システムの要素の1つ、つまりオペレーティングシステムの一部としてのソフトウェアプラットフォームと、特殊なソフトウェアEGAISを検討してください。 オペレーティングシステムとして、小売向け(つまり小売) Microsoft Windows Embedded POSReady 7 (別の記事で説明しました)を使用して、組み込みのセキュリティシステムをアクティブにします。
以下に説明するように、オペレーティングシステムとアプリケーションソフトウェアの経験豊富なユーザーと管理者にとっては、おそらく明白に思えますが、オペレーティングシステムの機能を使用するいくつかの実用的な側面は、彼らにとって興味深いでしょう。
明白なことから始めましょう:
-さまざまなユーザーを作成する必要があります-条件付きで「ユーザー」と「管理者」-オペレーティングシステムを管理するための根本的に異なる権限を持つユーザー。 管理者は、アプリケーションソフトウェアとシステム設定のリストを変更できます。 「ユーザー」-プログラムの事前定義リストと対話する必要があります。
-AppLockerを使用すると非常に便利です。これは、システム管理者がこのワークステーション内で使用できるアプリケーションのリストをカスタマイズできるシンプルで柔軟なメカニズムです。
-ウイルス対策ソフトウェアをインストールしていない場合でも、オペレーティングシステムには、少なくとも「トロイの木馬」からの保護を提供する「Windows Defender」が組み込まれていることに注意してください。
-もちろん、Windowsファイアウォールを構成する必要があります。
彼から始めます。
Windowsファイアウォール
このコンポーネントの説明に書かれているように、このコンピューターへの不正アクセスを防ぐのに役立ちます。 ビルトインファイアウォールとの関係に関係なく、正しく設定されている場合、その使用により信頼性が大幅に向上します。 EGAISソフトウェアとハードウェアの複合体は、管理者が外部の脅威を防ぐための多くの手段をすでに取っている企業ネットワークではなく、いわゆる「パブリックネットワーク」では機能しないと想定しています。 したがって、ファイアウォールを慎重に構成する必要があります。
図 1
ソーシャルネットワークでは、すべての着信接続をブロックしたことがわかります。 さらに、着信接続と発信接続に対して個別のルールを構成できます。 たとえば、コンピューターからEGAISサーバーにデータを送信するには、発信TCPポート443を開く必要があることがわかっています。これは、改良モードで簡単に構成できます。
図 2
これらの操作は、EGAISコンプレックスのソフトウェア部分の他のコンポーネント、またはキャッシュソリューションなどの顧客の会計サブシステムに対して実行できます。
次に、オペレーティングシステム自体の特定の機能について詳しく説明します。
ダイアログフィルター
多くの場合、ユーザーは日常業務用ではないアプリケーションを起動したいという欲求を持っています。 たとえば、Windows Media Player、RDPなど。 この種のアプリケーションの使用をブロックする1つの方法は、ダイアログボックスフィルターを使用することです。 その主な機能は、稼働中のシステムの画面に表示される通知を無効にすることですが、別の品質で使用することもできます。
このフィルターは追加パッケージであり、DISMユーティリティを使用してシステムに簡単にインストールできます(注:以降、ユーティリティと組み込み機能を使用する多くの方法の1つを検討します)。
DISM /オンライン/追加パッケージ/ PackagePath:E:\ DS \ winemb-dialog-filter.cab
さらに、これは実行中のシステムで直接実行できます(パラメーター:/オンライン)。 次に、Windows Mediaを起動し、コマンドラインからDialogFilterEditor.exeダイアログエディターを起動します。
図 3
Windows Mediaなどのアプリケーションを見つけてダブルクリックし、このアプリケーションでのアクションのルールを定義します-「閉じる」:
図 4
編集したダイアログボックスフィルターの構成を保存し、開いたすべてのアプリケーションを閉じ、起動をブロックしました。 ダイアログボックスフィルターの起動を自動再生に追加します。
これを行うには、レジストリを編集します。
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run-すべてのユーザーのブート時に実行されるプログラムのリストにDialogFilter.exeを追加します。
キーボードフィルター
偶発的または意図的なユーザーのシステムおよびシステムで実行されているアプリケーションへのユーザーの影響から保護する方法の1つは、組み込みのキーボードフィルターを使用することです。 このフィルターは、システムにダウンロードする必要がある追加パッケージでもあります。 これは、ダイアログボックスフィルターの読み込みと同様に行われますが、E:\ DS \ winemb-keyboard-filter.cabを使用します。 ダウンロード後、コマンドプロンプトで、管理者特権で、Gpedit.mscグループポリシーエディターを開きます。
次に、コンピューターの構成\管理用テンプレート\システム\キーボードフィルターセクションに移動する必要があります。 たとえば、[セキュリティキー]セクションを選択し、各ユーザーアクションをブロックします(図6)
図 5
図 6
「有効」ステータス-このキーの組み合わせがロックされていることを示します。
したがって、システムを操作するユーザーの能力は大幅に制限されています。 キーロックを継続できることは明らかです。
セキュリティアップデート
標準的な現象-ユーザーは、オペレーティングシステムが開発中の生物であることを忘れます。 通常、システムのインストール後、システムの更新作業は実行されません。 これは重大な間違いです! 特にEGAISコンプレックスなどのシステムに関しては、この場合、オペレーティングシステムとアプリケーションの特定された脆弱性に関する更新に特別な注意を払う必要があります。
通常、このプロセスは自動的に実行されません-管理者の制御下でのみ。 これは、更新がアプリケーションソフトウェアの機能に影響を与える可能性があるためです。 この可能性を排除するために、セキュリティに関連する更新のみをインストールする権利を確保できます(コンテキスト分析から)。
図 7
この記事のフレームワークでは、EGAISハードウェアとソフトウェアの複合体の安定性と信頼性を高めるためのさまざまなアプローチを開示することを主張していません。 ただし、上記の推奨事項により、信頼性の高いシステムに向けた最初の手順を大幅に簡素化できます。 そしてまだ-説明されているすべては、Microsoft Windows Embedded POSReady 7オペレーティングシステムの一部であるMicrosoft標準ツールによって実行されました。