Windows XP-PCs im Firmennetzwerk

In unserem kleinen Unternehmen verwenden wir ungefähr 75 PCs. Server und Desktops / Laptops sind alle auf dem neuesten Stand und werden mit Panda Business Endpoint Protection und Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit) gesichert .

In unserer Produktionsumgebung laufen jedoch ungefähr 15 Windows XP-PCs. Sie sind mit dem Firmennetzwerk verbunden. Hauptsächlich für SQL-Konnektivitäts- und Protokollierungszwecke. Sie haben eingeschränkten Schreibzugriff auf die Server.

Die Windows XP-PCs werden nur für eine dedizierte (benutzerdefinierte) Produktionsanwendung verwendet. Keine Office-Software (E-Mail, Surfen, Büro, ...). Darüber hinaus verfügt jeder dieser XP-PCs über eine Panda-Webzugriffskontrolle, die keinen Internetzugang ermöglicht. Die einzigen Ausnahmen betreffen Windows- und Panda-Updates.

Müssen diese Windows XP-PCs aus Sicherheitsgründen durch neue PCs ersetzt werden?

Ist es aus Sicherheitsgründen notwendig, diese XP-PCs durch neue PCs zu ersetzen?

Nein, es ist nicht erforderlich, die PCs auszutauschen. Es ist jedoch erforderlich, diese Betriebssysteme zu aktualisieren (dies kann auch das Ersetzen dieser PCs erforderlich machen - wir wissen es nicht. Wenn auf ihnen jedoch spezielle Hardware ausgeführt wird, kann der PC möglicherweise beibehalten werden).

Es gibt so viele reale Geschichten über angeblich "luftleere" PCs, die infiziert sind. Dies kann unabhängig von Ihrem Betriebssystem passieren, aber ein Super-altes, nicht aktualisiertes Betriebssystem macht es noch gefährdeter.

Vor allem, wenn es so klingt, als ob Ihre Computer durch eine Software- Einschränkung geschützt sind , die den Internetzugang blockiert. Dies ist wahrscheinlich leicht zu umgehen. (Warnung: Ich habe noch nie von dieser Panda-Webzugriffskontrolle gehört, aber sie sieht auf jeden Fall wie eine On-Host-Software aus).

Das Problem, mit dem Sie wahrscheinlich konfrontiert sind, ist die mangelnde Zusammenarbeit der Anbieter. Es ist möglich, dass Anbieter sich weigern, zu helfen, 100.000 US-Dollar für ein Upgrade in Rechnung stellen möchten oder dass sie schlichtweg pleite sind und die IP-Adresse weggeworfen wird.

Wenn dies der Fall ist, muss das Unternehmen ein Budget dafür aufstellen.

Wenn es wirklich keine andere Möglichkeit gibt, als ein 16 Jahre altes Betriebssystem ungepatcht laufen zu lassen (möglicherweise handelt es sich um eine millionenschwere CNC-Dreh- oder Fräsmaschine oder MRT), müssen Sie einige ernsthafte hardwarebasierte Host-Isolierungen vornehmen. Es wäre ein guter Anfang, diese Computer mit extrem restriktiven Firewall-Regeln auf ein eigenes VLAN zu stellen.

Es scheint, dass Sie diesbezüglich etwas Handarbeit benötigen.

• Windows XP ist ein 16 Jahre altes Betriebssystem. Sechzehn Jahre alt . Lassen Sie das einwirken. Ich würde es mir zweimal überlegen, bevor ich mir ein 16 Jahre altes Auto kaufe, und sie stellen immer noch Ersatzteile für 16 Jahre alte Autos her. Für Windows XP gibt es keine "Ersatzteile".

• Anhand der Geräusche haben Sie eine schlechte Host-Isolation. Nehmen wir an, dass bereits etwas in Ihr Netzwerk gelangt. Mit anderen Mitteln. Jemand steckt einen infizierten USB-Stick ein. Es scannt Ihr internes Netzwerk und verbreitet sich auf alles, was eine Schwachstelle aufweist, die es ausnutzen kann. Ein Mangel an Internetzugang spielt hier keine Rolle, da der Anruf aus dem Inneren des Hauses kommt

• Dieses Panda-Sicherheitsprodukt scheint softwarebasierte Einschränkungen zu haben. Software kann manchmal leicht umgangen werden. Ich wette, eine anständige Malware könnte immer noch ins Internet gelangen, wenn das Einzige, was sie daran hindert, eine Software ist, die auf dem Netzwerkstapel läuft. Es könnte nur Administratorrechte erhalten und die Software oder den Dienst stoppen. So dass sie nicht wirklich haben keinen Internetzugang auf allen. Dies kommt auf die Host-Isolation zurück - mit der richtigen Host-Isolation könnten Sie sie tatsächlich aus dem Internet holen und möglicherweise den Schaden begrenzen, den sie Ihrem Netzwerk zufügen können.

Um ehrlich zu sein, sollten Sie das Ersetzen dieser Computer und / oder des Betriebssystems nicht rechtfertigen müssen . Sie werden zu Buchhaltungszwecken vollständig abgeschrieben. Sie haben wahrscheinlich das Ende jeglicher Gewährleistung oder des Supports des Hardwareherstellers überschritten. Sie haben definitiv jegliche Art von Support von Microsoft hinter sich (selbst wenn Sie Microsoft mit Ihrem Titan American Express konfrontiert werden). Sie werden immer noch nicht Ihr Geld nehmen).

Jedes Unternehmen, das daran interessiert ist, das Risiko und die Haftung zu verringern, hätte diese Maschinen vor Jahren ersetzt. Es gibt kaum eine Entschuldigung, um Arbeitsplätze in der Nähe zu halten. Ich habe oben einige gültige Ausreden aufgeführt (wenn es vollständig von allen Netzwerken getrennt ist und in einem Schrank wohnt und die Aufzugsmusik abspielt, die ich - KÖNNTE - ausgeben könnte). Es hört sich so an, als ob Sie keine gültige Entschuldigung dafür hätten, sie herumzulassen. Besonders jetzt, wo Sie wissen, dass sie da sind, und Sie den Schaden gesehen haben, der auftreten kann (ich nehme an, Sie haben dies als Antwort auf WannaCry / WannaCrypt geschrieben).

Ersatz könnte übertrieben sein. Richten Sie ein Gateway ein. Auf dem Gateway-Computer sollte Windows nicht ausgeführt werden. Linux ist wahrscheinlich die beste Wahl. Der Gateway-Computer sollte über zwei separate Netzwerkkarten verfügen. Die Windows XP-Computer befinden sich auf der einen Seite in einem Netzwerk, der Rest der Welt befindet sich auf der anderen Seite. Linux leitet den Datenverkehr nicht weiter.

Installieren Sie Samba und erstellen Sie Freigaben, auf die die XP-Maschinen schreiben können. Kopieren Sie eingehende Dateien an das endgültige Ziel. rsyncwäre die logische Wahl.

Mit iptablesblockieren Sie alle Ports außer denen, die für Samba verwendet werden. Blockieren Sie ausgehende Samba-Verbindungen auf der Seite mit XP-Maschinen (damit nichts auf die XP-Maschinen schreiben kann) und ** alle * eingehenden Verbindungen auf der anderen Seite (damit überhaupt nichts auf die Linux-Maschine schreiben kann) - möglicherweise mit einer einzigen Ausnahmebedingung für SSH, jedoch nur von der IP Ihres Management-PCs.

Um die XP-Maschinen zu hacken, muss jetzt ein Linux-Server dazwischen gehackt werden, wodurch alle Verbindungen, die von Nicht-XP-Seite eingehen, positiv abgelehnt werden. Dies wird als Tiefenverteidigung bezeichnet . Möglicherweise gibt es noch eine unglückliche Kombination von Fehlern, die es einem entschlossenen und sachkundigen Hacker ermöglichen, dies zu umgehen. Sie sprechen jedoch von einem Hacker, der speziell versucht, diese 15 XP-Computer in Ihrem Netzwerk zu hacken. Botnets, Viren und Würmer umgehen in der Regel nur eine oder zwei häufig auftretende Sicherheitslücken und funktionieren selten unter mehreren Betriebssystemen.

Die Wochenendnachrichten zu WannaCry hätten zweifelsohne deutlich machen müssen, dass es unbedingt erforderlich ist, Windows XP und ähnliche Systeme nach Möglichkeit zu ersetzen.

Auch wenn MS einen außergewöhnlichen Patch für dieses alte Betriebssystem veröffentlicht hat, gibt es überhaupt keine Garantie dafür, dass dies erneut passieren wird.

Wir verwenden einige Windows XP-Computer für bestimmte (Legacy-) Software. Wir haben versucht, mithilfe von Oracle VirtualBox (kostenlos) so weit wie möglich auf virtuelle Computer umzusteigen, und ich empfehle Ihnen, dasselbe zu tun.

Dies bietet mehrere Vorteile;

Die Nummer 1 für Sie ist, dass Sie den Netzwerkzugriff der VM von außen sehr genau steuern können (ohne irgendetwas innerhalb von Windows XP zu installieren), und dass Sie vom Schutz des neueren Betriebssystems des Host-Computers und der darauf ausgeführten Sicherheitssoftware profitieren.

Dies bedeutet auch, dass Sie die VM bei Upgrades oder Hardwarefehlern auf verschiedene physische Maschinen / Betriebssysteme verschieben können. Sie können auch problemlos eine Sicherungskopie des Status "Bekanntermaßen funktionsfähig" erstellen, bevor Sie Aktualisierungen / Änderungen vornehmen.

Wir verwenden eine VM pro Anwendung, um die Dinge super getrennt zu halten. Solange Sie die UUID des Startlaufwerks korrekt halten, hat die Windows XP-Installation nichts dagegen.

Dieser Ansatz bedeutet, dass wir eine VM für eine bestimmte Aufgabe starten können, für die eine minimale Windows XP-Installation und die erforderliche Software erforderlich sind, ohne dass ein zusätzliches Problem auftritt und nichts zu deren Beeinträchtigung erforderlich ist. Wenn Sie den Netzwerkzugriff des Computers drosseln, wird die Sicherheitsanfälligkeit erheblich verringert, und Windows XP kann Sie nicht mit Updates überraschen, die zu Fehlern oder Schlimmerem führen können.

Erwägen Sie, wie bereits vorgeschlagen, die Isolierung gegenüber dem Rest des Netzwerks zu verstärken.

Das Verlassen auf Software auf dem Computer ist schwach (weil sie auf dem Netzwerkstapel des Betriebssystems beruht, der selbst anfällig sein kann). Ein dediziertes Subnetz wäre ein guter Anfang und eine VLAN-basierte Lösung besser (dies kann von einem entschlossenen Angreifer ausgenutzt werden, stoppt jedoch die meisten Angriffe, bei denen es sich um "Crimes of Opportunity" handelt. NIC-Treiber müssen dies jedoch unterstützen). Ein dediziertes physisches Netzwerk (entweder über einen dedizierten Switch oder ein portbasiertes VLAN) ist am besten geeignet.

Ja, sie müssen ersetzt werden. Jeder, auf dem Windows XP-Computer ausgeführt werden, die nach WannaCry mit einem Netzwerk verbunden sind, bittet nur um Probleme.