Tho*_*VDB 36 security windows-xp
在我们的小型企业中,我们使用了大约 75 台 PC。服务器和台式机/笔记本电脑都是最新的,并使用 Panda Business Endpoint Protection和Malwarebytes Business Endpoint Security(MBAM + Ant-Exploit)进行保护。
但是,在我们的生产环境中,我们有大约 15 台 Windows XP PC 在运行。他们连接到公司网络。主要用于 SQL 连接和日志记录目的。他们对服务器的写访问权限有限。
Windows XP PC 仅用于一种专用(自定义)生产应用程序。没有办公软件(电子邮件、浏览、办公……)。此外,这些 XP-PC 中的每一个都有 Panda 网络访问控制,不允许访问 Internet。唯一的例外是 Windows 和 Panda 更新。
从安全的角度来看,是否有必要用新 PC 替换这些 Windows XP PC?
Mar*_*son 64
从安全的角度来看,是否有必要用新 PC 替换这些 XP-PC。
不,没有必要更换 PC。但是升级那些操作系统是必要的(这可能还涉及更换那些 PC——我们不知道。但如果它们运行的是专门的硬件,那么保留 PC 是可能的)。
有很多真实世界的故事是关于所谓的“气隙”PC 被感染的。无论您使用何种操作系统,这种情况都可能发生,但拥有超旧的未更新操作系统会使它面临更大的风险。
特别是听起来您的计算机受软件限制保护以阻止互联网访问。这很可能很容易绕过。(警告:我从来没有听说过这个 Panda 网络访问控制,但它看起来确实像主机软件)。
您可能面临的问题是缺乏供应商合作。供应商可能拒绝提供帮助,希望收取 100,000 美元的升级费用,或者直接破产并丢弃 IP。
如果是这种情况,这就是公司需要预算的事情。
如果真的别无选择,只能让 16 年历史的操作系统不打补丁(也许这是价值 100 万美元的 CNC 车床或铣床或 MRI),那么您需要进行一些基于硬件的严格主机隔离。将这些机器放在他们自己的 vlan 上,并使用严格的防火墙规则将是一个好的开始。
在这方面,您似乎需要一些帮助,所以如何:
Windows XP 是一个有 16 年历史的操作系统。十六岁。让它深入人心。在购买一辆 16 岁的旧车之前我会三思而后行,他们仍然为 16 岁的车制造备件。Windows XP 没有“备件”。
听上去,你的主机隔离很差。假设某些东西已经进入您的网络。通过其他方式。有人插入受感染的 USB 记忆棒。它会扫描您的内部网络并传播到任何有漏洞的地方。缺乏互联网接入在这里无关紧要,因为电话来自屋内
老实说,您不需要证明更换这些计算机和/或操作系统是合理的。出于会计目的,它们将完全折旧,它们很可能已经超过硬件供应商的任何保修或支持,它们肯定会超过 Microsoft 的任何类型的支持(即使您在 Microsoft 面前挥舞着美国运通钛合金,他们仍然不会拿走你的钱)。
任何有兴趣降低风险和责任的公司都会在几年前更换这些机器。几乎没有理由保留工作站。我在上面列出了一些有效的借口(如果它完全与任何和所有网络完全断开并且住在壁橱里并运行电梯音乐,我可能 - 可能 - 给它一个通行证)。听起来您没有任何正当理由将它们留在身边。尤其是现在您意识到它们的存在,并且您已经看到了可能发生的损害(我假设您写这篇文章是为了回应 WannaCry/WannaCrypt)。
MSa*_*ers 19
更换可能有点矫枉过正。设置网关。网关机器应该不运行Windows; Linux 可能是最好的选择。网关机器应该有两个独立的网卡。Windows XP 计算机将在一侧位于一个网络上,而世界的其余部分在另一侧。Linux 不会路由流量。
安装 Samba,并为 XP 机器创建共享以进行写入。将传入文件复制到最终目的地。rsync将是合乎逻辑的选择。
使用iptables,阻止除用于 Samba 的端口之外的所有端口。在有 XP 机器的一侧阻止出站 Samba 连接(以便没有任何东西可以写入 XP 机器)和在另一侧 **all* 入站连接(因此根本没有任何东西可以写入 Linux 机器)——也许只有一个SSH 的硬编码异常,但仅来自管理 PC 的 IP。
要破解 XP 机器,现在需要破解介于两者之间的 Linux 服务器,这肯定会拒绝来自非 XP 端的所有连接。这就是所谓的纵深防御。虽然可能仍然存在一些不幸的错误组合,这些错误组合可以让坚定且知识渊博的黑客绕过这一点,但您所谈论的是一个专门试图入侵您网络上的 15 台 XP 计算机的黑客。僵尸网络、病毒和蠕虫通常只能绕过一两个常见漏洞,很少能跨多个操作系统工作。
Sve*_*ven 13
本周末有关 WannaCry 的新闻应该毫无疑问地表明,绝对有必要尽可能更换 Windows XP 和类似系统。
即使微软为这个古老的操作系统发布了一个非凡的补丁,也不能保证这种情况会再次发生。
小智 5
我们将一些 Windows XP 机器用于特定(遗留)软件,我们尝试尽可能多地使用 Oracle VirtualBox(免费)迁移到虚拟机,我建议您也这样做。
这有几个好处;
对您来说,第 1 点是您可以从外部非常严格地控制 VM 的网络访问(无需在 Windows XP 中安装任何东西),并且您可以从主机较新的操作系统和在其上运行的任何安全软件的保护中受益。
这也意味着您可以在发生升级或硬件故障时在不同的物理机器/操作系统之间移动 VM,轻松备份它,包括能够在应用任何更新/更改之前保存“已知良好工作”状态的快照。
我们为每个应用程序使用一个虚拟机来保持超级隔离。只要您保持引导驱动器 UUID 正确,Windows XP 安装就不会介意。
这种方法意味着我们可以为一个给定的任务启动一个虚拟机,它有一个最小的 Windows XP 安装和一个所需的软件,没有额外的麻烦,也没有什么可以绊倒它。限制机器的网络访问大大减少了漏洞,并防止 Windows XP 以任何可能破坏事情或更糟的更新让您感到惊讶。