Комп'ютери Windows XP в мережі компанії


36

У нашому малому бізнесі ми використовуємо близько 75 ПК. Сервери та настільні комп’ютери / ноутбуки оновлюються і захищені за допомогою захисту Panda Business Endpoint та Malwarebytes Security Endpoint Security (MBAM + Ant-Exploit).

Однак у нашому виробничому середовищі працює близько 15 ПК з Windows XP. Вони підключені до мережі компанії. В основному для SQL-підключення та ведення журналів. У них обмежений доступ для запису на сервери.

Комп'ютери Windows XP використовуються лише для однієї спеціалізованої (спеціальної) програми-програми. Жодного офісного програмного забезпечення (електронна пошта, веб-перегляд, офіс, ...). Крім того, кожен із цих комп'ютерів XP має контроль доступу в Інтернеті Panda, який не дозволяє доступ до Інтернету. Винятки становлять лише оновлення Windows та Panda.

Чи потрібно з точки зору безпеки замінити ці ПК Windows XP на нові ПК?


3
Чи мають машини XP якісь зв’язки із зовнішнім світом? Або зовнішній світ має якісь зв’язки всередині? Якщо вони всі "суворо" внутрішні ... у моєму бізнесі у нас є машини XP, які "відключені" від зовнішнього світу (деякі насправді ні до чого не підключені) і мають "власницьке" програмне забезпечення, яке взаємодіє з машинами, які не можуть замінити їх легко ... Заміна їх - питання інше, ніж скажімо ... заміна веб-сервера.
WernerCD

10
@Nav Якщо єдині постачальники всього класу обладнання підтримують тільки вікна, то, звичайно, їм доведеться використовувати Windows. Якщо це обладнання триває десятиліття, їм доведеться використовувати Windows XP або 98. Або DOS. Якщо вартість перемикання всіх їхніх застарілих систем та перепідготовка користувачів величезна, то це робиться на практиці.
Кріс Н

21
@Nav це неймовірно елітарне ставлення. Переключити переважну більшість працівників на іншу операційну систему - це велика вартість і тягар. І сказати, що Linux "набагато кращий і безпечніший" - це наївно. Як ви навіть вимірюєте "краще"? Якби у Linux було проникнення, яке має Windows, для Linux було б стільки ж подвигів та ризиків. І є багато з в дикому подвиги , які спрямовані на Linux - Тобто ми вже забули heartbleed? Різні операційні системи мають різні плюси і мінуси для кожної аудиторії, і рішення повинні прийматися в цьому контексті.
Марк Хендерсон

3
@Nav Windows в офісі - це платформа для MS Office. І MS Office все ще незамінний у багатьох випадках, незважаючи на 20 років наївності щодо цього у спільноті з відкритим кодом :)
rackandboneman

3
@KhajakVahanyan Тільки в цьому році ядро Linux має найвиразніші (загальнодоступні) вразливості, майже чотири рази Windows 2008.
Martheen

Відповіді:


64

чи потрібно з точки зору безпеки замінити ці XP-ПК на нові ПК.

Ні, замінювати ПК не потрібно. Але це необхідно оновити ці операційні системи (це може також включати заміну цих комп'ютерів - ми не знаємо , але якщо вони працюють спеціалізовані апаратні засоби, то це може бути можливо тримати комп'ютер.).

Існує стільки історій у реальному світі про зараження нібито "повітряними" ПК. Це може статися незалежно від вашої операційної системи, але наявність над-старої неоновленої операційної системи робить її ще більше ризиком.

Тим більше, що це здається, що ваші комп'ютери захищені програмним обмеженням для блокування доступу до Інтернету. Це, ймовірно, легко обійти. (застереження: Я ніколи не чув про цей контроль доступу в Інтернеті Panda, але це, звичайно, схоже на програмне забезпечення хосту).

Проблема, з якою ви, швидше за все, зіткнетесь, - це відсутність співпраці між постачальниками. Цілком можливо, що продавці відмовляться від допомоги, хочуть стягнути плату в розмірі 100 000 доларів США або ж відверто збанкрутують, а IP викинуто.

Якщо це так, це те, на що компанії потрібно сплатити бюджет.

Якщо насправді немає іншого варіанту, як утримати операційну систему 16-річної роботи без розблокування (можливо, це токарний верстат з ЧПУ на мільйон доларів або фрезерний верстат або МРТ), тоді вам потрібно зробити серйозну апаратну ізоляцію хоста. Розміщення цих машин на власному влані з надзвичайно обмежуючими правилами брандмауера було б хорошим початком.


Здавалося б, вам потрібні певні ручки в цьому плані, так як це:

  • Windows XP - це 16-річна операційна система. Шістнадцять років . Нехай це зануриться. Я подумав би двічі, перш ніж купувати автомобіль шістнадцяти років, і вони все ще роблять запчастини для 16-річних автомобілів. Для Windows XP немає «запасних частин».

  • За його звуками у вас погана ізоляція господаря. Скажімо, щось вже потрапляє у вашу мережу. Якимись іншими способами. Хтось підключає заражений USB-накопичувач. Він буде сканувати вашу внутрішню мережу і поширюватись на все, що має вразливість, яку вона може використовувати. Відсутність доступу до Інтернету тут не має значення, оскільки телефонний дзвінок надходить зсередини будинку

  • Цей продукт безпеки Panda виглядає як обмеження на основі програмного забезпечення. Програмне забезпечення можна обійти, іноді легко. Я думаю, що гідний шматок шкідливого програмного забезпечення все-таки може вийти в Інтернет, якщо єдине, що зупинить його, - це програмне забезпечення, що працює на вершині стека мереж. Це може просто отримати права адміністратора та зупинити програмне забезпечення чи послугу. Таким чином, вони насправді взагалі не мають доступу до Інтернету. Це повертається до ізоляції хостів - за умови належної ізоляції хоста ви можете фактично вимкнути їх з Інтернету і, можливо, обмежити шкоду, який вони можуть завдати вашій мережі.

Чесно кажучи, вам не потрібно буде виправдовувати заміну цих комп'ютерів та / або операційної системи. Вони будуть повністю амортизовані для цілей бухгалтерського обліку, вони, швидше за все, вже минули після закінчення будь-якої гарантії або підтримки від постачальника обладнання, вони, безумовно, минули будь-яку підтримку від Microsoft (навіть якщо ви розмахуєте титановим American Express в особі Microsoft, вони все одно не візьмуть ваші гроші).

Будь-яка компанія, яка зацікавлена ​​у зменшенні ризику та відповідальності, замінила б ці машини років тому. Залишати робочі станції навколо майже не доводиться. Я перерахував кілька дійсних виправдань вище (якщо він повністю відключений від будь-якої мережі та живе в шафі і працює музику ліфта, я можу - МОЖИТЕ - дайте йому пропуск). Це здається, що у вас немає вагомого приводу для того, щоб залишити їх навколо. Особливо зараз, коли ви знаєте, що вони є, і ви побачили шкоду, яка може статися (я припускаю, що ви писали це у відповідь на WannaCry / WannaCrypt).


1
Привіт, мені доведеться пояснити, чому потрібно замінити ці старі XP-ПК, незважаючи на те, що вони не мають доступу до Інтернету. Тож чи можна дати мені кілька (напів) -технічних пояснень, які ситуації можуть виникнути. Те, що контроль доступу до Інтернету базується на програмному забезпеченні, безумовно, початок. btw Це посилання на контроль доступу в Інтернеті Panda: pandasecurity.com/usa/support/card?id=50074
Thomas VDB

2
@ThomasVDB Я додав оновлення до своєї відповіді
Марк Хендерсон

19

Заміна може бути зайвою. Встановіть шлюз. Шлюзова машина не повинна запускати Windows; Linux, мабуть, найкращий вибір. Автомат шлюзу повинен мати дві окремі мережеві карти. Машини Windows XP будуть знаходитися в одній мережі з одного боку, решта світу - на іншій стороні. Linux не буде маршрутизувати трафік.

Встановіть Samba і зробіть акції для машин XP, на які потрібно писати. Скопіюйте вхідні файли в кінцеве місце призначення. rsyncбув би логічним вибором.

Використовуючи iptables, блокуйте всі порти, крім тих, що використовуються для Samba. Блокуйте вихідні з'єднання Samba на стороні, на якій є машини XP (так що нічого не можна записати на машини XP) та ** all * вхідні з'єднання з іншого боку (так що нічого не можна записати на машину Linux) - можливо, з одним виняток із жорстким кодом для SSH, але лише з IP вашого керуючого ПК.

Зараз для взлому машин XP зараз потрібно зламати сервер Linux між ними, що позитивно відхиляє всі з'єднання, що надходять із сторони, яка не є XP. Це те, що називається глибокою обороною . Хоча можливо, що все-таки існує якась нещаслива комбінація помилок, яка б дозволила рішучому та знаючому хакеру обійти це рішення, ви б говорили про хакер, який спеціально намагається зламати ці 15 машин XP у вашій мережі. Ботнети, віруси та черв'яки зазвичай можуть обійти лише одну або дві загальні вразливості, і рідко можуть працювати в декількох операційних системах.


3
Це може спрацювати. Тут працюватимуть PFSense або monowall, ні? ПК все ще має змогу підключитися до нашого SQL Server.
Томас ВДБ

4
Так, або замість шлюзової машини ви просто купуєте невеликий, але здатний роутер (Mikrotik) або як 40 доларів США. Використовує спосіб менше енергії.
TomTom

-1 тому, що це не вирішить проблем ОП.
Джеймс Снелл

6
@JamesSnell: Це не корисний коментар. Чому це не допоможе? Яку конкретну загрозу безпеці ви можете назвати, що обійде цей параметр?
MSalters

3
@ThomasVDB: Суть шлюзу з iptables і Samba полягає в тому, що IP-пакети або скидаються (не SMB), або обробляються спроможним сучасним реалізацією. Це означає, що машини XP отримуватимуть лише пакети IP, створені Samba на машині Linux. Відомо, що вони неправильно формуються. Маршрутизатор, як пропонує TomTom, пересилатиме IP-пакети, але маршрутизатор не знає про протокол SMB і пересилатиме погані пакети, як ті, що викликали WannaCry. Так, не перевірка є більш енергоефективною, але безпека повинна бути головним пріоритетом тут.
MSalters

13

Новини цих вихідних щодо WannaCry повинні були зрозуміти без сумніву, що абсолютно необхідно замінити Windows XP та подібні системи, де це можливо.

Навіть якщо MS випустила надзвичайний патч для цієї старовинної ОС, зовсім немає гарантії, що це повториться.


2
Так, але чи не входять ці віруси в компанію електронною поштою та веб-переглядачами? Чи це не стосується того, що ці ПК не мають доступу до Інтернету? Я впевнений, що комп'ютери XP не є безпечними при використанні для настільних додатків. Але якщо запускати лише одне додаток без доступу до Інтернету, чи має бути інша ситуація? Або чого я пропускаю?
Томас ВДБ

2
Але вони підключені до сервера SQL. Що станеться, якщо інший раз заразиться іншим зловмисним програмним забезпеченням та використає потенційну дірку в реалізації клієнтського сервера SQL? Поки існує якийсь зв’язок з іншими системами, існує потенційна небезпека.
Свен

13
@ThomasVDB: WannaCry має два способи розповсюдження себе. Вкладення електронної пошти - це один, але другий метод був за допомогою файлових спільних доступів. Зокрема, файли обмінюються, використовуючи старіший протокол SMBv1. Microsoft випустила патчі спеціально для цієї проблеми ще в березні 2017 року. Однак, оскільки XP тоді не підтримував, Microsoft спочатку не випускала версію XP цього патча SMBv1. Вони відмінили це рішення тепер, коли WannaCry вдарило, але тільки для цієї конкретної проблеми.
MSalters

7
Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access?- "Я не замикаю вікна своєї спальні, оскільки вони знаходяться на другому поверсі, а зовні немає сходів", - це виправдання, яке жодного разу не зупиняло грабіжника від пограбування будинку. Якщо ці машини підпадають під вашу компетенцію і на вашу відповідальність, тоді вам потрібно закріпити їх, незалежно від того, що ви думаєте, ймовірність того, що вони будуть порушені.
joeqwerty

Це зупинить грабіжника, який має багато будинків з відкритими вікнами на рівні землі. Рішучий зловмисник (технічно кваліфікований незадоволений працівник або корпоративний шпигун) проти опортуністичного нападника (зловмисне програмне забезпечення, вандали, будівельники ботнетів).
rackandboneman

5

Ми використовуємо деякі машини Windows XP для конкретного (застарілого) програмного забезпечення, ми намагалися максимально переміститися до віртуальних машин за допомогою Oracle VirtualBox (безкоштовно), і я рекомендую вам поглянути на те, щоб зробити те саме.

Це дає кілька переваг;

Для вас номер 1 полягає в тому, що ви можете дуже щільно контролювати доступ до мережі VM ззовні (не встановлюючи нічого всередині Windows XP), і ви користуєтеся захистом нової ОС хост-машини та будь-якого програмного забезпечення, що працює на ній.

Це також означає, що ви можете переміщати VM через різні фізичні машини / операційні системи, коли відбудуться оновлення або апаратні збої, легко створити резервну копію, включаючи можливість зберегти знімок стану "відомого хорошого робочого стану" перед застосуванням будь-яких оновлень / змін.

Ми використовуємо один VM на додаток, щоб зберігати речі суперсегреговані. Поки ви підтримуєте UUID завантажувального диска правильним, установка Windows XP не проти.

Такий підхід означає, що ми можемо надати VM для даної задачі, яка має мінімальну установку Windows XP та необхідний той самий програмний засіб, без додаткової криптовалюти і нічого, щоб її усунути. Увімкнення доступу до мережі в мережі значно зменшує вразливість і не дозволяє Windows XP дивувати вас будь-якими оновленнями, які можуть зламати щось або ще гірше.


Це може створити проблеми, якщо спеціальне програмне забезпечення є для керування власним обладнанням :) У будь-яких інших випадках VM та знімки дозволяють вам реально "брудну" стратегію, якщо потрібно: Запускайте до зламу, відновіть із знімка, промийте, повторіть :) Зробіть впевнений, що більше нічого не
вдариться

Щоправда, але в наші дні VM напрочуд хороші, і факт, що ви можете запустити його на хост-машині, яка в 10 разів настільки потужна, допомагає. Якщо спеціальне програмне забезпечення робить щось особливо вразливе, тоді у вас не так багато варіантів, але, як ви говорите, принаймні це просто клонований VM, який отримує злом, і ви можете запустити його і почати з нового.
Джон У

Я думав "водіння чудернацьких карт ISA, таких як інтерфейси GPIO, DAC / ADC або IEEE-488" :) Однією з класичних причин існування давніх середовищ ОС.
rackandboneman

Ну так, хоча в ці дні ти лише Raspberry Pi або Arduino далеко від тиражування чи взаємозв'язку подібних речей.
Джон У

3

Як хтось пропонував раніше, подумайте про посилення ізоляції щодо решти мережі.

Покладатися на машинне програмне забезпечення є слабким (оскільки воно спирається на стек мережі ОС, який може бути вразливим і сам). Виділена підмережа була б гарним запуском і кращим рішенням на основі VLAN (це може бути усунене рішучим зловмисником, але це зупинить більшість атак «злочинів за можливістю» мертвими. Проте, драйвери NIC повинні підтримувати це). Найкращою є спеціалізована фізична мережа (або через спеціалізований комутатор, або через порт VLAN).


-5

Так, їх потрібно замінити. Усі, хто працює з машинами Windows XP, підключеними до будь-якого типу мережі після WannaCry, просто задають проблеми.


7
-1, це не додає нічого, що не сказано краще в інших відповідях.
HopelessN00b
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.