Для мест, которые компьютеры никогда не увидят в Интернете (читай: заводы и фабрики), есть ли смысл устанавливать обновления Windows на новые сборки системы? Я знаю, что около 90-95% обновлений для безопасности, а другие добавляют новые функции (например, XP SP3, IE9). Достаточно ли просто добавления базовой установки для этих систем, если SysAdmins компании не будет предоставлять доступ в Интернет в любом случае?
5 ответов
4
Будучи администратором сети и подрабатывая для местной компании, которая занимается производством биомассы / переработкой материалов, и другой, которая производит измерители влажности, я столкнулся с этой проблемой. Так что на расходы.
Полный ответ таков: ни одна машина не уязвима для использования. Подключенный к нему интернет-магазин программного обеспечения будет выполнять самые разные действия по многим различным причинам, которые будут либо выгодны для выполнения их работы, несмотря на ваши наложенные ограничения (чем больше ограничений вы устанавливаете, тем больше разочарованы и готовы их обойти), либо стремятся к развлечениям. пытаться делать вещи, которые связаны с отсоединением / перемещением файлов по сети. В прежние времена это была дискета, теперь флешка или пара в беспроводных коробках. На производстве, где вы имеете дело с инженерами, вы предоставляете им только решение проблемы. Вот как они видят это , и они будут делать то целесообразно получить работу. То же самое с вашими техниками и любыми полевыми техниками, которые вступают в вашу деятельность. Они будут нести ноутбуки или флешки.
Итак, ваша теоретически изолированная система действительно является ситом. Чтобы система была по-настоящему изолирована, это должен быть автономный компьютер с ограниченным доступом только пользователя, порт USB и сетевые порты заклеены и действительно никогда не требуются обновления программного обеспечения для установленного программного обеспечения для управления процессами. Для сетевой системы компьютеров никто не должен иметь ничего, кроме ограниченного доступа пользователя и строгого контроля за любыми съемными устройствами, подключаемыми через порт USB или Ethernet. Это должно быть записано в политику, и эта политика должна соблюдаться. Вы должны быть готовы уволить любого инженера или техника, который обходит его. Также всех полевых техников из-за пределов вашей компании должен сопровождать кто-то, кто полностью понимает политику и может контролировать их доступ. Так много без патчей.
Следующим уровнем является ограниченный доступ пользователей и установка всех исправлений, необходимых для стабильности системы, использования локальных компьютеров, использования сети и отключения AUTORUN/AUTOPLAY. Этот уровень безопасности является попыткой снизить вероятность того, что ваши сотрудники или какой-нибудь полевой технический специалист подключат зараженный USB-накопитель или подключат их ноутбук к вашей сети в целях диагностики. Это также связано с тем фактом, что ваше программное обеспечение для управления процессами действительно изменяется, нуждается в обновлении или диагностике из внешнего источника. Вы сможете обойтись гораздо меньшим количеством патчей, но вам также нужно будет поддерживать все до уровня вашего текущего уровня патча. Еще раз, установите политику использования съемных устройств и подключенных к сети устройств.
Текущий урожай вредоносных программ работает на многоплановую атаку. Сейчас существует так много разновидностей, что единственное резюме - ожидать чего-либо отовсюду. Они приходят в упаковке, чтобы использовать все, что им доступно. Да, они могут прийти в Интернете, но наиболее изощренное использование, которое просто в качестве первоначального вектора инфекции. Они, как правило, ищут все общие ресурсы и подключенные USB-накопители. Теоретически, фронт-офис может заразиться, кто-то может вытащить USB-флешку, вернуться к производству, и теперь он находится в вашей полностью незащищенной автономной сети.
Иранцы и американские военные хорошо знают, что теоретические знания действительно верны. После этого у вас будет настоящий беспорядок, который может остановить ваши операции, а потери из-за простоя могут сделать сэкономленную сумму за годы, не внося исправлений, похожей на мелкие изменения в кармане.
Да, вы можете добиться этого, не делая исправлений, просто обязательно зайдите в него с широко открытыми глазами. Это ваше суждение.
Конечно, самое лучшее - это полностью установить исправления (Microsoft предлагает метод исправления дисков для удаленных систем) и иметь как минимум минимальный антивирус, который сканирует подключенное USB-хранилище при вставке.
4
Если эти машины подключены, даже косвенно (подключены к сети с другими компьютерами, подключенными к Интернету), целесообразно обновлять их.
Если вы хотите, приложение третьей части, такое как Windows Update Downloader или Auto Patcher (Google для них, поскольку как новый пользователь я могу опубликовать только 2 ссылки) может использоваться для загрузки этих обновлений на подключенном компьютере, скопировать их на -линейные с помощью флешки или DVD, после чего вы можете сделать ручную установку.
Вероятно, вам нужно делать это только ежемесячно, следуя расписанию обновлений безопасности Microsoft, известному вторнику исправлений.
Иногда существуют второстепенные выпуски, о которых вы можете получать уведомления, если подписываетесь на уведомления о технической безопасности Microsoft.
Конечно, не забудьте обновить антивирусные определения тоже.
2
Ну, если у вас нет доступа в интернет, то установка обновлений будет настоящей болью. Некоторое программное обеспечение, которое вы можете использовать, может потребовать обновления, но его можно установить отдельно и загрузить с карты памяти. Пока ваша единственная установка программного обеспечения, которую вы знаете, не сломает ничего, я не предвижу никаких проблем с установкой обновлений Windows.
2
Обновления никогда не нужны, но они очень рекомендуются.
Но на компьютерах без доступа к Интернету у них все еще могут быть случаи, когда обновления будут хорошей идеей. Если это сетевой компьютер и если он имеет какое-либо значение для безопасности, может быть полезно обновить его. Риск, конечно, зависит от ситуации. Но если вы регулярно используете съемные носители на компьютере, они должны регулярно обновляться. Помните, что вирусы изначально распространялись через зараженные дискеты, прежде чем Интернет стал обычным явлением.
Один очень громкий случай в наши дни, хотя и более экстремальный, по-прежнему показывает, что компьютеры, подключенные к внутренней сети, но не подключенные к Интернету, все еще могут быть заражены флэш-накопителями USB. Это был вирус Stuxnet , который был направлен против ядерных объектов Ирана. Компьютер в изолированной сети, используемый для управления оборудованием, был заражен через скомпрометированный USB-накопитель, вставленный сотрудником. Это быстро распространилось и поставило под угрозу весь объект. Это была целевая атака, но в Windows использовался эксплойт нулевого дня. Я не помню, были ли обновлены их машины с Windows, и если бы это был эксплойт нулевого дня, вряд ли это имело бы значение. Тем не менее, он показывает, насколько уязвимы эти компьютеры.
0
Для мест, которые компьютеры никогда не увидят в Интернете (читай: заводы и фабрики), есть ли смысл устанавливать обновления Windows? Я знаю, что около 90-95% обновлений для безопасности, а другие добавляют новые функции (например, XP SP3, IE9).
Да, может быть веская причина для обновления ОС в системе, которая не подключена к Интернету. Как вы сказали, большинство обновлений (в наши дни), как правило, являются исправлениями безопасности, но я не знаю о числах, и, кроме того, ваше утверждение о том, что [все] оставшиеся обновления являются новыми функциями, не совсем корректно.
Другие указали на некоторые очевидные причины для сохранения даже несвязанного обновления системы, такие как зараженные сменные носители и черви, поступающие через локальную сеть. (Как напомнил Бен, иранские системы Siemens также не были подключены к Интернету и все же были заражены Stuxnet.) Но даже если вы никогда не подключаете систему к какой-либо сети и у нее нет внешних дисков или портов, вы все равно можете обновить систему. Я уверен, что есть и другие причины, по которым необходимо обновлять изолированную систему, но это несколько очевидных и распространенных.
Одна из причин заключается в том, что обновления иногда включают в себя улучшения и оптимизации, которые могут увеличить скорость обработки системы или уменьшить использование ресурсов. Они также исправляют такие вещи, как утечки памяти и тупики. Такие обновления могут сделать систему более полезной.
Еще одна причина обновить неподключенную ОС - это стабильность. Обновления могут включать исправления и улучшения, которые могут предотвратить или устранить проблемы, которые раньше вызывали сбой программного обеспечения и / или системы. Такие обновления могут сделать систему более надежной, что тем более важно в примерах сценариев, таких как фабрики, которые вы описали.
Еще одна причина для обновления ОС заключается в том, что программное обеспечение, которое вы используете в системе, само по себе может быть неисправно. Даже если вы не подвергаете систему зараженному программному обеспечению, ваша программа базы данных, бухгалтерское программное обеспечение или веб-сервер могут иметь уязвимость, которая может пробиться и случайно вызвать уязвимость в ОС. Если ОС останется с уязвимостью, ваше программное обеспечение может не зависнуть, и оно будет продолжать выполнять неправильные операции, которые могут, например, молча испортить вашу базу данных, кто знает, как долго. Если операционная система была обновлена, а дырка исправлена, то неисправное программное обеспечение зависло бы, предупреждая вас о проблеме. Теперь вы можете с этим что-то сделать, например, восстановить резервные копии и обновить программное обеспечение. Эти обновления делают систему более безопасной - от самой себя.