Pour les endroits où les ordinateurs ne verront jamais Internet (Lire : Usines et usines), est-ce utile pour moi d'installer les mises à jour de Windows sur de nouveaux systèmes ? Je sais qu'environ 90-95 % des mises à jour sont pour la sécurité, les autres ajoutant de nouvelles fonctionnalités (c'est-à-dire XP SP3, IE9). Est-il suffisant d'ajouter simplement l'installation de base pour ces systèmes si les administrateurs système de l'entreprise ne donnent de toute façon pas accès à Internet ?
Réponses
Trop de publicités?
motobói
Points
732
Si ces machines sont connectées, même indirectement (connectées en réseau avec d'autres machines connectées à Internet), il est sage de les garder à jour.
Si vous le souhaitez, une application tierce comme Windows Update Downloader ou Auto Patcher (cherchez-les sur Google, car en tant que nouvel utilisateur, je ne peux publier que 2 liens) peut être utilisée pour télécharger ces mises à jour sur une machine connectée, les copier sur les machines hors ligne à l'aide d'une clé USB ou d'un DVD, après quoi vous pouvez procéder à une installation manuelle.
Vous devrez probablement faire cela une fois par mois, en suivant le calendrier de publication des mises à jour de sécurité de Microsoft, le célèbre Patch Tuesday.
Parfois, il y a des versions mineures pour lesquelles vous pouvez être notifié si vous vous abonnez aux Notifications de sécurité technique de Microsoft.
Bien sûr, n'oubliez pas de mettre à jour les définitions de l'antivirus également.
Étant administrateur réseau et ayant travaillé pour une entreprise locale spécialisée dans la fabrication de matériaux de biomasse/recyclage et une autre qui fabrique des humidimètres en tant que travailleur indépendant, j'ai été exposé à ce problème. Donc pour la dépense.
La réponse complète est, aucune machine n'est invulnérable à l'exploitation. L'internet humain qui y est connecté fera toutes sortes de choses pour de nombreuses raisons différentes qui peuvent être soit pour faciliter la réalisation de leur travail malgré les limitations imposées (plus vous imposez de limites, plus ils sont frustrés et prêts à les contourner) soit pour se divertir et tenter des choses qui impliquent le déplacement de fichiers détachables en réseau. Autrefois, c'était une disquette, maintenant une clé USB ou l'insertion de quelques boîtiers sans fil. Dans le secteur de la fabrication où l'on travaille avec des ingénieurs, vous ne faites que leur poser un problème à résoudre. C'est ainsi qu'ils le voient et ils feront le nécessaire pour réaliser leur tâche. Il en va de même pour vos techniciens et tout technicien de terrain qui intervient dans votre entreprise. Ils transporteront des ordinateurs portables ou des clés USB.
Alors, votre système théoriquement isolé est en réalité une passoire. Pour qu'un système soit vraiment isolé, il doit s'agir d'un ordinateur autonome avec un accès limité pour les utilisateurs seulement, les ports USB et réseau scellés et ne jamais avoir besoin de mises à jour logicielles pour votre logiciel de contrôle de processus installé. Pour un système informatique en réseau, personne ne doit avoir plus qu'un accès limité et un contrôle strict doit être mis en place pour tout périphérique amovible connecté par USB ou port Ethernet. Cela doit être inscrit dans la politique et cette politique doit être appliquée. Vous devez être prêt à renvoyer sur-le-champ tout ingénieur ou technicien qui la contourne. En outre, tous les techniciens de terrain venant de l'extérieur de votre entreprise doivent être accompagnés par quelqu'un qui comprend pleinement la politique et peut surveiller leur accès. Adieu donc aux correctifs.
Le niveau suivant consiste à limiter l'accès des utilisateurs et à installer tous les correctifs nécessaires pour la stabilité du système, les exploitations locales des machines, les exploitations en réseau et pour désactiver l'AUTORUN/AUTOPLAY. Ce niveau de sécurité vise à atténuer le risque que vos employés ou certains techniciens de terrain connectent une clé USB infectée ou branchent leur ordinateur portable sur votre réseau à des fins de diagnostic. Il prend également en compte le fait que votre logiciel de contrôle de processus change réellement, nécessite des mises à jour ou des diagnostics provenant d'une source externe. Vous pourrez vous en sortir avec beaucoup moins de correctifs, mais vous devrez également maintenir tout à jour selon votre niveau actuel de correctifs déterminé par vous-même. Une fois de plus, établissez une politique sur l'utilisation des périphériques amovibles et des appareils connectés en réseau.
La gamme actuelle de logiciels malveillants fonctionne sur une attaque à plusieurs niveaux. Il existe maintenant tellement de variétés que le seul résumé est s'attendre à tout de n'importe où. Ils sont préemballés pour utiliser tout ce qui est à leur disposition. Oui, ils peuvent arriver via internet, mais les plus sophistiqués l'utilisent simplement comme vecteur d'infection initial. Ils cherchent à trouver tous les partages et supports USB connectés. Théoriquement, le bureau peut être infecté, quelqu'un peut retirer une clé USB, se rendre dans la fabrication et infecter votre réseau totalement non protégé et autonome.
Les Iraniens et l'armée américaine savent tous deux que le théorique est en fait la réalité. Une fois infiltrés, vous avez un vrai problème, un problème qui peut paralyser vos opérations et les pertes de temps peuvent faire paraître l'argent économisé au fil des ans en n'appliquant pas de correctifs comme de la petite monnaie insignifiante.
Oui, vous pouvez vous en sortir sans appliquer de correctifs, assurez-vous simplement d'aborder la question les yeux grands ouverts. C'est à vous de juger.
Bien sûr, la meilleure solution est d'appliquer tous les correctifs (Microsoft propose une méthode de patch sur disque pour les systèmes à distance) et d'avoir au moins un antivirus minimal qui analyse les supports USB connectés à l'insertion.
Mark
Points
2832
Eh bien, si vous n'avez pas d'accès à Internet, alors l'installation des mises à jour sera vraiment pénible. Certains logiciels que vous pourriez utiliser pourraient nécessiter une mise à jour, mais cela peut être installé individuellement et transféré via une clé USB. Tant que vous n'installez que des logiciels dont vous savez qu'ils ne vont pas causer de problèmes, je ne prévois aucun souci à ne pas installer les mises à jour de Windows.
Ben Richards
Points
12439
Les mises à jour ne sont jamais nécessaires mais sont très fortement recommandées.
Cependant, sur les ordinateurs sans accès Internet du tout, il peut encore y avoir des cas où les mises à jour seraient une bonne idée. S'il s'agit d'un ordinateur connecté en réseau et s'il revêt une importance en termes de sécurité, il peut être utile de le mettre à jour. Le risque dépend bien sûr de la situation. Mais si vous utilisez régulièrement des supports amovibles sur l'ordinateur, il devrait être régulièrement mis à jour. Rappelez-vous, les virus se propageaient initialement via des disquettes infectées, avant que l'Internet ne devienne courant.
Un cas très médiatisé de nos jours, bien que plus extrême, montre toujours que des ordinateurs connectés en interne, isolés d'Internet, peuvent encore être infectés par des clés USB. C'était le virus Stuxnet, qui visait les installations nucléaires de l'Iran. Un ordinateur sur un réseau isolé, utilisé pour contrôler du matériel, a été infecté via une clé USB compromis insérée par un employé. Il s'est rapidement propagé et a compromis l'ensemble de l'installation. Il s'agissait d'une attaque ciblée, mais elle exploitait une faille zero-day dans Windows. Que leurs machines Windows aient été mises à jour ou non, je ne m'en souviens pas, et s'il s'agissait d'une faille zero-day, il est peu probable que cela aurait eu de l'importance. Cependant, cela montre à quel point ces ordinateurs peuvent encore être vulnérables.
Ben Collins
Points
11318
Pour les endroits où les ordinateurs ne verront jamais l'Internet (lisez: les usines et les fabriques), est-il logique d'installer des mises à jour Windows ? Je sais que environ 90-95% des mises à jour sont pour la sécurité, les autres ajoutant de nouvelles fonctionnalités (c'est-à-dire XP SP3, IE9).
Oui, il peut y avoir de bonnes raisons de mettre à jour un système d'exploitation sur un système non connecté à Internet. Comme vous l'avez dit, la plupart des mises à jour (de nos jours) ont tendance à être des correctifs de sécurité, mais je ne connais pas les chiffres, et de plus, votre affirmation à propos [de toutes] les autres mises à jour étant de nouvelles fonctionnalités n'est pas tout à fait correcte.
D'autres ont souligné certaines raisons évidentes de maintenir un système même non connecté à jour, comme les supports amovibles infectés et les vers informatiques venant par le LAN. (Comme Ben l'a rappelé, les systèmes Siemens en Iran n'étaient pas connectés à Internet non plus, et pourtant ont été infectés par Stuxnet.) Mais même si vous ne connectez jamais le système à aucun réseau et qu'il n'a aucun lecteur ou port externe, vous pourriez toujours vouloir mettre à jour le système. Je suis sûr qu'il y a d'autres raisons pour lesquelles un système isolé devrait être maintenu à jour, mais celles-ci sont quelques-unes des raisons évidentes et courantes.
Une raison est que les mises à jour incluent parfois des améliorations et des optimisations qui pourraient augmenter la vitesse de traitement du système ou réduire l'utilisation des ressources. Elles corrigent aussi des problèmes comme les fuites de mémoire et les blocages. Ces types de mises à jour peuvent rendre le système plus utile.
Une autre raison de mettre à jour un système d'exploitation non connecté est la stabilité. Les mises à jour peuvent inclure des correctifs et des améliorations qui peuvent empêcher ou réparer les problèmes qui auraient fait planter le logiciel et/ou le système avant. Ces types de mises à jour peuvent rendre le système plus fiable, ce qui est d'autant plus important dans les scénarios que vous avez décrits comme les usines.
Encore une autre raison de mettre à jour un système d'exploitation est que le logiciel que vous exécutez sur le système pourrait lui-même être défectueux. Même si vous n'exposez pas le système à un logiciel infecté, votre programme de base de données, votre logiciel de comptabilité ou votre serveur Web pourrait avoir une faille qui pourrait passer inaperçue et déclencher accidentellement une vulnérabilité dans le système d'exploitation. Si le système d'exploitation est laissé avec la vulnérabilité, votre logiciel pourrait ne pas planter et continuer à effectuer des opérations incorrectes, ce qui pourrait par exemple corrompre silencieusement votre base de données pendant on ne sait combien de temps. Si le système d'exploitation était mis à jour et la faille corrigée, le logiciel défectueux planterait, vous alertant ainsi du problème. Maintenant, vous pouvez faire quelque chose à ce sujet, comme restaurer les sauvegardes et mettre à jour le logiciel. Ces mises à jour rendent le système plus sûr - contre lui-même.
