У нас есть готовое программное обеспечение для оптического распознавания текста, которое мы будем использовать для автоматизации обработки определенных клиентских форм, которые приходят к нам по факсу в любое время дня. Процесс распознавания текста должен выполняться круглосуточно, 7 дней в неделю, но имеющееся у нас программное обеспечение не имеет возможности установить в качестве службы, и в результате пользователю необходимо войти в систему, чтобы «наблюдать» за папкой или очередью для обработки элементов. .
Я всегда очень религиозно относился к выходу из наших серверов Windows, когда не управлял ими напрямую, но для запуска функции просмотра папок программного обеспечения OCR потребуется, чтобы я вместо этого оставил сервер, на котором он установлен, зарегистрирован и постоянно заблокирован. С точки зрения безопасности я знаю, что это раскроет имя учетной записи любому, у кого есть физический доступ к серверу (поскольку оно заполняет имя зарегистрированного пользователя, когда вы переходите к разблокировке), и я предприму некоторые соразмерные шаги, чтобы дальнейший безопасный физический доступ, но мне интересно, есть ли у кого-нибудь еще слова предостережения или мудрости о рисках (особенно с безопасностью, поскольку производительность в этом случае вряд ли будет проблемой) при запуске Windows Сервер (в данном случае 2003) всегда входил в нашу локальную сеть.
Вы можете избежать отображения имени входа заблокированного пользователя, установив Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности \ Интерактивный вход: отображение информации о пользователе, когда сеанс заблокирован. Уязвимость здесь заключается в том, что отображение имен позволяет людям либо смотреть в консоль, либо подключаться к консоли по протоколу RDP, чтобы увидеть имена пользователей. Вы также должны ограничить удаленный доступ только тем пользователям, которым разрешено входить на сервер.
Закидываем в ВМ. Таким образом, процесс может работать в фоновом режиме, и пальцы пользователей не смогут возиться с битами, которые им не нужны.
Любой, у кого есть прямой физический доступ к серверу, может его скомпрометировать. И в этом случае ему даже не нужно знать никакого имени пользователя.
Таким образом, блокировка Сервера / ПК так же безопасна, как и оставление его «отключенным».