Frage Windows XP PCs im Firmennetzwerk


In unserem kleinen Unternehmen verwenden wir etwa 75 PCs. Server und Desktops / Laptops sind alle auf dem neuesten Stand und werden mit Panda Business Endpoint Protection gesichert und Malwarebytes Business-Endpunktsicherheit (MBAM + Ant-Exploit).

In unserer Produktionsumgebung laufen jedoch ca. 15 Windows XP PCs. Sie sind mit dem Firmennetzwerk verbunden. Hauptsächlich für SQL-Konnektivität und Protokollierung. Sie haben eingeschränkten Schreibzugriff auf die Server.

Die Windows XP-PCs werden nur für eine dedizierte (benutzerdefinierte) Produktionsanwendung verwendet. Keine Office-Software (E-Mail, Surfen, Büro, ...). Darüber hinaus verfügt jeder dieser XP-PCs über eine Panda-Webzugriffskontrolle, die keinen Internetzugang zulässt. Die einzigen Ausnahmen sind Windows- und Panda-Updates.

Ist es aus Sicht der Sicherheit notwendig, diese Windows XP-PCs durch neue PCs zu ersetzen?


37
2018-05-16 13:02


Ursprung


Haben die XP-Maschinen irgendeine Verbindung zur Außenwelt? Oder hat die Außenwelt irgendwelche Verbindungen in sich? Wenn sie alle "streng" intern sind ... in meinem Geschäft haben wir XP-Maschinen, die von der Außenwelt "getrennt" sind (einige sind tatsächlich mit nichts verbunden) und haben "proprietäre" Software, die mit Maschinen interagiert, die nicht können leicht ersetzt werden ... Ersetzen sie ist eine andere Frage als sagen ... Ersetzen eines Web-Server. - WernerCD
@Nav Wenn die einzigen Anbieter einer ganzen Klasse von Hardware nur Windows unterstützen, dann müssen sie natürlich Windows verwenden. Wenn diese Hardware Jahrzehnte hält, müssen sie Windows XP oder 98 verwenden. Oder DOS. Wenn die Kosten für die Umstellung aller Legacy-Systeme und die Umschulung von Benutzern enorm sind, tun sie dies in der Praxis. - Chris H
@ Nav das ist eine unglaublich elitäre Einstellung zu haben. Die große Mehrheit der Mitarbeiter auf ein anderes Betriebssystem umzustellen, verursacht hohe Kosten und Belastungen. Und zu sagen, dass Linux "viel besser und sicherer" ist, ist naiv. Wie misst man überhaupt "besser"? Wenn Linux die Penetration von Windows hätte, gäbe es genauso viele Exploits und Risiken für Linux. Und da sind viel von In-the-Wild-Exploits, die auf Linux abzielen - haben wir schon Heartbleed vergessen? Verschiedene Betriebssysteme haben für jede Zielgruppe unterschiedliche Vor- und Nachteile, und Entscheidungen sollten in diesem Kontext getroffen werden. - Mark Henderson♦
@Nav Windows in einem Büro ist oft eine Plattform für MS Office. Und MS Office ist in vielen Fällen immer noch unersetzlich, trotz 20 Jahren Naivität in der Open-Source-Community :) - rackandboneman
@ KhajakVahanyan In diesem Jahr allein Linux Kernel haben die meisten (öffentlichen) Sicherheitslücken, fast vier Mal von Windows 2008. - Martheen


Antworten:


ist es aus sicherheitstechnischer Sicht notwendig, diese XP-PCs durch neue PCs zu ersetzen.

Nein, es ist nicht notwendig, die PCs zu ersetzen. Aber es ist notwendig, um diese Betriebssysteme zu aktualisieren (diese kann Dazu gehört auch, diese PCs zu ersetzen - wir wissen es nicht. Aber wenn sie spezielle Hardware betreiben, ist es möglich, den PC zu behalten).

Es gibt so viele real-world Geschichten über vermeintlich "Air-gapped" PCs infiziert werden. Dies kann unabhängig von Ihrem Betriebssystem passieren, aber ein super altes, nicht aktualisiertes Betriebssystem macht es noch gefährlicher.

Vor allem, weil es sich anhört, als wären Ihre Computer durch ein Software Einschränkung des Internetzugriffs Dies ist wahrscheinlich leicht zu umgehen. (Vorbehalt: Ich habe noch nie von dieser Zugangskontrolle für den Panda-Web gehört, aber sicher sieht aus wie On-Host-Software).

Das Problem, mit dem Sie wahrscheinlich konfrontiert sind, ist ein Mangel an Zusammenarbeit mit den Anbietern. Es ist möglich, dass Verkäufer sich weigern zu helfen, 100.000 Dollar für ein Upgrade verlangen wollen, oder schlicht pleite gegangen sind und das IP weggeworfen wurde.

Wenn dies der Fall ist, muss das Unternehmen dafür budgetieren.

Wenn es wirklich keine andere Möglichkeit gibt, als ein 16 Jahre altes Betriebssystem ohne Patch zu betreiben (vielleicht ist das eine Millionen Dollar CNC-Drehmaschine oder Fräsmaschine oder MRI), dann müssen Sie eine ernsthafte hardwarebasierte Host-Isolation durchführen. Es wäre ein guter Anfang, diese Maschinen mit extrem restriktiven Firewall-Regeln auf ihren eigenen VLAN zu setzen.


Es scheint, dass Sie in dieser Hinsicht etwas Hand halten müssen, also wie ist das:

  • Windows XP ist ein 16 Jahre altes Betriebssystem. 16 Jahre alt. Lassen Sie das auf sich wirken. Ich würde zweimal überlegen, bevor ich ein sechzehn Jahre altes Auto kaufe, und sie machen immer noch Ersatzteile für 16 Jahre alte Autos. Es gibt keine Ersatzteile für Windows XP.

  • Durch die Geräusche davon haben Sie eine schlechte Wirtsisolation. Nehmen wir an, dass schon etwas in Ihr Netzwerk gelangt. Mit anderen Mitteln. Jemand steckt einen infizierten USB-Stick ein. Es wird Ihr internes Netzwerk durchsuchen und zu allem weiterverbreiten, das eine Schwachstelle aufweist, die es ausnutzen kann. Ein mangelnder Internetzugang ist hier irrelevant, weil der Anruf kommt im Haus

  • Dieses Sicherheitsprodukt von Panda sieht aus wie softwarebasierte Einschränkungen. Software kann manchmal einfach umgangen werden. Ich wette, ein anständiges Stück Malware könnte immer noch ins Internet gehen, wenn das einzige, was es stoppt, eine Software ist, die auf dem Netzwerkstapel läuft. Es könnte nur Administratorrechte erhalten und die Software oder den Dienst stoppen. Also nicht Ja wirklich haben keinen Internetzugang. Dies führt zu einer Isolation der Hosts - mit der richtigen Host-Isolation können Sie diese tatsächlich aus dem Internet entfernen könnte sein Begrenzen Sie den Schaden, den sie Ihrem Netzwerk zufügen können.

Ehrlich gesagt, sollten Sie nicht brauchen um zu rechtfertigen, diese Computer und / oder Betriebssystem zu ersetzen. Sie werden zu Buchhaltungszwecken vollständig abgeschrieben. Sie sind wahrscheinlich weit nach dem Ende jeglicher Garantie oder Unterstützung durch den Hardware-Hersteller. Sie sind definitiv hinter jeglicher Unterstützung von Microsoft zurück (selbst wenn Sie Ihren Titan American Express in Microsofts Gesicht schwenken, Sie werden immer noch nicht Ihr Geld nehmen).

Jedes Unternehmen, das daran interessiert ist, das Risiko und die Haftung zu reduzieren, hätte diese Maschinen vor Jahren ersetzt. Es gibt wenig oder gar keine Entschuldigung dafür Workstations herumzuhalten. Ich habe einige aufgelistet gültig Ausreden oben (wenn es komplett von allen Netzwerken völlig getrennt ist und in einem Schrank lebt und die Fahrstuhlmusik spielt, könnte ich - MIGHT - einen Pass geben). Es klingt, als hättest du keine gültige Entschuldigung dafür, sie herumzulassen. Vor allem jetzt, wo Sie sich bewusst sind, dass sie da sind, und Sie haben den Schaden gesehen, der auftreten kann (ich nehme an, dass Sie dies als Antwort auf WannaCry / WannaCrypt geschrieben haben).


65
2018-05-16 13:16



Hallo, ich werde erklären müssen, warum es notwendig ist, diese alten XP-PCs zu ersetzen, obwohl sie keinen Internetzugang haben. Also ist es möglich, mir einige (halb) technische Erklärungen zu geben, welche Situationen eintreten könnten. Die Tatsache, dass die Webzugriffskontrolle softwarebasiert ist, ist definitiv ein Anfang. Das ist ein Link zu Panda web access control: pandasecurity.com/usa/support/card?id=50074 - Thomas VDB
@ThomasVDB Ich habe meiner Antwort ein Update hinzugefügt - Mark Henderson♦


Ersatz könnte Overkill sein. Richten Sie ein Gateway ein. Die Gateway-Maschine sollte nicht Windows ausführen Linux ist wahrscheinlich die beste Wahl. Der Gateway-Computer sollte zwei separate Netzwerkkarten haben. Die Windows XP-Computer befinden sich auf der einen Seite in einem Netzwerk, auf der anderen Seite befindet sich der Rest der Welt. Linux leitet keinen Datenverkehr.

Installieren Sie Samba, und erstellen Sie Freigaben für die XP-Computer, auf die geschrieben werden soll. Kopiere eingehende Dateien zum endgültigen Ziel. rsync wäre die logische Wahl.

Verwenden iptables, blockiere alle Ports außer denen, die für Samba verwendet werden. Blockiere ausgehende Samba-Verbindungen auf der Seite mit XP-Maschinen (damit nichts auf die XP-Maschinen schreiben kann) und ** alle * eingehenden Verbindungen auf der anderen Seite (also kann überhaupt nichts auf die Linux-Maschine schreiben) - vielleicht mit einer einzigen hardcoded Ausnahme für SSH, aber nur von der IP Ihres Management-PC.

Um die XP-Maschinen zu hacken, muss man nun einen Linux-Server dazwischen hacken, was alle Verbindungen von der Nicht-XP-Seite ablehnt. Das ist bekannt als Verteidigung in der Tiefe. Es ist zwar möglich, dass einige unglückliche Kombinationen von Fehlern bestehen, die es einem entschlossenen und sachkundigen Hacker ermöglichen würden, dies zu umgehen, aber Sie sprechen von einem Hacker, der speziell versucht, diese 15 XP-Rechner in Ihrem Netzwerk zu hacken. Botnets, Viren und Würmer können normalerweise nur eine oder zwei häufige Schwachstellen umgehen und können selten über mehrere Betriebssysteme hinweg arbeiten.


19
2018-05-16 15:58



Das könnte funktionieren. PFSense oder Monowall würde hier funktionieren, nicht? Die PCs sollten weiterhin eine Verbindung zu unserem SQL Server herstellen können. - Thomas VDB
Ja, oder anstelle eines Gateway-Rechners kauft man sich einfach einen kleinen aber fähigen Router (Mikrotik) oder wie USD 40. Fertig. Nutzt viel weniger Energie. - TomTom
-1 weil dies die Probleme des OP nicht lösen wird. - James Snell
@JamesSnell: Das ist kein hilfreicher Kommentar. Warum wird es nicht helfen? Welche konkrete Sicherheitsbedrohung können Sie benennen, die diese Einrichtung umgeht? - MSalters
@ThomasVDB: Der Punkt eines Gateways, auf dem iptables und Samba läuft, ist, dass die IP-Pakete entweder fallen gelassen werden (nicht SMB) oder von einer fähigen, modernen Implementierung gehandhabt werden. Dies bedeutet, dass die XP-Maschinen dies tun werden nur Empfangen von IP-Paketen, die von Samba auf dem Linux-Rechner generiert wurden. Diese sind bekanntermaßen nicht fehlerhaft. Ein Router, wie TomTom vorschlägt, leitet IP-Pakete weiter, aber ein Router weiß nichts über das SMB-Protokoll und leitet schlechte Pakete wie die, die WannaCry ausgelöst haben, weiter. Ja, die Überprüfung ist nicht energieeffizienter, aber Sicherheit sollte hier oberste Priorität haben. - MSalters


Diese Wochenend-News zu WannaCry hätten zweifelsfrei klarstellen müssen, dass Windows XP und ähnliche Systeme nach Möglichkeit ersetzt werden müssen.

Selbst wenn MS einen außergewöhnlichen Patch für dieses alte Betriebssystem veröffentlicht hat, gibt es keine Garantie, dass dies wieder passieren wird.


13
2018-05-16 13:16



Ja, aber kommen diese Viren nicht per E-Mail in das Unternehmen und surfen im Internet? Ist dies nicht durch die Tatsache abgedeckt, dass diese PCs keinen Internetzugang haben? Ich bin sicher, dass XP-PCs unsicher sind, wenn sie für Desktop-Anwendungen verwendet werden. Aber wenn nur eine App ohne Internet-Zugang läuft, muss das eine andere Situation sein? Oder was vermisse ich? - Thomas VDB
Sie sind jedoch mit einem SQL-Server verbunden. Was passiert, wenn Sie beim nächsten Mal mit einer anderen Malware infiziert werden und eine potenzielle Lücke in der SQL Server-Client-Implementierung verwenden? Solange eine Verbindung zu anderen Systemen besteht, besteht potentielle Gefahr. - Sven♦
@ThomasVDB: WannaCry hat zwei Möglichkeiten, sich zu verteilen. E-Mail-Anhänge sind eins, aber eine zweite Methode war über Dateifreigaben. Im Speziellen, Dateifreigaben Verwenden des älteren SMBv1-Protokolls. Microsoft hatte bereits im März 2017 Patches speziell für dieses Problem veröffentlicht. Da XP jedoch keine Unterstützung mehr hatte, veröffentlichte Microsoft zunächst keine XP-Version dieses SMBv1-Patches. Sie haben diese Entscheidung umgekehrt, nachdem WannaCry getroffen hat, aber nur für dieses spezifische Problem. - MSalters
Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access? - "Ich schließe meine Schlafzimmerfenster nicht, weil sie im zweiten Stock sind und es gibt keine Leiter draußen" ist eine Rechtfertigung, die einen Einbrecher niemals davon abhält, ein Haus zu durchbrechen. Wenn diese Maschinen in Ihren Zuständigkeitsbereich fallen und Sie Verantwortung tragen, müssen Sie sie patchen, unabhängig davon, wie hoch die Wahrscheinlichkeit ist, dass sie kompromittiert werden. - joeqwerty
Das wird einen Einbrecher stoppen, der viele Häuser mit offenen Fenstern im Erdgeschoss hat. Entschlossener Angreifer (technisch versierter verärgerter Angestellter oder Unternehmensspion) gegen opportunistischen Angreifer (Malware, Vandalen, Botnet-Builder). - rackandboneman


Wir verwenden einige Windows XP-Maschinen für bestimmte (ältere) Software, wir haben versucht, so viel wie möglich auf virtuelle Maschinen mit Oracle VirtualBox (kostenlos) zu verschieben, und ich würde empfehlen, dass Sie das Gleiche tun.

Dies bietet mehrere Vorteile;

Nummer 1 für Sie ist, dass Sie den Netzwerkzugriff der VM von außen sehr genau steuern können (ohne dass Sie etwas in Windows XP installieren müssen), und Sie profitieren vom Schutz des neueren Betriebssystems des Host-Rechners und der darauf ausgeführten Sicherheitssoftware.

Es bedeutet auch, dass Sie die VM über verschiedene physische Maschinen / Betriebssysteme hinweg bewegen können, wenn Upgrades oder Hardware-Ausfälle auftreten, sichern Sie sie einfach und speichern Sie einen Snapshot des Status "Bekannter guter Betrieb", bevor Sie Aktualisierungen / Änderungen vornehmen.

Wir verwenden eine VM pro Anwendung, um die Dinge super getrennt zu halten. Solange Sie die Boot-Laufwerk-UUID korrekt halten, hat die Windows XP-Installation nichts dagegen.

Dieser Ansatz bedeutet, dass wir eine VM für eine bestimmte Aufgabe hochfahren können, die eine minimale Windows XP-Installation und die eine erforderliche Software hat, ohne dass zusätzliche Kosten anfallen und nichts, was sie auslöst. Durch die Drosselung des Netzwerkzugriffs des Geräts wird die Sicherheitsanfälligkeit erheblich verringert und verhindert, dass Windows XP Sie mit Updates überraschen kann, die zu Störungen führen können.


5
2018-05-18 12:20



Dies kann zu Problemen führen, wenn die benutzerdefinierte Software benutzerdefinierte Hardware antreibt :) In anderen Fällen ermöglichen VMs und Snapshots bei Bedarf eine wirklich "schmutzige" Strategie: Führen Sie, bis gehackt, aus Snapshot wiederherstellen, spülen, wiederholen :) Make sicher wird nichts anderes getroffen, obwohl :) - rackandboneman
Das stimmt, aber heutzutage sind VMs in den meisten Fällen überraschend gut, und die Tatsache, dass Sie sie auf einem Hostcomputer ausführen können, der 10x so leistungsstark ist, hilft Ihnen dabei. Wenn die spezielle Software etwas besonders verwundbares tut, dann hast du nicht viele Optionen, aber wie du sagst, ist es nur eine geklonte VM, die gehackt wird und du kannst sie einfach starten und von frisch starten. - John U
Ich dachte daran, "Oddball-ISA-Karten wie GPIO, DAC / ADC oder IEEE-488-Schnittstellen zu fahren" :) Einer der klassischen Gründe, uralte Betriebssystemumgebungen zu haben. - rackandboneman
Nun ja, obwohl du heutzutage nur ein Raspberry Pi oder Arduino bist, um diese Art von Dingen zu replizieren oder zu verlinken. - John U


Wie zuvor vorgeschlagen, sollten Sie die Isolierung gegenüber dem Rest des Netzwerks verstärken.

Sich auf die Software auf der Maschine zu verlassen, ist schwach (weil sie auf dem Netzwerkstack des Betriebssystems beruht, der selbst anfällig sein kann). Ein dediziertes Subnetz wäre ein guter Anfang und eine VLAN-basierte Lösung besser (dies kann durch einen entschlossenen Angreifer ausgehebelt werden, aber es wird die meisten Angriffe von "Gelegenheitsverbrechen" für tot halten. NIC-Treiber müssen dies jedoch unterstützen). Ein dediziertes physisches Netzwerk (entweder über einen dedizierten Switch oder ein portbasiertes VLAN) ist am besten.


3
2018-05-17 19:11





Ja, sie müssen ersetzt werden. Jeder, der mit Windows XP-Computern arbeitet, die mit einem beliebigen Netzwerk nach dem Willen verbunden sind, bittet nur um Ärger.


-5
2018-05-17 11:32



-1, das fügt nichts hinzu, was in anderen Antworten nicht besser gesagt ist. - HopelessN00b