Pour les endroits où les ordinateurs ne verront jamais l'Internet (lire : les usines et les fabriques), y a-t-il un intérêt à installer les mises à jour de Windows sur les nouvelles versions du système ? Je sais qu'environ 90 à 95 % des mises à jour concernent la sécurité, les autres ajoutant de nouvelles fonctionnalités (par exemple XP SP3, IE9). L'ajout de l'installation de base est-il suffisant pour ces systèmes si les administrateurs système de l'entreprise n'autorisent pas l'accès à Internet de toute façon ?
Réponses
Trop de publicités?
motobói
Points
732
Si ces machines sont connectées, même indirectement (en réseau avec d'autres machines connectées à Internet), il est sage de les mettre à jour.
Si vous le souhaitez, une application tierce comme Windows Update Downloader ou Auto Patcher (recherchez-les sur Google, car en tant que nouvel utilisateur, je ne peux fournir que deux liens) peut être utilisée pour télécharger ces mises à jour sur une machine connectée, les copier sur les machines hors ligne à l'aide d'un stylo ou d'un DVD, après quoi vous pouvez effectuer une installation manuelle.
Vous n'avez probablement besoin de le faire que sur une base mensuelle, en suivant le calendrier de publication des mises à jour de sécurité de Microsoft, le fameux Mardi des correctifs .
Parfois, il y a des versions mineures dont vous pouvez être informé si vous vous abonnez au site web de la Commission européenne. Notifications techniques de sécurité de Microsoft .
Bien sûr, n'oubliez pas non plus de mettre à jour les définitions des antivirus.
En tant qu'administrateur de réseau et ayant travaillé au noir pour une entreprise locale qui fabrique des systèmes de manutention de biomasse/recyclage et une autre qui fabrique des humidimètres, j'ai été exposé à ce problème. Donc pour la dépense.
La réponse complète est qu'aucune machine n'est invulnérable à l'exploitation. Le site Internet humide qui y sont attachés feront toutes sortes de choses pour des raisons très différentes qui, soit dans le but d'accomplir leur travail malgré les limites que vous leur imposez (plus vous imposez de limites, plus ils sont frustrés et prêts à les contourner), soit pour se divertir, tenteront des choses qui impliquent le déplacement de fichiers détachables/en réseau. Autrefois, il s'agissait d'une disquette, aujourd'hui d'une clé USB ou de quelques boîtiers sans fil. Dans le secteur de la fabrication, où vous avez affaire à des ingénieurs, vous ne faites que leur fournir un problème à résoudre. C'est comme ça qu'ils voient les choses et ils vont faire le expédient pour faire le travail. Il en va de même pour vos techniciens et tous les techniciens de terrain qui viennent dans votre entreprise. Ils seront munis d'ordinateurs portables ou de clés USB.
Donc, votre système théoriquement isolé est en fait une passoire. Pour qu'un système soit réellement isolé, il doit s'agir d'un ordinateur autonome dont l'accès est limité aux utilisateurs, dont les ports USB et réseau sont fermés et qui n'a jamais besoin de mises à jour pour le logiciel de contrôle de processus installé. Pour un système d'ordinateurs en réseau, personne ne doit avoir plus qu'un accès limité à l'utilisateur et un contrôle strict doit être mis en place pour tout dispositif amovible connecté par un port USB ou Ethernet. Cela doit être inscrit dans la politique et cette politique doit être appliquée. Vous devez être prêt à licencier à volonté tout ingénieur ou technicien qui la contourne. De même, tous les techniciens de terrain extérieurs à votre entreprise doivent être accompagnés d'une personne qui comprend parfaitement la politique et peut contrôler leur accès. Voilà pour l'absence totale de correctifs.
Le niveau suivant est d'avoir un accès limité aux utilisateurs et d'installer tous les correctifs nécessaires à la stabilité du système, aux exploits de la machine locale, aux exploits du réseau et à la désactivation de AUTORUN/AUTOPLAY. Ce niveau de sécurité vise à éviter que vos employés ou un technicien de terrain ne branchent une clé USB infectée ou n'attachent leur ordinateur portable à votre réseau à des fins de diagnostic. Il tient également compte du fait que votre logiciel de contrôle des processus peut changer, nécessiter des mises à jour ou des diagnostics de la part d'une source extérieure. Vous pourrez vous en sortir avec beaucoup moins de correctifs, mais vous devrez également tout maintenir au niveau de correctifs actuel que vous aurez déterminé vous-même. Une fois de plus, établissez une politique sur l'utilisation des périphériques amovibles et des périphériques connectés au réseau.
Les logiciels malveillants actuels sont basés sur une attaque à plusieurs volets. Il y a tellement de variétés maintenant que le seul résumé est attendre n'importe quoi de n'importe où . Ils sont prêts à utiliser tout ce qui est à leur disposition. Oui, ils peuvent arriver sur Internet, mais les plus sophistiqués ne l'utilisent que comme vecteur d'infection initial. Ils ont tendance à rechercher tous les partages et les stockages USB attachés. Donc, théoriquement, le bureau peut être infecté, quelqu'un peut prendre une clé USB, retourner à la fabrication et maintenant il se trouve sur votre réseau autonome totalement non protégé.
Les Iraniens et les militaires américains ne savent que trop bien que la théorie est réellement réelle. Une fois dedans, vous avez un vrai désordre, un qui peut arrêter vos opérations et les pertes de temps d'arrêt peuvent faire que le montant économisé au cours des années pas Parcheando ressemble à de la menue monnaie.
Oui, vous pouvez vous en sortir en ne faisant pas Parcheando, assurez-vous simplement d'y aller les yeux grands ouverts. C'est à vous de juger.
Bien entendu, le mieux est d'appliquer tous les correctifs (Microsoft propose une méthode de disque de correctifs pour les systèmes distants) et de disposer d'un antivirus minimal qui analyse les supports USB connectés lors de leur insertion.
Mark
Points
2832
Si vous n'avez pas d'accès à Internet, l'installation des mises à jour sera un véritable casse-tête. Certains logiciels que vous utilisez peuvent nécessiter une mise à jour, mais ils peuvent être installés individuellement et apportés via une clé USB. Tant que vous n'installez que des logiciels dont vous savez qu'ils ne vont pas casser des choses, je ne vois pas de problème à ne pas installer les mises à jour de Windows.
Ben Richards
Points
12439
Les mises à jour ne sont jamais nécessaires mais elles sont très fortement recommandées.
Mais sur les ordinateurs qui n'ont pas du tout accès à l'Internet, il peut toujours y avoir des cas où les mises à jour seraient une bonne idée. S'il s'agit d'un ordinateur en réseau et si sa sécurité est importante, il peut être utile de le mettre à jour. Le risque dépend bien sûr de la situation. Mais si vous utilisez régulièrement des supports amovibles sur l'ordinateur, il convient de les mettre à jour régulièrement. N'oubliez pas que les virus se sont d'abord propagés par des disquettes infectées, avant que l'Internet ne soit une chose courante.
Un cas très médiatisé de nos jours, bien que plus extrême, montre que des ordinateurs en réseau interne, isolés d'Internet, peuvent toujours être infectés par des clés USB. Il s'agit du Stuxnet qui visait les installations nucléaires de l'Iran. Un ordinateur d'un réseau isolé, utilisé pour contrôler les équipements, a été infecté par une clé USB compromise insérée par un employé. Le virus s'est rapidement propagé et a compromis l'ensemble de l'installation. Il s'agissait d'une attaque ciblée, mais elle a utilisé un exploit de type "zero-day" dans Windows. Je ne me souviens pas si leurs machines Windows avaient été mises à jour ou non, et s'il s'agissait d'un exploit de type " jour zéro ", il est peu probable que cela ait eu de l'importance. Cependant, cela montre à quel point ces ordinateurs peuvent encore être vulnérables.
Ben Collins
Points
11318
Pour les endroits où les ordinateurs ne verront jamais l'Internet (lire : les usines et les fabriques), y a-t-il un intérêt à installer les mises à jour de Windows ? Je sais qu'environ 90 à 95 % des mises à jour concernent la sécurité, les autres ajoutant de nouvelles fonctionnalités (par exemple XP SP3, IE9).
Oui, il peut y avoir de bonnes raisons de mettre à jour un système d'exploitation sur un système qui n'est pas connecté à l'Internet. Comme vous l'avez dit, la plupart des mises à jour (de nos jours) tendent à être des correctifs de sécurité, mais je ne connais pas les chiffres, et de plus, votre affirmation selon laquelle [toutes] les mises à jour restantes sont de nouvelles fonctionnalités n'est pas tout à fait correcte.
D'autres ont souligné certaines des raisons évidentes de maintenir à jour même un système non connecté, comme les supports amovibles infectés et les vers passant par le réseau local. (Comme l'a rappelé Ben, les systèmes Siemens de l'Iran n'étaient pas non plus connectés à Internet, et pourtant ils ont quand même été infectés par Stuxnet). Mais même si vous ne connectez jamais le système à un quelconque réseau et qu'il ne dispose d'aucun lecteur ou port externe, vous pouvez toujours vouloir mettre à jour le système. Je suis sûr qu'il existe d'autres raisons pour lesquelles un système isolé doit être mis à jour, mais celles-ci sont évidentes et courantes.
L'une des raisons est que les mises à jour incluent parfois des améliorations et des optimisations qui pourraient augmenter la vitesse de traitement du système ou réduire l'utilisation des ressources. Elles corrigent également des problèmes tels que les fuites de mémoire et les blocages. Ces types de mises à jour peuvent rendre le système plus utile .
Une autre raison de mettre à jour un OS non connecté est la stabilité. Les mises à jour peuvent inclure des correctifs et des améliorations qui permettent d'éviter ou de réparer des problèmes qui auraient fait planter le logiciel et/ou le système auparavant. Ces types de mises à jour peuvent rendre le système plus fiable ce qui est d'autant plus important dans les exemples de scénarios comme les usines que vous avez décrits.
Une autre raison de mettre à jour un système d'exploitation est que le logiciel que vous exécutez sur le système peut lui-même être défectueux. Même si vous n'exposez pas le système à des logiciels infectés, votre programme de base de données, votre logiciel de comptabilité ou votre serveur Web peut présenter une faille qui peut se glisser et déclencher accidentellement une vulnérabilité dans le système d'exploitation. Si le système d'exploitation conserve cette vulnérabilité, votre logiciel peut ne pas tomber en panne et continuer à effectuer des opérations incorrectes qui pourraient, par exemple, corrompre silencieusement votre base de données pendant qui sait combien de temps. Si le système d'exploitation était mis à jour et la faille corrigée, le logiciel défectueux se bloquerait, ce qui vous alerterait sur le problème. Vous pouvez alors faire quelque chose, comme restaurer les sauvegardes et mettre à jour le logiciel. Ces mises à jour rendent le système plus sûr de lui-même.
