PC Windows XP nella rete aziendale

Nella nostra piccola impresa, stiamo usando circa 75 PC. Server e desktop / laptop sono tutti aggiornati e protetti con Panda Business Endpoint Protection e Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Tuttavia, nel nostro ambiente di produzione abbiamo circa 15 PC Windows XP in esecuzione. Sono collegati alla rete aziendale. Principalmente per scopi di connettività e registrazione SQL. Hanno un accesso limitato in scrittura ai server.

I PC Windows XP vengono utilizzati solo per un'applicazione di produzione dedicata (personalizzata). Nessun software per ufficio (e-mail, navigazione, ufficio, ...). Inoltre, ciascuno di questi XP-PC ha il controllo dell'accesso Web Panda che non consente l'accesso a Internet. Le uniche eccezioni sono per gli aggiornamenti di Windows e Panda.

È necessario, dal punto di vista della sicurezza, sostituire questi PC Windows XP con nuovi PC?

è necessario dal punto di vista della sicurezza, sostituire questi XP-PC con nuovi PC.

No, non è necessario sostituire i PC. Ma è necessario aggiornare quei sistemi operativi (ciò può comportare anche la sostituzione di quei PC - non lo sappiamo. Ma se eseguono hardware specializzato, potrebbe essere possibile mantenere il PC).

Ci sono così tante storie del mondo reale su PC apparentemente "a vuoto" che vengono infettati. Questo può accadere indipendentemente dal sistema operativo, ma avere un sistema operativo non aggiornato non aggiornato lo rende ancora più a rischio.

Soprattutto perché sembra che i tuoi computer siano protetti da una restrizione software per bloccare l'accesso a Internet. Questo è probabilmente facile da aggirare. (avvertenza: non ho mai sentito parlare di questo controllo di accesso al web Panda, ma sicuramente sembra un software su host).

Il problema che probabilmente dovrai affrontare è la mancanza di collaborazione con i fornitori. È possibile che i venditori si rifiutino di aiutare, vogliano addebitare $ 100.000 per un aggiornamento, o che siano semplicemente falliti e che l'IP sia stato buttato via.

Se questo è il caso, questo è qualcosa per cui la società ha bisogno di budget.

Se davvero non c'è altra scelta se non quella di mantenere il sistema operativo di 16 anni in esecuzione senza patch (forse questo è un tornio CNC da un milione di dollari o una fresatrice o una risonanza magnetica), allora devi fare un serio isolamento dell'host basato su hardware. Mettere quelle macchine sul proprio vlan con regole firewall estremamente restrittive sarebbe un buon inizio.

Sembrerebbe che tu abbia bisogno di qualche mano in questo senso, quindi come va:

• Windows XP è un sistema operativo di 16 anni. Sedici anni . Lasciatelo affondare. Ci penserei due volte prima di acquistare un'auto di sedici anni, e fanno ancora pezzi di ricambio per auto di 16 anni. Non ci sono "pezzi di ricambio" per Windows XP.

• A quanto pare, hai uno scarso isolamento dell'host. Diciamo che qualcosa entra già nella tua rete. In qualche altro modo. Qualcuno collega una chiavetta USB infetta. Scansionerà la tua rete interna e si propagherà a tutto ciò che ha una vulnerabilità che può sfruttare. Una mancanza di accesso a Internet è irrilevante qui perché la telefonata proviene dall'interno della casa

• Questo prodotto di sicurezza Panda sembra avere restrizioni basate sul software. Il software può essere bypassato, a volte facilmente. Scommetto che un malware decente potrebbe ancora uscire su Internet se l'unica cosa che lo blocca è un software in esecuzione sullo stack di rete. Potrebbe semplicemente ottenere i privilegi di amministratore e arrestare il software o il servizio. In modo che non in realtà non hanno accesso internet a tutti. Questo ritorna all'isolamento dell'host - con un adeguato isolamento dell'host potresti effettivamente toglierli da Internet e forse limitare i danni che possono causare alla tua rete.

Onestamente, però, non dovrebbe essere necessario per giustificare la sostituzione questi computer e / o del sistema operativo. Saranno completamente ammortizzati a fini contabili, probabilmente sono ben oltre la fine di qualsiasi garanzia o supporto da parte del fornitore dell'hardware, hanno sicuramente superato qualsiasi tipo di supporto da parte di Microsoft (anche se agiti il ​​tuo titanio American Express in faccia a Microsoft, non prenderanno ancora i tuoi soldi).

Qualsiasi azienda interessata a ridurre i rischi e le responsabilità avrebbe sostituito quelle macchine anni fa. Non ci sono scuse per mantenere le postazioni di lavoro. Ho elencato alcune scuse valide sopra (se è completamente disconnesso completamente da qualsiasi rete e vive in un armadio e gestisce la musica dell'ascensore che potrei - POTREI - dare un passaggio). Sembra che tu non abbia alcuna scusa valida per lasciarli in giro. Soprattutto ora che sei consapevole che sono lì e hai visto il danno che può verificarsi (suppongo che stavi scrivendo questo in risposta a WannaCry / WannaCrypt).

La sostituzione potrebbe essere eccessiva. Imposta un gateway. Il computer gateway non dovrebbe eseguire Windows; Linux è probabilmente la scelta migliore. La macchina gateway dovrebbe avere due schede di rete separate. Le macchine Windows XP saranno su una rete su un lato, il resto del mondo è sull'altro lato. Linux non indirizzerà il traffico.

Installa Samba e crea condivisioni per le macchine XP su cui scrivere. Copia i file in arrivo in avanti alla destinazione finale. rsyncsarebbe la scelta logica.

Utilizzando iptables, bloccare tutte le porte tranne quelle utilizzate per Samba. Blocca le connessioni Samba in uscita sul lato che ha macchine XP (in modo che nulla possa scrivere sulle macchine XP) e ** tutte * le connessioni in entrata sull'altro lato (quindi nulla può scrivere sul computer Linux) - forse con un singolo eccezione codificata per SSH, ma solo dall'IP del PC di gestione.

Per hackerare le macchine XP ora è necessario hackerare un server Linux in mezzo, il che rifiuta positivamente tutte le connessioni provenienti dal lato non XP. Questo è ciò che è noto come difesa in profondità . Mentre è possibile che esista ancora una sfortunata combinazione di bug che consentirebbe a un hacker determinato e competente di aggirare questo, si parlerebbe di un hacker che sta specificamente cercando di hackerare quei 15 computer XP sulla tua rete. Le botnet, i virus e i worm in genere possono bypassare solo una o due vulnerabilità comuni e raramente possono funzionare su più sistemi operativi.

Le notizie di questo fine settimana su WannaCry avrebbero dovuto chiarire oltre ogni dubbio che è assolutamente necessario sostituire Windows XP e sistemi simili ove possibile.

Anche se MS ha rilasciato una patch straordinaria per questo antico sistema operativo, non vi è alcuna garanzia che ciò accada di nuovo.

Usiamo alcune macchine Windows XP per software specifici (legacy), abbiamo provato a spostarci il più possibile su macchine virtuali usando Oracle VirtualBox (gratuito) e ti consiglio di fare lo stesso.

Ciò offre numerosi vantaggi;

Il numero 1 per te è che puoi controllare l'accesso alla rete della VM molto strettamente dall'esterno (senza installare nulla all'interno di Windows XP) e beneficiare della protezione del nuovo sistema operativo della macchina host e di qualsiasi software di sicurezza in esecuzione su di essa.

Significa anche che è possibile spostare la macchina virtuale su diversi computer / sistemi operativi fisici in caso di aggiornamenti o guasti hardware, eseguirne il backup facilmente inclusa la possibilità di salvare un'istantanea dello stato di "funzionamento funzionante noto" prima di applicare eventuali aggiornamenti / modifiche.

Usiamo una VM per applicazione per mantenere le cose super segregate. Fintanto che manterrai l'UUID di avvio corretto, l'installazione di Windows XP non ti dispiacerà.

Questo approccio significa che possiamo far girare una VM per un dato compito che ha una minima installazione di Windows XP e l'unico software richiesto, senza alcuna extra cruft applicata e niente per farla scattare. La limitazione dell'accesso alla rete della macchina riduce notevolmente la vulnerabilità e impedisce a Windows XP di sorprenderti con eventuali aggiornamenti che potrebbero rompere o peggiorare le cose.

Come qualcuno ha suggerito in precedenza, considera di rafforzare l'isolamento verso il resto della rete.

Affidarsi al software sulla macchina è debole (perché si basa sullo stack di rete del sistema operativo che può essere vulnerabile). Una sottorete dedicata sarebbe un buon inizio e una soluzione basata su VLAN migliore (questo può essere sfruttato da un determinato attaccante, ma fermerà la maggior parte degli attacchi "crimini di opportunità". I driver della NIC devono supportare questo, però). Una rete fisica dedicata (tramite uno switch dedicato o una VLAN basata su porta) è la soluzione migliore.

Sì, devono essere sostituiti. Chiunque esegua macchine Windows XP connesse a qualsiasi tipo di rete post-WannaCry sta solo chiedendo problemi.