关于Windows更新,我们是多么的拧紧?

我们的办公室里有一个小型的“安全networking”。 而小我的意思是这是一个Windows 7电脑连接到防火墙连接到互联网连接。 它用于处理符合PCI DSS的卡交易。

PCI DSS的要求之一是安全networking中的任何计算机都会定期进行修补并保持最新状态。 另一个是防火墙必须被locking,只允许出站连接到授权的服务器。 防火墙仅通过IP地址实现出站exception。

由此我们可以推导出事实:

  • 服务器必须与修补程序保持同步
  • 必须允许服务器连接到Windows Update
  • 防火墙只能允许它通过IP来做到这一点
  • Windows Update似乎没有一致的IP范围
  • Win 7框没有Small Business Server
  • 因此,该框不会运行WSUS

是否真的没有办法让我们可以接受更新? 还是有什么我们失踪?

或者你可以把一个WSUS服务器放在网上(并“授权”),并解决不断变化的IP地址的问题。

The Internet (tm) \------------------------/ | | | | O---------------O +------+ | O-----------O | |Secured Machine+---->+Router+-----+------>|WSUS Server| | O---------------O +------+ | O-----------O | | | | | /------------------------\ 

如果您不想手动应用修补程序而不想设置WSUS服务器(IIRC需要Windows Server),我强烈build议您使用WSUSOfflineUpdate ,它允许您将任何Microsoft更新下载到USB棒,并稍后应用此function半自动到Win7机器(半自动意味着你必须手动启动它,但它会自动识别和安装所有更新,如Windows更新一样)。 如果更新彼此依赖,需要重启周期,甚至可以自行完成。

您可以手动将修补程序下载到安全networking外部的计算机上,并手动应用到安全networking内的计算机。