Моя компания производит устройства под управлением Windows CE, которые должны подключаться к нашему веб-сайту через Интернет-соединение клиента. Мы продаем эти устройства самым разным клиентам с различными конфигурациями сети и требованиями безопасности.
Эти устройства беспокоят ИТ-отделы компаний, которым мы их продаем, и это справедливо. Они беспокоятся об администрировании настроек прокси на сотнях устройств, о возможности загрузки вирусов или других угроз безопасности в свою сеть, о том, что она работает под управлением Windows, об устройствах, загружающих обновления программного обеспечения, и так далее ...
Лучшая аналогия, которую я могу придумать, - это бизнес, в котором к Интернету подключено несколько Tivos. Устройства нужны бизнесу, но ИТ-специалистам не нужны они в сети.
Что мы можем сделать, чтобы облегчить беспокойство ИТ-отделов и упростить настройку? Если бы мы могли направить их через что-то вроде VPN на один сервер, который подключается к прокси-серверу компании, сработало бы это?
Я мало что знаю о сетях, но это все еще моя работа, поэтому я очень благодарен за любую помощь.
Будучи администратором, я был бы счастлив, если бы вы могли:
Без более подробной информации о том, что устройство должно делать, трудно сказать, что дальше. Подумайте только о поверхности атаки и самых глупых вещах, которые пользователи могут сделать, чтобы взломать мою сеть. Например. есть ли у устройств CE порты (USB, firewire) - они НУЖНЫ? - можете ли вы заблокировать их, если нет?
Microsft System Management Server 2003 имеет надстройку Device Feature Pack, которая предоставляет платформе функции управления устройствами Windows CE.
http://technet.microsoft.com/en-us/sms/bb676769.aspx
Пакет функций управления устройством предоставляет следующие возможности:
Развертывание этого или аналогичного продукта для последней версии SMS должно предоставить вам все возможности управления, необходимые для устройств Windows CE.
Если бы я был администратором, отвечающим за сети, в которых работают эти устройства, я был бы рад, если бы вы предоставили отдельную услугу «обновления», которую я мог бы запустить, это был единственный хост, который должен был взаимодействовать с вашим веб-сайтом (что значительно упростило управление и поддерживать) - и тогда устройства будут (желательно удаленно с помощью параметров dhcp) настроены для связи с этим хостом службы обновлений, который я контролирую.
Если устройства загружают программное обеспечение в любых значимых количествах, было бы неплохо, если бы эта служба обновлений затем кэшировала бы это, чтобы любое другое устройство, запрашивающее ту же загрузку, просто получило бы его из службы обновлений. Так же, как работает любое локально установленное антивирусное зеркало или службы обновления Windows (WUS).
Я бы сегментировал сеть так, чтобы предоставить беспроводным устройствам доступ к Интернету (это то, что ищет большинство людей), и запретил бы любой доступ к внутренней сети.
Иногда можно сказать «нет».
Во-первых, я бы сказал, что если компания, которой вы продаете, как-то жалуется на проблемы с окнами, вы никогда не выиграете. Это те люди, которые искренне думают, что соседский ребенок знает о безопасности больше, чем компания-разработчик программного обеспечения с миллиардным оборотом. Что касается заботы администрации, вам придется объяснять такие концепции, как групповая политика и WMI, которые позволят им управлять тысячами устройств с помощью одного запроса или настройки. Кроме того (не зная ничего конкретного об устройстве, которое вы продаете), вы можете объяснить, что устройство можно настроить так, чтобы запускать только исполняемый файл, необходимый для приложения, работающего на нем. Что касается проблем с вирусами, я бы объяснил, что вирус может быть запущен только в том случае, если пользователь действительно установил и запустил вирус (я понимаю, что есть 4 и 3 из них требуют вмешательства пользователя для запуска, четвертый - это DOS-атака). Надеюсь, вы можете гарантировать, что ваши собственные серверы не станут точками заражения, и вы используете сертификаты EV для устранения проблем со спуфингом. Лично я был бы гораздо больше обеспокоен, если бы вы продавали мне кучу устройств на базе Linux, поскольку они были бы кошмаром для администраторов, и на них можно было установить практически все, что угодно. Вам не обязательно требуется какое-либо дополнительное программное обеспечение для администрирования этих устройств, но клиент, у которого есть активный каталог, уже имеет административное преимущество. Для тех, кто этого не делает, я заранее разработал несколько сценариев PowerShell или VBscripts, которые выполняют общие административные функции, и предоставлю их всем клиентам, которые хотят или нуждаются в них.
Что касается аспекта конфигурации, существуют инструменты, которые доступны для управления тысячами устройств Windows CE.
Я знаю по крайней мере одну компанию, Odyssey Software (www.odysseysoftware.com), у которой есть продукт под названием Athena, который подключается к Microsoft System Management Server и может удаленно управлять этими устройствами, включая возможность удаленного рабочего стола ( а-ля VNC) им.
Проблема с Athena в том, что это фреймворк, а не готовый продукт, который вы можете использовать для управления своим парком устройств. Для создания на его основе комплексного приложения удаленного мониторинга / настройки требуется значительная доработка.
Есть компании, которые интегрировали Athena в продукт и предлагают его на продажу. Odyssey, вероятно, поможет вам в этом. Представитель Microsoft также сможет предоставить вам дополнительную информацию об удаленной настройке Windows CE.
Это при условии, что вы заинтересованы в том, чтобы компании удаленно управляли конфигурациями устройств. Вы мало что можете сделать для удаленного управления устройствами, если они находятся за корпоративным брандмауэром (надеюсь, если брандмауэр хоть сколько-нибудь хорош).
Сделайте то же самое, что и Microsoft, когда они выпустили WSUS.
Сделайте компонент сервера, который может жить на хосте в корпоративной сети клиента. Этот сервер будет хостом централизованного администрирования для устройств CE. Сервер будет отвечать за соединение с вашим сайтом, а устройства CE будут взаимодействовать с этим центральным сервером.
Учитывая, что эти устройства находятся на территории клиента и должны «звонить домой» на ваш веб-сайт, я бы:
Сегментируйте сеть, чтобы эти устройства находились в отдельной DMZ, без доступа к внутренней сети клиента. При условии, что их функция - которая не была проработана - не требует доступа к сети клиента, то есть. Если они «похожи на TiVos», это будет правдой: у них есть функция, им нужен Интернет, но им не нужно знать или заботиться об остальной части сети клиента.
Предоставьте заказчику определенное количество портов и IP-адресов, чтобы настроить эти устройства для исходящего трафика и запретить входящий доступ. Скорее всего, им понадобится http или https для вашего веб-сервера, и ничего больше. Заказчик может настроить это на брандмауэре, защищающем DMZ, в которой «живут» эти устройства.
Настройте устройства для автоматического определения параметров прокси. Помогите клиентам, которые требуют использования веб-прокси, настроить файл PAC и имя хоста «wpad» для автоматического определения, предполагая, что устройства используют IE для обратного подключения к вашему веб-серверу. Существует ряд пошаговых инструкций о том, как это настроить. Таким образом, настройки прокси-сервера не нужно настраивать на «сотнях устройств», все, что требуется, - это расположение wpad, в котором размещен файл PAC, чтобы устройства могли обнаружить прокси.
Я предполагаю, что устройства будут использовать DHCP в сети клиента? Как для них выполняется базовая конфигурация сети?
Обновления программного обеспечения - снимите с клиентов нагрузку. Настройте эти устройства так, чтобы вы могли отправлять на них обновления. СМС-ответ в этой ветке выглядит неплохим решением.
И, как уже указывалось в ветке, укрепите устройства - отключите все службы Windows CE, которые не соответствуют требованиям. Придумайте конфигурацию Windows CE, которая дает вам все функции, необходимые для вашего приложения, и не более того.
Ключевым моментом является контроль служб, которые могут быть подключены к вашим хостам. Вы не хотите, чтобы какой-либо порт мог быть подключен, если он вам явно не нужен для работы (RDP, vnc, http и т. Д.). Если вы можете защитить устройство от удаленных эксплойтов в обычном программном обеспечении (IIS, MSSQL и т. Д.), Вы можете попросить своих клиентов выполнить любое сканирование уязвимостей на устройстве, чтобы убедиться, что оно не будет способствовать распространению вредоносного ПО.