大家都知道,Windows XP 非常不安全。不过,这里有一个示例情况:
- Windows XP 盒子已连接到 LAN。
- 这意味着路由器的防火墙位于 XP 盒和 Internet 之间。
- 此外,Windows XP 盒子位于路由器的NAT。
当然,我毫不怀疑 Windows XP 操作系统本身、内置防火墙等存在一些严重的安全漏洞。如果将 Windows XP 机器直接连接到互联网,例如:
XP Machine <----> Modem <----> Internet
可以预料到,该盒子会非常快地被攻破。(即使使用最新的 Windows 11 系统,我也不太愿意这样做)。但是,当位于 NAT + 路由器防火墙后面时(没有任何端口转发等),来自 WAN 的任何入站流量都不会被允许进入。显然,这是 NAT 的副作用,但即使没有 NAT,大多数路由器也会默认阻止入站连接。
另外,假设盒子是不是用于一般的网页浏览,并且不定期安装来自不受信任来源的随机软件。在这种情况下,操作系统是否仍然易受攻击?如果是,如何?
当然,它很容易受到来自 LAN 的攻击。但是,如果它位于受信任的 LAN 上,则不会出现问题:LAN 上的其他人没有理由攻击该机器,并且如果另一台设备已经受到攻击,并且虫或者某些东西正在传播,那么你将面临比担心小型 Windows XP 机器被黑客入侵更大的问题。
TLDR -
Windows XP 计算机连接方式如下:
XP Machine <----> NAT Router + Firewall <----> Internet
恶意软件不会成为问题(社会工程学邮件附件中、安装不受信任的软件等)并且机器不会用于一般的网页浏览。来自内部 LAN 的威胁不是问题。这个盒子是否仍然是一个安全隐患?为什么?
也许更合适的问法是:在这种情况下,如何该盒子会被攻击吗/它会被攻击吗?(不允许来自 WAN 的入站流量、不允许进行常规 Web 浏览等)
答案1
是的,它仍然可能受到攻击,使用网络浏览器(或者其他任何东西)在看似安全的设备上与同一网络上的代理进行攻击。关于此方法的长篇论文.正如它所解释的:
在许多情况下,从恶意网站加载的 JavaScript 可以连接到用户本地计算机 (localhost) 或其他内部主机上运行的服务。现代 Web 浏览器无法完全阻止使用受害者浏览器作为代理攻击内部网络。事实上,我们不仅可以让受害者浏览器在内部发送请求,还可以发现内部主机、进行有限的端口扫描、进行服务指纹识别,最后我们甚至可以通过恶意 JavaScript 破坏易受攻击的服务。
本质上,这是跨源请求伪造或跨站点脚本的一个具体案例。其效果如何取决于 XP 设备正在做什么。
请记住,浏览器甚至可用于利用一些非 HTTP 目标。毕竟,目标不是获取 HTTP 响应,而是让目标设备执行操作。
请注意,这种类型的攻击不需要“代理”计算机以任何方式受到攻击,只需运行来自恶意来源的 JavaScript 即可。它甚至不必访问恶意网站,因为恶意内容有时会被偷偷带入合法的广告网络,因此会从完全无辜的网站的页面上加载(这种做法称为恶意广告)。
总结:您的 XP 设备还必须防范来自本地网络的攻击。
我建议使用 VM(仅具有 NAT 连接,而不是桥接),除非绝对需要 3D 加速。
答案2
我将不同意其他帖子的观点,并且说您已经涵盖了 - 或者至少触及了 XP 系统需要担心的大多数攻击媒介。
换句话说,如果你能很好地控制 XP 系统如何访问其他系统,并且你绝对可以确定你的 LAN 是安全的,不会受到任何类型的反射或其他攻击,那么你就没问题了但这是一个很大的要求 - 也许比你想象的还要大
如果您对此很认真,您是否考虑过在 XP 机箱和 LAN 的其余部分之间放置单独的防火墙?
我确信,由于对运营至关重要的设备不支持较新的操作系统,因此相当多的大型组织(尤其是医疗领域)面临着您所描述的问题。我预计这些设备会被尽可能地锁定,并且在许多情况下,它们的访问权限会比其他设备受到严格限制。
答案3
目前,您无法安全地在 XP 上下载/安装任何软件。没有软件,计算机就毫无意义。
但是像 XP 这样的旧操作系统不支持最新版本的 TLS。自从 XP 停止支持以来,已经发现了许多重大的 TLS 漏洞。尝试连接到任何服务器下载任何东西都是不安全的,即使你绝对信任服务器和下载的文件本身。
即使仍有具有向后兼容性的下载服务器允许您连接旧版 SSL,但 XP 中包含的大多数 CA 根证书早已过期。您也无法下载更新的根证书。您将无法加载大多数网站,因为它们的 TLS 配置不受 XP 支持。
我不太确定微软是否还维护 Windows 更新服务器以供您从那里下载根证书,甚至 Firefox 也已经放弃了对 XP 的支持。
如果您想运行自己的下载服务器,则无法获取旧 CA 的新证书。
您也无法验证下载文件的完整性。据我所知,XP 中没有办法使用现代算法计算文件校验和。
您可能能够使用 USB 驱动器从最新的机器传输根证书和软件安装程序,但这会使您面临 USB 攻击。如果 USB 驱动器感染了恶意软件,XP 会很乐意自动运行该恶意软件。
此外,Windows Update 本身也可能存在问题。操作系统的自动更新程序组件(如果我没记错的话,默认情况下是启用的)会尝试连接到旧的 Microsoft 服务器以下载更新,但 XP 会尝试使用旧的、易受攻击的 SSL 版本来执行此操作。位于您的网络和 Microsoft 服务器之间的攻击者可能会利用 XP 使用的 SSL 连接中的漏洞假装是 Microsoft Update 服务器并注入恶意补丁。
还有许多其他易受攻击的组件会自动发出传出网络请求。Windows XP 可以将系统时钟与 Internet 时间同步,因此攻击者可以尝试利用 NTP 漏洞。与 DNS 相同,XP 会尝试 ping Microsoft Update 或其他旧 Microsoft 服务,为此它需要解析 DNS。DNS 组件中的任何漏洞都可能被利用。
基本上,是的,您可以在防火墙后面运行 XP 计算机,如果您禁用它的所有自动传出网络连接,那么是的,您可能可以在不受攻击的情况下运行它。但如果您尝试用它做任何事情,您将面临各种攻击。
如果您正在做类似的事情,您肯定会希望配置防火墙,以便将 XP 计算机与常规 LAN 的其余部分分开。您不应允许 XP 和 LAN 之间建立任何未明确列入白名单的网络连接。
答案4
这个盒子是否仍然存在安全隐患?为什么?
Windows XP 几乎没有内置安全性,而且以今天的标准来看,其安全性仍然不达标。
那么它仍然不安全吗?是的。任何能够以任何方法攻击它的东西仍然能够进入管理员帐户。
我真的建议你不要再使用 Windows XP。