Windows 更新、Air Gap 主機的防病毒更新
我剛剛接管了一個使用企業鏡像主機的網路管理員,以管理各種特殊用途的機器。
這些主機通過串列或乙太網(cross-ver)直接連接到他們正在管理的設備,絕對沒有網際網路或內部網訪問。
其中一些主機大約 2 年沒有連接到任何網路,因為這是一個標準映像,Windows 更新或防病毒更新大約 2 年沒有發生。
我擔心的漏洞是專用機器的操作員將 USB 拇指驅動器連接到這些氣隙主機,出於正當原因以及個人原因(音樂等)
我想通過以下選項之一來解決這個問題:
1- 將這些主機連接到企業區域網路,定期(每月一次)更新防毒、windows,並返回air gap
2-創建一個特殊的子網
$$ s $$,只允許通過windows更新、防毒更新 我正在考慮的另一件事是為這些沒有不必要的應用程序(MS Offic 等)的主機建構自定義映像
選項 1 繁瑣且容易忘記,選項 2 需要我通過 IT 治理,這需要一段時間才能通過。
對於這種情況,我想听聽您的任何建議。
如果人們在這些 PC 上使用自己的 USB 驅動器,那肯定是個問題。
我會將它們與 WSUS 伺服器以及防病毒軟體提供的用於分發更新檔的任何軟體一起設置在隔離的 LAN 上。新伺服器可以與 Internet 建立第二個連接,也可以保持隔離狀態,讓您定期手動將更新傳輸到它以分發給其餘伺服器。
選項 1 繁瑣且容易忘記,選項 2 需要我通過 IT 治理,這需要一段時間才能通過。
選項 1:IT 管理需要付出努力。如果您選擇選項 1,那麼您有責任努力記住這樣做。為此,您可以為自己創建日曆提醒或重複任務。
選項 2:無論您做什麼,都應確保獲得 IT 員工/管理層的批准和認同。
正如邁克爾在評論中指出的那樣,您可以使用離線 WSUS 解決方案。您還應該能夠離線下載 AV 更新並將它們應用到這些機器上。