Обновления Windows, обновления антивируса для хостов с воздушным зазором

Обновления Windows, обновления антивируса для хостов с воздушным зазором

Я только что занял должность администратора сети, в которой используются корпоративные хосты с образами для управления различными машинами специального назначения.

Эти хосты напрямую подключаются к оборудованию, которым они управляют, через последовательный порт или Ethernet (кросс-версия), без какого-либо доступа к Интернету или интрасети.

Некоторые из этих хостов не были подключены ни к одной сети в течение примерно 2 лет, поскольку это стандартный образ, обновления Windows или антивируса не производились более 2 лет.

Уязвимость, которая меня беспокоит, заключается в том, что операторы специальных машин подключают USB-накопители к этим изолированным хостам как по законным причинам, так и в личных целях (музыка и т. д.).

Я хотел бы исправить это одним из следующих способов:

1- Подключите эти хосты к корпоративной локальной сети для периодического обновления антивируса и Windows (раз в месяц) и возврата в режим «воздушного зазора»

2- Создайте специальную подсеть[и], которая позволяет обновлять антивирус только через Центр обновления Windows.

Еще одна вещь, которую я рассматриваю, — это создание собственного образа для этих хостов, в котором не будет ненужных приложений (MS Offic и т. д.).

Вариант 1 громоздкий и о нем легко забыть, вариант 2 требует прохождения процедуры управления ИТ, на что потребуется некоторое время.

Я хотел бы услышать ваши рекомендации относительно этой ситуации.

решение1

Если люди используют собственные USB-накопители на этих ПК, это, безусловно, является проблемой.

Я бы установил их в изолированной локальной сети вместе с сервером WSUS и любым программным обеспечением, которое ваш антивирус предоставляет для распространения исправлений. Новый сервер может либо иметь второе подключение к Интернету, либо оставаться изолированным, и вы должны вручную регулярно передавать на него обновления для распространения на остальные.

решение2

Вариант 1 громоздкий и о нем легко забыть, вариант 2 требует прохождения процедуры управления ИТ, на что потребуется некоторое время.

Вариант 1: Управление ИТ требует усилий. Если вы выбираете вариант 1, то это ваша ответственность — приложить усилия, чтобы не забыть сделать это. Создайте для себя напоминание в календаре или повторяющуюся задачу.

Вариант 2: Что бы вы ни делали, вам следует убедиться в том, что у вас есть одобрение и поддержка со стороны ИТ-персонала/руководства.

Вы можете, как указывает Майкл в своем комментарии, использовать офлайновое решение WSUS. Вы также должны иметь возможность загружать обновления AV офлайн и применять их на этих машинах.

Связанный контент