Eu acabei de assumir como administrador uma rede que usa hosts com imagens corporativas para gerenciar várias máquinas para fins especiais.
Esses hosts se conectam diretamente ao equipamento que estão gerenciando via serial ou ethernet (cross-ver), sem absolutamente nenhum acesso à internet ou à intranet.
Alguns desses hosts não foram conectados a nenhuma rede por ~ 2 anos, já que esta é uma imagem padrão, atualizações do Windows ou atualizações de antivírus não ocorreram há mais de 2 anos.
A vulnerabilidade que me preocupa é que os operadores das máquinas para fins especiais conectam pen drives USB a esses hosts com lacunas de ar por motivos legítimos e pessoais (música, etc.)
Gostaria de corrigir isso por uma das seguintes opções:
1- Conecte esses hosts à LAN corporativa para atualizar o antivírus, as janelas periodicamente (uma vez por mês) e retorne ao entreferro
2- Crie uma sub-rede especial [s], que permita somente a atualização do windows, a atualização do antivírus
outras coisas que estou pensando em criar uma imagem personalizada para esses hosts que não possuem aplicativos desnecessários (MS Offic etc.)
a opção 1 é complicada e facilmente esquecida, a opção 2 exige que eu passe pela Governança de TI, o que levaria algum tempo para passar.
Eu gostaria de ouvir qualquer recomendação que você tenha para essa situação.
Se as pessoas estão usando seus próprios drives USB nesses PCs, certamente é um problema.
Gostaria de configurá-los em uma LAN isolada junto com um servidor WSUS e qualquer software que você forneça para distribuir patches. O novo servidor pode ter uma segunda conexão com a Internet ou permanecer isolado e transferir manualmente as atualizações regularmente para distribuir para o restante.
a opção 1 é incômoda e facilmente esquecida, a opção 2 exige que eu passe pela Governança de TI, o que levaria algum tempo para passar.
Opção 1: o gerenciamento de TI exige esforço. Se você escolher a opção 1, é sua responsabilidade se esforçar para lembrar de fazer isso. Crie um lembrete de calendário ou uma tarefa recorrente para você mesmo.
Opção 2: faça o que fizer, certifique-se de ter a aprovação e o buy-in da equipe / gerenciamento de TI.
Você pode, como Michael aponta em seu comentário, usar uma solução offline do WSUS. Você também deve poder baixar as atualizações do AV off-line e aplicá-las a essas máquinas.