我的公司生产运行 Windows CE 的设备,并且必须通过客户的 Internet 连接连接到我们的网站。我们将这些设备出售给具有多种网络配置和安全需求的各种客户。
这些设备让我们卖给他们的公司的 IT 部门担心,这是理所当然的。他们担心管理数百台设备上的代理设置,担心他们将病毒或其他安全风险下载到他们的网络中的可能性,担心它运行 Windows,担心设备下载软件更新等等......
我能想到的最好的类比是一家拥有大量 Tivos 连接到互联网的企业。这些设备有业务需求,但 IT 并不真正希望它们在网络上。
我们可以做些什么来减轻 IT 部门的顾虑并使配置工作变得最少。如果我们可以通过 VPN 之类的东西将它们集中到连接到公司代理服务器的单个服务器上,那会这样做吗?
我对网络只知道一点点,但解决这个问题仍然是我的工作,因此非常感谢任何帮助。
如果我是负责运行这些设备的网络的管理员,我会很高兴你提供一个单独的“更新”服务,我可以运行它是与你的网站通信的唯一主机(使其更容易控制并维护) - 然后设备将(最好通过 dhcp 选项远程)配置为与我控制的这个更新服务主机通信。
如果设备以任何有意义的数量下载软件,那么如果此更新服务将其缓存起来,这样任何其他请求相同下载的设备都只会从更新服务中获取它,这也是很好的。就像任何本地安装的防病毒镜像或 Windows 更新服务 (WUS) 一样。
Microsft System Management Server 2003 有一个设备功能包附加组件,可为平台提供 Windows CE 设备管理功能。
http://technet.microsoft.com/en-us/sms/bb676769.aspx
设备管理功能包提供以下功能:
为最新版本的 SMS 部署此产品或等效产品应该为您提供 Windows CE 设备所需的所有管理功能。
作为管理员,如果可以的话,我会很高兴:
如果没有关于设备需要做什么的更多细节,很难说,过去。想想攻击面和用户可能会做的最愚蠢的事情来破坏我的网络。例如,CE 设备是否有端口(USB、火线)——它们需要它们吗?- 如果没有,你能把它们锁起来吗?
我会对网络进行分段,以使无线设备能够访问互联网(这是大多数人正在寻找的),并拒绝对内部网络的任何访问。
有时候说不也是可以的。
首先,我要说的是,如果您要销售的公司以某种方式抱怨窗口存在问题,那么您永远不会赢。这些人真诚地认为隔壁的孩子比价值数十亿美元的软件公司更了解安全。就管理方面的担忧而言,您必须解释诸如组策略和 WMI 之类的概念,这些概念将允许他们通过 1 个查询或设置来管理数千台设备。此外(不知道您所销售的设备的任何具体信息)您可以解释该设备可以设置为仅运行在其上运行的应用程序所需的可执行文件。关于病毒的担忧,我会解释说,只有用户实际安装并运行病毒才能执行病毒(我的理解是其中有 4 个和 3 个需要用户干预才能运行第四个是 DOS 攻击)。希望您能够保证您自己的服务器不会成为感染点,并且您使用 EV 证书来消除欺骗问题。如果您向我出售一堆基于 Linux 的设备,我个人会更加担心,因为它们将成为管理方面的噩梦,并且几乎可以在它们上安装任何东西。您不一定需要任何额外的软件来管理这些设备,但具有活动目录的客户端已经具有管理优势。对于那些不
就配置方面而言,有一些工具可用于管理数以千计的 Windows CE 设备。
我知道至少有一家公司,Odyssey Software (www.odysseysoftware.com),它有一款名为 Athena 的产品,它与 Microsoft System Management Server 相连,可以远程管理这些设备,包括远程桌面(一个la VNC)给他们。
Athena 的问题在于它是一个框架,而不是一个开箱即用的产品,您可以使用它来管理您的设备群。它需要大量开发才能从中创建一个全面的远程监控/配置应用程序。
不过,有些公司已将 Athena 集成到产品中并出售。奥德赛可能会指导你。您的 Microsoft 代表还应该能够为您提供有关 Windows CE 远程配置的更多信息。
也就是说,前提是您有兴趣让公司远程管理设备的配置。如果设备位于公司防火墙后面(希望防火墙好用的话),您无法自行远程管理设备。
做与微软推出WSUS时所做的相同的事情。
制作可以在客户公司网络内的主机上运行的服务器组件。该服务器将成为 CE 设备的中央管理主机。服务器将负责与您的站点连接,CE 设备将与该中央服务器通信。
鉴于这些设备位于客户场所并且需要“打电话回家”到您的网站,我会:
对网络进行分段,使这些设备位于单独的 DMZ 中,无法访问客户的内部网络。前提是它们的功能(未详细说明)不需要访问客户的网络,也就是说。如果他们“像 TiVos”,那将是真的:他们有功能,他们需要 Internet,但他们不需要了解或关心客户网络的其余部分。
为客户提供定义数量的端口和 IP 以配置这些设备出站,并且不允许入站访问。很可能,他们需要 http 或 https 访问您的 Web 服务器,仅此而已。客户可以在防火墙上进行配置,以保护这些设备“生活”在其中的 DMZ。
将设备配置为自动检测代理设置。帮助要求使用网络代理的客户设置 PAC 文件和“wpad”主机名以进行自动检测,假设设备使用 IE 连接回您的网络服务器。有许多关于如何设置的演练。这样,无需在“100 台设备”上配置代理设置,只需要托管 PAC 文件的 wpad 位置,以便设备可以发现代理。
我假设设备将在客户网络内使用 DHCP?如何为这些处理基本网络配置?
软件更新 - 减轻客户的负担。配置这些设备,以便您可以向它们推送更新。此线程中的 SMS 答案看起来是一个很好的解决方案。
正如线程中已经指出的那样,强化设备 - 关闭所有超出要求的 Windows CE 服务。想出一个 Windows CE 配置,它为您提供应用程序所需的所有功能,仅此而已。
控制可以连接到主机的服务是关键。除非您明确需要它运行(RDP、vnc、http 等),否则您不希望有任何可连接的端口。如果您可以保护设备免受通用软件(IIS、MSSQL 等)中的远程攻击,您可以让您的客户在设备上运行他们需要的任何漏洞扫描,以确保其不会帮助传播恶意软件。