Sono necessari aggiornamenti senza Internet?

Per i luoghi in cui i computer non vedranno mai Internet (Leggi: Mulini e fabbriche), ho senso che io installi gli aggiornamenti di Windows su nuove build di sistema? So che circa il 90-95% degli aggiornamenti riguarda la sicurezza, mentre gli altri aggiungono nuove funzionalità (ad esempio XP SP3, IE9). L'aggiunta dell'installazione di base è sufficiente per questi sistemi se gli amministratori di sistema dell'azienda non concedono comunque l'accesso a Internet?

Essendo un amministratore di rete e avendo illuminato la luna per un'azienda locale che produce biomassa / riciclo dei materiali e un altro che produce misuratori di umidità, sono stato esposto a questo problema. Quindi per l'esborso.

La risposta completa è che nessuna macchina è invulnerabile da sfruttare. La rete internet ad essa collegata farà ogni sorta di cose per molte ragioni diverse che in entrambe le occasioni per fare il loro lavoro nonostante i tuoi limiti imposti (più limiti metti, più sono frustrati e disposti a bypassarli) o desideri divertirti tentare cose che implicano lo spostamento staccabile / in rete dei file. Ai vecchi tempi era un floppy, ora una chiavetta USB o ripieno in un paio di scatole wireless. Nella produzione in cui hai a che fare con ingegneri, stai solo fornendo loro un problema da risolvere. Questo è il modo in cui lo vedono e faranno l' espedienteper fare il lavoro. Lo stesso vale per i tuoi tecnici e tutti i tecnici sul campo che entrano in azione. Porteranno laptop o chiavette USB.

Quindi, il tuo sistema teoricamente isolato è davvero un setaccio. Affinché un sistema sia veramente isolato, deve essere un computer autonomo con accesso limitato per l'utente, le porte USB e di rete incollate e non necessitano mai di aggiornamenti software per il software di controllo di processo installato. Per un sistema di computer in rete, nessuno deve avere altro che un accesso limitato dell'utente e deve essere attuato un controllo rigoroso per tutti i dispositivi rimovibili collegati tramite porta USB o Ethernet. Deve essere scritto nella politica e tale politica deve essere applicata. Devi essere disposto a licenziare a piacimento qualsiasi ingegnere o tecnico che lo ignori. Inoltre, tutti i tecnici sul campo esterni all'azienda devono essere accompagnati da qualcuno che comprenda appieno la politica e possa monitorarne l'accesso. Tanto per niente patch.

Il livello successivo è avere un accesso utente limitato e installare tutte le patch necessarie per la stabilità del sistema, exploit di macchine locali, exploit di rete e per disabilitare AUTORUN / AUTOPLAY. Questo livello di sicurezza è un tentativo di mitigare il fatto che i tuoi dipendenti o alcuni esperti di tecnologia del campo possano collegare una chiavetta USB infetta o collegare il loro laptop alla tua rete a scopi diagnostici. Si occupa anche della realtà che il software di controllo dei processi effettivamente cambia, necessita di aggiornamenti o diagnostica da una fonte esterna. Sarai in grado di cavartela con un numero molto inferiore di patch, ma dovrai anche mantenere tutto al livello del tuo patch attuale. Ancora una volta, stabilire una politica sull'uso dei dispositivi rimovibili e dei dispositivi collegati in rete.

L'attuale ritaglio di malware funziona su un attacco su più fronti. Ci sono così tante varietà ora che l'unico riassunto è aspettarsi qualcosa da qualsiasi luogo . Vengono preconfezionati per utilizzare tutto ciò che è disponibile per loro. Sì, possono entrare su Internet, ma l'uso più sofisticato è solo un vettore di infezione iniziale. Tendono a cercare tutte le condivisioni e l'archivio USB collegato. Quindi, in teoria, il front office può essere infettato, qualcuno può estrarre una chiavetta USB, tornare alla produzione e ora è sulla tua rete autonoma totalmente non protetta.

Gli iraniani e le forze armate statunitensi sanno benissimo che la teoria è in realtà fedele alla vita. Una volta dentro, hai un vero casino, uno che può chiudere le tue operazioni e le perdite di downtime possono far sì che la quantità risparmiata nel corso degli anni non rattoppando sembri un brutto cambio di tasca.

Sì, puoi farlo non facendo patch, assicurati solo di camminarci dentro con gli occhi ben aperti. È il tuo giudizio.

Ovviamente il migliore in assoluto è applicare una patch completa (Microsoft offre un metodo di patch disk per farlo per i sistemi remoti) e avere almeno un antivirus minimo che scansiona l'archiviazione USB collegata al momento dell'inserimento.

Se tali macchine sono connesse, anche indirettamente (in rete con altre macchine connesse a Internet), è consigliabile mantenerle aggiornate.

Se lo desideri, un'applicazione di terze parti come Windows Update Downloader o Auto Patcher (google per loro, poiché come nuovo utente posso pubblicare solo 2 link) può essere utilizzata per scaricare quegli aggiornamenti su un computer connesso, copiarli su off -line quelli che usano una pen-drive o un DVD, dopo quello che puoi fare l'installazione manuale.

Probabilmente dovrai farlo solo su base mensile, seguendo il programma di rilascio degli aggiornamenti di sicurezza di Microsoft, la famosa Patch Tuesday .

A volte ci sono rilasci minori per i quali è possibile ricevere notifiche se si sottoscrive Notifiche sulla sicurezza tecnica Microsoft .

Ovviamente, ricorda di aggiornare anche le definizioni antivirus.

Bene, se non si ha accesso a Internet, l'installazione degli aggiornamenti sarà una vera seccatura. Alcuni software che potresti utilizzare potrebbero richiedere un aggiornamento, ma che possono essere installati individualmente e introdotti tramite una memory stick. Finché il tuo unico software di installazione che conosci non romperà le cose, non prevedo alcun problema con la mancata installazione di Aggiornamenti di Windows.

Gli aggiornamenti non sono mai necessari ma sono altamente raccomandati.

Ma sui computer senza accesso a Internet, possono comunque avere casi in cui gli aggiornamenti sarebbero una buona idea. Se si tratta di un computer in rete e se ha un'importanza di sicurezza, potrebbe essere utile aggiornarlo. Il rischio ovviamente dipende dalla situazione. Ma se si utilizzano regolarmente supporti rimovibili sul computer, è necessario aggiornarli regolarmente. Ricorda, i virus inizialmente si diffondevano attraverso i floppy disk infetti, prima che Internet fosse una cosa comune.

Un caso di alto profilo ai giorni nostri, mentre più estremo, mostra ancora che i computer collegati in rete internamente, isolati da Internet, possono ancora essere infettati da chiavette USB. È stato il virus Stuxnet , che ha preso di mira le strutture nucleari dell'Iran. Un computer su una rete isolata, utilizzato per il controllo delle apparecchiature, è stato infettato tramite una chiavetta USB compromessa inserita da un dipendente. Si diffuse rapidamente e compromise l'intera struttura. Questo è stato un attacco mirato, ma ha utilizzato un exploit zero-day in Windows. Il fatto che i loro computer Windows siano stati aggiornati è qualcosa che non ricordo, e se fosse un exploit zero-day, è improbabile che avrebbe avuto importanza. Tuttavia, mostra quanto possano essere vulnerabili questi computer.

Per i luoghi in cui i computer non vedranno mai Internet (Leggi: Mulini e fabbriche), ha senso installare Windows Update? So che circa il 90-95% degli aggiornamenti riguarda la sicurezza, mentre gli altri aggiungono nuove funzionalità (ad esempio XP SP3, IE9).

Sì, ci possono essere buoni motivi per aggiornare un sistema operativo su un sistema che non è connesso a Internet. Come hai detto, la maggior parte degli aggiornamenti (in questi giorni) tendono ad essere correzioni di sicurezza, ma non conosco i numeri e, inoltre, la tua affermazione su [tutti] gli aggiornamenti rimanenti come nuove funzionalità non è del tutto corretta.

Altri hanno sottolineato alcune delle ovvie ragioni per mantenere anche un aggiornamento di sistema non connesso, come supporti rimovibili infetti e worm che arrivano attraverso la LAN. (Come ha ricordato Ben, i sistemi Siemens iraniani non erano nemmeno connessi a Internet, eppure erano ancora infetti da Stuxnet.) Ma anche se non si connette mai il sistema a nessun tipo di rete e non ha unità o porte esterne, è possibile voglio ancora aggiornare il sistema. Sono sicuro che ci sono altri motivi per cui un sistema isolato dovrebbe essere tenuto aggiornato, ma questi sono alcuni ovvi e comuni.

Uno dei motivi è che gli aggiornamenti a volte includono miglioramenti e ottimizzazioni che potrebbero aumentare la velocità di elaborazione del sistema o ridurre l'utilizzo delle risorse. Risolvono anche cose come perdite di memoria e dead-lock. Questo tipo di aggiornamenti può rendere il sistema più utile .

Un altro motivo per aggiornare un sistema operativo non collegato è la stabilità. Gli aggiornamenti possono includere patch e miglioramenti che possono prevenire o riparare problemi che prima avrebbero causato l'arresto anomalo del software e / o del sistema. Questo tipo di aggiornamenti può rendere il sistema più affidabile, il che è tanto più importante negli scenari di esempio come le fabbriche che hai descritto.

Ancora un altro motivo per aggiornare un sistema operativo è perché il software in esecuzione sul sistema potrebbe essere difettoso. Anche se non si espone il sistema a software infetto, il programma di database, il software di contabilità o il server Web potrebbero presentare un difetto che potrebbe sfuggire e innescare accidentalmente una vulnerabilità nel sistema operativo. Se il sistema operativo viene lasciato con la vulnerabilità, il software potrebbe non arrestarsi in modo anomalo e continuerebbe a eseguire operazioni errate che potrebbero, ad esempio, corrompere silenziosamente il database per chissà per quanto tempo. Se il sistema operativo fosse aggiornato e il buco fosse corretto, il software difettoso si arresterebbe in modo anomalo, segnalando così il problema. Ora puoi fare qualcosa al riguardo, come ripristinare i backup e aggiornare il software. Questi aggiornamenti rendono il sistema più sicuro, da solo.