Acabei de assumir o cargo de administrador de uma rede que usa hosts com imagens corporativas para gerenciar várias máquinas para fins especiais.
Esses hosts se conectam diretamente ao equipamento que gerenciam via Serial ou Ethernet (cross-ver), sem absolutamente nenhum acesso à Internet ou intranet.
Alguns desses hosts não estão conectados a nenhuma rede há aproximadamente 2 anos, pois esta é uma imagem padrão, atualizações do Windows ou atualizações de antivírus não ocorrem há mais de aproximadamente 2 anos.
A vulnerabilidade que me preocupa é que os operadores das máquinas para fins especiais conectam pen drives USB a esses hosts com falta de ar, por motivos legítimos e também por motivos pessoais (música, etc.).
Gostaria de remediar isso com uma das seguintes opções:
1- Conecte esses hosts à LAN corporativa para atualizar o antivírus e o Windows periodicamente (uma vez por mês) e retornar ao air gap
2- Crie uma sub-rede especial que permita apenas através de atualização do Windows, atualização de antivírus
outra coisa que estou considerando é criar imagens personalizadas para esses hosts que não possuem aplicativos desnecessários (MS Offic etc.)
a opção 1 é complicada e facilmente esquecida, a opção 2 exige que eu passe pela governança de TI, o que demoraria um pouco para ser concluído.
Gostaria de ouvir quaisquer recomendações que você tenha para esta situação.
Responder1
Se as pessoas estiverem usando suas próprias unidades USB nesses PCs, isso certamente será um problema.
Eu os configuraria em uma LAN isolada junto com um servidor WSUS e qualquer software que seu antivírus forneça para distribuição de patches. O novo servidor pode ter uma segunda conexão com a Internet ou permanecer isolado e fazer com que você transfira manualmente as atualizações para ele regularmente para distribuir para o restante.
Responder2
a opção 1 é complicada e facilmente esquecida, a opção 2 exige que eu passe pela governança de TI, o que demoraria um pouco para ser concluído.
Opção 1: O gerenciamento de TI exige esforço. Se você escolher a opção 1, é sua responsabilidade se esforçar para lembrar de fazer isso. Crie um lembrete de calendário ou uma tarefa recorrente para você.
Opção 2: Faça o que fizer, certifique-se de ter a aprovação e a adesão da equipe/gerência de TI.
Você pode, como Michael aponta em seu comentário, usar uma solução offline do WSUS. Você também deve ser capaz de baixar atualizações de antivírus off-line e aplicá-las a essas máquinas.