è necessario dal punto di vista della sicurezza, sostituire questi XP-PC con nuovi PC.
No, non è necessario sostituire i PC. Ma è necessario aggiornare quei sistemi operativi (ciò può comportare anche la sostituzione di quei PC - non lo sappiamo. Ma se eseguono hardware specializzato, potrebbe essere possibile mantenere il PC).
Ci sono così tante storie del mondo reale su PC apparentemente "a vuoto" che vengono infettati. Questo può accadere indipendentemente dal sistema operativo, ma avere un sistema operativo non aggiornato non aggiornato lo rende ancora più a rischio.
Soprattutto perché sembra che i tuoi computer siano protetti da una restrizione software per bloccare l'accesso a Internet. Questo è probabilmente facile da aggirare. (avvertenza: non ho mai sentito parlare di questo controllo di accesso al web Panda, ma sicuramente sembra un software su host).
Il problema che probabilmente dovrai affrontare è la mancanza di collaborazione con i fornitori. È possibile che i venditori si rifiutino di aiutare, vogliano addebitare $ 100.000 per un aggiornamento, o che siano semplicemente falliti e che l'IP sia stato buttato via.
Se questo è il caso, questo è qualcosa per cui la società ha bisogno di budget.
Se davvero non c'è altra scelta se non quella di mantenere il sistema operativo di 16 anni in esecuzione senza patch (forse questo è un tornio CNC da un milione di dollari o una fresatrice o una risonanza magnetica), allora devi fare un serio isolamento dell'host basato su hardware. Mettere quelle macchine sul proprio vlan con regole firewall estremamente restrittive sarebbe un buon inizio.
Sembrerebbe che tu abbia bisogno di qualche mano in questo senso, quindi come va:
Windows XP è un sistema operativo di 16 anni. Sedici anni . Lasciatelo affondare. Ci penserei due volte prima di acquistare un'auto di sedici anni, e fanno ancora pezzi di ricambio per auto di 16 anni. Non ci sono "pezzi di ricambio" per Windows XP.
A quanto pare, hai uno scarso isolamento dell'host. Diciamo che qualcosa entra già nella tua rete. In qualche altro modo. Qualcuno collega una chiavetta USB infetta. Scansionerà la tua rete interna e si propagherà a tutto ciò che ha una vulnerabilità che può sfruttare. Una mancanza di accesso a Internet è irrilevante qui perché la telefonata proviene dall'interno della casa
- Questo prodotto di sicurezza Panda sembra avere restrizioni basate sul software. Il software può essere bypassato, a volte facilmente. Scommetto che un malware decente potrebbe ancora uscire su Internet se l'unica cosa che lo blocca è un software in esecuzione sullo stack di rete. Potrebbe semplicemente ottenere i privilegi di amministratore e arrestare il software o il servizio. In modo che non in realtà non hanno accesso internet a tutti. Questo ritorna all'isolamento dell'host - con un adeguato isolamento dell'host potresti effettivamente toglierli da Internet e forse limitare i danni che possono causare alla tua rete.
Onestamente, però, non dovrebbe essere necessario per giustificare la sostituzione questi computer e / o del sistema operativo. Saranno completamente ammortizzati a fini contabili, probabilmente sono ben oltre la fine di qualsiasi garanzia o supporto da parte del fornitore dell'hardware, hanno sicuramente superato qualsiasi tipo di supporto da parte di Microsoft (anche se agiti il tuo titanio American Express in faccia a Microsoft, non prenderanno ancora i tuoi soldi).
Qualsiasi azienda interessata a ridurre i rischi e le responsabilità avrebbe sostituito quelle macchine anni fa. Non ci sono scuse per mantenere le postazioni di lavoro. Ho elencato alcune scuse valide sopra (se è completamente disconnesso completamente da qualsiasi rete e vive in un armadio e gestisce la musica dell'ascensore che potrei - POTREI - dare un passaggio). Sembra che tu non abbia alcuna scusa valida per lasciarli in giro. Soprattutto ora che sei consapevole che sono lì e hai visto il danno che può verificarsi (suppongo che stavi scrivendo questo in risposta a WannaCry / WannaCrypt).