Windows NT4.0に関するセキュリティ上の懸念
私の会社は(他の多くのことの中でも)数台のサーバーと約50台のワークステーションを備えた小さなネットワークを担当しています。彼らは私にそのネットワークの現在の管理者を助けてほしいと言っています。
ネットワークはWindowsNT4.0およびWindows2000サーバーで構成され、クライアントはWindows2000およびWindowsXPです。すべてのレガシーシステムの唯一の理由は、ライセンスコストです。ネットワークはNATされており、ワークステーションは(Linux)プロキシを介してインターネットにアクセスします。
管理者はネットワークのセキュリティについて心配していないようです。彼の議論は次のようになります。
WindowsNTとWindows2000には既知の脆弱性はなく、とにかく古いシステムにエネルギーを投入する人がいないため、新しい脆弱性が発見される可能性はほとんどありません。ワークステーションはインターネットに直接接続されていないため、脆弱性があったとしても問題はありません。
マイクロソフトがまだサポートしているWindowsバージョンへのアップグレードがセキュリティの観点から避けられない理由をいくつかしっかりと説明していただけますか?
管理者が正しいと思うなら、私は間違っています。私もそれについて聞きたいです。
Windows NT、Server 2000、およびWindows 2000は、Microsoftによってサポート終了と見なされるようになりました。つまり、これらのオペレーティングシステムで新しいセキュリティの脆弱性が発見された場合、マイクロソフトはセキュリティパッチを作成する努力をしません。
はい、同意しますが、Windows XP/Server 2003以外のものをターゲットにするようにウイルスが具体的に開発される可能性は低いです。同じコードで、Windows XP/Vista/7用に設計された「現代の」ウイルスもWindowsNT/2000を攻撃する可能性があります。確かに 2009年9月にセキュリティの脆弱性がありました これはすべてのオペレーティングシステム(Windows 2000を含む)に影響を及ぼし、Windows2000を除くすべてのオペレーティングシステムにパッチが適用されました。
コアオペレーティングシステムの脆弱性は別として、せいぜいInternet Explorer6に悩まされています。 Internet Explorer 6は、ブラウザの新しいバージョンが実装するさまざまな保護機能を実装していないことが知られており、「サーフィンして所有する」タイプのウイルスに攻撃される可能性が高くなります。次に、ブラウザプラグイン(Flash Player、Adobe Readerなど)があります。これらは現時点ではまだWindows 2000のアップデートをリリースしている可能性がありますが、あなたは薄氷の上を歩いています。遅かれ早かれ、彼らは世界の他の地域が行っていることを実行し、10年前のオペレーティングシステムのサポートを停止します。そうすれば、脆弱なブラウザプラグインができて、私を信じてくれます。これは非常に簡単で効果的な攻撃ベクトルであるため、最も文書化され、悪用されています。
ベンダーがレガシーオペレーティングシステムでのみ動作する古いバージョンのソフトウェアへのパッチ適用を停止するため、サードパーティアプリケーションもセキュリティの問題になります(まだの場合はそうなります)。
例として、Office XPはWindowsNTで実行される最後のバージョンであり、Office2003はWindows2000で実行される最後のバージョンでした。これらの製品はまもなくサポート終了になります(まだの場合)-そしてOfficeは毎月のセキュリティアップデートで頻繁に機能します。
次に、他のすべてのソフトウェアを入手します。これは必ずしもセキュリティの問題を引き起こすわけではなく、保守性の問題を引き起こします。ソフトウェアの大部分は、ずっと前にWindows2000に対するテストを停止しました。これは、アプリケーションの1つが壊れた場合、ベンダーが「Windows 2000を実行している……何を期待しているのか」と言う可能性が非常に高いことを意味します。
余談ですが、すべてのWindows XPワークステーションがServicePack 3上にあることを確認してください。それより低いものは、Microsoftによってサポートされておらず、セキュリティ更新プログラムを受信しません。
私は議論tbhの両側を見ることができます。
今日出かけてWindows2008をインストールし、すべてのクライアントをWindows 7にインストールしても、Microsoftからの毎月のパッチが多数発生します。
次に、Adobe FlashPlayerとAdobeAcrobat Readerをインストールし、パッチプロセス全体を毎月繰り返します。
次に、Javaで同じことを行います。要点はわかります。最新バージョンを使用することは常に役立ちますが、自動的に悪化することはないと思います単独で NTを実行しているという事実は、すべてレイヤー(ファイアウォール、ユーザーロックダウン、アンチウイルスなど)に関係しています。
また、「すべてのレガシーシステムの唯一の理由はライセンスコストです」というかなりわかりやすい説明があります。どれだけ意味があるかに関わらず、アップグレードする余裕がない場合は、どうしますか。
攻撃から安全な唯一のマシンは、遮断されたマシンです。電源が入っていて、使用中で、何らかの方法でネットワークに接続されているすべてのシステムは、悪意のあるコードに遭遇します。誰かが別のことを考えているなら、彼らは過去20年間、エクスプロイトベクトルに注意を払っていません。管理者は、脆弱性があることを認識し、脆弱性が表すリスクとそれらを軽減するためのコストのバランスをとる必要があります。サポートされなくなったオペレーティングシステムなどを含む特定のリスクセットを使用することを選択できますが、リスクを適切に理解している場合にのみそうする必要があります。あなたのSysAdminの友達がそうしているとは思わない。
XPおよびNTに既知の脆弱性がないというステートメントは、完全なゴミです。これは、すべてのWindowsバージョンに影響を及ぼし、積極的に悪用されており、パッチがない、最近公開された脆弱性の3つの例です。脆弱性を取り除くためにNTまたはWindows2000用にリリースされました。
http://isc.sans.edu/diary.html?storyid=802 (NTVDMの脆弱性) http://isc.sans.edu/diary.html?storyid=8995 (Windows Help\VBScriptの脆弱性) http://isc.sans.edu/diary.html?storyid=9445 (.LNKショートカットアイコンハンドラーの脆弱性)
さらに戻ると、W2KおよびXP)にはパッチがありますが、WindowsNTにはパッチがない多くの脆弱性があります。
http://www.Microsoft.com/technet/security/bulletin/ms08-063.mspx
現時点でサポートされていないWindowsプラットフォーム用のこれらは数百あり、リストは増え続けます。
最後の1つは、影響を受けるシステム(つまり、Windows NTマシン)が同じネットワーク上にあり、適切なファイアウォールで分離されていない場合、攻撃者がリモートで制御できるため、特に深刻です。外部ファイアウォールは、外部の攻撃者がそのエクスプロイトを直接使用することを防ぎますが、それはあなたが安全であることを意味するのではなく、最初に侵入する別の方法が必要なだけです。
現在、ほとんどの攻撃には、外部ソース(E-Mail\Flash\PDF ..)からデータが供給されるWebブラウザや同様の複雑なアプリケーションを介してクライアントシステムを最初に侵害することを目的としたエクスプロイトが含まれています。ユーザーのマシンが危険にさらされると、LAN内で攻撃を積極的に分散させるために、一連のさらなるエクスプロイトを開始できます。
この複合ベクトルアプローチの初期の例は、Webサーバーへの直接攻撃を含む攻撃ベクトルを持っていた NIMDAワーム -でした(私が思い出すと、IIS)のファイルフィルターを悪用します正しく)、そのサーバーによってホストされているWebページにコードを挿入して、そのWebサーバーに接続しているクライアントに自分自身を拡散します。また、上記の古いバージョンのDLL Hijackメソッドを使用して拡散しました。 NIMDAは、Linuxサーバーに保存されているファイルに感染することで広がる可能性があるため、特に厄介でした。これらのサーバーは深刻な脆弱性はありませんでしたが、それらにマップされたWindowsシステムは感染し、NIMDAは感染しました。これらの共有上のファイルとディレクトリも9年前です-攻撃の組み合わせは今でははるかに洗練されています。ファイアウォールやその他のネットワークセキュリティキットはこれらの一部から保護できますが、ルールセットを非常に熱心に更新している場合に限ります。それだけでは十分ではありません。
懸念しているような古いシステムで、Webを積極的に閲覧している、または電子メールを受信しているなどのユーザーがいる場合、ユーザーは自分のマシンを制御できるマルウェアに遭遇します。責任ある管理者は、これらのシステムを実行することにより、マルウェアがネットワーク内に足場を築くリスクが大幅に高まるという事実を無視して喜んではなりません。選択の余地はないかもしれませんが、少なくとも、そのようなものを生産し続けるという決定に関連するリスクを理解し、正直に認めます。
ホストはインターネットから保護されていますが、LANから保護されていますか? LANウイルスは火薬と同じくらい速く広がりました。
それらのサーバーが共有フォルダーを持っているか、NetBIOS(ポート135-139など)またはOSによって提供される他のサービスを必要とする場合、それらは運命づけられています。
さらに、実行するサーバーソフトウェアが何であれ、ベンダーがNTサポートを終了する可能性が非常に高く、サポートされていない古いバージョンでスタックします(それを気にする場合)。
今日では、多くのウイルスが電子メールまたはハッキングされたWebサイトにアクセスするユーザーによって拡散されています。これらの攻撃を防ぐには、プロキシを適切に構成する必要があり、使用しているメールシステムを指定しません。キットの他の部分と同じ年齢の場合は、そこに大きな穴がある可能性があります。
これに関する2つの主要な問題は次のとおりです。
Windows NTには、既知のパッチが適用されていない脆弱性の広範なリストがあります、企業ネットワークをテストするときに、NTサーバーに出くわした場合、必要なものをすべて取得してプラットフォームとして使用できることがわかっていました。特にNTと2kが混在する環境で、エリアを超えてアクセスできるようにします。他の場所でのパッチ適用が損なわれます。
NTの脆弱性は積極的にスキャンされています-悪者は、古いキットにはパッチが適用できないことが多いことを知っているので、それだけの価値があります。最初のスキャンでNT4を識別するための余分な労力はごくわずかであるため、それが発生することを期待する必要があります。
あなたはあなたの管理者と話し、彼の考えの間違いを指摘したいと思います:-)
Blaster( http://www.mac-net.com/346484.page )を環境に解き放つだけで、そのステートメントはすぐに無効になります。
私の最初の懸念は、クライアントとしてのwin2kは、IE6をWebブラウザーとして使用している可能性が高いことを意味します。それだけで、より新しいOSにアップグレードする理由があります。