公司网络中的Windows XP PC

在我们的小型企业中，我们使用大约75台PC。服务器和台式机/笔记本电脑都是最新的，并使用Panda Business Endpoint Protection 和 Malwarebytes Business Endpoint Security（MBAM + Ant-Exploit）进行保护。

但是，在我们的生产环境中，大约有15台Windows XP PC正在运行。它们已连接到公司网络。主要用于SQL连接和日志记录目的。他们对服务器的写访问权限有限。

Windows XP PC仅用于一种专用（自定义）生产应用程序。没有办公软件（电子邮件，浏览，办公等）。此外，这些XP-PC均具有熊猫Web访问控制，该访问控制不允许Internet访问。唯一的例外是Windows和Panda更新。

从安全的角度来看，是否有必要用新PC取代这些Windows XP PC？

从安全角度来看，是否有必要用新的PC替换这些XP-PC。

不，没有必要更换PC。但是有必要升级那些操作系统（这可能还涉及更换这些PC，我们不知道。但是，如果它们运行的​​是专用硬件，则可以保留PC）。

关于所谓的“气隙式” PC被感染的真实故事有很多。无论您使用哪种操作系统，都可能发生这种情况，但是拥有超级旧的未更新操作系统会使它面临更大的风险。

尤其是听起来您的计算机受到阻止互联网访问的软件限制所保护。这很容易绕开。（注意：我从未听说过该Panda Web访问控制，但它看起来确实像主机软件）。

您可能会遇到的问题是缺乏供应商合作。供应商可能会拒绝提供帮助，想收取100,000美元的升级费用，或者完全破产而将IP扔掉。

如果是这种情况，这是公司需要预算的事情。

如果真的别无选择，只能保持16年的未运行补丁程序的操作系统（也许是一百万美元的CNC车床或铣床或MRI），那么您需要做一些基于硬件的严肃的主机隔离。将这些计算机置于具有严格限制的防火墙规则的自己的vlan上将是一个不错的开始。

在这方面您似乎需要一些帮助，这是怎么回事：

• Windows XP是16年的操作系统。十六岁。让那陷入沉思。在购买一辆十六岁的汽车之前，我会三思而后行，他们仍然为16岁的汽车制造零件。Windows XP没有“备件”。

• 听起来，您的主机隔离很差。假设有些东西已经进入您的网络。通过其他方式。有人插入了受感染的USB记忆棒。它会扫描您的内部网络，并传播到任何可以利用的漏洞。这里没有互联网接入是无关紧要的，因为电话是从屋子里打来的

• 该熊猫安全产品看起来像是基于软件的限制。有时可以轻松绕过软件。我敢打赌，如果阻止该恶意软件的唯一一件事是在网络堆栈顶部运行的某个软件，它仍然可以进入互联网。它可能只是获得管理员权限并停止软件或服务。因此，他们并不真正具备完全没有互联网接入。这又回到了主机隔离-通过适当的主机隔离，您实际上可以使它们脱离Internet，并可能限制它们可能对您的网络造成的损害。

不过，老实说，您无需证明更换这些计算机和/或操作系统的合理性。它们将出于会计目的而全面折旧，它们很可能已经超出了硬件供应商提供的任何保修或支持的期限，绝对超过了Microsoft的任何形式的支持（即使您面对Microsoft的钛金属美国运通卡，他们仍然不会拿走您的钱）。

任何对降低风险和责任感感兴趣的公司都将在几年前更换这些机器。几乎没有任何理由可以保留工作站。我在上面列出了一些有效的借口（如果它与所有网络完全断开，并且生活在壁橱中，并且运行电梯音乐，我可能会-可能-通过）。听起来您没有任何有效的借口让他们离开。尤其是现在您已经知道它们在那里，并且您已经看到可能发生的损坏（我假设您是为了回应WannaCry / WannaCrypt而写的）。

更换可能是过大的。设置网关。网关机器应该不运行Windows; Linux可能是最佳选择。网关计算机应具有两个单独的网卡。Windows XP计算机的一侧将位于一个网络上，其余部分位于另一侧。Linux不会路由流量。

安装Samba，并共享要写入的XP计算机。将传入文件复制到最终目的地。rsync将是合乎逻辑的选择。

使用iptables，阻止除用于Samba的端口以外的所有端口。在拥有XP机器的那一侧阻止出站Samba连接（这样一来，任何东西都无法写入XP机器），而在另一侧阻止** all *入站连接（因此，什么都无法写入Linux机器）-也许只有一个SSH的硬编码例外，但仅来自管理PC的IP。

要破解XP机器，现在需要破解之间的Linux服务器，这肯定会拒绝来自非XP端的所有连接。这就是所谓的纵深防御。虽然仍然可能存在一些不幸的错误组合，这些错误组合会让确定的，知识渊博的黑客绕过此漏洞，但您在谈论的是一个专门试图入侵网络上15台XP计算机的黑客。僵尸网络，病毒和蠕虫通常只能绕过一个或两个常见漏洞，很少能跨多个操作系统工作。

本周末有关WannaCry的新闻应该清楚地表明，在可能的情况下绝对有必要更换Windows XP和类似系统。

即使MS为这个古老的操作系统发布了一个非凡的补丁程序，也无法完全保证再次发生这种情况。

我们将某些Windows XP机器用于特定的（旧版）软件，我们已尝试使用Oracle VirtualBox（免费）将尽可能多的虚拟机迁移到虚拟机，我建议您也这样做。

这带来了几个好处；

对您来说，第一要点是您可以从外部非常严密地控制VM的网络访问（无需在Windows XP内安装任何东西），并且可以从保护主机的较新OS和运行在其上的任何安全软件中受益。

这也意味着您可以在升级或发生硬件故障时在不同的物理机/操作系统上移动VM，轻松备份它，包括能够在应用任何更新/更改之前保存“已知正常工作”状态的快照。

我们为每个应用程序使用一个VM，以保持事物的超级隔离。只要保持启动驱动器UUID正确，Windows XP安装就不会在意。

这种方法意味着我们可以为一个给定的任务启动一个VM，该任务只需安装最少的Windows XP和一个软件，而无需额外花钱，也无需进行任何操作。限制计算机的网络访问权限可大大减少漏洞，并防止Windows XP进行任何可能会破坏事情甚至变得更糟的更新，使您感到惊讶。

正如之前有人建议的那样，请考虑加强与网络其余部分的隔离。

依靠机载软件的能力很弱（因为它依赖于OS网络堆栈，而OS网络堆栈本身可能也很脆弱）。专用子网将是一个好的开始，而更好的是基于VLAN的解决方案（可以由坚定的攻击者利用，但这将阻止大多数“机会犯罪”攻击的死亡。但是，NIC驱动程序需要对此提供支持）。最好使用专用物理网络（通过专用交换机或基于端口的VLAN）。

是的，它们需要更换。在WannaCry之后，任何运行Windows XP计算机并连接到任何类型的网络的人都在自找麻烦。