2 votes

Adam Porad avatar

Comment connecter en toute sécurité une machine Windows qui NE PEUT PAS avoir d'antivirus (en raison des exigences du temps réel) à Internet via une machine Windows qui est protégée ?

Demandé el 10 de Janvier, 2010
Quand la question a-t-elle été
479 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une machine sous Windows sur laquelle il est impossible d'installer un antivirus en raison de l'impact sur les performances que cela aurait sur le rôle de la machine en tant que contrôleur d'une console de mixage de studio de radio en direct. Cette configuration est un système disponible dans le commerce et non un système que je construis moi-même.

Je pense que la question a une valeur au-delà de l'application dans la radio de diffusion, pour d'autres domaines qui ont besoin de performances déterministes en temps réel - ou aussi proches que possible.

J'ai constaté que les logiciels antivirus peuvent utiliser une quantité importante de cycles CPU/de puissance de traitement, notamment lors de la mise à jour des définitions de virus et de leur installation. En fait, j'ai observé des machines se bloquer/se figer pendant plusieurs secondes lorsque les définitions sont mises à jour après leur téléchargement.

Le ralentissement/gel attendu pendant les mises à jour antivirus est inacceptable dans un environnement de studio radio car il entraînerait une absence de réponse de la console, ce qui se traduirait par un "air mort" - un silence à l'antenne et un présentateur déconcerté. Les mises à jour antivirus sont effectuées dès qu'elles sont disponibles et il est préférable de les installer dès que possible, mais cela est imprévisible.

La machine doit être connectée à l'internet pour que :

  • Remoting : il peut être contrôlé à distance à l'aide de VNC pour la gestion de la station ou pour certains présentateurs travaillant depuis leur domicile.
  • Streaming : il peut diffuser l'émission vers un serveur de streaming de radio Internet hors site pour les auditeurs basés sur Internet.
  • FTP : il peut accepter des fichiers, par exemple des émissions radio préenregistrées, des rapports, de la musique pour une diffusion automatique ou une utilisation dans une émission en direct. Il permet également d'enregistrer les productions des présentateurs et d'être téléchargé par la direction de la station à des fins de révision.
  • Mise en réseau locale avec les autres machines du studio sur place et les machines de bureau qui sont connectées à l'Internet.

Les présentateurs n'utiliseront pas de navigateur web ou d'email sur cette machine, ils utilisent une autre machine. Le besoin d'internet est donc pour des raisons de gestion essentielles.

Je propose donc de le connecter à l'internet, sans antivirus installé et avec des mises à jour de Windows à programmer manuellement aux heures creuses, via une autre machine qui filtre le trafic et le scanne à la recherche de virus. Comment cela pourrait-il se faire ?

Demandé el 10 de Janvier, 2010 par Adam Porad

Réponses

Trop de publicités?

5voto

Scott McClenning avatar
Scott McClenning Points 3547

J'utiliserais un pare-feu matériel pour protéger la machine à la fois de l'accès Internet et de l'accès intranet. Un pare-feu matériel vous apportera fiabilité et rapidité.

Je commencerais par bloquer tout le trafic de la machine, puis je n'autoriserais que les adresses IP, les ports, les protocoles et les directions nécessaires au fonctionnement de la machine. Par exemple, s'il n'y a pas de navigation sur Internet, je n'ajouterais pas de règle pour ouvrir le port 80. Si vous avez un administrateur distant, j'autoriserais les ports pour VNC à partir de son adresse IP. De même pour le FTP. De cette façon, si vous ne parlez pas depuis la bonne adresse IP, vous êtes bloqué. De même, si quelqu'un essaie de sortir sur la machine et de vérifier son courrier électronique, il est bloqué.

Je mettrais également en place ces règles pour le reste de l'intranet. Je ne créerais des règles que pour permettre la communication avec les ordinateurs/ports/protocoles nécessaires. Ainsi, si une machine de l'intranet est compromise, il lui sera plus difficile de se propager à la machine non protégée.

En fait, cette machine serait dans une configuration DMZ.

J'aurais aussi Spybot Search & Destroy y SpywareBlaster et immuniser la machine. Cela ne coûte rien en temps réel, car il ne s'agit pas d'une analyse, mais d'un simple paramètre de configuration. Tout ce qu'il fait, c'est de mettre sur liste noire les contrôles ActiveX et les mauvais sites dans le fichier Hosts. Cela peut empêcher une machine d'être infectée en empêchant l'exécution de certains éléments indésirables. Bien entendu, vous devez autoriser la machine à effectuer des mises à jour via le pare-feu matériel. Vous pouvez le faire manuellement ou mettre ces sites sur liste blanche.

Le pare-feu que vous choisissez doit pouvoir vous alerter en cas de problème. Je marquerais certaines règles pour voir si quelqu'un tente de faire quelque chose qu'il ne devrait pas faire (c'est-à-dire vérifier le courrier électronique, surfer sur le Web, quelqu'un qui tente d'accéder au port FTP (surtout s'il est laissé sur les ports par défaut)). J'utilise un Zywall qui possède toutes les caractéristiques ci-dessus, mais il existe de nombreuses sociétés. Une chose que vous devez prendre en compte est que les pare-feu matériels ont des spécifications sur le débit. Vous voulez obtenir un pare-feu qui peut traiter l'information assez rapidement.

Les utilisateurs distants pourraient également se connecter par VPN à certains pare-feu, ce qui éviterait d'exposer publiquement certains éléments comme VNC ou FTP.

En outre, certains logiciels VNC vous permettent d'utiliser des certificats pour vous authentifier. Cela peut être utile car cela permet une meilleure sécurité, car il n'y a pas de nom d'utilisateur/mot de passe à deviner, et l'utilisateur final peut exécuter le logiciel et il fonctionne tout simplement (moins de choses à retenir pour l'utilisateur final). Sinon, je recommande d'utiliser Keepass et de lui faire générer un mot de passe à haute entropie qui serait difficile à casser par les machines.

J'espère que ces conseils vous aideront.

(De plus, comme il s'agit d'une machine critique pour l'entreprise, je créerais une image du système pour que, si quelque chose se produisait, vous puissiez revenir à un état connu et bon).

Répondu el 10 de Janvier, 2010 par Scott McClenning (3547 Points )

4voto

harrymc avatar
harrymc Points 394411

Un ordinateur qui est suffisamment isolé du réseau ne peut pas être infecté.

Tant que vous ne partagez pas ses disques durs, que vous désinstallez toute application Microsoft ou tierce qui écoute sur les ports TCP/UDP (comme IIS) et qu'il n'y a qu'une seule application sûre, il n'y a aucun moyen d'être infecté.

Conclusion : L'antivirus n'est pas nécessaire.

Cependant, je considère que les mises à jour de Windows représentent un danger bien plus grand pour une machine aussi vitale, car il y a toujours une chance qu'elles cassent votre installation de Windows. Je réglerais les mises à jour de Windows sur "vérifier mais me laisser choisir quand", et je m'assurerais de faire une sauvegarde du système avant. Il serait utile dans ce cas que le disque système ne contienne que le système et les applications, les données étant stockées sur un autre disque/partition. De cette façon, vous pouvez prendre une image de sauvegarde du disque système avant d'appliquer les mises à jour de Windows une fois par mois et être sûr, en cas de problème, de pouvoir restaurer un système fonctionnel.

Répondu el 10 de Janvier, 2010 par harrymc (394411 Points )

3voto

Iain avatar
Iain Points 4621

Je ne m'en préoccuperais pas. L'antivirus ne sert pas à grand-chose tant que vous n'ouvrez pas de pièces jointes douteuses ou que vous ne téléchargez pas beaucoup de fichiers exécutables. Par exemple, Steve Gibson de Security Now n'utilise pas d'antivirus. .

Il est bien plus important de disposer d'un routeur entre l'ordinateur et l'internet.

Répondu el 10 de Janvier, 2010 par Iain (4621 Points )

3voto

Matías avatar
Matías Points 3008

Si vous voulez être sûr, je vous recommande de jeter un coup d'oeil sur Microsoft Security Essentials . C'est un petit programme anti-virus très rapide et qui fonctionne très bien.

J'avais l'habitude de ne pas utiliser d'antivirus et j'ai été en sécurité pendant de nombreuses années, mais le fait est que MSE et certains autres (si vous faites un peu de recherche) ne prennent pratiquement pas d'espace sur le disque dur, moins de 50 Mo de mémoire, et très peu de cycles de processeur, si vous voulez être en sécurité, il n'y a vraiment aucune raison de ne pas l'utiliser.

Très franchement, toute machine qui ralentirait à cause d'un programme anti-virus (quel qu'il soit), je dirais qu'à notre époque, on ne devrait pas s'y fier pour un environnement de production sérieux.

Après cela, vous pouvez envisager d'utiliser simplement le pare-feu Windows et de bloquer tout ce qui n'est pas des ports requis.

Enfin, votre programme radio, vous pouvez aller dans le gestionnaire de tâches et augmenter la priorité afin qu'il obtienne une plus grande part du temps CPU.

Répondu el 10 de Janvier, 2010 par Matías (3008 Points )

2voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Exécuter vos applications liées au web de manière virtuelle (par exemple dans une bac à sable ).

comme une approche plus radicale, vous pouvez deepfreeze la partition système, de cette façon le système ne peut pas être endommagé (accidentellement ou autrement) et sera dans son état originel après un redémarrage.

cependant, je ne me passerais pas entièrement d'un logiciel antivirus puisque la machine se connecte à des serveurs FTP. non pas qu'un virus puisse affecter un système surgelé, mais pour des raisons sanitaires, je suggère des scans réguliers (programmés ou manuels) avec Scanner en ligne de commande A-sqaured A-squared, qui couvre au moins le dossier de téléchargement, est extrêmement rapide et précis et n'a pas d'impact notable sur les performances du système pendant une analyse. Aucune protection en accès ou en temps réel n'encombre le système.

Répondu el 10 de Janvier, 2010 par Utilisateur non enregistré (0 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X