Ich habe gerade die Verwaltung eines Netzwerks übernommen, das Image-Hosts von Unternehmen verwendet, um verschiedene Spezialmaschinen zu verwalten.
Diese Hosts stellen über eine serielle Schnittstelle oder Ethernet (Cross-Ver) eine direkte Verbindung zu den von ihnen verwalteten Geräten her und benötigen keinerlei Internet- oder Intranet-Zugriff.
Einige dieser Hosts waren seit ca. 2 Jahren mit keinem Netzwerk verbunden, da es sich um ein Standardabbild handelt und seit über 2 Jahren keine Windows- oder Antiviren-Updates mehr erfolgten.
Die Schwachstelle, die mir Sorgen bereitet, besteht darin, dass die Betreiber der Spezialmaschinen USB-Sticks an diese Air-Gap-Hosts anschließen, und zwar sowohl aus legitimen als auch aus persönlichen Gründen (Musik usw.).
Ich möchte dies mit einer der folgenden Optionen beheben:
1- Verbinden Sie diese Hosts mit dem Firmen-LAN, um regelmäßig (einmal im Monat) Antiviren- und Windows-Updates durchzuführen und zum Air Gap zurückzukehren.
2- Erstellen Sie ein spezielles Subnetz, das nur über Windows-Updates und Antiviren-Updates zulässt
eine weitere Sache, die ich in Betracht ziehe, ist die Erstellung eines benutzerdefinierten Images für diese Hosts, das keine unnötigen Apps (MS Office usw.) enthält.
Option 1 ist umständlich und wird leicht vergessen, Option 2 erfordert, dass ich mich mit der IT-Governance beschäftige, was eine ganze Weile dauern würde.
Ich würde gerne alle Empfehlungen hören, die Sie für diese Situation haben.
Antwort1
Wenn Benutzer auf diesen PCs ihre eigenen USB-Laufwerke verwenden, stellt dies sicherlich ein Problem dar.
Ich würde sie in einem isolierten LAN zusammen mit einem WSUS-Server und der Software einrichten, die Ihr Antivirenprogramm zum Verteilen von Patches bereitstellt. Der neue Server könnte entweder eine zweite Verbindung zum Internet haben oder isoliert bleiben und Sie könnten regelmäßig manuell Updates darauf übertragen, um sie an den Rest zu verteilen.
Antwort2
Option 1 ist umständlich und wird leicht vergessen, Option 2 erfordert, dass ich mich mit der IT-Governance beschäftige, was eine ganze Weile dauern würde.
Option 1: IT-Management erfordert Aufwand. Wenn Sie sich für Option 1 entscheiden, liegt es in Ihrer Verantwortung, sich die Mühe zu machen, daran zu denken. Erstellen Sie sich hierfür eine Kalendererinnerung oder eine wiederkehrende Aufgabe.
Option 2: Was auch immer Sie tun, Sie sollten sicherstellen, dass Sie die Genehmigung und Zustimmung des IT-Personals/Managements haben.
Sie können, wie Michael in seinem Kommentar anmerkt, eine Offline-WSUS-Lösung verwenden. Sie sollten auch in der Lage sein, AV-Updates offline herunterzuladen und auf diesen Maschinen anzuwenden.