方的建议。保护网络，并保护运行在信息亭本身上的操作系统。

我想，在安全性和kiosk功能方面，网络所有者和kiosk硬件所有者之间必须实现某种平衡。

Answer 1

您可能会使用瘦客户机而不是PC，并使用Citrix或终端服务，从而消除了将PC放置在公共位置的许多风险。

但是，如果您必须使用PC，请考虑以下几点：

1)听起来您不需要运行许多应用程序，所以首先用组策略锁定工作站，只运行特定允许的应用程序。

2)配置Windows防火墙，除了基本的域连接、更新、AV等之外，只允许该应用程序进入/退出。

3)删除CD/DVD/软盘？从工作站驱动器和禁用USB大容量存储驱动程序，以帮助防止物理规避。您也可以将电缆锁放在工作站本身，或者将PC放在一个配置了WOL的上锁机柜中，这样，如果它失去了电源，您就可以远程恢复它。

4)配置工作站，使其不在本地缓存密码，并且在工作站被盗时不使用特权域帐户登录工作站。

5)其他组策略可以配置为不允许访问硬盘驱动器、限制开始菜单程序等。这些策略中有许多是在用户Config ->管理模板、->开始菜单和任务栏下面找到的。

6)考虑在自己的子网上放置服务站，并限制通过防火墙或至少在路由器上访问网络的其他部分，以便它们只能访问您选择的端口上的服务器。

7)考虑在交换机和PC上设置dot1x身份验证，以防止有人拔出PC并插入他们的笔记本电脑，以获得不受限制的访问权限。