PC Windows XP trong mạng công ty

Trong doanh nghiệp nhỏ của chúng tôi, chúng tôi đang sử dụng khoảng 75 PC. Máy chủ và máy tính để bàn / máy tính xách tay đều được cập nhật và được bảo mật bằng cách sử dụng Panda Business Endpoint Protection và Malwarebytes Business Endpoint Security (MBAM + Ant-Miningit).

Tuy nhiên, trong môi trường sản xuất của chúng tôi, chúng tôi có khoảng 15 PC Windows XP đang chạy. Chúng được kết nối với mạng công ty. Chủ yếu cho các mục đích kết nối và ghi nhật ký SQL. Họ có quyền truy cập ghi hạn chế vào các máy chủ.

Các PC Windows XP chỉ được sử dụng cho một ứng dụng sản xuất (tùy chỉnh) chuyên dụng. Không có phần mềm văn phòng (email, duyệt web, văn phòng, ...). Hơn nữa, mỗi PC XP này có kiểm soát truy cập web Panda không cho phép truy cập Internet. Các ngoại lệ duy nhất là dành cho Windows và Panda Updates.

Có cần thiết, từ quan điểm bảo mật, để thay thế các PC Windows XP này bằng PC mới không?

là cần thiết từ quan điểm bảo mật, để thay thế các XP-PC này bằng PC mới.

Không, không cần thiết phải thay thế PC. Nhưng nó là cần thiết phải nâng cấp những hệ điều hành (điều này có thể cũng liên quan đến việc thay thế những máy tính - chúng tôi không biết nhưng nếu họ đang chạy phần cứng chuyên dụng, sau đó nó có thể để giữ cho máy tính.).

Có rất nhiều câu chuyện trong thế giới thực về các máy tính được cho là "không khí" bị lây nhiễm. Điều này có thể xảy ra bất kể hệ điều hành của bạn là gì, nhưng việc có một hệ điều hành siêu cũ không được cập nhật sẽ khiến nó gặp nhiều rủi ro hơn.

Đặc biệt là có vẻ như máy tính của bạn được bảo vệ bởi một hạn chế phần mềm để chặn truy cập internet. Điều này có khả năng dễ dàng bỏ qua. (báo trước: Tôi chưa bao giờ nghe về kiểm soát truy cập web Panda này, nhưng nó chắc chắn trông giống như phần mềm trên máy chủ).

Vấn đề bạn có thể gặp phải là thiếu sự hợp tác của nhà cung cấp. Có thể các nhà cung cấp từ chối giúp đỡ, muốn tính phí 100.000 đô la cho việc nâng cấp hoặc hoàn toàn bị phá sản và IP bị vứt bỏ.

Nếu đây là trường hợp, đây là một cái gì đó mà công ty cần ngân sách cho.

Nếu thực sự không có lựa chọn nào khác ngoài việc giữ cho hệ điều hành 16 năm hoạt động không thể so sánh được (có thể đây là máy tiện CNC hoặc máy phay triệu đô hoặc MRI), thì bạn cần thực hiện một số cách ly máy chủ dựa trên phần cứng nghiêm trọng. Đặt các máy đó trên vlan của riêng chúng với các quy tắc tường lửa cực kỳ hạn chế sẽ là một khởi đầu tốt.

Có vẻ như bạn cần một số người nắm trong tay về vấn đề này, vậy thì đây là:

• Windows XP là một hệ điều hành 16 năm tuổi. Mười sáu tuổi . Hãy để nó chìm vào. Tôi sẽ suy nghĩ kỹ trước khi mua một chiếc xe mười sáu tuổi, và họ vẫn làm phụ tùng cho những chiếc xe 16 tuổi. Không có 'phụ tùng' cho Windows XP.

• Bởi âm thanh của nó, bạn có sự cô lập máy chủ kém. Hãy nói rằng một cái gì đó đã vào trong mạng của bạn. Bằng một số phương tiện khác. Ai đó cắm vào một thanh USB bị nhiễm bệnh. Nó sẽ quét mạng nội bộ của bạn và truyền tới bất kỳ thứ gì có lỗ hổng mà nó có thể khai thác. Việc thiếu truy cập internet là không liên quan ở đây vì cuộc gọi điện thoại đến từ trong nhà

• Sản phẩm bảo mật Panda này trông giống như các hạn chế dựa trên phần mềm. Phần mềm có thể được bỏ qua, đôi khi dễ dàng. Tôi cá là một phần mềm độc hại đàng hoàng vẫn có thể truy cập internet nếu thứ duy nhất ngăn chặn nó là một phần mềm chạy trên đỉnh của mạng. Nó chỉ có thể có được quyền quản trị và dừng phần mềm hoặc dịch vụ. Vì vậy, họ thực sự không có truy cập internet. Điều này quay trở lại sự cô lập máy chủ - với sự cách ly máy chủ phù hợp, bạn thực sự có thể đưa chúng ra khỏi internet và có thể hạn chế thiệt hại mà chúng có thể gây ra cho mạng của bạn.

Thành thật mà nói, bạn không cần phải biện minh cho việc thay thế các máy tính và / hoặc hệ điều hành này. Chúng sẽ được khấu hao hoàn toàn cho mục đích kế toán, chúng có thể vượt quá bất kỳ sự bảo đảm hoặc hỗ trợ nào từ nhà cung cấp phần cứng, chúng chắc chắn vượt qua bất kỳ loại hỗ trợ nào từ Microsoft (ngay cả khi bạn vẫy chiếc titan American Express của bạn trong khuôn mặt của Microsoft, họ vẫn không lấy tiền của bạn).

Bất kỳ công ty nào quan tâm đến việc giảm rủi ro và trách nhiệm pháp lý sẽ thay thế những máy đó từ nhiều năm trước. Có rất ít hoặc không có lý do để giữ cho các máy trạm xung quanh. Tôi đã liệt kê một số lý do hợp lệ ở trên (nếu nó hoàn toàn bị ngắt kết nối hoàn toàn khỏi bất kỳ và tất cả các mạng và sống trong tủ quần áo và chạy nhạc thang máy tôi có thể - MIGHT - cho nó qua). Có vẻ như bạn không có bất kỳ lý do hợp lệ nào để bỏ chúng xung quanh. Đặc biệt là bây giờ bạn biết rằng họ đang ở đó và bạn đã thấy thiệt hại có thể xảy ra (tôi giả sử bạn đã viết điều này để đáp lại WannaCry / WannaCrypt).

Thay thế có thể là quá mức cần thiết. Thiết lập một cổng. Máy gateway không nên chạy Windows; Linux có lẽ là sự lựa chọn tốt nhất. Máy cổng nên có hai card mạng riêng biệt. Các máy Windows XP sẽ ở một mạng ở một bên, phần còn lại của thế giới nằm ở phía bên kia. Linux sẽ không định tuyến lưu lượng.

Cài đặt Samba và tạo chia sẻ cho các máy XP để ghi vào. Sao chép các tập tin đến chuyển tiếp đến đích cuối cùng. rsyncsẽ là sự lựa chọn hợp lý.

Sử dụng iptables, chặn tất cả các cổng ngoại trừ các cổng được sử dụng cho Samba. Chặn các kết nối Samba ra bên ngoài có các máy XP (để không có gì có thể ghi vào các máy XP) và ** tất cả các kết nối gửi đến ở phía bên kia (vì vậy không có gì có thể ghi vào máy Linux) - có lẽ chỉ với một ngoại lệ mã hóa cứng cho SSH, nhưng chỉ từ IP của PC quản lý của bạn.

Để hack các máy XP bây giờ yêu cầu hack một máy chủ Linux ở giữa, điều này đang từ chối tích cực tất cả các kết nối đến từ phía không phải XP. Đây là những gì được gọi là phòng thủ theo chiều sâu . Mặc dù có thể tồn tại một số lỗi không may mắn tồn tại sẽ cho phép một hacker có quyết tâm và hiểu biết vượt qua điều này, nhưng bạn sẽ nói về một hacker đặc biệt đang cố gắng hack 15 máy XP trên mạng của bạn. Botnet, virus và sâu thường chỉ có thể vượt qua một hoặc hai lỗ hổng phổ biến và hiếm khi có thể hoạt động trên nhiều Hệ điều hành.

Tin tức cuối tuần này liên quan đến WannaCry nên nói rõ hơn mọi nghi ngờ rằng việc thay thế Windows XP và các hệ thống tương tự bất cứ khi nào có thể là điều hoàn toàn cần thiết.

Ngay cả khi MS phát hành một bản vá đặc biệt cho hệ điều hành cổ đại này, không có gì đảm bảo rằng điều này sẽ xảy ra một lần nữa.

Chúng tôi sử dụng một số máy Windows XP cho phần mềm (di sản) cụ thể, chúng tôi đã cố gắng di chuyển nhiều nhất có thể sang các máy ảo bằng Oracle VirtualBox (miễn phí) và tôi khuyên bạn nên xem xét tương tự.

Điều này mang lại một số lợi ích;

Số 1 cho bạn là bạn có thể kiểm soát truy cập mạng của VM rất chặt từ bên ngoài (không cần cài đặt bất cứ thứ gì bên trong Windows XP) và bạn được hưởng lợi từ việc bảo vệ HĐH mới hơn của máy chủ và mọi phần mềm bảo mật chạy trên nó.

Điều đó cũng có nghĩa là bạn có thể di chuyển VM qua các máy / hệ điều hành vật lý khác nhau khi xảy ra nâng cấp hoặc lỗi phần cứng, sao lưu dễ dàng bao gồm khả năng lưu ảnh chụp nhanh về trạng thái "đã biết hoạt động tốt" trước khi áp dụng bất kỳ cập nhật / thay đổi nào.

Chúng tôi sử dụng một VM cho mỗi ứng dụng để giữ mọi thứ siêu tách biệt. Miễn là bạn giữ đúng ổ đĩa khởi động UUID, cài đặt Windows XP không phiền.

Cách tiếp cận này có nghĩa là chúng ta có thể tạo ra một VM cho một tác vụ nhất định có cài đặt Windows XP tối thiểu và một phần mềm cần thiết, không có thêm phần mềm nào được xử lý và không có gì để thực hiện. Điều chỉnh truy cập mạng của máy giúp giảm đáng kể lỗ hổng và ngăn Windows XP làm bạn ngạc nhiên với bất kỳ bản cập nhật nào có thể phá vỡ mọi thứ hoặc tệ hơn.

Như ai đó đã đề xuất trước đây, hãy xem xét tăng cường sự cô lập đối với phần còn lại của mạng.

Dựa vào phần mềm trên máy là yếu (vì nó phụ thuộc vào ngăn xếp mạng hệ điều hành có thể dễ bị tổn thương). Một mạng con chuyên dụng sẽ là một khởi đầu tốt và một giải pháp dựa trên Vlan tốt hơn (điều này có thể được tấn công bởi một kẻ tấn công quyết tâm, nhưng nó sẽ ngăn chặn hầu hết các "tội phạm cơ hội" tấn công. Một mạng vật lý chuyên dụng (thông qua một bộ chuyển mạch chuyên dụng hoặc Vlan dựa trên cổng) là tốt nhất.

Vâng, họ cần phải được thay thế. Bất cứ ai chạy các máy Windows XP được kết nối với bất kỳ loại mạng nào sau WannaCry đều chỉ gặp sự cố.