我刚刚接任使用企业映像主机的网络管理员,负责管理各种特殊用途的机器。
这些主机通过串行或以太网(交叉版本)直接连接到它们正在管理的设备,完全没有互联网或内联网访问。
其中一些主机大约有 2 年没有连接到任何网络,因为这是一个标准图像,所以 Windows 更新或防病毒更新大约有 2 年没有发生过。
我担心的漏洞是专用机器的操作员将 USB 拇指驱动器连接到这些隔离主机,出于合法原因以及个人原因(音乐等)。
我想通过以下选项之一来解决这个问题:
1- 将这些主机连接到企业局域网,定期(每月一次)更新防病毒软件和 Windows,然后返回到气隙
2-创建一个特殊子网,仅允许通过 Windows 更新、防病毒更新
我正在考虑的另一件事是为这些没有不必要应用程序(MS Offic 等)的主机构建自定义图像。
选项 1 很麻烦而且容易被遗忘,而选项 2 则要求我经过 IT 治理,这需要一段时间才能完成。
针对这种情况,我希望听听您的任何建议。
答案1
如果人们在这些电脑上使用自己的 USB 驱动器,这肯定会出现问题。
我会将它们与 WSUS 服务器以及防病毒软件一起安装在一个隔离的 LAN 上,用于分发补丁。新服务器可以有第二个互联网连接,也可以保持隔离,并让您定期手动将更新传输到它,然后分发给其他服务器。
答案2
选项 1 很麻烦而且容易被遗忘,而选项 2 则要求我经过 IT 治理,这需要一段时间才能完成。
选项 1:IT 管理需要付出努力。如果您选择选项 1,那么您有责任付出努力来记住这一点。为此,为自己创建日历提醒或重复任务。
选项 2:无论您做什么,都应确保获得 IT 员工/管理层的批准和认可。
正如 Michael 在其评论中指出的那样,您可以使用离线 WSUS 解决方案。您还应该能够离线下载 AV 更新并将其应用于这些计算机。