Ризик залишати ізольований Windows Server 2003 без виправлення, ризик підключення до Інтернету [закрито]

У мене застаріла машина Windows Server 2003 R2, яка працює в мережі камер безпеки. Здається, зараз це в основному ізольовано від Інтернету, але у відеосервер вбудовані різні застарілі механізми віддаленого доступу. Машина знаходиться в локальній локальній мережі, у школі з безліччю химерних ноутбуків учнів.

Сервер має виправлення безпеки, перетворені на "ручну установку", ймовірно, 5-10 років тому. Я застосував усі пластири, які зібрав саме сьогодні.

Як би ви впоралися з наступним кроком ... просто відкрити машину в Інтернеті є ризиком, навіть просто збирати будь-які патчі там. Якщо залишити це як можна, це може призвести до компромісу від локальної мережі.

security windows-update virus

— Брайс
джерело

Я б взяв його в автономному режимі, особисто або

— оновив

Я не міг погодитися більше ... спробуйте перенести його на нову версію Windows Server, і зробити перемикання в якийсь момент на місці оновлення - це не варіант. Якщо постачальник не підтримує новіші ОС Windows, запитайте, що вам потрібно зробити, щоб підтримувати його, наприклад, більш нову версію програмного забезпечення тощо. В іншому випадку НЕ піддавайте цю машину Інтернету, оскільки це не є вашим інтересом для безпеки. Я б спробував поставити його за правилами FL або маршрутизатора ACL з чіткими правилами доступу до IP-адреси лише для окремих машин, щоб підключитися до нього, а також заблокувати Windows FW з відповідними правилами.

— Pimp Juice IT

Тож правила FW або маршрутизатора та ОС FW посилюють сторону локальної мережі, а не підключення до Інтернету WAN подбає про викриття на цьому рівні, але я все одно оновлюю останні патчі безпеки WU, навіть якщо це означає, що ви це робите. вручну. Інакше настав час оновити цю річ, звернутися до постачальника за підтримкою, оновити програмне забезпечення для підтримки, перенести та / або розрізати його тощо. Якщо ви ІТ-хлопець, то порадьте школі, що саме правильно робити це, і якщо вони цього не роблять, тоді почніть блокувати його з EXPLICIT правил IP-адреси та заблокуйте ВСЕЩЕ інше та застосуйте виправлення WU.

— Pimp Juice IT

Це може бути хорошим кандидатом і для віртуального сервера. Я гадаю, якщо це застосовно або варіант для вас ... Просто продумайте швидкі ідеї тут.

— Pimp Juice IT

Оскільки ви вже працюєте з непідтримуваною операційною системою, найкраще, що вам слід зробити, - це оновлення до новішої ОС. якщо ви не можете таким чином налаштувати локальний та мережевий брандмауер, щоб дозволити підключення лише до самих камер і те, що вам потрібно. Поки система є ізольованою, робота зі застарілим ОС не така вже й велика справа.

— JamesK
джерело