Обновления Windows, антивирусные обновления для хостов с воздушным зазором
Я просто стал администратором сети, в которой используются хосты с корпоративными изображениями для управления различными машинами специального назначения.
Эти хосты напрямую подключаются к оборудованию, которым они управляют, через последовательный порт или локальную сеть (кросс-версия), абсолютно без доступа к Интернету или интрасети.
Некоторые из этих хостов не были подключены к какой-либо сети в течение ~2 лет, поскольку это стандартный образ, обновления Windows или антивирусные обновления не происходили в течение ~2 лет.
Уязвимость, о которой я беспокоюсь, заключается в том, что операторы машин специального назначения подключают флэш-накопители USB к этим хостам с воздушным зазором по законным причинам, а также по личным причинам (музыка и т. Д.).
Я хотел бы исправить это одним из следующих вариантов:
1. Подключите эти хосты к корпоративной локальной сети, чтобы периодически обновлять антивирус, окна (один раз в месяц) и возвращаться в воздушный зазор.
2- Создайте специальную подсеть [s], которая позволяет только через Windows обновление, обновление антивируса
я также рассматриваю возможность создания собственного образа для этих хостов, на котором нет ненужных приложений (MS Offic и т. д.)
Вариант 1 обременителен и его легко забыть. Вариант 2 требует, чтобы я прошел через ИТ-управление, и на это уйдет некоторое время.
Я хотел бы услышать любые ваши рекомендации для этой ситуации.
2 ответа
Если люди используют свои собственные USB-накопители на этих ПК, это, безусловно, проблема.
Я бы установил их в изолированной локальной сети вместе с сервером WSUS и любым программным обеспечением, которое антивирус предоставляет для распространения исправлений. Новый сервер может либо иметь второе подключение к Интернету, либо оставаться изолированным, и вы регулярно будете вручную передавать на него обновления для распространения среди остальных.
Вариант 1 обременителен и его легко забыть. Вариант 2 требует, чтобы я прошел через ИТ-управление, и на это уйдет некоторое время.
Вариант 1: управление ИТ требует усилий. Если вы выберете вариант 1, вы должны приложить усилия, чтобы не забыть сделать это. Для этого создайте для себя напоминание календаря или повторяющееся задание.
Вариант 2: Что бы вы ни делали, вы должны убедиться, что у вас есть одобрение и выкуп у ИТ-персонала / руководства.
Как указывает Майкл в своем комментарии, вы можете использовать автономное решение WSUS. Вы также должны иметь возможность загружать обновления AV в автономном режиме и применять их на этих компьютерах.