Я только что занял должность администратора сети, в которой используются корпоративные хосты с образами для управления различными машинами специального назначения.
Эти хосты напрямую подключаются к оборудованию, которым они управляют, через последовательный порт или Ethernet (кросс-версия), без какого-либо доступа к Интернету или интрасети.
Некоторые из этих хостов не были подключены ни к одной сети в течение примерно 2 лет, поскольку это стандартный образ, обновления Windows или антивируса не производились более 2 лет.
Уязвимость, которая меня беспокоит, заключается в том, что операторы специальных машин подключают USB-накопители к этим изолированным хостам как по законным причинам, так и в личных целях (музыка и т. д.).
Я хотел бы исправить это одним из следующих способов:
1- Подключите эти хосты к корпоративной локальной сети для периодического обновления антивируса и Windows (раз в месяц) и возврата в режим «воздушного зазора»
2- Создайте специальную подсеть[и], которая позволяет обновлять антивирус только через Центр обновления Windows.
Еще одна вещь, которую я рассматриваю, — это создание собственного образа для этих хостов, в котором не будет ненужных приложений (MS Offic и т. д.).
Вариант 1 громоздкий и о нем легко забыть, вариант 2 требует прохождения процедуры управления ИТ, на что потребуется некоторое время.
Я хотел бы услышать ваши рекомендации относительно этой ситуации.
решение1
Если люди используют собственные USB-накопители на этих ПК, это, безусловно, является проблемой.
Я бы установил их в изолированной локальной сети вместе с сервером WSUS и любым программным обеспечением, которое ваш антивирус предоставляет для распространения исправлений. Новый сервер может либо иметь второе подключение к Интернету, либо оставаться изолированным, и вы должны вручную регулярно передавать на него обновления для распространения на остальные.
решение2
Вариант 1 громоздкий и о нем легко забыть, вариант 2 требует прохождения процедуры управления ИТ, на что потребуется некоторое время.
Вариант 1: Управление ИТ требует усилий. Если вы выбираете вариант 1, то это ваша ответственность — приложить усилия, чтобы не забыть сделать это. Создайте для себя напоминание в календаре или повторяющуюся задачу.
Вариант 2: Что бы вы ни делали, вам следует убедиться в том, что у вас есть одобрение и поддержка со стороны ИТ-персонала/руководства.
Вы можете, как указывает Майкл в своем комментарии, использовать офлайновое решение WSUS. Вы также должны иметь возможность загружать обновления AV офлайн и применять их на этих машинах.