在我们的小型企业中,我们使用大约 75 台 PC。服务器和台式机/笔记本电脑都是最新的,并使用 Panda Business Endpoint Protection 进行保护和Malwarebytes 商业端点安全(MBAM + Ant-Exploit)。
但是,在我们的生产环境中,我们大约有 15 台 Windows XP PC 在运行。它们连接到公司网络。主要用于 SQL 连接和日志记录目的。它们对服务器的写访问权限有限。
Windows XP PC 仅用于一个专用(定制)生产应用程序。没有办公软件(电子邮件、浏览、办公等)。此外,这些 XP PC 均具有 Panda Web 访问控制,不允许访问互联网。唯一的例外是 Windows 和 Panda 更新。
从安全角度来看,是否有必要用新电脑替换这些 Windows XP 电脑?
答案1
从安全角度来看,是否有必要用新 PC 替换这些 XP-PC。
不,没有必要更换电脑。但是是升级这些操作系统所必需的(这可能是否还涉及更换这些 PC - 我们不知道。但如果它们运行的是专用硬件,那么保留 PC 可能是可能的。
有很多现实世界中,所谓的“物理隔离” PC 被感染的故事层出不穷。无论使用哪种操作系统,这种情况都可能发生,但使用超旧且未更新的操作系统会使其面临更大的风险。
尤其是听起来你的电脑受到了软件限制阻止互联网访问。这很可能很容易绕过。(警告:我从未听说过这个 Panda 网络访问控制,但它肯定看起来(例如主机软件)。
你可能面临的问题是供应商缺乏合作。供应商可能拒绝提供帮助,愿意收取 10 万美元的升级费用,或者干脆破产并丢弃 IP。
如果确实如此,那么公司就需要为此编制预算。
如果真的别无选择,只能继续运行 16 年前未打补丁的操作系统(这可能是一台价值百万美元的 CNC 车床、铣床或 MRI),那么您需要进行一些严肃的基于硬件的主机隔离。将这些机器放在自己的 VLAN 上,并设置极其严格的防火墙规则,这将是一个好的开始。
看起来你在这方面需要一些帮助,那么这样怎么样:
Windows XP 是一个已有 16 年历史的操作系统。十六岁。让我们来想一想。在购买一辆 16 年车龄的汽车之前,我会三思而后行,而且他们仍然为 16 年车龄的汽车制造备件。Windows XP 没有“备件”。
听起来,您的主机隔离性很差。假设有东西已经进入您的网络。通过其他方式。有人插入受感染的 USB 棒。它会扫描您的内部网络并传播到任何有漏洞可以利用的东西。缺乏互联网接入在这里无关紧要,因为电话来自在屋子里面
- 这款 Panda 安全产品看起来像是基于软件的限制。软件可以被绕过,有时很容易。我敢打赌,如果唯一阻止它的是运行在网络堆栈上的软件,那么一个不错的恶意软件仍然可能进入互联网。它可以获得管理员权限并停止软件或服务。所以他们不会真的完全无法访问互联网。这又回到了主机隔离的问题上——通过适当的主机隔离,你可以让他们脱离互联网,或许限制它们对您的网络造成的损害。
说实话,你不应该需要以证明更换这些计算机和/或操作系统是合理的。出于会计目的,它们将完全折旧,它们很可能已经过了硬件供应商的任何保修或支持期限,它们肯定已经过了微软的任何支持期限(即使你在微软面前挥舞钛金美国运通卡,他们仍然不会拿走你的钱)。
任何有意降低风险和责任的公司几年前就会更换这些机器。几乎没有理由保留工作站。我列出了一些有效的上述借口(如果它完全与任何网络断开连接,放在壁橱里,播放电梯音乐,我可能会——可能会——放过它)。听起来你没有任何正当的理由把它们留在身边。尤其是现在你知道它们在那里,你已经看到了可能造成的损害(我猜你写这篇文章是为了回应 WannaCry/WannaCrypt)。
答案2
替换可能有点过头了。设置网关。网关机器应该不是运行 Windows;Linux 可能是最佳选择。网关机器应该有两个独立的网卡。Windows XP 机器将位于一侧的一个网络上,其余的机器位于另一侧。Linux 不会路由流量。
安装 Samba,并为 XP 机器创建共享以进行写入。将传入文件复制到最终目的地。rsync
将是合乎逻辑的选择。
使用iptables
,阻止除用于 Samba 的端口之外的所有端口。在具有 XP 计算机的一侧阻止出站 Samba 连接(以便没有任何内容可以写入 XP 计算机)并在另一侧阻止**所有*入站连接(以便没有任何内容可以写入 Linux 计算机)- 可能对 SSH 使用一个硬编码例外,但只能从管理 PC 的 IP 进行。
现在,要破解 XP 机器,需要破解中间的 Linux 服务器,该服务器会主动拒绝所有来自非 XP 端的连接。这就是所谓的纵深防御。虽然可能仍存在一些不幸的错误组合,让一个决心坚定、知识渊博的黑客能够绕过这一点,但您谈论的是一个专门试图攻击您网络上的 15 台 XP 机器的黑客。僵尸网络、病毒和蠕虫通常只能绕过一两个常见漏洞,很少能跨多个操作系统工作。
答案3
本周末有关 WannaCry 的新闻应该已经毫无疑问地表明,在可能的情况下替换 Windows XP 和类似的系统是绝对必要的。
即使微软为这个古老的操作系统发布了特别补丁,也不能保证这种情况会再次发生。
答案4
正如之前有人建议的那样,考虑加强与网络其余部分的隔离。
依赖机载软件是薄弱的(因为它依赖于操作系统网络堆栈,而操作系统网络堆栈本身可能存在漏洞)。专用子网是一个好的开始,基于 VLAN 的解决方案更好(这可以被坚定的攻击者利用,但它将阻止大多数“机会犯罪”攻击。不过,NIC 驱动程序需要支持这一点)。专用物理网络(通过专用交换机或基于端口的 VLAN)是最好的。