Intel Unite Solution-Enterprise Deployment Guide
Intel Unite® 解決方案企業部署指南 3.1.7 版 55 / 81
9 作業系統與電腦安全性控制
9.1.1 最低安全性標準 (Minimum Security Standards,MSS)
建議所有執行 Intel Unite 應用程式的裝置均符合您組織預設的最低安全性標準,最好請相關人員依照最低安全
性規格安裝修補用的代理程式、防毒軟體、防入侵系統、入侵偵測系統及其它應有的管控功能 (McAfee 的防毒、
防入侵、入侵偵測等系統均已完成相容性測試)。
9.1.2 電腦強化
電腦的整合可延伸韌體介面 (UEFI) 可鎖定僅允許以 Windows 開機載入程式開機 (亦即無法從 USB 隨身碟或光
碟開機),以及可啟用執行停用位元和 Intel® 受信任執行技術,並可設定以密碼鎖定。
Windows 作業系統強化:系統最低限度應該以未提高權限的使用者執行。同時亦建議將作業系統中不使用的軟
體移除,包括不必要的預先安裝軟體與 Windows 元件 (PowerShell、列印與文件服務、Windows 位置提供者、
XPS 服務)。
GUI 子系統鎖定:由於此系統僅使用非觸控式螢幕,在沒有鍵盤或滑鼠的情況下,可讓 GUI 子系統更難以突破。
為防止攻擊者連接人機介面裝置 (USB 鍵盤或滑鼠),建議從程式中封鎖 Alt+Tab、Ctrl+Shift+Esc 和快速鍵列。
9.1.3 其他安全性控制
建議利用 Active Directory 中的特定電腦帳戶來鎖定電腦使用者帳戶。若部署裝置數量龐大,則可個別鎖定樓
層或特定大樓的使用者帳戶。
電腦負責人:建議每一台電腦指定一名負責人。若電腦長時間離線,便能通知其負責人。
除了 Intel vPro 平台與 Intel Unite 軟體本身所提供的安全機制外,亦建議將 Microsoft* Windows* 作業系統依
照 Microsoft 為電腦強化所提供的準則進行強化。相關資料請參閱下列連結的 Microsoft Security Compliance
Manager*:https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
注意:此連結提供精靈形式的強化工具,包括強化最佳方法和相關說明文件。