私は、企業のイメージホストを使用するネットワークの管理者を引き継ぎ、さまざまな特殊用途のマシンを管理するようになりました。
これらのホストは、インターネットやイントラネットにはまったくアクセスせずに、シリアルまたはイーサネット (クロスバー) 経由で管理対象の機器に直接接続します。
これらのホストのいくつかは、約 2 年間、どのネットワークにも接続されていません。これは標準イメージであるため、Windows の更新やウイルス対策の更新は約 2 年以上行われていません。
私が心配している脆弱性は、特殊用途のマシンのオペレーターが、正当な理由だけでなく個人的な理由(音楽など)で、これらのエアギャップ ホストに USB サムドライブを接続することです。
次のいずれかのオプションでこれを修正したいと思います。
1-これらのホストを企業LANに接続して、定期的に(月に1回)ウイルス対策とWindowsを更新し、エアギャップに戻ります。
2- Windows Update、ウイルス対策アップデートのみを許可する特別なサブネットを作成します
私が検討しているもう一つのことは、これらのホスト用に、不要なアプリ (MS Offic など) のないカスタム イメージを構築することです。
オプション 1 は面倒で忘れられやすく、オプション 2 では IT ガバナンスを経る必要があり、完了するまでに時間がかかります。
この状況について、何かアドバイスがあればお聞かせください。
答え1
ユーザーがこれらの PC で独自の USB ドライブを使用している場合、それは確かに問題になります。
私は、WSUS サーバーと、パッチ配布用にウイルス対策ソフトウェアとともに、隔離された LAN 上にそれらをセットアップします。新しいサーバーは、インターネットへの 2 番目の接続を持つか、隔離されたままにして、定期的に手動で更新を転送して残りのサーバーに配布するかのいずれかになります。
答え2
オプション 1 は面倒で忘れられやすく、オプション 2 では IT ガバナンスを経る必要があり、完了するまでに時間がかかります。
オプション 1: IT 管理には労力が必要です。オプション 1 を選択した場合は、これを忘れないように努力するのはあなたの責任です。このために、カレンダー リマインダーまたは定期的なタスクを自分で作成します。
オプション 2: 何をするにしても、IT スタッフ/管理者からの承認と賛同を得る必要があります。
Michael がコメントで指摘しているように、オフラインの WSUS ソリューションを使用できます。また、AV アップデートをオフラインでダウンロードし、これらのマシンに適用することもできます。