公司网络中的 Windows XP PC

从安全角度来看，是否有必要用新 PC 替换这些 XP-PC。

不，没有必要更换电脑。但是是升级这些操作系统所必需的（这可能是否还涉及更换这些 PC - 我们不知道。但如果它们运行的​​是专用硬件，那么保留 PC 可能是可能的。

有很多现实世界中，所谓的“物理隔离” PC 被感染的故事层出不穷。无论使用哪种操作系统，这种情况都可能发生，但使用超旧且未更新的操作系统会使其面临更大的风险。

尤其是听起来你的电脑受到了软件限制阻止互联网访问。这很可能很容易绕过。（警告：我从未听说过这个 Panda 网络访问控制，但它肯定看起来（例如主机软件）。

你可能面临的问题是供应商缺乏合作。供应商可能拒绝提供帮助，愿意收取 10 万美元的升级费用，或者干脆破产并丢弃 IP。

如果确实如此，那么公司就需要为此编制预算。

如果真的别无选择，只能继续运行 16 年前未打补丁的操作系统（这可能是一台价值百万美元的 CNC 车床、铣床或 MRI），那么您需要进行一些严肃的基于硬件的主机隔离。将这些机器放在自己的 VLAN 上，并设置极其严格的防火墙规则，这将是一个好的开始。

---

看起来你在这方面需要一些帮助，那么这样怎么样：

• Windows XP 是一个已有 16 年历史的操作系统。十六岁。让我们来想一想。在购买一辆 16 年车龄的汽车之前，我会三思而后行，而且他们仍然为 16 年车龄的汽车制造备件。Windows XP 没有“备件”。

• 听起来，您的主机隔离性很差。假设有东西已经进入您的网络。通过其他方式。有人插入受感染的 USB 棒。它会扫描您的内部网络并传播到任何有漏洞可以利用的东西。缺乏互联网接入在这里无关紧要，因为电话来自在屋子里面

• 这款 Panda 安全产品看起来像是基于软件的限制。软件可以被绕过，有时很容易。我敢打赌，如果唯一阻止它的是运行在网络堆栈上的软件，那么一个不错的恶意软件仍然可能进入互联网。它可以获得管理员权限并停止软件或服务。所以他们不会真的完全无法访问互联网。这又回到了主机隔离的问题上——通过适当的主机隔离，你可以让他们脱离互联网，或许限制它们对您的网络造成的损害。

说实话，你不应该需要以证明更换这些计算机和/或操作系统是合理的。出于会计目的，它们将完全折旧，它们很可能已经过了硬件供应商的任何保修或支持期限，它们肯定已经过了微软的任何支持期限（即使你在微软面前挥舞钛金美国运通卡，他们仍然不会拿走你的钱）。

任何有意降低风险和责任的公司几年前就会更换这些机器。几乎没有理由保留工作站。我列出了一些有效的上述借口（如果它完全与任何网络断开连接，放在壁橱里，播放电梯音乐，我可能会——可能会——放过它）。听起来你没有任何正当的理由把它们留在身边。尤其是现在你知道它们在那里，你已经看到了可能造成的损害（我猜你写这篇文章是为了回应 WannaCry/WannaCrypt）。

替换可能有点过头了。设置网关。网关机器应该不是运行 Windows；Linux 可能是最佳选择。网关机器应该有两个独立的网卡。Windows XP 机器将位于一侧的一个网络上，其余的机器位于另一侧。Linux 不会路由流量。

安装 Samba，并为 XP 机器创建共享以进行写入。将传入文件复制到最终目的地。rsync将是合乎逻辑的选择。

使用iptables，阻止除用于 Samba 的端口之外的所有端口。在具有 XP 计算机的一侧阻止出站 Samba 连接（以便没有任何内容可以写入 XP 计算机）并在另一侧阻止**所有*入站连接（以便没有任何内容可以写入 Linux 计算机）- 可能对 SSH 使用一个硬编码例外，但只能从管理 PC 的 IP 进行。

现在，要破解 XP 机器，需要破解中间的 Linux 服务器，该服务器会主动拒绝所有来自非 XP 端的连接。这就是所谓的纵深防御。虽然可能仍存在一些不幸的错误组合，让一个决心坚定、知识渊博的黑客能够绕过这一点，但您谈论的是一个专门试图攻击您网络上的 15 台 XP 机器的黑客。僵尸网络、病毒和蠕虫通常只能绕过一两个常见漏洞，很少能跨多个操作系统工作。

本周末有关 WannaCry 的新闻应该已经毫无疑问地表明，在可能的情况下替换 Windows XP 和类似的系统是绝对必要的。

即使微软为这个古老的操作系统发布了特别补丁，也不能保证这种情况会再次发生。

正如之前有人建议的那样，考虑加强与网络其余部分的隔离。

依赖机载软件是薄弱的（因为它依赖于操作系统网络堆栈，而操作系统网络堆栈本身可能存在漏洞）。专用子网是一个好的开始，基于 VLAN 的解决方案更好（这可以被坚定的攻击者利用，但它将阻止大多数“机会犯罪”攻击。不过，NIC 驱动程序需要支持这一点）。专用物理网络（通过专用交换机或基于端口的 VLAN）是最好的。