我的公司(除其他事项外)负责一个小型网络,该网络包含几台服务器和大约 50 个工作站。他们希望我帮助该网络的现任管理员。
网络由 Windows NT 4.0 和 Windows 2000 Servers 组成,客户端是 Windows 2000 和 Windows XP。所有旧系统的唯一原因是许可证成本。网络是 NATed,工作站通过 (linux) 代理访问互联网。
管理员似乎并不担心网络的安全性。他的论点如下:
Windows NT 和 Windows 2000 没有已知的漏洞,而且不太可能发现新的漏洞,因为反正没人会把精力投入到这些旧系统上。即使存在漏洞也不会有什么问题,因为工作站没有直接连接到互联网。
您能否给我一些有力的论据来解释为什么从安全角度来看升级到微软仍支持的 Windows 版本是不可避免的?
如果您认为管理员是对的,而我是错的,我也想听听。
答案1
Windows NT、Server 2000 和 Windows 2000 现已被 Microsoft 视为终止使用。这意味着如果在这些操作系统上发现任何新的安全漏洞,Microsoft 将不会努力创建安全补丁。
虽然我同意,病毒不太可能具体来说由于它们都是从相同的代码演变而来,因此针对 Windows XP/Server 2003 以下的任何系统开发的“现代”病毒也完全有可能成功攻击 Windows NT/2000。2009 年 9 月存在安全漏洞它影响了一系列操作系统(包括 Windows 2000),除 Windows 2000 外,其他所有系统都得到了补丁。
除了核心操作系统中的漏洞之外,您最多只能使用 Internet Explorer 6。众所周知,Internet Explorer 6 不会实现更高版本的浏览器所具有的各种保护功能,因此您更有可能受到“浏览并被控制”类型的病毒的攻击。然后您还有浏览器插件(Flash Player、Adobe Reader 等)——这些插件目前可能仍在为 Windows 2000 发布更新,但您正处于危险之中。迟早,他们会像世界其他国家一样,停止支持已有 10 年历史的操作系统。然后您将拥有易受攻击的浏览器插件,相信我——它们是记录最多和利用最多的,因为它是一种如此简单和有效的攻击媒介。
随着供应商停止修补仅适用于旧操作系统的旧版软件,第三方应用程序也将成为一个安全问题(如果它们还没有,它们将会)。
例如,Office XP 是最后一个在 Windows NT 上运行的版本,而 Office 2003 是最后一个在 Windows 2000 上运行的版本。这些产品将很快停产(如果它们还没有)——而 Office 经常出现在每月的安全更新中。
然后你就有了其他所有的软件。这不一定会导致安全问题,而是可维护性问题。大多数软件很久以前就停止针对 Windows 2000 进行测试。这意味着如果你的一个应用程序崩溃了,供应商很可能会对你说“你运行的是 Windows 2000……你还能指望什么?”。
另外,请确保所有 Windows XP 工作站都使用 Service Pack 3,因为低于该版本的系统均不受 Microsoft 支持,并且不会收到安全更新。
答案2
说实话,我能够理解双方的争论。
现在出去安装 Windows 2008 并将所有客户端升级到 Windows 7,您仍然会面临微软每月提供的大量补丁。
然后安装 Adobe Flash Player 和 Adobe Acrobat Reader,并每月重复整个修补过程。
然后对 Java 做同样的事情——你明白了,拥有最新版本总是有帮助的,但我不相信你的情况会自动变得更糟独自事实上,您正在运行 NT,这一切都与层有关(防火墙、用户锁定、防病毒等)。
另外,还有这样一句话:“所有遗留系统存在的唯一原因是许可证成本”——如果无论升级有多大意义,他们都无法承担升级费用,你会让他们做什么?
答案3
唯一可以免受攻击的机器是那些关闭的机器。所有打开电源、使用中并以任何方式连接到网络的系统都会遇到恶意代码。如果有人不这么认为,那么他们过去 20 年里就没有关注过漏洞利用媒介。管理员必须承认存在漏洞,并权衡它们所代表的风险与减轻风险的成本。您可以选择忍受一组特定的风险,包括不再支持的操作系统等,但只有在您正确理解风险的情况下才应该这样做。我不相信您的系统管理员朋友知道。
XP 和 NT 没有已知漏洞的说法完全是胡说八道。以下是最近公布的三个漏洞示例,这些漏洞影响所有 Windows 版本,正在被积极利用,并且不会发布任何针对 NT 或 Windows 2000 的补丁来消除这些漏洞。
http://isc.sans.edu/diary.html?storyid=8023(NTVDM 漏洞) http://isc.sans.edu/diary.html?storyid=8995(Windows 帮助\VBScript 漏洞) http://isc.sans.edu/diary.html?storyid=9445(.LNK 快捷方式图标处理程序漏洞)
如果你再往前追溯,就会发现很多漏洞,其中有针对 W2K 和 XP 的补丁,但没有针对 Windows NT 的补丁。例如
http://www.microsoft.com/technet/security/bulletin/ms08-063.mspx
目前,Windows 平台上有数百个这样的版本已经不再受支持,而且这个列表还会继续增长。
最后一种漏洞尤其严重,因为如果攻击者与受影响的系统(即任何 Windows NT 计算机)位于同一网络上且没有良好的防火墙隔开,攻击者便可以远程控制受影响的系统(即任何 Windows NT 计算机)。您的外部防火墙将阻止外部攻击者直接利用该漏洞,但这并不意味着您是安全的,只是他们需要另一种方法先进入。
现在大多数攻击都涉及漏洞利用,目的是首先通过 Web 浏览器和类似的复杂应用程序(从外部来源(电子邮件\Flash\PDF 等)输入数据)入侵客户端系统。一旦用户的机器被入侵,就可以启动一系列进一步的漏洞利用,试图在 LAN 内积极分发攻击。
这种组合向量方法的一个早期例子是NIMDA 蠕虫- 其攻击媒介包括对 Web 服务器的直接攻击(如果我没记错的话,利用 IIS 中的文件过滤器),然后它会将代码注入该服务器托管的网页,以将自身传播到连接到该 Web 服务器的客户端,它还使用上面列出的旧版本的 DLL 劫持方法通过文件共享传播感染,并且可以通过电子邮件传播。NIMDA 特别讨厌,因为它可以(并且确实)通过感染存储在 Linux 服务器上的文件进行传播 - 这些服务器不是直接易受攻击的,但映射到它们的 Windows 系统易受攻击,NIMDA 也会感染这些共享上的文件和目录。那是 9 年前的事了 - 现在的攻击组合要复杂得多。防火墙和其他网络安全套件可以防范其中一些攻击,但前提是您非常认真地更新规则集,仅靠它们是不够的。
如果您有用户使用旧系统(如您所担心的那些用户),他们正在积极浏览网页\接收电子邮件等,那么他们将遇到能够控制其机器的恶意软件。任何负责任的管理员都不应该乐于忽视这样一个事实:通过运行这些系统,他们大大增加了恶意软件在其网络中立足的风险。您可能别无选择 - 但至少要理解并诚实地承认与决定保留此类产品相关的风险。
答案4
如今,很多病毒都是通过电子邮件或用户访问被黑客入侵的网站传播的。您的代理必须经过精心配置才能阻止这些攻击,而且您没有指定您使用的邮件系统。如果它与其他套件的年代相仿,那么您可能存在一个巨大的漏洞。