ПК с Windows XP в сети компании

Новости этих выходных, касающиеся WannaCry, должны были прояснить вне всякого сомнения, абсолютно необходимо заменить Windows XP и аналогичные системы везде, где это возможно.

Даже если MS выпустит необычный патч для этой древней ОС, нет никакой гарантии, что это повторится снова.

Мы используем некоторые машины с Windows XP для определенного (устаревшего) программного обеспечения, мы пытались перенести как можно больше на виртуальные машины с помощью Oracle VirtualBox (бесплатно), и я рекомендую вам посмотреть делать то же самое.

Это дает несколько преимуществ;

Номер 1 для вас - это то, что вы можете очень жестко контролировать доступ к сети виртуальной машины извне (без установки чего-либо внутри Windows XP), и вы получаете выгоду от защиты более новая ОС хост-машины и любое программное обеспечение безопасности, работающее на ней.

Это также означает, что вы можете перемещать виртуальную машину между разными физическими машинами / операционными системами при обновлении или сбоях оборудования, легко выполнять резервное копирование, включая возможность сохранения снимка "заведомо исправно работает" перед применением каких-либо обновлений / изменений.

Мы используем одну виртуальную машину для каждого приложения, чтобы обеспечить суперсегрегирование. Пока вы сохраняете правильный UUID загрузочного диска, установка Windows XP не имеет значения.

Этот подход означает, что мы можем развернуть виртуальную машину для данной задачи, которая требует минимальной установки Windows XP и одного необходимого программного обеспечения. , без лишнего мусора и ничего, что могло бы споткнуть его. Регулирование сетевого доступа машины значительно снижает уязвимость и не позволяет Windows XP удивить вас любыми обновлениями, которые могут что-то сломать или даже хуже.

Да, их нужно заменить. Любой, кто работает на компьютерах с Windows XP и подключен к любой сети после WannaCry, просто напрашивается на проблемы.

Как кто-то ранее предлагал, подумайте об усилении изоляции по отношению к остальной части сети.

] Использование программного обеспечения на компьютере является слабым (потому что оно полагается на сетевой стек ОС, который сам может быть уязвим). Выделенная подсеть была бы хорошим началом, а решение на основе VLAN лучше (это может быть устранено решительным злоумышленником, но это остановит большинство атак «при возможности». Однако драйверы сетевых адаптеров должны поддерживать это). Лучше всего использовать выделенную физическую сеть (через выделенный коммутатор или виртуальную локальную сеть на основе портов).

необходимо ли с точки зрения безопасности заменить эти ПК с XP на новые ПК.

Нет, заменять ПК необязательно. Но необходимо обновить эти операционные системы (это может также включать замену этих компьютеров - мы не знаем. Но если они работают со специализированным оборудованием, тогда возможно держите компьютер).

Существует так много реальных историй о якобы зараженных компьютерах с «воздушными зазорами». Это может произойти независимо от вашей операционной системы, но наличие сверхстарой необновляемой операционной системы делает ее еще более опасной.

Тем более, что похоже, что ваши компьютеры защищены программным ограничением на заблокировать доступ в Интернет. Это, вероятно, легко обойти. (предостережение: я никогда не слышал об этом управлении доступом к сети Panda, но он определенно выглядит как программное обеспечение на хосте.)

Проблема, с которой вы, вероятно, столкнетесь, - это отсутствие сотрудничества с поставщиками. Вполне возможно, что поставщики откажутся помочь, захотят взимать 100 000 долларов за обновление или просто обанкротятся, а IP-адрес выброшен.

Если это так, то это то, на что компании нужно выделить бюджет.

Если на самом деле нет другого выхода, кроме как сохранить работающую 16-летнюю операционную систему без исправлений (может быть, это токарный или фрезерный станок с ЧПУ за миллион долларов, или МРТ), тогда вам нужно сделать серьезную аппаратную изоляцию хоста. Размещение этих машин на их собственном vlan с чрезвычайно ограничивающими правилами брандмауэра было бы хорошим началом.

Похоже, что в этом отношении вам нужна помощь, так как это:

• Windows XP работает уже 16 лет. система. Шестнадцать лет . Позвольте этому осознать. Я бы дважды подумал, прежде чем покупать машину шестнадцатилетней давности, а они все еще производят запчасти для автомобилей шестнадцатилетней давности. Для Windows XP нет никаких «запчастей».

• Судя по всему, изоляция хоста плохая. Допустим, что-то уже попадает в вашу сеть. Другими способами. Кто-то вставляет зараженную флешку. Он будет сканировать вашу внутреннюю сеть и распространяться на все, что имеет уязвимость, которую он может использовать. Отсутствие доступа в Интернет здесь не имеет значения, потому что телефонный звонок поступает с внутри дома

• . Этот продукт безопасности Panda выглядит так, как будто его ограничения основаны на программном обеспечении. Программное обеспечение можно обойти, иногда легко. Бьюсь об заклад, приличное вредоносное ПО все еще может попасть в Интернет, если единственное, что его останавливает, - это программа, работающая поверх сетевого стека. Он может просто получить права администратора и остановить программу или службу. Так что у них на самом деле нет доступа к Интернету вообще. Это возвращается к изоляции хоста - при надлежащей изоляции хоста вы можете фактически отключить их от Интернета и , возможно, ограничить ущерб, который они могут нанести вашей сети.

Честно говоря,вы не должны требовать для оправдания замены этих компьютеров и / или операционной системы. Они будут полностью обесценены для целей бухгалтерского учета, они, вероятно, уже давно прошли срок действия любой гарантии или поддержки со стороны поставщика оборудования, они определенно прошли какую-либо поддержку со стороны Microsoft (даже если вы махнете своим титановым American Express перед лицом Microsoft, они все равно не возьмут ваши деньги).

Любая компания, которая заинтересована в снижении риска и ответственности, заменила бы эти машины много лет назад. Практически нет оправдания хранению рабочих станций. Я перечислил некоторые действительные оправдания выше (если он полностью отключен от всех без исключения сетей, живет в чулане и запускает музыку в лифте, я мог бы - МОЖНО - дать ему разрешение). Похоже, у вас нет веского оправдания бросить их. Особенно теперь, когда вы знаете, что они там, и вы видели ущерб, который может произойти (я полагаю, вы писали это в ответ на WannaCry / WannaCrypt).

Замена может оказаться излишней. Настроить шлюз. Машина шлюза должна не работать под Windows; Linux, вероятно, лучший выбор. Шлюз должен иметь две отдельные сетевые карты. Машины Windows XP будут находиться в одной сети с одной стороны, а остальной мир - с другой. Linux не будет маршрутизировать трафик.

Установите Samba и создайте общие ресурсы для компьютеров XP, на которые будет производиться запись. Скопируйте входящие файлы в конечный пункт назначения. Логичным выбором будет rsync .

Используя iptables , заблокируйте все порты, кроме используемых для Samba. Заблокируйте исходящие соединения Samba на стороне, на которой установлены машины XP (чтобы ничто не могло писать на машины XP), и ** все * входящие соединения на другой стороне (чтобы ничто не могло вообще писать на машину Linux) - возможно, с помощью одного жестко запрограммированное исключение для SSH, но только с IP-адреса вашего управляющего ПК.

Для взлома компьютеров XP теперь требуется взломать промежуточный сервер Linux, который положительно отклоняет все соединения, поступающие со стороны, отличной от XP. Это так называемая эшелонированная защита . Хотя возможно, что все еще существует какая-то неудачная комбинация ошибок, которая позволит решительному и хорошо осведомленному хакеру обойти это, вы говорите о хакере, который специально пытается взломать эти 15 машин XP в вашей сети. Ботнеты, вирусы и черви обычно могут обходить только одну или две распространенные уязвимости и редко могут работать в нескольких операционных системах.