我只是接pipe了一个使用企业镜像主机的networkingpipe理员,来pipe理各种特殊用途的机器。
这些主机通过串行或以太网(cross-ver)直接连接到他们正在pipe理的设备,绝对没有互联网或内部网访问。
这些主机中的less数几乎没有连接到任何networking约2年,因为这是一个标准的形象,Windows更新或反病毒更新已经超过2年没有发生。
我担心的漏洞是特殊用途机器的操作员为了正当理由以及个人原因(音乐等)将USB拇指驱动器连接到这些空隙主机。
我想通过以下选项之一来补救:
1-将这些主机连接到公司局域网上,定期更新防病毒软件,Windows(每月一次),并返回空隙
2-创build一个特殊的子网,只允许通过Windows更新,防病毒更新
我正在考虑的另一件事是build立这些主机的自定义图像,没有不知情的应用程序(微软官方等)
选项1很麻烦,容易被人遗忘,选项2要求我通过IT治理,这需要一段时间才能完成。
对于这种情况,我希望听到您的build议。
如果人们在这些电脑上使用自己的USB驱动器,那肯定是一个问题。
我会将它们与WSUS服务器以及防病毒提供的用于分发补丁的任何软件一起设置在隔离的局域网上。 新的服务器可以有第二个连接到互联网,或保持孤立,并定期手动传输更新给其他人。
选项1很麻烦,容易被人遗忘,选项2要求我通过IT治理,这需要一段时间才能完成。
选项1:ITpipe理需要努力。 如果你select1,那么你有责任努力记住要做到这一点。 为此创build一个日历提醒或重复任务。
scheme2:无论您做什么,都应该确保您获得IT人员/pipe理层的批准并购买。
正如Michael在评论中指出的那样,您可以使用WSUS离线解决scheme。 您还应该能够离线下载AV更新并将其应用到这些机器。