Il computer non è stato connesso a Internet per 2 settimane

Leggendo alcune di queste risposte, mi chiedo se alcuni leggano la domanda: " Un computer non è stato connesso a Internet per 2 settimane " poiché la maggior parte delle risposte sta emettendo "IP statici" o "se il tuo computer è connesso a Internet". Eviterei queste risposte poiché dimostra che le risposte vengono semplicemente digitate senza un processo di pensiero.

Alla risposta. Quindi il tuo computer non è stato collegato, e ti sembra di essere preoccupato che nel momento in cui ti connetti, qualcosa ti sta per immediatamente infettare. Ci sono due approcci per risolvere questo problema. Il primo è fuori dagli aggiornamenti della banda, in cui è possibile utilizzare un server proxy WSUS per scaricare gli aggiornamenti, quindi scaricarli dal server o scaricarli autonomamente. Lo stesso vale per l'antivirus.

Per quanto ne so, non ci sono stati virus o worm "catastrofici" che hanno interessato Windows come Blaster, SoBig e altri. Se sei preoccupato, puoi determinare quali sono gli indirizzi IP per i siti in cui è necessario ottenere aggiornamenti da (Microsoft e il tuo fornitore AV), quindi creare una regola firewall basata su Windows per consentire SOLO quei siti e bloccare tutto il resto. Il problema con questo è, CDN (Akamai per esempio) in cui gli aggiornamenti non provengono dal tuo fornitore, ma da una terza parte.

Un'altra soluzione alternativa (seppur lunga e ingombrante) è quella di posizionare la macchina sulla propria rete e monitorare il traffico da e verso di essa con uno sniffer (Wireshark, ecc.) altrimenti non c'è motivo di temere che accenda quella macchina lo farà immediatamente innescare per essere "hacked" o "infetto" o in altro modo. Quest'ultima frase si basa sulla premessa che la macchina non richiede un indirizzo statico e, o, sta utilizzando servizi sfruttabili (http vulnerabili, pop3, ecc.).

C'è una differenza tra vulnerabilità e exploit, e l'ho già affermato in precedenza: "non tutte le vulnerabilità sono sfruttabili". Il semplice fatto che tu possa avere una versione vulnerabile di dire Internet Explorer significa poco se tutto quello che stai facendo è collegarti DIRETTAMENTE a Microsoft per un aggiornamento. Contro di usare costantemente lo stesso IE per la navigazione web di tutti i giorni.

Se fossi in me, mi assicurerei che il firewall di Windows sia attivo e configurato per bloccare tutte le connessioni in entrata.

Anche se esiste il rischio che possa esserci una vulnerabilità nel firewall di Windows, è probabile che tale vulnerabilità sia di alto profilo e che tu ne sia a conoscenza dai report dei media, in questo scenario uno dei metodi offline (descritti in altre risposte) è la via da seguire.

Un firewall o router hardware con funzionalità firewall tra il dispositivo e Internet sarebbe preferibile.

Se uno dei due (o entrambi) sono online, assicurati che l'aggiornamento di Windows sia completato prima di qualsiasi altra attività connessa a Internet (navigazione, email ecc.).

Uno dei motivi per cui Blaster è stato così rapido a diffondersi era che era pre-datato all'attuale firewall di Windows, che ora è attivo per impostazione predefinita e anche alla mancanza di funzionalità firewall nei modem al momento.

Just let it sit and update itself?

A meno che tu non sia un obiettivo di valore molto elevato o hai buone ragioni per sospettare che tu sia stato attaccato attivamente, solo il boot e cercare di terminare l'aggiornamento prima di fare qualsiasi cosa è un livello abbastanza ragionevole di precauzione. Due settimane di nessun aggiornamento non sono sufficienti per essere infettati e non puoi proteggerti dagli exploit zero-day anche se sei comunque aggiornato.

Se hai ragione di essere monitorato e attaccato attivamente, dovresti assicurarti di avere un firewall attivo, preferibilmente un firewall esterno anche se Windows Firewall dovrebbe fare anche, e configurarli per bloccare tutto il traffico in entrata e consente solo il traffico in uscita verso il server di aggiornamento di Microsoft. I pacchetti di Microsoft Update sono firmati digitalmente, quindi, a meno che la chiave privata di Microsoft non venga compromessa, si avrà la certezza che i pacchetti di aggiornamento non subiscano modifiche da Microsoft. Il tuo computer viene preinstallato con la chiave pubblica di Microsoft Update, a condizione che ti fidi della tua installazione iniziale, quindi dovresti essere bravo. Anche se qualcuno esegue uno spoofing DNS o IP e distribuisce un server Windows Update falso, non è possibile creare un pacchetto Windows Update con una firma che verrà accettata da Windows Update, poiché i pacchetti che non hanno convalidato la firma generano un avviso / errore di sicurezza. Non installare mai pacchetti con controllo firme non riuscito.

Se il tuo attaccante ti sta impedendo di aggiornare, puoi utilizzare un server di aggiornamento offline, come il suddetto WSUS.

Allo stesso modo con l'antivirus. Il software antivirus più credibile firmerebbe digitalmente i loro pacchetti di aggiornamento e si rifiuterebbe di aggiornare dal pacchetto forgiato. Se il tuo non lo fa, passa a un antivirus migliore. In questo caso però, la chiave pubblica del server di aggiornamento antivirus dovrebbe essere installata quando si installa l'antivirus, quindi se ti fidi dell'installazione iniziale dell'antivirus, sei anche bravo. Controlla come il tuo fornitore di antivirus fa il loro aggiornamento, alcuni antivirus meno affidabili sono stati conosciuti per non forniscono un livello di sicurezza sufficiente per il loro processo di aggiornamento .

Se il tuo computer sarà connesso direttamente a Internet o se il tuo router fornisce indirizzi IPv6 pubblicamente instradabili, allora sì la macchina potrebbe essere a rischio.

Se sei dietro un router che non fornisce connettività IPv6 o funziona come un firewall per IPv6 allora stai bene dato che la maggior parte i router IPv4 agiscono come firewall di default (a meno che tu non abbia inoltrato tutto le porte sull'IP interno della tua macchina) e quindi il tuo router sarà l'obiettivo degli attacchi, non del tuo computer, che dovrebbe (si spera) dargli abbastanza tempo per aggiornarsi ed essere in grado di "difendersi" in futuro (leggi i commenti sotto - alcuni router sembrano deviare da questo comportamento predefinito).

Ovviamente ciò presuppone che la rete locale sia pulita e che nessuna macchina sia compromessa, altrimenti la macchina senza patch potrebbe essere compromessa da una macchina già compromessa nella rete (anche router potrebbero essere compromessi).

Ho sentito cose positive su WSUS Offline (scorri verso il basso per l'annotazione in inglese) che dovrebbe essere in grado di aggiornare Windows offline (scaricare tutto su un altro computer completamente aggiornato e con AV aggiornato). Non l'ho usato da solo, ma conosco diversi amici che hanno.

Dopo che Windows è aggiornato, dovresti essere protetto da qualsiasi tecnica nota di infezione da worm non autenticata da remoto e quindi puoi connetterti a Internet e aggiornare immediatamente il tuo file delle definizioni dei virus.

(Se il tuo fornitore di AV offre pacchetti di aggiornamento offline, puoi sempre scaricarli e trasferirli offline così come gli aggiornamenti di Windows).