如何通过受保护的Windows机器将无法防病毒的Windows机器（由于实时需求）安全地连接到互联网？

我有一台基于Windows的机器，由于对机器在现场广播工作室调音台中作为控制器的角色所带来的性能影响而无法安装防病毒软件。这个设置是一个商业上可用的系统，而不是我自己建立的系统。

我认为这个问题超出了广播无线电应用的价值，对于需要确定性实时性能的其他领域 - 或尽可能接近。

我发现防病毒软件可以使用大量的CPU周期/处理能力，特别是在更新病毒定义然后安装它们时。事实上，我已经观察到机器锁定/冻结几秒钟，为什么定义会在下载后更新。

反病毒更新期间预期的减速/冻结在无线电工作室环境中是不可接受的，因为它会导致控制台无响应，导致“死气” - 空气中的沉默和迷惑的主持人。一旦它们可用就会发生防病毒更新，并且最好尽快安装它们，但这是不可预测的。

机器需要连接到互联网，以便：

• 远程处理：可以使用VNC远程控制站点管理或一些在家工作的演示者
• 流媒体：它可以将广播流式传输到基于互联网的听众的场外互联网广播流媒体服务器
• FTP：它可以接受文件，例如预先录制的电台节目，报告，自动播出的音乐或在现场表演中使用。还用于记录演示者输出，供站点管理下载以供审阅
• 本地网络与其他现场工作室机器和连接到互联网的办公机器

演示者不会在此计算机上使用Web浏览器或电子邮件，而是使用其他计算机。因此，对互联网的需求是出于必要的管理原因。

因此，我建议将其连接到互联网，不安装防病毒软件，并在非高峰时间手动安排Windows更新，通过另一台过滤流量并扫描病毒的计算机。怎么可以这样做？

我会使用硬件防火墙来保护机器免受Internet访问和Intranet访问。我的硬件防火墙会给你可靠性和速度。

我会从阻止所有流量的机器开始，然后只允许它所需的那些IP地址，端口，协议和方向。例如，如果没有网上冲浪，那么我就不会添加规则来打开端口80了。如果你有一个远程管理员，我会从他们的IP地址允许VNC的端口。对于FTP也一样。这样，如果您没有使用正确的IP地址进行通话，则会被阻止。此外，如果有人试图在机器上外出并检查他们的电子邮件，他们将被阻止。

我还会为内联网的其余部分设置这些规则。我只会创建规则以允许与所需的计算机/端口/协议进行通信。这样，如果Intranet上的计算机受到攻击，则将更难以传播到未受保护的计算机。

基本上，这台机器将采用DMZ配置。

我也会跑 Spybot Search＆amp;破坏 和 SpywareBlaster 并免疫机器。这没有实时成本，因为它不是扫描，而只是配置设置。所有这些基本上是黑名单ActiveX控件和Hosts文件中的坏站点。这可以通过防止执行某些不良事件来防止机器被感染。当然，您必须通过硬件防火墙允许机器更新。您可以手动执行此操作或白名单列表。

您选择的防火墙应该能够提醒您出现问题。我会标记一些规则，看看是否有人试图做任何他们不应做的事情（即检查电子邮件，网上冲浪，有人试图访问FTP端口（特别是如果留在默认端口））。我使用具有上述所有功能的Zywall，但有很多公司。您应该考虑的一件事是硬件防火墙有吞吐量规范。您希望获得可以足够快地处理信息的防火墙。

远程用户也可以通过VPN连接到某些防火墙，这样您就不必公开暴露某些内容，如VNC或FTP。

此外，某些VNC软件将允许您使用证书进行身份验证。这可能会有所帮助，因为它可以提供更好的安全性，因为没有用户名/密码可以猜测，最终用户可以运行软件，它只会起作用（最终用户不会记住）。如果没有，我建议使用 KeePass的 并让它产生一个高熵密码，机器很难破解。

我希望这些提示有所帮助。

（另外，因为这是一个关键业务机器，我会对系统进行成像，所以如果发生了某些事情，你可以回到已知的良好状态。）

与网络隔离得足够远的计算机不会被感染。

只要您不共享其硬盘，卸载任何侦听TCP / UDP端口（例如IIS）的Microsoft或第三方，并且只有一个安全的工作应用程序，那么就没有办法被感染了。

结论：不需要防病毒。

但是，我认为Windows更新对于这样一个至关重要的机器来说是一个更大的危险，因为它总是有可能破坏你的Windows安装。我会将Windows更新设置为“检查但让我选择何时”，并确保以前备份系统。在这种情况下，系统磁盘仅包含系统和应用程序，数据存储在另一个磁盘/分区上将有所帮助。这样，您可以在每月应用一次Windows更新之前对系统磁盘进行映像备份，并确保在能够还原工作系统时出现问题。

我不打扰。只要您没有打开狡猾的电子邮件附件或下载大量可执行文件，防病毒就无济于事。例如， Security Now的Steve Gibson不运行任何防病毒软件 。

在计算机和互联网之间建立路由器更为重要。

如果你想要安全，我建议你看看 微软安全必备 。这是一个非常快速和小型的反病毒程序，它运行良好。

我曾经使用过没有防病毒软件并且安全多年，但事实是，MSE和其他一些人（如果你做了一些研究）占用了几乎没有硬盘空间，低于50MB的内存和非常低的CPU周期如果你想要安全，那就没有理由不使用它。

坦率地说，任何因（任何）反病毒程序而减速的机器，我都会说在这个时代，不应该依赖于严肃的生产环境。

在此之后，您可能希望仅查看使用Windows防火墙并阻止除所需端口之外的所有内容。

最后，您的广播节目，您可能希望转到任务管理器并提高优先级，以便获得更高的CPU时间份额。

运行与虚拟化相关的Web相关应用程序（例如，在 砂箱 ）。

作为一种更激烈的方法，你可以 深度冻结 系统分区，这样系统不会被损坏（意外或其他），重启后将处于原始状态。

但是，由于机器连接到FTP服务器，我不会完全没有防病毒软件。并不是说病毒可能会影响深度冷冻系统，仅仅出于卫生原因我建议定期（预定或手动）扫描 A平方命令行扫描器 至少覆盖下载文件夹，A-squared是非常快速和准确的，并且在扫描期间对系统性能没有明显的影响。没有访问或实时保护会使系统陷入困境。

如果无法安装任何防病毒软件，即使是轻量级软件 熊猫云防病毒 没有定义更新，您最好投资于具有内容过滤订阅的专用硬件防火墙。这将确保扫描所有数据包以查找恶意内容 之前 无论传输方式如何，它们都会进入您的内部网络。

可以找到具有粗略成本的这种硬件防火墙的示例列表 这里 。还有一个方便的产品选择器 SonicWALL的网站 让您了解哪些产品可能适合您。

防病毒通常是最后一道防线。良好的防火墙对于阻止可能在没有任何用户干预的情况下发生的感染更为重要如果硬件防火墙不是一个选项，Windows防火墙总比没有好，当然必须配置为允许访问所需的网络应用程序。