Acabo de asumir el cargo de administrador de una red que utiliza hosts con imágenes corporativas para administrar varias máquinas con fines especiales.
Estos hosts se conectan directamente al equipo que administran a través de serie o ethernet (cross-ver), sin absolutamente ningún acceso a Internet o intranet.
Algunos de estos hosts no han estado conectados a ninguna red durante ~2 años, ya que se trata de una imagen estándar, las actualizaciones de Windows o de antivirus no se han realizado durante más de ~2 años.
La vulnerabilidad que me preocupa es que los operadores de las máquinas de propósito especial conectan memorias USB a estos hosts con espacio de aire, por razones legítimas y personales (música, etc.)
Me gustaría solucionar esto mediante una de las siguientes opciones:
1- Conecte estos hosts a la LAN corporativa para actualizar el antivirus y Windows periódicamente (una vez al mes) y volver al espacio aéreo.
2- Cree una(s) subred(es) especial(es), que solo permita a través de la actualización de Windows, actualización antivirus
Otra cosa que estoy considerando es crear una imagen personalizada para estos hosts que no tenga aplicaciones innecesarias (MS Offic, etc.)
La opción 1 es engorrosa y se olvida fácilmente, la opción 2 requiere que pase por Gobernanza de TI, lo que tomaría un tiempo.
Me gustaría escuchar cualquier recomendación que tenga para esta situación.
Respuesta1
Si las personas usan sus propias unidades USB en estas PC, ciertamente es un problema.
Los configuraría en una LAN aislada junto con un servidor WSUS y cualquier software que su antivirus proporcione para distribuir parches. El nuevo servidor podría tener una segunda conexión a Internet o permanecer aislado y hacer que usted transfiera actualizaciones manualmente de forma regular para distribuirlas al resto.
Respuesta2
La opción 1 es engorrosa y se olvida fácilmente, la opción 2 requiere que pase por Gobernanza de TI, lo que tomaría un tiempo.
Opción 1: La gestión de TI requiere esfuerzo. Si elige la opción 1, entonces es su responsabilidad esforzarse en recordar hacerlo. Cree un recordatorio de calendario o una tarea recurrente para usted para esto.
Opción 2: Hagas lo que hagas, debes asegurarte de contar con la aprobación y la aceptación del personal o la gerencia de TI.
Puede, como señala Michael en su comentario, utilizar una solución WSUS sin conexión. También debería poder descargar actualizaciones AV sin conexión y aplicarlas a estas máquinas.