关于 Windows 更新，我们到底有多烂？

Question

我们的办公室有一个小型的“安全网络”。小我的意思是它是连接到防火墙的 Windows 7 PC，该防火墙连接到 Internet 连接。它用于处理符合 PCI DSS 的卡交易。

PCI DSS 的要求之一是安全网络中的任何机器都定期打补丁并保持最新状态。另一个是防火墙必须锁定以只允许与授权服务器的出站连接。防火墙仅通过 IP 地址进行出站例外。

由此我们可以得出以下事实：

• 服务器必须是最新的补丁
• 必须允许服务器连接到 Windows 更新
• 防火墙只能允许它通过 IP 做到这一点
• Windows 更新似乎没有一致的 IP 范围
• Win 7 盒子上没有 Small Business Server
• 因此该框将不会运行 WSUS

我们真的没有办法让盒子接收更新吗？或者我们缺少什么？

Answer 1

或者您可以在互联网上放置一个 WSUS 服务器（并对其进行“授权”）并解决不断变化的 ip 地址问题。

                                    The Internet (tm)
                                   \------------------------/
                                   |                        |
                                   |                        |
O---------------O     +------+     |       O-----------O    |
|Secured Machine+---->+Router+-----+------>|WSUS Server|    |
O---------------O     +------+     |       O-----------O    |
                                   |                        |
                                   |                        |
                                   /------------------------\