我剛剛接任一個網路管理員,該網路使用企業映像主機來管理各種特殊用途的電腦。
這些主機透過串行或乙太網路(跨版本)直接連接到它們管理的設備,絕對沒有互聯網或內部網路存取權限。
其中一些主機已經大約 2 年沒有連接到任何網絡,因為這是標準映像,Windows 更新或防毒更新已經超過大約 2 年沒有發生。
我擔心的漏洞是專用機器的操作員出於合法原因以及個人原因(音樂等)將 USB 隨身碟連接到這些氣隙主機。
我想透過以下選項之一來修復此問題:
1-將這些主機連接到公司區域網,定期(每月一次)更新防毒、Windows,並返回氣隙
2- 建立一個特殊的子網,只允許透過 Windows 更新、防毒更新
我正在考慮的另一件事是為這些主機建立自訂映像,這些主機沒有不必要的應用程式(MS Offic 等)
選項 1 很麻煩且容易忘記,選項 2 要求我完成 IT 治理,這需要一段時間才能完成。
對於這種情況,我想聽聽您的任何建議。
答案1
如果人們在這些電腦上使用自己的 USB 驅動器,這肯定是一個問題。
我會將它們設置在一個隔離的 LAN 上,以及 WSUS 伺服器以及防毒軟體提供的任何用於分發修補程式的軟體。新伺服器可以有第二個連接到互聯網,或保持隔離,並讓您定期手動向其傳輸更新以分發給其他伺服器。
答案2
選項 1 很麻煩且容易忘記,選項 2 要求我完成 IT 治理,這需要一段時間才能完成。
選項 1:IT 管理需要付出努力。如果您選擇選項 1,那麼您有責任努力記住這樣做。為此,為自己建立一個日曆提醒或一個重複任務。
選項 2:無論您做什麼,都應該確保獲得 IT 員工/管理階層的批准和支援。
正如 Michael 在評論中指出的那樣,您可以使用離線 WSUS 解決方案。您還應該能夠離線下載 AV 更新並將其應用到這些電腦。