PC Windows XP nella rete aziendale


36

Nella nostra piccola impresa, stiamo usando circa 75 PC. Server e desktop / laptop sono tutti aggiornati e protetti con Panda Business Endpoint Protection e Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Tuttavia, nel nostro ambiente di produzione abbiamo circa 15 PC Windows XP in esecuzione. Sono collegati alla rete aziendale. Principalmente per scopi di connettività e registrazione SQL. Hanno un accesso limitato in scrittura ai server.

I PC Windows XP vengono utilizzati solo per un'applicazione di produzione dedicata (personalizzata). Nessun software per ufficio (e-mail, navigazione, ufficio, ...). Inoltre, ciascuno di questi XP-PC ha il controllo dell'accesso Web Panda che non consente l'accesso a Internet. Le uniche eccezioni sono per gli aggiornamenti di Windows e Panda.

È necessario, dal punto di vista della sicurezza, sostituire questi PC Windows XP con nuovi PC?


3
Le macchine XP hanno qualche connessione con il mondo esterno? O il mondo esterno ha delle connessioni all'interno? Se sono tutti "strettamente" interni ... nella mia attività, abbiamo macchine XP che sono "disconnesse" dal mondo esterno (alcune in realtà non sono collegate a nulla) e hanno un software "proprietario" che interagisce con macchinari che non possono essere sostituito facilmente ... La loro sostituzione è una domanda diversa rispetto a dire ... la sostituzione di un server Web.
WernerCD,

10
@Nav Se gli unici fornitori di un'intera classe di hardware supportano solo Windows, ovviamente devono utilizzare Windows. Se quell'hardware dura decenni, devono usare Windows XP o 98. O DOS. Se il costo per cambiare tutti i loro sistemi legacy e riqualificare l'utente è enorme, in pratica lo fanno.
Chris H,

21
@Nav è un atteggiamento incredibilmente elitario da avere. Passare la stragrande maggioranza dei dipendenti a un diverso sistema operativo è un costo e un onere elevati. E dire che Linux è "molto meglio e più sicuro" è ingenuo. Come si misura anche "meglio"? Se Linux avesse la penetrazione di Windows, ci sarebbero altrettanti exploit e rischi per Linux. E ci sono molti exploit allo stato brado rivolti a Linux: abbiamo già dimenticato il cuore? Sistemi operativi diversi hanno pro e contro diversi per ogni pubblico e le decisioni dovrebbero essere prese in quel contesto.
Mark Henderson

3
@Nav Windows in un ufficio è spesso una piattaforma per MS Office. E MS Office è ancora insostituibile in molti casi, nonostante 20 anni di ingenuità al riguardo nella comunità open source :)
rackandboneman,

3
@KhajakVahanyan Solo quest'anno il kernel di Linux presenta le vulnerabilità (pubbliche) più distinte, quasi quattro volte di Windows 2008.
Martheen,

Risposte:


64

è necessario dal punto di vista della sicurezza, sostituire questi XP-PC con nuovi PC.

No, non è necessario sostituire i PC. Ma è necessario aggiornare quei sistemi operativi (ciò può comportare anche la sostituzione di quei PC - non lo sappiamo. Ma se eseguono hardware specializzato, potrebbe essere possibile mantenere il PC).

Ci sono così tante storie del mondo reale su PC apparentemente "a vuoto" che vengono infettati. Questo può accadere indipendentemente dal sistema operativo, ma avere un sistema operativo non aggiornato non aggiornato lo rende ancora più a rischio.

Soprattutto perché sembra che i tuoi computer siano protetti da una restrizione software per bloccare l'accesso a Internet. Questo è probabilmente facile da aggirare. (avvertenza: non ho mai sentito parlare di questo controllo di accesso al web Panda, ma sicuramente sembra un software su host).

Il problema che probabilmente dovrai affrontare è la mancanza di collaborazione con i fornitori. È possibile che i venditori si rifiutino di aiutare, vogliano addebitare $ 100.000 per un aggiornamento, o che siano semplicemente falliti e che l'IP sia stato buttato via.

Se questo è il caso, questo è qualcosa per cui la società ha bisogno di budget.

Se davvero non c'è altra scelta se non quella di mantenere il sistema operativo di 16 anni in esecuzione senza patch (forse questo è un tornio CNC da un milione di dollari o una fresatrice o una risonanza magnetica), allora devi fare un serio isolamento dell'host basato su hardware. Mettere quelle macchine sul proprio vlan con regole firewall estremamente restrittive sarebbe un buon inizio.


Sembrerebbe che tu abbia bisogno di qualche mano in questo senso, quindi come va:

  • Windows XP è un sistema operativo di 16 anni. Sedici anni . Lasciatelo affondare. Ci penserei due volte prima di acquistare un'auto di sedici anni, e fanno ancora pezzi di ricambio per auto di 16 anni. Non ci sono "pezzi di ricambio" per Windows XP.

  • A quanto pare, hai uno scarso isolamento dell'host. Diciamo che qualcosa entra già nella tua rete. In qualche altro modo. Qualcuno collega una chiavetta USB infetta. Scansionerà la tua rete interna e si propagherà a tutto ciò che ha una vulnerabilità che può sfruttare. Una mancanza di accesso a Internet è irrilevante qui perché la telefonata proviene dall'interno della casa

  • Questo prodotto di sicurezza Panda sembra avere restrizioni basate sul software. Il software può essere bypassato, a volte facilmente. Scommetto che un malware decente potrebbe ancora uscire su Internet se l'unica cosa che lo blocca è un software in esecuzione sullo stack di rete. Potrebbe semplicemente ottenere i privilegi di amministratore e arrestare il software o il servizio. In modo che non in realtà non hanno accesso internet a tutti. Questo ritorna all'isolamento dell'host - con un adeguato isolamento dell'host potresti effettivamente toglierli da Internet e forse limitare i danni che possono causare alla tua rete.

Onestamente, però, non dovrebbe essere necessario per giustificare la sostituzione questi computer e / o del sistema operativo. Saranno completamente ammortizzati a fini contabili, probabilmente sono ben oltre la fine di qualsiasi garanzia o supporto da parte del fornitore dell'hardware, hanno sicuramente superato qualsiasi tipo di supporto da parte di Microsoft (anche se agiti il ​​tuo titanio American Express in faccia a Microsoft, non prenderanno ancora i tuoi soldi).

Qualsiasi azienda interessata a ridurre i rischi e le responsabilità avrebbe sostituito quelle macchine anni fa. Non ci sono scuse per mantenere le postazioni di lavoro. Ho elencato alcune scuse valide sopra (se è completamente disconnesso completamente da qualsiasi rete e vive in un armadio e gestisce la musica dell'ascensore che potrei - POTREI - dare un passaggio). Sembra che tu non abbia alcuna scusa valida per lasciarli in giro. Soprattutto ora che sei consapevole che sono lì e hai visto il danno che può verificarsi (suppongo che stavi scrivendo questo in risposta a WannaCry / WannaCrypt).


1
Ciao, dovrò spiegare perché è necessario sostituire questi vecchi XP-PC, nonostante non abbiano accesso a Internet. Quindi è possibile darmi alcune (semi) spiegazioni tecniche quali situazioni potrebbero verificarsi. Il fatto che il controllo dell'accesso al web sia basato su software è sicuramente un inizio. tra l'altro questo è un link al controllo dell'accesso al web Panda: pandasecurity.com/usa/support/card?id=50074
Thomas VDB

2
@ThomasVDB Ho aggiunto un aggiornamento alla mia risposta
Mark Henderson

19

La sostituzione potrebbe essere eccessiva. Imposta un gateway. Il computer gateway non dovrebbe eseguire Windows; Linux è probabilmente la scelta migliore. La macchina gateway dovrebbe avere due schede di rete separate. Le macchine Windows XP saranno su una rete su un lato, il resto del mondo è sull'altro lato. Linux non indirizzerà il traffico.

Installa Samba e crea condivisioni per le macchine XP su cui scrivere. Copia i file in arrivo in avanti alla destinazione finale. rsyncsarebbe la scelta logica.

Utilizzando iptables, bloccare tutte le porte tranne quelle utilizzate per Samba. Blocca le connessioni Samba in uscita sul lato che ha macchine XP (in modo che nulla possa scrivere sulle macchine XP) e ** tutte * le connessioni in entrata sull'altro lato (quindi nulla può scrivere sul computer Linux) - forse con un singolo eccezione codificata per SSH, ma solo dall'IP del PC di gestione.

Per hackerare le macchine XP ora è necessario hackerare un server Linux in mezzo, il che rifiuta positivamente tutte le connessioni provenienti dal lato non XP. Questo è ciò che è noto come difesa in profondità . Mentre è possibile che esista ancora una sfortunata combinazione di bug che consentirebbe a un hacker determinato e competente di aggirare questo, si parlerebbe di un hacker che sta specificamente cercando di hackerare quei 15 computer XP sulla tua rete. Le botnet, i virus e i worm in genere possono bypassare solo una o due vulnerabilità comuni e raramente possono funzionare su più sistemi operativi.


3
Potrebbe funzionare. PFSense o monowall funzionerebbero qui, no? I PC dovrebbero comunque essere in grado di connettersi al nostro SQL Server.
Thomas VDB,

4
Sì, o invece di una macchina gateway devi solo acquistare un router piccolo ma capace (Mikrotik) o come 40 USD. Finito. Usa molta meno energia.
TomTom,

-1 perché ciò non risolverà i problemi del PO.
James Snell,

6
@JamesSnell: non è un commento utile. Perché non aiuta? Quale concreta minaccia alla sicurezza è possibile nominare che ignora questa configurazione?
MSalters

3
@ThomasVDB: Il punto di un gateway che esegue iptables e Samba è che i pacchetti IP vengono eliminati (non SMB) o gestiti da un'implementazione moderna e capace. Ciò significa che le macchine XP riceveranno solo pacchetti IP generati da Samba sulla macchina Linux. Questi sono noti per non essere malformati. Un router, come suggerisce TomTom, inoltrerà i pacchetti IP, ma un router non è a conoscenza del protocollo SMB e inoltrerà pacchetti errati come quelli che hanno attivato WannaCry. Sì, non controllare è più efficiente dal punto di vista energetico, ma la sicurezza dovrebbe essere la priorità principale qui.
MSalters,

13

Le notizie di questo fine settimana su WannaCry avrebbero dovuto chiarire oltre ogni dubbio che è assolutamente necessario sostituire Windows XP e sistemi simili ove possibile.

Anche se MS ha rilasciato una patch straordinaria per questo antico sistema operativo, non vi è alcuna garanzia che ciò accada di nuovo.


2
Sì, ma questi viruss non entrano nell'azienda via e-mail e navigando sul web? Questo non è coperto dal fatto che questi PC non hanno accesso a Internet? Sono sicuro che i PC XP non sono sicuri se utilizzati per applicazioni desktop. Ma quando si esegue una sola app senza accesso a Internet deve essere una situazione diversa? O cosa mi sto perdendo?
Thomas VDB,

2
Ma sono collegati a un server SQL. Cosa succede se la prossima volta viene infettato da un altro malware e utilizza un potenziale buco nell'implementazione del client SQL Server? Finché esiste una connessione con altri sistemi, esiste un potenziale pericolo.
Sven

13
@ThomasVDB: WannaCry ha due modi per distribuirsi. Gli allegati di posta elettronica sono uno, ma un secondo metodo era tramite condivisioni di file. In particolare, condivisioni di file che utilizzano il protocollo SMBv1 precedente. Microsoft aveva rilasciato patch specifiche per tale problema nel marzo 2017. Tuttavia, poiché XP non era più supportato, inizialmente Microsoft non ha rilasciato una versione XP di quella patch SMBv1. Hanno annullato quella decisione ora che WannaCry ha colpito, ma solo per questo problema specifico.
MSalters,

7
Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access?- "Non chiudo le finestre della mia camera da letto perché sono al secondo piano e non c'è scala all'esterno" è una giustificazione che non ha mai impedito a un ladro di scassinare una casa. Se queste macchine rientrano nelle tue competenze e nelle tue responsabilità, devi ripararle, indipendentemente da ciò che pensi sia probabile che vengano compromesse.
joeqwerty,

Ciò fermerà un ladro che ha molte case con finestre aperte a livello del suolo disponibili. Attaccante determinato (dipendente scontato tecnicamente o spia aziendale) contro aggressore opportunista (malware, vandali, costruttori di botnet).
rackandboneman,

5

Usiamo alcune macchine Windows XP per software specifici (legacy), abbiamo provato a spostarci il più possibile su macchine virtuali usando Oracle VirtualBox (gratuito) e ti consiglio di fare lo stesso.

Ciò offre numerosi vantaggi;

Il numero 1 per te è che puoi controllare l'accesso alla rete della VM molto strettamente dall'esterno (senza installare nulla all'interno di Windows XP) e beneficiare della protezione del nuovo sistema operativo della macchina host e di qualsiasi software di sicurezza in esecuzione su di essa.

Significa anche che è possibile spostare la macchina virtuale su diversi computer / sistemi operativi fisici in caso di aggiornamenti o guasti hardware, eseguirne il backup facilmente inclusa la possibilità di salvare un'istantanea dello stato di "funzionamento funzionante noto" prima di applicare eventuali aggiornamenti / modifiche.

Usiamo una VM per applicazione per mantenere le cose super segregate. Fintanto che manterrai l'UUID di avvio corretto, l'installazione di Windows XP non ti dispiacerà.

Questo approccio significa che possiamo far girare una VM per un dato compito che ha una minima installazione di Windows XP e l'unico software richiesto, senza alcuna extra cruft applicata e niente per farla scattare. La limitazione dell'accesso alla rete della macchina riduce notevolmente la vulnerabilità e impedisce a Windows XP di sorprenderti con eventuali aggiornamenti che potrebbero rompere o peggiorare le cose.


Questo può darti problemi se il software personalizzato è lì per guidare l'hardware personalizzato :) In tutti gli altri casi, le VM e le istantanee ti consentono una strategia davvero "sporca" se necessario: esegui fino a quando non viene hackerato, ripristina da istantanea, risciacqua, ripeti :) certo che nient'altro viene colpito, però :)
rackandboneman,

È vero, ma al giorno d'oggi le VM sono sorprendentemente brave in tutto questo, e il fatto che tu possa eseguirlo su una macchina host che è 10 volte più potente aiuta. Se il software speciale sta facendo qualcosa di particolarmente vulnerabile, allora non hai molte opzioni ma, come dici tu, almeno è solo una macchina virtuale clonata che viene hackerata e puoi screditarla e ricominciare da capo facilmente.
John U,

Stavo pensando "guidare strane schede ISA come GPIO, DAC / ADC o interfacce IEEE-488" :) Uno dei motivi classici per avere ambienti con SO antichi.
Rackandboneman,

Bene sì, anche se in questi giorni sei solo un Raspberry Pi o Arduino a replicare o interfacciare quel genere di cose.
John U,

3

Come qualcuno ha suggerito in precedenza, considera di rafforzare l'isolamento verso il resto della rete.

Affidarsi al software sulla macchina è debole (perché si basa sullo stack di rete del sistema operativo che può essere vulnerabile). Una sottorete dedicata sarebbe un buon inizio e una soluzione basata su VLAN migliore (questo può essere sfruttato da un determinato attaccante, ma fermerà la maggior parte degli attacchi "crimini di opportunità". I driver della NIC devono supportare questo, però). Una rete fisica dedicata (tramite uno switch dedicato o una VLAN basata su porta) è la soluzione migliore.


-5

Sì, devono essere sostituiti. Chiunque esegua macchine Windows XP connesse a qualsiasi tipo di rete post-WannaCry sta solo chiedendo problemi.


7
-1, questo non aggiunge nulla che non sia detto meglio nelle altre risposte.
HopelessN00b,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.