чи потрібно з точки зору безпеки замінити ці XP-ПК на нові ПК.
Ні, замінювати ПК не потрібно. Але це необхідно оновити ці операційні системи (це може також включати заміну цих комп'ютерів - ми не знаємо , але якщо вони працюють спеціалізовані апаратні засоби, то це може бути можливо тримати комп'ютер.).
Існує стільки історій у реальному світі про зараження нібито "повітряними" ПК. Це може статися незалежно від вашої операційної системи, але наявність над-старої неоновленої операційної системи робить її ще більше ризиком.
Тим більше, що це здається, що ваші комп'ютери захищені програмним обмеженням для блокування доступу до Інтернету. Це, ймовірно, легко обійти. (застереження: Я ніколи не чув про цей контроль доступу в Інтернеті Panda, але це, звичайно, схоже на програмне забезпечення хосту).
Проблема, з якою ви, швидше за все, зіткнетесь, - це відсутність співпраці між постачальниками. Цілком можливо, що продавці відмовляться від допомоги, хочуть стягнути плату в розмірі 100 000 доларів США або ж відверто збанкрутують, а IP викинуто.
Якщо це так, це те, на що компанії потрібно сплатити бюджет.
Якщо насправді немає іншого варіанту, як утримати операційну систему 16-річної роботи без розблокування (можливо, це токарний верстат з ЧПУ на мільйон доларів або фрезерний верстат або МРТ), тоді вам потрібно зробити серйозну апаратну ізоляцію хоста. Розміщення цих машин на власному влані з надзвичайно обмежуючими правилами брандмауера було б хорошим початком.
Здавалося б, вам потрібні певні ручки в цьому плані, так як це:
Windows XP - це 16-річна операційна система. Шістнадцять років . Нехай це зануриться. Я подумав би двічі, перш ніж купувати автомобіль шістнадцяти років, і вони все ще роблять запчастини для 16-річних автомобілів. Для Windows XP немає «запасних частин».
За його звуками у вас погана ізоляція господаря. Скажімо, щось вже потрапляє у вашу мережу. Якимись іншими способами. Хтось підключає заражений USB-накопичувач. Він буде сканувати вашу внутрішню мережу і поширюватись на все, що має вразливість, яку вона може використовувати. Відсутність доступу до Інтернету тут не має значення, оскільки телефонний дзвінок надходить зсередини будинку
- Цей продукт безпеки Panda виглядає як обмеження на основі програмного забезпечення. Програмне забезпечення можна обійти, іноді легко. Я думаю, що гідний шматок шкідливого програмного забезпечення все-таки може вийти в Інтернет, якщо єдине, що зупинить його, - це програмне забезпечення, що працює на вершині стека мереж. Це може просто отримати права адміністратора та зупинити програмне забезпечення чи послугу. Таким чином, вони насправді взагалі не мають доступу до Інтернету. Це повертається до ізоляції хостів - за умови належної ізоляції хоста ви можете фактично вимкнути їх з Інтернету і, можливо, обмежити шкоду, який вони можуть завдати вашій мережі.
Чесно кажучи, вам не потрібно буде виправдовувати заміну цих комп'ютерів та / або операційної системи. Вони будуть повністю амортизовані для цілей бухгалтерського обліку, вони, швидше за все, вже минули після закінчення будь-якої гарантії або підтримки від постачальника обладнання, вони, безумовно, минули будь-яку підтримку від Microsoft (навіть якщо ви розмахуєте титановим American Express в особі Microsoft, вони все одно не візьмуть ваші гроші).
Будь-яка компанія, яка зацікавлена у зменшенні ризику та відповідальності, замінила б ці машини років тому. Залишати робочі станції навколо майже не доводиться. Я перерахував кілька дійсних виправдань вище (якщо він повністю відключений від будь-якої мережі та живе в шафі і працює музику ліфта, я можу - МОЖИТЕ - дайте йому пропуск). Це здається, що у вас немає вагомого приводу для того, щоб залишити їх навколо. Особливо зараз, коли ви знаєте, що вони є, і ви побачили шкоду, яка може статися (я припускаю, що ви писали це у відповідь на WannaCry / WannaCrypt).