企業ネットワーク内のWindows XP PC

36

小規模ビジネスでは、約75台のPCを使用しています。サーバーとデスクトップ/ラップトップはすべて最新であり、Panda Business Endpoint Protection と Malwarebytes Business Endpoint Security（MBAM + Ant-Exploit）を使用して保護されています。

ただし、運用環境では、約15台のWindows XP PCを実行しています。それらは会社のネットワークに接続されています。主にSQL接続とロギングの目的のため。サーバーへの書き込みアクセスが制限されています。

Windows XP PCは、1つの専用（カスタム）本番アプリケーションにのみ使用されます。オフィスソフトウェア（メール、ブラウジング、オフィスなど）はありません。さらに、これらのXP-PCのそれぞれには、インターネットアクセスを許可しないPanda Webアクセスコントロールがあります。唯一の例外は、WindowsおよびPanda更新プログラムです。

セキュリティの観点から、これらのWindows XP PCを新しいPCに置き換える必要がありますか？

security windows-xp

— トーマスVDB
ソース

3

XPマシンは外部と接続していますか？または、外部の世界は内部に接続していますか？それらがすべて「厳密に」内部にある場合...私のビジネスでは、外の世界から「切断」されたXPマシン（実際には何にも接続されていないもの）があり、簡単に交換できます...それらの交換は、Webサーバーの交換とは異なります。

— WernerCD

10

@Navハードウェアのクラス全体の唯一のベンダーがウィンドウのみをサポートしている場合、当然、彼らはウィンドウを使用する必要があります。そのハードウェアが数十年続く場合、Windows XPまたは98を使用する必要があります。またはDOS。すべてのレガシーシステムを切り替えてユーザーを再トレーニングするコストが莫大な場合、実際にそれを行います。

— クリスH

21

@Navそれは信じられないほどエリートな態度です。従業員の大部分を別のオペレーティングシステムに切り替えるには、多大な費用と負担がかかります。そして、Linuxが「はるかに良く安全だ」と言うのは単純です。どのように「より良い」と評価しますか？LinuxにWindowsのような浸透性があれば、Linuxには同じくらい多くのエクスプロイトとリスクがあります。そして、Linuxを狙った野生のエクスプロイトがたくさんあります-私たちはすでに悲しみを忘れていましたか？オペレーティングシステムが異なれば、視聴者ごとに長所と短所が異なるため、そのコンテキストで決定する必要があります。

— マークヘンダーソン

3

オフィスの@Nav Windowsは、多くの場合MS Officeのプラットフォームです。また、MS Officeは、オープンソースコミュニティでの20年間の素朴さにもかかわらず、多くの場合、かけがえのないものです。:)

— rackandboneman

3

今年だけで@KhajakVahanyan のLinuxカーネルで最も明確な（パブリック）の脆弱性はWindows 2008のほぼ4倍の持っている

— Martheen

64

セキュリティの観点から、これらのXP-PCを新しいPCに置き換える必要がありますか。

いいえ、PCを交換する必要はありません。しかし、ある、それらのオペレーティングシステムをアップグレードする必要が（これはもまた、それらのPCを置き換える関与-私たちは知らない。しかし、彼らは特別なハードウェアを実行している場合、PCを維持することが可能です。）。

おそらく「エアギャップ」のPCが感染しているという実世界の話がたくさんあります。これはオペレーティングシステムに関係なく発生する可能性がありますが、更新されていない古いオペレーティングシステムを使用すると、さらに危険にさらされます。

特に、インターネットアクセスをブロックするソフトウェアの制限によってコンピューターが保護されているように思えます。これは簡単にバイパスできます。（注意：このPanda Webアクセス制御について聞いたことがありませんが、確かにオンホストソフトウェアのように見えます）。

あなたが直面する可能性が高い問題は、ベンダーの協力の欠如です。ベンダーが支援を拒否したり、アップグレードに100,000ドルを請求したり、明白に破産してIPが破棄されたりする可能性があります。

この場合、これは会社が予算を立てる必要があるものです。

16年前のオペレーティングシステムをパッチなしで実行する以外に選択肢がない場合（これは100万ドルのCNC旋盤、フライス盤、MRIなど）、ハードウェアベースの深刻なホスト分離を行う必要があります。非常に制限の厳しいファイアウォールルールを使用してこれらのマシンを独自のVLANに配置することは、良いスタートです。

この点で手で持っておく必要があるように見えるので、これはどうですか：

Windows XPは16年前のオペレーティングシステムです。16歳です。それを沈めましょう。16歳の車を買う前に二度考えますが、彼らはまだ16歳の車のスペアパーツを作っています。Windows XPには「スペアパーツ」はありません。
その音により、ホストの隔離が不十分になります。ネットワーク内に既に何かが入っているとしましょう。他の手段によって。誰かが感染したUSBスティックに接続します。それはあなたの内部ネットワークをスキャンし、それが悪用する可能性のある脆弱性を持つものに伝播します。電話は家の中から来るので、インターネットアクセスの欠如はここでは無関係です。
このPandaセキュリティ製品は、ソフトウェアベースの制限のように見えます。ソフトウェアは簡単にバイパスできる場合があります。ネットワークスタックの最上位で実行されているソフトウェアが唯一のマルウェアである場合、まともなマルウェアがインターネットに流出する可能性があります。管理者権限を取得し、ソフトウェアまたはサービスを停止するだけです。したがって、彼らは実際にはインターネットにまったくアクセスできません。あなたが実際にインターネットからそれらを取得し、可能性があり、適切なホスト隔離と-これは戻ってホスト隔離に来るかもしれない、彼らはあなたのネットワークに行うことができます損傷を制限します。

正直なところ、これらのコンピューターやオペレーティングシステムの交換を正当化する必要はありません。それらは会計上の目的で完全に減価され、ハードウェアベンダーからの保証やサポートが終了する可能性が高くなります。彼らはまだあなたのお金を取りません）。

リスクと責任の軽減に関心のある企業は、何年も前にそれらのマシンを交換していました。ワークステーションを維持する言い訳はほとんどありません。上記のいくつかの有効な言い訳をリストしました（すべてのネットワークから完全に切断され、クローゼットに住んでいて、エレベータ音楽を実行する場合は-MIGHT-パスを与えます）。あなたがそれらを残すための有効な言い訳がないように聞こえます。特に今、あなたはそれらがそこにあることを知っており、あなたは起こりうる損害を見てきました（WannaCry / WannaCryptへの応答としてこれを書いていたと思います）。

— マーク・ヘンダーソン
ソース

1

こんにちは、これらの古いXP-PCをインターネットにアクセスできないにもかかわらず交換する必要がある理由を説明する必要があります。したがって、どのような状況が発生する可能性があるかを、（半）技術的な説明をいくつか与えることができます。Webアクセス制御がソフトウェアベースであるという事実は、間違いなく始まりです。ところで、これはPanda Webアクセスコントロールへのリンクです：pandasecurity.com/usa/support/card?id

— Thomas VDB

2

@ThomasVDB私は私の答えに更新を追加しました

— マークヘンダーソン

19

交換はやり過ぎかもしれません。ゲートウェイをセットアップします。ゲートウェイマシンでWindowsを実行しないでください。Linuxがおそらく最良の選択です。ゲートウェイマシンには、2つの別個のネットワークカードが必要です。Windows XPマシンは一方のネットワーク上にあり、残りの世界はもう一方のネットワーク上にあります。Linuxはトラフィックをルーティングしません。

Sambaをインストールし、XPマシンが書き込む共有を作成します。着信ファイルを最終的な宛先に転送します。rsync論理的な選択になります。

を使用してiptables、Sambaに使用されるポートを除くすべてのポートをブロックします。XPマシンがある側で送信Samba接続をブロックし（したがって、XPマシンに書き込みができないように）、反対側で**すべて*インバウンド接続をブロックします（したがって、Linuxマシンに書き込みができない）-おそらく単一SSHのハードコードされた例外ですが、管理PCのIPからのみです。

XPマシンをハッキングするには、その間にLinuxサーバーをハッキングする必要があります。これは、非XP側から入ってくるすべての接続を積極的に拒否します。これは、多層防御と呼ばれるものです。決定的で知識豊富なハッカーがこれを回避することができる不幸なバグの組み合わせがまだ存在する可能性はありますが、ネットワーク上のこれら15のXPマシンをハッキングしようとしているハッカーについて話していることになります。ボットネット、ウイルス、およびワームは通常、1つまたは2つの一般的な脆弱性のみをバイパスでき、複数のオペレーティングシステムで動作することはほとんどありません。

— MSalters
ソース

3

それはうまくいくかもしれません。PFSenseまたはモノウォールはここで機能しますか？PCは引き続きSQL Serverに接続できるはずです。

— トーマスVDB

4

ええ、またはゲートウェイマシンの代わりに、小さくても機能的なルーター（Mikrotik）または40米ドル程度を購入するだけです。完了。より少ない電力を使用します。

— -TomTom

-1。これはOPの問題を解決しないためです。

— ジェームズスネル

6

@JamesSnell：それは有用なコメントではありません。なぜ役に立たないのですか？このセットアップを回避する具体的なセキュリティ上の脅威は何ですか？

— –MSalters

3

@ThomasVDB：iptablesとSambaを実行しているゲートウェイのポイントは、IPパケットが（SMBではなく）ドロップされるか、最新の有能な実装によって処理されることです。つまり、XPマシンは、Linuxマシン上のSambaによって生成されたIPパケットのみを受信します。これらは不正な形式ではないことが知られています。TomTomが示唆するように、ルーターはIPパケットを転送しますが、ルーターはSMBプロトコルを知らず、WannaCryをトリガーしたような不良パケットを転送します。はい、チェックしないほうがエネルギー効率が良くなりますが、ここではセキュリティが最優先事項です。

— –MSalters

13

WannaCryに関するこの週末のニュースは、Windows XPおよび同様のシステムを可能な限り交換することが絶対に必要であることを疑いなく明確にすべきでした。

MSがこの古代のOSの特別なパッチをリリースしたとしても、これが再び起こるという保証はまったくありません。

— スベン
ソース

2

はい。ただし、これらのウイルスは電子メールやWebの閲覧によって会社に入りませんか？これは、これらのPCにインターネットアクセスがないという事実でカバーされていませんか？XP PCはデスクトップアプリケーションに使用すると安全でないと確信しています。しかし、インターネットにアクセスせずに1つのアプリのみを実行する場合は、別の状況でなければなりませんか？または私は何が欠けていますか？

— トーマスVDB

2

しかし、それらはSQLサーバーに接続されています。次回、別のマルウェアに感染し、SQLサーバークライアントの実装に潜在的なホールを使用するとどうなりますか？他のシステムへの接続がある限り、潜在的な危険があります。

— スヴェン

13

@ThomasVDB：WannaCryには、自身を配布する2つの方法があります。電子メールの添付ファイルは1つですが、2つ目の方法はファイル共有を使用する方法です。特に、古いSMBv1プロトコルを使用したファイル共有。マイクロソフトは2017年3月にその問題専用のパッチをリリースしましたが、XPがサポート対象外であったため、マイクロソフトは当初そのSMBv1パッチのXPバージョンをリリースしませんでした。WannaCryがヒットしたので、彼らはその決定を覆しましたが、これはこの特定の問題のためだけです。

— MSalters

7

Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access?

- 「寝室の窓は2階にあり、外にはしごがないので、私は寝室の窓をロックしません」は、強盗が家を強盗することを一度も止めなかった理由です。これらのマシンがあなたの範囲と責任に該当する場合、侵害される可能性があると思われるものに関係なく、それらにパッチを適用する必要があります。

— joeqwerty

それは、開いた地面の窓が利用できる家がたくさんある強盗を止めます。決定的な攻撃者（技術的に不満な従業員または企業スパイ）対日和見主義の攻撃者（マルウェア、破壊者、ボットネットビルダー）。

— rackandboneman

5

特定の（レガシー）ソフトウェアにいくつかのWindows XPマシンを使用し、Oracle VirtualBox（無料）を使用して仮想マシンに可能な限り移動しようとしました。同じことを行うことをお勧めします。

これにはいくつかの利点があります。

一番の理由は、VMのネットワークアクセスを外部から非常に厳密に（Windows XPに何もインストールせずに）制御できることです。また、ホストマシンの新しいOSとその上で実行されているセキュリティソフトウェアの保護から恩恵を受けます。

また、アップグレードまたはハードウェア障害が発生したときに、異なる物理マシン/オペレーティングシステム間でVMを移動でき、更新/変更を適用する前に「正常に動作している」状態のスナップショットを保存できるなど、簡単にバックアップできます。

アプリケーションごとに1つのVMを使用して、物事を極度に分離します。ブートドライブのUUIDが正しい限り、Windows XPのインストールは問題ありません。

このアプローチは、最小限のWindows XPインストールと1つのソフトウェアが必要な特定のタスクに対してVMをスピンアップできることを意味します。マシンのネットワークアクセスを調整することにより、脆弱性が大幅に軽減され、Windows XPが事態を悪化または悪化させる可能性のある更新プログラムに驚くことを防ぎます。

— ジョン・U
ソース

カスタムソフトウェアがカスタムハードウェアを駆動するために存在する場合、これにより問題が発生する可能性があります:)それ以外の場合、VMとスナップショットは、必要に応じて本当に「ダーティ」な戦略を可能にします：ハッキングされるまで実行、スナップショットから復元、リンス、繰り返し:)ただし、他に何もヒットしないことは確かです:)

— rackandboneman

確かに、最近ではVMのほとんどが驚くほど優れており、10倍強力なホストマシンで実行できるという事実が役立ちます。特別なソフトウェアが特に脆弱な何かをしている場合、多くのオプションはありませんが、あなたが言うように、少なくともハッキングされるのはクローンVMであり、それを破棄して簡単に新鮮な状態から始めることができます。

— ジョンU

「GPIO、DAC / ADC、IEEE-488インターフェイスのような奇数ボールISAカードを駆動する」ことを考えていました。

— rackandboneman

ええ、最近はあなたはそのようなことを複製したりインターフェースしたりすることから離れて、Raspberry PiまたはArduinoに過ぎません。

— ジョンU

3

誰かが以前に提案したように、ネットワークの残りの部分への分離を強化することを検討してください。

マシン上のソフトウェアに依存することは脆弱です（OSネットワークスタックに依存しているため、脆弱性が発生する可能性があります）。専用のサブネットは良い出発点であり、VLANベースのソリューションの方が優れています（これは決意のある攻撃者が活用できますが、ほとんどの「機会の犯罪」攻撃を阻止します。NICドライバーはこれをサポートする必要があります）。専用の物理ネットワーク（専用のスイッチまたはポートベースのVLANを介した）が最適です。

— Rackandboneman
ソース

-5

はい、交換する必要があります。WannaCry後のあらゆる種類のネットワークに接続されたWindows XPマシンを実行している人は誰でも、単にトラブルを求めています。

— エルランド
ソース

7

-1、これは他の回答で良く言われていないものを追加しません。

— HopelessN00b