web-dev-qa-db-ja.com

Windows XP企業ネットワーク内のPC

私たちの中小企業では、約75台のPCを使用しています。サーバーとデスクトップ/ラップトップはすべて最新であり、Panda Business Endpoint Protection and Malwarebytes Business Endpoint Security(MBAM + Ant-Exploit)を使用して保護されています。

ただし、本番環境では約15台のWindows XP PCが稼働しています。彼らは会社のネットワークに接続されています。主にSQL接続とロギングの目的で使用されます。サーバーへの書き込みアクセスは制限されています。

Windows XP PCは、1つの専用(カスタム)プロダクションアプリケーションでのみ使用されます。オフィスソフトウェア(メール、ブラウジング、オフィスなど)はありません。さらに、これらの各XP-PCには、インターネットアクセスを許可しないPanda Webアクセスコントロールがあります。唯一の例外は、WindowsおよびPanda Updatesです。

セキュリティの観点から、これらのWindows XP PCを新しいPCに交換する必要がありますか?

36
Thomas VDB

セキュリティの観点から、これらのXP-PCを新しいPCに交換する必要がありますか。

いいえ、PCを交換する必要はありません。しかし、それはisそれらのオペレーティングシステムをアップグレードするために必要です(これmayも含まれますこれらのPCの交換-わかりませんが、専用のハードウェアを実行している場合は、PCをそのまま使用できる可能性があります)。

感染していると思われる「エアギャップ」PCについての現実の話が非常に多くあります。これはオペレーティングシステムに関係なく発生する可能性がありますが、非常に古い更新されていないオペレーティングシステムを使用すると、さらに危険にさらされます。

特に、お使いのコンピュータはインターネットアクセスをブロックするソフトウェア制限によって保護されているようです。これは簡単に回避できます。 (注意:このパンダWebアクセス制御について聞いたことがありませんが、確かにはオンホストソフトウェアのように見えます)。

あなたが直面する可能性が高い問題は、ベンダーの協力の欠如です。ベンダーが支援を拒否したり、アップグレードに100,000ドルを請求したり、完全に破産してIPが破棄されたりする可能性があります。

これが事実である場合、これは会社が予算を立てる必要があるものです。

16年前のオペレーティングシステムをパッチを適用せずに実行し続けるしか方法がない場合(多分これは100万ドルのCNC旋盤またはフライス盤またはMRI)、ハードウェアベースの深刻なホスト分離を行う必要があります。非常に制限の厳しいファイアウォールルールを使用して、それらのマシンを独自のVLANに配置することから始めるとよいでしょう。


この点についてはある程度の手持ちが必要と思われるので、これはどうでしょうか。

  • Windows XPは16歳のオペレーティングシステムです。16歳だまされてしまいます。私は2度考えます16歳の車を購入する前に、彼らはまだ16歳の車のスペアパーツを製造していますが、Windows XPには「スペアパーツ」はありません。

  • それの音で、あなたは貧弱なホスト分離を持っています。何かがすでにネットワーク内に入っているとしましょう。他の方法で。誰かが感染したUSBスティックを差し込みます。それはあなたの内部ネットワークをスキャンして、それが悪用することができる脆弱性を持っているあらゆるものに伝播します。電話が家の中からから来ているので、インターネットアクセスの欠如はここでは無関係です

  • このPandaセキュリティ製品は、ソフトウェアベースの制限のように見えます。ソフトウェアは、場合によっては簡単にバイパスできます。ネットワーキングスタック上で実行されているソフトウェアの一部がそれを阻止している唯一のソフトウェアである場合、まともなマルウェアがまだインターネットに流出する可能性があるに違いない。管理者権限を取得し、ソフトウェアまたはサービスを停止するだけです。だから彼らは本当にインターネットにアクセスできません。これはホストの分離に戻ります-適切なホストの分離を使用すると、実際にそれらをインターネットから切り離すことができ、多分ネットワークへの被害を制限できます。

正直なところ、これらのコンピューターやオペレーティングシステムの交換を正当化する必要はありません。それらは会計上の目的で完全に減価償却され、ハードウェアベンダーからの保証またはサポートの終了をはるかに上回っている可能性が高く、Microsoftからのあらゆる種類のサポートを確実に超えています(Microsoftの顔にチタンAmerican Expressを振っても、彼らはまだあなたのお金を取らないでしょう)。

リスクと責任の軽減に関心がある企業は、何年も前にそれらのマシンを置き換えていただろう。ワークステーションを維持するための言い訳はほとんどありません。私はいくつかのvalid言い訳を上記にリストしました(すべてのネットワークから完全に切断され、クローゼットに住んでいて、エレベータ音楽を実行している場合-私は-パスを渡します)。それらを放置する正当な言い訳がないようです。特に、あなたはそれらがそこにあることを知っていて、起こり得るダメージを見てきました(私はあなたがWannaCry/WannaCryptに応答してこれを書いたと思います)。

64
Mark Henderson

交換はやり過ぎかもしれません。ゲートウェイを設定します。ゲートウェイマシンはnot Windowsを実行する必要があります。 Linuxはおそらく最良の選択です。ゲートウェイマシンには、2つの個別のネットワークカードが必要です。 Windows XPマシンは一方のネットワークにあり、残りの世界は反対側にあります。Linuxはトラフィックをルーティングしません。

Sambaをインストールし、XPマシンに書き込むための共有を作成します。受信ファイルを最終的な宛先に転送します。rsyncが論理的な選択です。

iptablesを使用して、Sambaに使用されるポート以外のすべてのポートをブロックします。 XPマシン)がある側のアウトバウンドSamba接続をブロックする(XPマシン)に書き込むことができないようにし、他の**すべての*インバウンド接続に書き込むことができないようにするため)側(Linuxマシンに何も書き込むことができない)-SSHのハードコードされた単一の例外を除いて、管理PCのIPからのみ。

XPマシンをハッキングするには、中間のLinuxサーバーをハッキングする必要があります。これにより、非XP側から着信するすべての接続が確実に拒否されます。これはdefense in depthとして知られています。。決定的で知識豊富なハッカーがこれを回避できるバグの不運な組み合わせがまだ存在する可能性はありますが、これらのハッカーが特にそれらをハックしようとしているハッカーについて話しているでしょうXPネットワーク上のマシンボットネット、ウイルス、ワームは通常、1つまたは2つの一般的な脆弱性のみをバイパスでき、まれに複数のオペレーティングシステムで動作する可能性があります。

19
MSalters

WannaCryに関するこの週末のニュースは、Windows XPと同様のシステムを可能な限り交換することが絶対に必要であることを疑いもなく明らかにしているはずです。

MSがこの古いOS用の異常なパッチをリリースしたとしても、これが再び起こるという保証はまったくありません。

13
Sven

一部のWindows XPマシンを特定の(レガシー)ソフトウェアに使用していますが、Oracle VirtualBox(無料)を使用して仮想マシンにできる限り移動するように努めています。同じことを行うことをお勧めします。

これにはいくつかの利点があります。

一番のメリットは、VMのネットワークアクセスを外部から非常に厳密に制御でき(Windows XP内に何もインストールしなくても)、ホストマシンの新しいOSとその上で実行されているセキュリティソフトウェアから保護できるということです。

VMを別の物理マシン/オペレーティングシステム間でアップグレードまたはハードウェア障害が発生したときに移動できることを意味します。前に「既知の正常に動作している」状態のスナップショットを保存できるなど、簡単にバックアップできます。更新/変更を適用します。

アプリケーションごとに1つのVM=を使用して、物事を完全に分離します。ブートドライブのUUIDを正確に維持している限り、Windows XPのインストールは問題になりません。

このアプローチは、最小限のWindows XPインストールと1つのソフトウェアが必要な特定のタスクに対してVMを起動できることを意味します。余分な手間をかけたり、つまずくものはありません。マシンのネットワークアクセスを調整すると、脆弱性が大幅に減少し、Windows XPが、物事を壊したり、悪化させたりする可能性のあるアップデートで驚くことを防ぎます。

5
John U

誰かが以前に提案したように、ネットワークの残りの部分への分離を強化することを検討してください。

マシン上のソフトウェアへの依存は弱い(それ自体が脆弱になる可能性があるOSネットワークスタックに依存しているため)。専用サブネットは良い出発点であり、VLANベースのソリューションの方が優れています(これは、断固とした攻撃者によって利用される可能性がありますが、ほとんどの「機会の犯罪」攻撃は完全に阻止されます。NICドライバただし、これをサポートする必要があります)専用の物理ネットワーク(専用スイッチまたはポートベースのVLANを介した)が最適です。

3
rackandboneman