Şirket ağındaki Windows XP PC'ler

Küçük işletmemizde 75 bilgisayar kullanıyoruz. Sunucular ve masaüstü bilgisayarlar / dizüstü bilgisayarlar tamamen günceldir ve Panda Business Endpoint Protection ve Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit) ile korunmaktadır.

Ancak, üretim ortamımızda yaklaşık 15 Windows XP PC çalışıyor. Şirket ağına bağlılar. Temelde SQL bağlantısı ve kayıt amaçlı. Sunuculara sınırlı yazma erişimi var.

Windows XP PC'ler yalnızca bir özel (özel) üretim uygulaması için kullanılır. Ofis yazılımı yok (e-posta, tarama, ofis, ...). Ayrıca, bu XP PC'lerin her biri, İnternet erişimine izin vermeyen Panda web erişim kontrolüne sahiptir. Tek istisnalar Windows ve Panda Güncellemeleri içindir.

Güvenlik açısından bakıldığında, bu Windows XP bilgisayarları yeni bilgisayarlarla değiştirmek gerekli midir?

Bu XP PC'leri yeni PC'lerle değiştirmek güvenlik açısından gerekli midir?

Hayır, bilgisayarları değiştirmek gerekli değildir. Ancak , bu işletim sistemlerini yükseltmek gerekir (bu , aynı zamanda bu PC'lerin değiştirilmesini de içerebilir - biz bilmiyoruz.

Orada o kadar çok sözde "hava boşluklu" PC'ler enfekte olma konusunda gerçek dünya hikayeleri. İşletim sisteminizden bağımsız olarak bu olabilir, ancak çok eski, güncellenmemiş bir işletim sistemine sahip olmak onu daha da riskli kılar.

Özellikle bilgisayarlarınız gibi göründüğü için internet erişimini engelleyen bir yazılım kısıtlamasıyla korunmaktadır . Bu muhtemelen atlamak kolaydır. (uyarı: Bu Panda web erişim kontrolünü hiç duymamıştım, ancak kesinlikle ana bilgisayar yazılımı gibi görünüyor ).

Karşılaştığınız sorun, satıcı işbirliğinin eksikliğidir. Satıcıların yardım etmeyi reddetmeleri, bir yükseltme için 100.000 ABD Doları tahsil etmek istemeleri veya açıkça düştüklerinde ve IP'leri atmaları mümkündür.

Bu durumda, bu şirketin bütçesinde olması gereken bir şeydir.

Gerçekten de 16 yıllık işletim sisteminde yamalı çalışmamaktan başka bir seçenek yoksa (belki bu bir milyon dolarlık CNC torna tezgahı veya freze tezgahı veya MRI'dir), o zaman bazı ciddi donanım tabanlı ana bilgisayar izolasyonu yapmanız gerekir. Bu makineleri son derece kısıtlayıcı güvenlik duvarı kuralları ile kendi vlanlarına koymak iyi bir başlangıç ​​olacaktır.

Bu konuda biraz el tutmaya ihtiyacınız var gibi görünüyor, peki bu nasıl:

• Windows XP, 16 yaşında bir işletim sistemidir. On altı yaşında . İçeri girmesine izin verin. On altı yaşında bir araba almadan önce iki kez düşünürdüm ve hala 16 yaşındaki arabalara yedek parça yapıyorlar. Windows XP için 'yedek parça' yok.

• Seslerine göre, zayıf bir konakçı izolasyonuna sahipsin. Diyelim ki ağınıza çoktan bir şey girdi. Başka bir yöntemle. Birisi virüslü bir USB çubuğuna taktı. İç ağınızı tarayacak ve kullanabileceği bir güvenlik açığı olan herhangi bir şeye yayılacak. İnternet erişimi eksikliği burada önemli değil çünkü telefon görüşmesi evin içinden geliyor

• Bu Panda güvenlik ürünü, yazılım tabanlı kısıtlamalar gibi gözüküyor. Yazılım bazen kolayca atlanabilir. Bahse girerim, durdurulan tek şey ağ yığınının üstünde çalışan bir yazılım ise, internetten kötü niyetli bir yazılım parçası çıkabiliyordur. Yalnızca yönetici ayrıcalıklarına sahip olabilir ve yazılımı veya hizmeti durdurabilir. Yani yok gerçekten hiç internet erişimi yoktur. Aslında internetten onları almak ve olabilir uygun konak izolasyonu ile - Burası arka konak izolasyona gelir belki ağınız için yapabileceğiniz hasarı sınırlamak.

Dürüst olmak gerekirse, bu bilgisayarları ve / veya işletim sistemini değiştirmeyi haklı göstermene gerek yok. Muhasebe amaçları için tamamen amortismana tabi tutulacaklar, donanım satıcısının herhangi bir garantisinin veya desteğinin sona ermesi muhtemeldir, kesinlikle Microsoft'tan herhangi bir desteğin geçmişleri olabilir (titanyum American Express'inizi Microsoft'un yüzüne sallasanız bile, hala paranı almayacaklar).

Riski ve yükümlülüğü azaltmakla ilgilenen herhangi bir şirket, bu makineleri yıllar önce değiştirmiştir. İş istasyonlarını etrafta tutmak için hiçbir sebep yoktur. Yukarıda bazı geçerli mazeretler listeledik (eğer tüm ağlardan tamamen kurtulmuş ve bir dolabın içinde yaşayan ve asansör müziğini çalıştıran olabilir - MIGHT - bir pas vereceğim). Onları etrafta bırakmak için geçerli bir mazeretin olmadığı anlaşılıyor. Özellikle şimdi onların orada olduklarının farkındasınız ve oluşabilecek hasarı gördünüz (bunu WannaCry / WannaCrypt'a cevaben yazdığınızı varsayıyorum).

Değiştirme gereğinden fazla olabilir. Bir ağ geçidi kurun. Ağ geçidi makine gerekir değil Windows'u çalıştırmak; Linux muhtemelen en iyi seçimdir. Ağ geçidi makinesinde iki ayrı ağ kartı bulunmalıdır. Windows XP makineleri bir tarafta bir ağda olacak, dünyanın geri kalanı diğer tarafta. Linux trafiği yönlendirmez.

Samba'yı kurun ve yazması için XP makinelerinin paylaşımını yapın. Gelen dosyaları son hedefine ileriye kopyalayın. rsyncmantıklı bir seçim olacaktır.

Kullanarak iptables, Samba için kullanılanlar dışındaki tüm portları engelleyin. XP makinelerinin bulunduğu tarafta Samba bağlantılarını engelleyin (böylece XP makinelerine hiçbir şey yazamaz) ve diğer tarafta ** tüm * gelen bağlantıları (Linux makineye hiçbir şey yazamaz) - belki de tek bir SSH için kodlanmış bir istisna değil, yalnızca yönetim PC'nizin IP'sinden.

XP makinelerini kırmak için artık aralarında bir Linux sunucusunu hacklemek gerekiyor, bu da XP dışı taraftan gelen tüm bağlantıları olumlu şekilde reddediyor. Derinlemesine savunma olarak bilinen şey budur . Kararlı ve bilgili bir bilgisayar korsanının bunu atlamasına izin verecek bazı şanssız hata kombinasyonlarının mevcut olması mümkün olsa da, özellikle ağınızdaki bu 15 XP makinelerini kırmaya çalışan bir bilgisayar korsanı hakkında konuşuyorsunuz. Botlar, virüsler ve solucanlar genellikle yalnızca bir veya iki ortak güvenlik açığını atlayabilir ve nadiren birden fazla İşletim Sisteminde çalışabilir.

WannaCry ile ilgili bu haftasonu haberi, Windows XP ve benzeri sistemlerin mümkün olan her yerde değiştirilmesinin kesinlikle gerekli olduğu konusunda kuşku duymamalıydı.

MS bu eski işletim sistemi için olağanüstü bir yama yayınlasa bile, bunun tekrar olacağının bir garantisi yoktur.

Belirli (eski) yazılımlar için bazı Windows XP makinelerini kullanıyoruz, Oracle VirtualBox (ücretsiz) kullanarak sanal makinelere olabildiğince taşımaya çalıştık ve aynısını yapmanızı öneriyorum.

Bu birkaç fayda sağlar;

Sizin için 1 numara, VM'nin ağ erişimini dışarıdan çok sıkı bir şekilde kontrol edebilmeniz (Windows XP içine herhangi bir şey kurmadan) ve ana makinenin yeni işletim sisteminin ve üzerinde çalışan güvenlik yazılımının korunmasından faydalanmanızdır.

Ayrıca, VM'yi yükseltme veya donanım arızası meydana geldikçe farklı fiziksel makineler / işletim sistemleri arasında taşıyabileceğiniz, herhangi bir güncelleme / değişiklik uygulamadan önce "iyi bilinen" durumunun anlık görüntüsünü kaydedebilme de dahil olmak üzere kolayca yedekleyebileceğiniz anlamına gelir.

Her şeyi ayrı tutmak için uygulama başına bir VM kullanıyoruz. UUID önyükleme sürücüsünü doğru tuttuğunuz sürece, Windows XP kurulumunun bir sakıncası yoktur.

Bu yaklaşım, bir VM'i minimum Windows XP kurulumuna sahip belirli bir görev için ve gerekli olan tek bir yazılım parçası, fazladan sarsıntı yapmadan ve açacak hiçbir şey olmadan döndürebileceğimiz anlamına gelir. Makinenin ağ erişimini kısmak, güvenlik açığını büyük ölçüde azaltır ve Windows XP'nin bir şeyleri bozabilecek veya daha kötüye gidebilecek güncellemelerle sizi şaşırtmasını önler.

Daha önce önerildiği gibi, ağın geri kalanına yönelik izolasyonu güçlendirmeyi düşünün.

Makinedeki yazılımlara güvenmek zayıftır (çünkü savunmasız olan OS ağ yığınına dayanır). Özel bir alt ağ daha iyi bir başlangıç ​​ve daha iyi bir VLAN tabanlı bir çözüm olabilir (bu, belirli bir saldırgan tarafından kaldırılabilir, ancak çoğu "fırsat suçu" saldırısını durdurur. NIC sürücülerinin bunu desteklemesi gerekir). Özel bir fiziksel ağ (özel bir anahtar veya port tabanlı VLAN üzerinden) en iyisidir.

Evet, değiştirilmeleri gerekiyor. WannaCry sonrası herhangi bir tür ağa bağlı Windows XP makineleri çalıştıran herkes sorun istiyor.