私は、企業のイメージホストを使用してさまざまな専用マシンを管理するネットワークの管理者を引き継ぎました。
これらのホストは、インターネットやイントラネットにまったくアクセスせずに、シリアルまたはイーサネット(クロスバー)を介して管理している機器に直接接続します。
これらのホストのいくつかは、これが標準イメージであるため、約2年間ネットワークに接続されていません。これは、Windowsの更新またはウイルス対策の更新が約2年以上行われていないためです。
私が心配している脆弱性は、特別な目的のマシンのオペレーターが、正当な理由と個人的な理由(音楽など)のために、USBサムドライブをこれらのエアギャップホストに接続することです。
次のいずれかのオプションでこれを修正したいと思います。
1-これらのホストを企業LANに接続して、ウイルス対策、ウィンドウを定期的に(1か月に1回)更新し、エアギャップに戻します
2-Windows Update、アンチウイルスアップデートのみを許可する特別なサブネットを作成します
私が検討しているもう1つのことは、不要なアプリ(MS Officなど)を持たないこれらのホスト用のカスタムイメージを構築することです。
オプション1は面倒で、簡単に忘れられます。オプション2では、ITガバナンスを通過する必要がありますが、通過するには時間がかかります。
このような状況について、あなたからのアドバイスを聞きたいと思います。
人々がこれらのPCで自分のUSBドライブを使用している場合、それは確かに問題です。
WSUSサーバーと、アンチウイルスがパッチを配布するために提供するソフトウェアとともに、それらを分離されたLAN上にセットアップします。新しいサーバーは、インターネットへの2番目の接続を持つか、分離されたままで、定期的に更新を手動で転送して残りのサーバーに配布することができます。
オプション1は面倒で簡単に忘れられますが、オプション2ではITガバナンスを通過する必要があり、通過するのに時間がかかります。
オプション1:IT管理には労力が必要です。オプション1を選択する場合は、これを忘れないように努力するのはあなたの責任です。このために、カレンダーのリマインダーまたは自分用の定期的なタスクを作成します。
オプション2:何をするにしても、ITスタッフ/管理者からの承認と賛同を得ていることを確認する必要があります。
Michaelがコメントで指摘しているように、オフラインのWSUSソリューションを使用できます。また、AVアップデートをオフラインでダウンロードして、これらのマシンに適用できるはずです。