主页 / server / 问题 / 59159
Accepted
Knox
Asked: 2009-08-27 09:58:00 +0800 CST

强化财务关键的 Windows 计算机

  • 772

中小型企业面临的风险之一是通过使用键盘记录器或其他恶意软件将您的银行凭证丢失给坏人,正如Bruce Schneier 的博客所述。一种特殊的威胁是《纽约时报》中描述的实时键盘记录器。底线是,使用商业银行登录信息,坏人可以从您的账户中电汇资金,并且可能没有追索权。商业银行账户登录确实是王国的钥匙。

我决定大幅提高使用这些银行凭证的机器的安全性。我的标准安全建议是每晚自动应用补丁的 Windows XP SP3。病毒防护已开启(我们通常使用 ESET)。用户是受限用户;他们不能添加软件。软件限制可防止用户意外或故意下载软件并将其从用户目录中运行。我们使用 IE8 是因为它在 Active Directory 环境中易于管理,但我认为这是一个潜在的弱点。不幸的是,零日漏洞利用最可能的载体是我们使用的 flash 或 acrobat。

安全性始终是便利性与安全性的权衡,因此答案和建议应该有利有弊。我将回答一些建议,以便您了解我的想法。

windows

12 个回答

  1. Best Answer

    您可以设置另一台装有 Linux/BSD 的 PC,仅用于访问银行网站。如果你真的想变得偏执,你可以把它放在它自己的专用互联网连接上,而不用在常规网络上连接任何其他东西。为您提供类似于双启动的好处,同时仍保持 Windows PC 可用于其他任务。缺点是需要维护额外的硬件/软件。总是有一些邪恶的员工可能会在键盘和计算机之间放置一个嵌入式硬件 USB 键盘记录器,无论您使用什么/如何保护操作系统和软件。

    • 5

  2. 与所有事情一样,基于风险的方法将是最好的,您采取这种方法的程度将取决于您的预算、风险、时间和违规的潜在损害。我当然不希望你在这里做所有事情。

    以下是一些攻击媒介:

    物理攻击

    攻击类型

    • 盗窃
    • 离线攻击
    • 硬件键盘记录器
    • 攻击者试图在本地安装恶意软件
    • 肩部冲浪

    这是您将专注于控制与物理访问相关的事物的空间:

    • 自动锁定屏幕、良好的密码(不存储在键盘下)和磁盘加密将在系统被盗时提供帮助
    • 禁用操作系统中的 USB 端口或将它们关闭,禁用自动运行会有所帮助(但不能完全防止键盘记录器)
    • 系统的良好物理安全性(良好的门锁、坚固的电脑柜、电脑锁、偶尔的审计)
    • 隐私屏幕和让系统远离窗户有助于防止肩部冲浪

    软件攻击

    • 互联网恶意软件
    • 社会工程(网络钓鱼)

    一旦你将一个系统放到网络上,你就会有一个有趣的世界来防止你失去控制。

    • 虚拟机或双启动方案可以帮助区分关键信息和普通信息(一个系统用于关键银行,一个用于电子邮件)
    • 如果合理的话,也值得考虑为这类事情使用一个完全独立的盒子
    • 无论哪种方式,您都需要用户的非特权访问
    • 所有用户的好密码
    • 有效的漏洞管理(修补、删除不必要的服务等)
    • 安全锁定(Windows 有他们的安全指南和加速器* 有各种 *Nix BSD 锁定指南)
    • 工作和配置良好的网络本地防火墙

    *我刚刚设置了一个专业安全受限功能工作站,它似乎一切正常。

    网络攻击

    除了硬化机器外,您还应该有强大的运输保护:

    • 数据包嗅探
    • DNS 攻击/SSL MITM 攻击
    • 等等

    你可以在这个级别做的事情:

    • 传输保护(Windows 上的 IPSec、*Nix 上的 SSH、Web 上的 SSL***)
    • 配置良好且受监控的网络基础设施(无默认密码等)
    • 不要通过无线发送敏感数据***
    • 考虑特权和非特权系统的网络隔离

    *** SSL 攻击如今已经是一毛钱了,它们本质上仍然是 MITM(在撰写本文时),因此您应该采取措施防止 MITM

    ***如果您必须使用无线,请不要使用低于 WPA2-Enterprise 的任何东西

    • 4

  3. 检查您银行的身份验证机制!我以“代码卡”的形式添加了一个伪 RSA 令牌,大多数交易——除了查看余额和在我自己的账户之间转移资金——要求我从印在该卡上的 100 中输入一个随机选择的数字。每个代码只能使用一次,当它们都消失时,我会得到一张新卡。这满足了双重因素的“你知道的东西和你拥有的东西”的要求,而没有为所有用户颁发真正的 RSA 令牌的开销,这只是针对个人帐户。如果您的银行无法为您的商业账户提供除此之外的适当安全级别,请放弃它并找到一个可以做到的!

    • 3

  4. 停止从那台机器上网。不要检查电子邮件,不要访问局域网以外的网站等。在其他机器上完成所有这些操作,然后将您需要从金融计算机上做的事情发布到本地 wiki(或其他东西)中。不要将金融机器用作文件服务器、打印服务器等。

    成本: 500 美元的戴尔上网 好处:您的数据更安全。

    我还将投资安装在机器前面的防火墙(硬件,而不是软件)。不要让任何东西进入,并根据上述内容制定政策,而不是相信用户会做正确的事情。

    • 1

  5. 升级到 Vista x64。严重地。可靠地利用要困难得多。

    这不会阻止您的用户运行的恶意软件(通过访问网站等),但它会阻止您无法检测到的基于网络的攻击。

    • 1

  6. 根据这些人必须进行的交易数量,您可能会选择仅用于银行交易的无盘工作站。无盘立即意味着从只读介质(如 CDROM)引导。类似于剥离的 CDROM 可引导 Linux,只有最少量的软件(即只有一个网络浏览器)可能是此类工作的有效选择。

    • 1

  7. 除了特定的主机保护技术外,还要寻找深度防御方法。例如,大多数网络过滤软件都会阻止已知的不良网站。如果您的一个用户很早就点击了一个,那将无济于事,但是一旦发现了一个,它就会很快进入过滤列表。沿着同样的思路,看看像OpenDNS这样的外部 DNS 解决方案,它执行类似的功能,但没有 Web 过滤软件/设备要求。在您的防火墙上,执行出口过滤。阻止 IRC 等的已知端口。不,这不会阻止使用自定义端口的恶意软件,但很多都不会。希望您的网络过滤解决方案可以帮助那些使用自定义内容的人。另外,考虑实施 IDS/IPS。如果资金紧张,.

    • 1

  8. 迁移到 64 位 Windows 7,因为恶意软件很少针对 64 位代码。专业版的病毒较少;缺点是我们必须获得新的 64 位硬件并处理各种不兼容问题。 可能需要 XP 模式

    • 0

  9. 在进行银行活动时,强制用户双启动到其他操作系统(BSD?)。专业人士:非常安全。缺点:非常不方便,因为他们无法访问各种 Windows 应用程序来确定要连接的对象和数量。

    • 0

  10. 使用磁盘加密。无论您在操作系统中做什么,只要您可以启动 CD 并访问 Windows 之外的文件系统,您就不会安全。WinVista/Win7 内置加密功能,但也有大量支持 WinXP 的 3rd 方解决方案。

    查看 NAP 类型的策略,其中计算机在修补到公司标准之前无法访问 Internet(如果您需要它们能够访问 Internet,那就是)。

    研究桌面虚拟化(MS 和 VMWare 都有解决方案),将银行应用程序隔离到它自己的、严格管理的环境中。

    只是我的5美分...

    • 0

相关问题