Com relação às atualizações do Windows, o quanto estamos ferrados?

4

Temos uma pequena "rede segura" em nosso escritório. E por pequeno quero dizer que é um PC com Windows 7 conectado a um firewall que se conecta a uma conexão com a Internet. É para processar transações com cartão em conformidade com o PCI DSS.

Um dos requisitos do PCI DSS é que as máquinas na rede segura sejam regularmente atualizadas e atualizadas. Outra é que o firewall deve ser bloqueado para permitir apenas conexões de saída para servidores autorizados. O firewall só faz exceções de saída por endereço IP.

A partir disso, podemos derivar os fatos:

  • O servidor deve estar atualizado com patches
  • O servidor deve ter permissão para se conectar ao Windows Update
  • O firewall só pode permitir isso por IP
  • O Windows Update parece não ter um intervalo de IPs consistente
  • A caixa do Win 7 não tem o Small Business Server nela
  • Portanto, a caixa não executará o WSUS

Não há como permitir que a caixa receba atualizações? Ou há algo que está faltando?

    
por One Monkey 25.11.2010 / 13:47

3 respostas

6

Ou você pode colocar um servidor WSUS na Internet (e "autorizá-lo") e resolver o problema do endereço IP sempre em mudança.

                                    The Internet (tm)
                                   \------------------------/
                                   |                        |
                                   |                        |
O---------------O     +------+     |       O-----------O    |
|Secured Machine+---->+Router+-----+------>|WSUS Server|    |
O---------------O     +------+     |       O-----------O    |
                                   |                        |
                                   |                        |
                                   /------------------------\
    
por 25.11.2010 / 14:20
4

Se você não quiser aplicar os patches manualmente e não quiser configurar um servidor WSUS (o IIRC requer o Windows Server), eu recomendo WSUSOfflineUpdate , que permite que você baixe qualquer atualização da Microsoft para um pendrive USB e depois aplique isso semi-automaticamente na máquina Win7 (semiautomático significa que você precisa iniciar isso manualmente, mas ele identifica e instala todos atualiza automaticamente, como faz o Windows Updates). Se as atualizações dependerem umas das outras e precisarem de ciclos de reinicialização, ela poderá até fazer isso sozinha.

    
por 25.11.2010 / 14:46
2

Você pode baixar manualmente as correções em uma máquina fora da rede segura e aplicá-las manualmente às máquinas dentro da rede segura.

    
por 25.11.2010 / 14:09