iT邦幫忙

0

電腦管理問題

  • 分享至 

  • xImage

關於公司電腦管理問題,想請教一下
公司的電腦 可分成三種
1 OA商用電腦 2 工業電腦 3 機台電腦
這三種 目前1和2 都是加入唯一的網域

但久了,發生一個問題,AD想升級,沒法升
因為工業電腦,因為與設備連接關係,沒法更換

唯一想到 就是 以後工業電腦 不加入網域,單機管理
因為也沒法在生出另一個新網域(預算問題,工程問題)

等於只有1 加入網域,2和3 都是維持單機作業
以上不知道這樣的思考是否正確?
不知道比較有有管理的公司,做法應該是怎樣?
謝謝

看更多先前的討論...收起先前的討論...
雷伊 iT邦高手 1 級 ‧ 2020-08-14 11:59:13 檢舉
請問工業電腦加入網域的目的為何?公用資料夾權限?
突然想起台積電兩年前的工控主機大中毒事件

https://www.cw.com.tw/article/5091491

你確定要把工控機連網?
chsinzk iT邦研究生 1 級 ‧ 2020-08-14 12:54:26 檢舉
網域只是方便管理,想想加入網域的需求是什麼
kylen iT邦新手 4 級 ‧ 2020-08-14 13:05:12 檢舉
1 工業電腦也有需求存取檔案共用區耶
2 工業電腦有有需求使用公司相關系統,所以可以利用GPO快速套用
3 這個也是歷史,接手之後,工控機就加入網域了
4 系統更新問題,可以找Update Server更新
5 盤點軟體 GPO派送
雷伊 iT邦高手 1 級 ‧ 2020-08-14 13:46:14 檢舉
你家的工業電腦根本就是普通的用戶端啊!有考慮在新版本的MS Server下開一台Hyper-V主機另外架設工業電腦專用的DC?或是將既有的DC虛擬化只負責工業電腦,另外在安裝新版的DC管理商用電腦。
我們公司的型鋼線CNC跟辦公室的網路是完全斷開的,不互通,避免資安災難造成產線也停擺

至於資料共享,CNC主機連的網上有專屬 的NAS,資料只能從窗口電腦複製
(已加強防毒及完全不上外網)

個人真心不覺得工控機,適合連入管人用的AD......
工控機應該跟內網切開,工控操作人員要用的電腦用來收email或行政作業加入網域就好
kylen iT邦新手 4 級 ‧ 2020-08-14 14:32:31 檢舉
所以看起來 應該是 網路要徹底斷開,工控機也不要加入網域,單機就好
在問一個問題,這樣那家的工控機,也都是不更新的嗎??也或許沒法更新
ks1217 iT邦研究生 1 級 ‧ 2020-08-14 16:29:38 檢舉
XP應該也沒得更新了吧,還是別更新比較好,免得一下專用軟體run不起來
kylen iT邦新手 4 級 ‧ 2020-08-14 16:47:41 檢舉
也是啦,但也有win7的 也只能放棄了
雷伊 iT邦高手 1 級 ‧ 2020-08-14 17:05:38 檢舉
japhenchen 哥的才是正解
kylen iT邦新手 4 級 ‧ 2020-08-17 11:45:07 檢舉
就是工控機的網路 獨立就對了
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
IT 癡
iT邦高手 1 級 ‧ 2020-08-14 13:43:44
  1. 目前 1 和 2
  2. 因為工業電腦,因為與設備連接關係,沒法更換

a. 既然 2 可以加入網域
b. 你的字句上看不出是費用問題 (假設也不是)

解方:

  1. 科技業除非夠有錢買足夠 L3,不然就是商用環境一個網域、工業機一個網域,相互透過跳板主機作 trust,讓資料可相互交流、但又不是直接互串
  2. 記得跳板主機安裝防毒檢測,任何檔案傳送過來先檢查,沒問題才放行
  3. 機台因為製造設備關係,如果可能,同區域同廠牌設備在工業機網域以建子網域方式、但不互通,避免 n 年前台 x 電的病毒擴散發生
雷伊 iT邦高手 1 級 ‧ 2020-08-14 13:55:13 檢舉

他的意思是說升級AD後,工業電腦就不支援了加域了,我也聽不懂這段

kylen iT邦新手 4 級 ‧ 2020-08-14 14:30:30 檢舉

抱歉,沒說清楚,因為工業電腦的系統 幾乎都是 XP系統為主,XP後已經無法支援後續2012之後的AD了

IT 癡 iT邦高手 1 級 ‧ 2020-08-17 14:07:41 檢舉

建虛擬環境,把 2008 R2 在虛擬起網域,把 XP 加到該網域中

1
mytiny
iT邦超人 1 級 ‧ 2020-08-14 17:43:49

在下的實戰經驗建議如下

  1. 請將這三段分成不同的AD管理(在經費許可下)
  2. 不要癡心妄想說這三段可以實體隔離(終究是會連通的)
  3. 用AD不代表有資安管理,需AD+設備辨識(IoT),至少IoT要辨識
  4. 有設備辨識與AD也不叫資安,這叫接入管理,不要自我欺騙與妨駭扯不上邊
  5. 請每日觀察AD紀錄資料,有無來歷不明及權限莫名提升
  6. 請記得這三種設備只要接入網路就都需要做防毒、防入侵
  7. 設備之間就要做防毒、防入侵的網路資安檢核,這是零信任網路存取
  8. 如果第7點做不到,至少網段間要做,網段能切多細就切多細
  9. 以上有工具會很容易就達成,沒預算請用人力操下去。
kylen iT邦新手 4 級 ‧ 2020-08-17 11:43:40 檢舉

謝謝 但真的難 沒錢又沒人
只能盡力了

我要發表回答

立即登入回答