Windows 更新、隔离主机的防病毒更新

Windows 更新、隔离主机的防病毒更新

我刚刚接任使用企业映像主机的网络管理员,负责管理各种特殊用途的机器。

这些主机通过串行或以太网(交叉版本)直接连接到它们正在管理的设备,完全没有互联网或内联网访问。

其中一些主机大约有 2 年没有连接到任何网络,因为这是一个标准图像,所以 Windows 更新或防病毒更新大约有 2 年没有发生过。

我担心的漏洞是专用机器的操作员将 USB 拇指驱动器连接到这些隔离主机,出于合法原因以及个人原因(音乐等)。

我想通过以下选项之一来解决这个问题:

1- 将这些主机连接到企业局域网,定期(每月一次)更新防病毒软件和 Windows,然后返回到气隙

2-创建一个特殊子网,仅允许通过 Windows 更新、防病毒更新

我正在考虑的另一件事是为这些没有不必要应用程序(MS Offic 等)的主机构建自定义图像。

选项 1 很麻烦而且容易被遗忘,而选项 2 则要求我经过 IT 治理,这需要一段时间才能完成。

针对这种情况,我希望听听您的任何建议。

答案1

如果人们在这些电脑上使用自己的 USB 驱动器,这肯定会出现问题。

我会将它们与 WSUS 服务器以及防病毒软件一起安装在一个隔离的 LAN 上,用于分发补丁。新服务器可以有第二个互联网连接,也可以保持隔离,并让您定期手动将更新传输到它,然后分发给其他服务器。

答案2

选项 1 很麻烦而且容易被遗忘,而选项 2 则要求我经过 IT 治理,这需要一段时间才能完成。

选项 1:IT 管理需要付出努力。如果您选择选项 1,那么您有责任付出努力来记住这一点。为此,为自己创建日历提醒或重复任务。

选项 2:无论您做什么,都应确保获得 IT 员工/管理层的批准和认可。

正如 Michael 在其评论中指出的那样,您可以使用离线 WSUS 解决方案。您还应该能够离线下载 AV 更新并将其应用于这些计算机。

相关内容