mis*_*256 3 networking security windows-xp
我有一个场景,即使 Microsoft 长期以来不支持 XP,我也需要继续运行 Windows XP PC。
PC 将连接到我的网络,但只是为了允许 Linux 虚拟机通过 PC 的网络连接访问互联网。PC 上的其他任何东西都不会接触互联网。
我在这里可能会遇到什么样的安全风险?我一直认为人们需要浏览到狡猾的网站或执行/打开恶意文件才能发生任何不好的事情。这在这台 PC 上不会发生(虚拟机使用桥接网络,这意味着其流量被很好地隔离)。
Windows XP PC 是否可以通过连接到网络而无需用户交互而被利用?
如果存在风险,可以采取哪些实际步骤来减轻风险,同时保持物理配置和功能不变?
赏金已开放
很多人一定会发现自己处于类似的境地,他们需要将旧版 XP PC(或虚拟机)暴露给网络。这就是为什么我给500分,希望我们能得到一个可靠的答案。
反对者:不要羞于发表评论。我可以改进这个问题,但前提是我知道它出了什么问题。
这里的“安全风险”有点广泛——这里的大问题是 XP 不受支持,如果有一些新的威胁针对仍然存在的许多 XP PC,它就不会得到修复。因此,如果我列出具体来说,安全问题的清单会越来越长。Windows XP 是一个静态目标,威胁动态增长
当然,我有一台旧的 XP PC,当它还是新的、闪亮的令人敬畏的操作系统时,它被一个小偷用来存储软件,所以……这肯定有可能在几年后发生。
让我们看一下我在互联网上发现的一长串随机漏洞
Microsoft Windows XP SP2 和 SP3、Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008 SP2 和 R2 SP1 以及 Windows Server 2012 Gold 和 R2 中的安全帐户管理器远程 (SAMR) 协议实现无法正确确定用户锁定状态,这使得远程攻击者更容易绕过帐户锁定策略并通过暴力攻击(也称为“SAMR 安全功能绕过漏洞”)获取访问权限。
所以...是的,不仅仅是你。基本上,XP 中发现的任何漏洞都保持开放状态,MS 不会修复它。并非所有漏洞都依赖于用户的直接愚蠢。任何通过互联网可见的系统都会受到刺激、刺激和测试。NAT 可能会掩盖你的身份,但坏人也会知道这一点
有趣的是,这就是 XP PC 有意义的一种情况。
理论上,您可以通过非常严格的防火墙规则在很大程度上缓解这种情况,关闭任何不必要的服务并保持系统精简。具体关闭任何允许任何类型的远程访问、远程登录等的内容。
我会考虑稍微不同的拓扑 - 我会尝试将 USB 以太网适配器直接连接到虚拟机,或者更好,分离数据收集系统,在其自己的子网上进行点对点以太网连接,以便可以联系 XP 盒子但不是在互联网上。简而言之,让 XP 盒子保持在自己的小网络上。
如果您能找到一个 Linux 风格的防火墙,可以丢弃特定 IP 之外的任何内容,那就太好了 - 然后您可以在任何地方丢弃不是来自虚拟机的任何数据包。
| 归档时间: |
|
| 查看次数: |
2551 次 |
| 最近记录: |