我们办公室有一个小型“安全网络”。我说的小型是指一台连接到防火墙的 Windows 7 PC,该防火墙连接到互联网。它用于处理符合 PCI DSS 的信用卡交易。
PCI DSS 的要求之一是安全网络中的任何机器都必须定期打补丁并保持最新状态。另一个要求是防火墙必须锁定,只允许与授权服务器的出站连接。防火墙仅根据 IP 地址进行出站例外处理。
由此我们可以得出以下事实:
- 服务器必须更新补丁
- 必须允许服务器连接到 Windows 更新
- 防火墙只能允许它通过 IP 执行此操作
- Windows 更新似乎没有一致的 IP 范围
- Win 7 盒子上没有 Small Business Server
- 因此该盒子将不会运行 WSUS
我们真的没有办法让盒子接收更新吗?还是我们忽略了什么?
答案1
或者您可以将 WSUS 服务器放到互联网上(并“授权”它)并解决不断变化的 IP 地址的问题。
The Internet (tm)
\------------------------/
| |
| |
O---------------O +------+ | O-----------O |
|Secured Machine+---->+Router+-----+------>|WSUS Server| |
O---------------O +------+ | O-----------O |
| |
| |
/------------------------\
答案2
如果你不想手动打补丁,也不想设置 WSUS 服务器(我记得它需要 Windows Server),我强烈推荐WSUS 脱机更新,它允许您将任何 Microsoft 更新下载到 USB 记忆棒,然后将其半自动应用于 Win7 计算机(半自动意味着您必须手动启动它,但它会自动识别和安装所有更新,就像 Windows 更新一样)。如果更新相互依赖并且需要重新启动周期,它甚至可以自行完成此操作。
答案3
您可以在安全网络外部的机器上手动下载补丁,并手动应用到安全网络内的机器上。