As atualizações são necessárias sem Internet?

Navegue suas respostas
2

Para locais onde os computadores nunca verão a Internet (leia-se: fresas e fábricas), há algum ponto para instalar as atualizações do Windows em novas construções de sistema? Eu sei que cerca de 90-95% das atualizações são para segurança, com os outros adicionando novos recursos (ou seja, XP SP3, IE9). É só adicionar a base de instalação suficiente para esses sistemas se os SysAdmins da empresa não concederem acesso à Internet de qualquer maneira?

    
por Canadian Luke 14.01.2012 / 18:55

5 respostas

4

Sendo um administrador de rede e tendo em mente uma empresa local que fabrica manuseio de materiais de biomassa / reciclagem e outro que faz medidores de umidade, fui exposto a esse problema. Então, para o desembolso.

A resposta completa é que nenhuma máquina é invulnerável para explorar. O wetware internet anexado a ele fará todo tipo de coisas por muitas razões diferentes que, em qualquer expediente para fazer seu trabalho, apesar de suas limitações impostas (quanto mais limites você colocar, mais frustrados e dispostos a contorná-los get) ou desejo de entretenimento tentará coisas que envolvem a movimentação destacável / de rede dos arquivos. Antigamente era um disquete, agora um pendrive ou um recheio em algumas caixas sem fio. Na indústria de manufatura onde você está lidando com engenheiros, você está apenas fornecendo a eles um problema para resolver. É assim que eles vêem e eles farão o expediente para obter o tarefa concluída. O mesmo acontece com seus técnicos e técnicos de campo que entram em sua operação. Eles estarão portando laptops ou pen drives.

Então, seu sistema teoricamente isolado é realmente uma peneira. Para um sistema ser verdadeiramente isolado, ele deve ser um computador autônomo com acesso de usuário limitado, as portas USB e de rede coladas fechadas e nunca precisam de atualizações de software para o seu software de controle de processo instalado. Para um sistema de computadores em rede, ninguém precisa ter nada além de acesso limitado do usuário e controle rigoroso para que dispositivos removíveis sejam conectados por porta USB ou Ethernet. Tem que ser escrito na política e essa política aplicada. Você deve estar disposto a disparar à vontade qualquer engenheiro ou técnico que o contorne. Além disso, todos os técnicos de campo externos à sua empresa devem estar acompanhados por alguém que compreenda totalmente a política e possa monitorar seu acesso. Tanto para nenhum remendo em tudo.

O próximo nível é ter acesso de usuário limitado e instalar todos os patches necessários para a estabilidade do sistema, explorações de máquinas locais, explorações de rede e para desabilitar o AUTORUN / AUTOPLAY. Esse nível de segurança é uma tentativa de reduzir a possibilidade de que seus funcionários ou algum técnico de campo conectem um pendrive infectado ou conectem o laptop à rede para fins de diagnóstico. Ele também lida com a realidade de que seu software de controle de processo realmente muda, precisa de atualizações ou diagnósticos de uma fonte externa. Você poderá se dar bem com muito menos patches, mas também precisará manter tudo em seu nível de patch atual autodeterminado. Mais uma vez, estabeleça uma política sobre o uso de dispositivos removíveis e dispositivos conectados à rede.

A atual safra de malware funciona em um ataque de várias proporções. Há tantas variedades agora que o único resumo é esperar qualquer coisa de qualquer lugar . Eles vêm pré-embalados para usar o que estiver disponível para eles. Sim, eles podem entrar na internet, mas os mais sofisticados usam isso apenas como um vetor de infecção inicial. Eles tendem a procurar por todos os compartilhamentos e armazenamento USB conectado. Então, teoricamente, o front office pode ser infectado, alguém pode puxar um pendrive, voltar à fabricação e agora está na sua rede autônoma totalmente desprotegida.

Os iranianos e os militares dos EUA sabem muito bem que a teoria é, na verdade, fiel à vida. Uma vez dentro, você tem uma verdadeira bagunça, uma que pode encerrar suas operações e as perdas de tempo de inatividade podem fazer com que a quantia economizada ao longo dos anos não pareça uma pequena alteração no bolso.

Sim, você pode ficar sem fazer patch, apenas certifique-se de entrar nele com os olhos bem abertos. É o seu julgamento.

É claro que o melhor é remendar totalmente (a Microsoft oferece um método de disco de correção para fazer isso em sistemas remotos) e ter pelo menos um mínimo de antivírus que varre o armazenamento USB anexado na inserção.

    
por 21.01.2012 / 19:25
4

Se essas máquinas estiverem conectadas, mesmo indiretamente (em rede com outras máquinas conectadas à Internet), é aconselhável mantê-las atualizadas.

Se desejar, um aplicativo de terceiros como o Windows Update Downloader ou o Auto Patcher (google para eles, como novo usuário, posso postar apenas 2 links) pode ser usado para baixar essas atualizações em uma máquina conectada, copiá-las para os off-line usando um pen-drive ou DVD, depois do que você pode fazer a instalação manual.

Você provavelmente só precisará fazer isso mensalmente, seguindo a programação de atualizações de segurança da Microsoft, a famosa Patch Tuesday .

Às vezes, há versões menores para as quais você pode ser notificado se assinar as Notificações de segurança técnica da Microsoft .

Claro, lembre-se de atualizar as definições de antivírus também.

    
por 21.01.2012 / 02:27
2

Bem, se você não tiver acesso à Internet, a instalação das atualizações será um verdadeiro problema. Alguns softwares que você pode usar podem exigir uma atualização, mas podem ser instalados individualmente e trazidos por meio de um cartão de memória. Contanto que o seu único software de instalação você saiba que não irá quebrar as coisas, eu não preve qualquer problema em não instalar o Windows Updates.

    
por 14.01.2012 / 18:59
2

As atualizações nunca são necessárias, mas são altamente recomendadas.

Mas em computadores sem acesso à Internet, eles ainda podem ter casos em que as atualizações seriam uma boa ideia. Se for um computador em rede e se tiver alguma importância de segurança, poderá ser útil atualizá-lo. O risco, claro, depende da situação. Mas se você estiver usando mídia removível no computador regularmente, ele deverá ser atualizado regularmente. Lembre-se, os vírus inicialmente se espalham através de disquetes infectados, antes que a Internet fosse algo comum.

Um caso de grande repercussão nos dias de hoje, embora mais extremo, ainda mostra que os computadores internamente em rede, isolados da Internet, ainda podem ser infectados por pen drives USB. Era o vírus Stuxnet , que tinha como alvo as faculdades nucleares do Irã. Um computador em uma rede isolada, usado para controlar equipamentos, foi infectado por meio de um pen drive USB comprometido inserido por um funcionário. Ele se espalhou rapidamente e comprometeu toda a instalação. Este foi um ataque direcionado, mas usou uma exploração de dia zero no Windows. Se as máquinas com Windows foram atualizadas ou não, é algo que não me lembro, e se foi uma exploração de dia zero, então é improvável que isso tenha importado. No entanto, mostra o quão vulnerável esses computadores ainda podem ser.

    
por 21.01.2012 / 02:57
0

For places that computers won't ever see the Internet (Read: Mills and factories), is there any point to installing Windows Updates? I know that about 90-95% of the updates are for security, with the others adding new features (i.e. XP SP3, IE9).

Sim, pode haver um bom motivo para atualizar um sistema operacional em um sistema que não esteja conectado à Internet. Como você disse, a maioria das atualizações (nos dias de hoje) tende a ser correções de segurança, mas eu não sei sobre os números e, além disso, sua afirmação sobre todas as atualizações restantes sendo novos recursos não está correta.

Outros apontaram algumas das razões óbvias para manter uma atualização de sistema desconectada, como a mídia removível infectada e os worms que passam pela LAN. (Como Ben lembrou, os sistemas Siemens do Irã também não estavam conectados à Internet e ainda estavam infectados com o Stuxnet.) Mas mesmo que você nunca conecte o sistema a qualquer tipo de rede e não possua unidades externas ou portas, ainda deseja atualizar o sistema. Tenho certeza de que há outros motivos pelos quais um sistema isolado deve ser mantido atualizado, mas estes são alguns óbvios e comuns.

Um motivo é que as atualizações às vezes incluem melhorias e otimizações que podem aumentar a velocidade de processamento do sistema ou reduzir o uso de recursos. Eles também consertam coisas como vazamentos de memória e bloqueios. Esses tipos de atualizações podem tornar o sistema mais útil .

Outro motivo para atualizar um sistema operacional não conectado é a estabilidade. As atualizações podem incluir patches e melhorias que podem impedir ou reparar problemas que teriam causado a falha do software e / ou do sistema antes. Esses tipos de atualizações podem tornar o sistema mais confiável , o que é ainda mais importante nos cenários de exemplo, como fábricas que você descreveu.

Ainda outro motivo para atualizar um sistema operacional é porque o software que você está executando no sistema pode estar com defeito. Mesmo que você não exponha o sistema a um software infectado, seu programa de banco de dados, seu software de contabilidade ou seu servidor da web podem ter uma falha que pode escapar acidentalmente e acionar uma vulnerabilidade no sistema operacional. Se o SO ficar com a vulnerabilidade, o seu software pode não travar e ele continuaria executando operações incorretas, que poderiam, por exemplo, corromper silenciosamente o banco de dados para quem sabe por quanto tempo. Se o sistema operacional foi atualizado e o buraco foi corrigido, o software defeituoso falharia, alertando-o para o problema. Agora você pode fazer algo sobre isso, como restaurar backups e atualizar o software. Essas atualizações tornam o sistema mais seguro - de si mesmo.

    
por 25.07.2013 / 21:28

Tags

Como usar a autenticação em um proxy HTTP? Como posso determinar a contagem de páginas a partir de um arquivo postscript (gerado pelo Opera)?