如果一台过时、易受攻击但干净的 Windows 机器连接到路由器后面的网络，它会被检测和攻击吗？

很难猜测，但让我试试。你问的是：

在这种情况下，远程攻击者是否可以以某种方式检测到机器已连接到互联网的事实并尝试连接以进行攻击？

即使未打补丁的机器是干净的（你怎么知道？你做了全新安装吗？）它也可能再次受到攻击。如果未打补丁的机器只是闲置着不做任何事情（如果它传输/接收一些流量，情况就不是这样），那么很难直接检测到它。但这并不意味着机器是安全的。

以下是未打补丁的机器可能被入侵的潜在场景：如果存在路由器漏洞（它有發生 前）攻击者可能会破坏路由器，而未打补丁的机器很容易成为攻击目标。

另一种情况：无线路由器的弱加密或弱密码可能导致路由器受到损害，并且未修补的机器也可能受到损害。

最后但并非最不重要的一点是——一个已经提到的显而易见的情况：本地网络上受到感染的机器可能导致未修补的机器受到感染。

至于访问可信赖的网站，有些情况下这些网站上的第三方广告用恶意软件感染用户，因此，除非使用 Adblock Plus 和/或 NoScript 或类似程序，否则机器可能会受到威胁（但这是保护机器的一部分）

当然，这些情况并不容易发生或很常见，但却是可能的，而且以前也发生过。

确实没有理由让未打补丁的机器长时间留在网络上，无论是否在路由器后面。

如果第二台“干净”的机器位于路由器后面，则它不会受到来自互联网的直接攻击和感染，但如果您的第一台机器有已知的恶意软件感染，那么它上面的恶意软件可能会被写入主动寻找网络上的其他机器并通过任何可能的方式感染它们。

如果您的网络上有一台机器被感染，那么您的所有机器都可能面临风险，特别是在它们共享数据、程序、用户名和密码的情况下。

如果这台干净的机器也装有较旧的或未打补丁的操作系统，那么它就更有可能存在可在家庭网络中利用的漏洞。

如果您只访问绝对信任的网站，那么您可能没问题，但我首先要去的网站是防病毒网站，以获取最新的保护。

除非你能清理受感染的机器，否则我任何时候都只会打开一台机器。

当今的恶意软件通常是一种多管齐下的攻击的传递机制，它会寻找程序/操作系统漏洞、服务漏洞、共享点等。从最初的机器感染开始，它就可以尝试推动感染代理通过各种漏洞主动或被动地攻击网络上的其他机器。

在您的场景中，更有可能有人感染另一个系统，然后攻击易受攻击的系统。如果感染的是远程访问木马，则该人还可以主动查看内部网络上的所有机器。其他恶意软件也可以进行网络扫描并将信息传回。

在使用文件共享的内部 Windows 网络上，未修补的机器可以通过三个不同的途径受到攻击。

1)共享木马通过自动播放植入的点。您的机器要么通过直接执行感染，要么通过触发自动播放感染。不要在过时的系统上启用 Microsoft 客户端访问网络上的其他计算机。

2）可以扫描有漏洞的服务并通过它们攻击机器。不要在过时的系统上运行任何监听网络的服务。

3) 再也没有所谓的可信任网站了。大多数攻击都是通过 Acrobat 文件、Flash 内容、Java 小程序等发起的。如果 IE 浏览器本身未打补丁，则将成为另一个主要攻击源，尤其是 IE6。请将您访问的网站限制在公司网站上，因为一旦被攻破，损失将非常惨重。博客永远不值得信任，您不能指望运营博客的人在被攻破之前就有足够的意识来打补丁。去年，我已经非常习惯卡巴斯基猪叫声了。

现在从最有可能的攻击变成了最不可能的攻击。

至于“在无线路由器后面”，你运行的是哪种加密级别？如果你没有运行 WPA2-AES，请购买一台可以运行该加密级别的路由器，然后密码保护网络，使其易于连接其他系统，但难以从外部入侵。

如果路由器上有 NAT，并且未打补丁的计算机访问网络，则当该计算机产生流量时，攻击者应该看到的只是您的路由器 IP 地址和端口号。不要将任何内容转发到此系统。

现在，NAT 可以允许信息泄露。无论是 Linux、Windows 还是 MAC，都必须阻止某些内部网协议通过路由器传输到公共网络。我见过路由器将 Microsoft 文件和打印共享流量传出，将来自内部名称解析的 DNS 流量传出。从此流量和数据包嗅探器，可以构建正在使用的私有网络地址的内部网络图，并且如果数据包中没有直接说明该信息，则尝试通过数据包对生成它们的操作系统进行指纹识别。

路由器后面的计算机是否能被发现与它是否是最新的、是否正确打了补丁无关，而是与路由器是否允许访问它有关。网络地址解读路由器提供的防火墙可能对系统提供一定程度的保护，但检测和利用有漏洞的计算机仍然相对容易。