Intel Unite Solution-Enterprise Deployment Guide
Intel Unite® 解决方案企业部署指南 v3.1.7 第 55 页,共 81 页
9 操作系统和 PC 安全控制
9.1.1 最低安全标准 (MSS)
建议运行 Intel Unite 应用程序的所有设备都满足默认组织 MSS 标准,安装用于打补丁的代理,以及 MSS 规范
中规定的防病毒/IPS/IDS 和其他必要控制措施(McAfee 反恶意软件、IPS、IDS 套件已通过兼容性测试)。
9.1.2 机器保护
可以锁定机器统一可扩展固件接口 (UEFI),以仅引导 Windows 引导加载程序(以便从 USB 磁盘/DVD 引导无
效)、可以启用执行禁用位、可以启用英特尔® 可信执行技术,并且可以使用密码锁定设置。
Windows 操作系统保护:作为一项基准,系统应在无用户权限升级的情况下运行。此外,建议删除操作系统中
无用的软件,包括并非必要的预装软件和 Windows 组件(PowerShell、打印和文档服务、Windows 位置提供
程序、XPS 服务)。
GUI 子系统锁定:由于系统仅使用无键盘或鼠标的非触控屏幕,因此破坏 GUI 子系统更为困难。为了防止攻击
者连接 HID 设备(USB 键盘/鼠标),建议以编程方式阻止 Alt+Tab、Ctrl+Shift+Esc 和超级按钮栏。
9.1.3 其他安全控制
建议按照 Active Directory 中的特定机器帐户锁定机器用户账户。如果部署中包含数量较多的设别,可按照特
定建筑物指定楼层锁定用户帐户。
机器所有权:建议为每台机器明确指定所有者。如果机器长时间脱机,则应通知指定所有者。
除了英特尔博锐平台和 Intel Unite 软件本身提供的安全机制外,建议根据 Microsoft 机器保护准则来保护
Microsoft* Windows* 操作系统,如需参考,请通过以下链接联系 Microsoft 安全合规性经理* (SCM):
https://technet.microsoft.com/zh-cn/solutionaccelerators/cc835245.aspx
注:链接中的信息包含基于向导的保护工具,其中包括最著名的保护方法及相关文档。