Я только что стал администратором сети, которая использует корпоративные хосты с образами для управления различными машинами специального назначения.
Эти хосты напрямую подключаются к оборудованию, которым они управляют, через последовательный или Ethernet-порт (кросс-вер), абсолютно без доступа к Интернету или интрасети.
Некоторые из этих хостов не были подключены к какой-либо сети в течение ~ 2 лет, поскольку это стандартный образ, обновления Windows или антивирусные обновления не выполнялись более ~ 2 лет.
Уязвимость, о которой я беспокоюсь, заключается в том, что операторы машин специального назначения подключают флэш-накопители USB к этим узлам с воздушным зазором по законным причинам, а также по личным причинам (музыка и т. Д.)
Я хотел бы исправить это одним из следующих вариантов:
1- Подключите эти хосты к корпоративной локальной сети для периодического обновления антивируса, окон (раз в месяц) и возврата к воздушному зазору.
2- Создайте специальную подсеть [s], которая позволяет только через обновление Windows, обновление антивируса
еще одна вещь, которую я рассматриваю, - это создание пользовательского образа для этих хостов, у которого нет ненужных приложений (MS Officer и т. д.)
вариант 1 громоздок и легко забывается, вариант 2 требует, чтобы я прошел через ИТ-управление, что займет некоторое время.
Я хотел бы услышать ваши рекомендации по этой ситуации.
Если люди используют свои собственные USB-накопители на этих ПК, это определенно проблема.
Я бы установил их в изолированной локальной сети вместе с сервером WSUS и любым программным обеспечением, которое вы предоставляете антивирусом для распространения исправлений. Новый сервер может либо иметь второе подключение к Интернету, либо оставаться изолированным, и вы должны вручную передавать обновления на него на регулярной основе для распространения среди остальных.
вариант 1 громоздок и легко забывается, вариант 2 требует, чтобы я прошел через ИТ-управление, что займет некоторое время.
Вариант 1. Управление ИТ требует усилий. Если вы выберете вариант 1, то вы обязаны приложить усилия, чтобы не забыть об этом. Создайте для этого напоминание в календаре или повторяющееся задание для себя.
Вариант 2. Что бы вы ни делали, вы должны убедиться, что у вас есть одобрение и поддержка со стороны ИТ-персонала / руководства.
Вы можете, как указывает Майкл в своем комментарии, использовать автономное решение WSUS. Вы также должны иметь возможность загружать обновления AV в автономном режиме и применять их к этим машинам.