客户端需要.NET Framework 4安装而不是修补软件,以便其Windows 2008 R2 Server功能正常运行。
这引发了以下问题:
- 如果应用程序与最新的框架版本不兼容,什么时候可以容纳易受攻击的框架?
- 在这种情况下最佳做法是什么?
也许这个问题应该SE:信息安全?
答案1
“最佳实践”通常是不要运行需要使用易受攻击的框架(或者说旧版本的 Java)的软件,但不幸的是,这并不总是一个可接受的答案。对于大多数企业(至少不是技术或 IT 型企业)来说,IT 服务于业务需求,而不是相反,因此您并不总是能够使用这个答案并抛弃系统,因为它存在安全风险。
在这些情况下,您唯一能做的就是尽可能地控制易受攻击的服务器。尽可能地限制用户访问。将防火墙中的最低 IP 或 IP 范围列入白名单。如果可行,在服务器上使用防病毒软件,并提高日志记录级别(当然,还要花时间检查日志)。尽可能地卸载,如果可能的话,使用不易受攻击的代理来接受客户端连接。(例如,设置一个 RDS 服务器,将易受攻击的服务器设置为仅有的接受来自 RDS 服务器的网络连接,并让用户使用 RDS 服务器访问您易受攻击的服务器上的应用程序。
当然,一定要 CYA - 告知管理层您已发现该系统存在安全风险,因此继续使用它(以及可能出现的任何安全漏洞)的决定是他们的责任,而不是您的责任。