Windows XP-PCs im Firmennetzwerk

36

In unserem kleinen Unternehmen verwenden wir ungefähr 75 PCs. Server und Desktops / Laptops sind alle auf dem neuesten Stand und werden mit Panda Business Endpoint Protection und Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit) gesichert .

In unserer Produktionsumgebung laufen jedoch ungefähr 15 Windows XP-PCs. Sie sind mit dem Firmennetzwerk verbunden. Hauptsächlich für SQL-Konnektivitäts- und Protokollierungszwecke. Sie haben eingeschränkten Schreibzugriff auf die Server.

Die Windows XP-PCs werden nur für eine dedizierte (benutzerdefinierte) Produktionsanwendung verwendet. Keine Office-Software (E-Mail, Surfen, Büro, ...). Darüber hinaus verfügt jeder dieser XP-PCs über eine Panda-Webzugriffskontrolle, die keinen Internetzugang ermöglicht. Die einzigen Ausnahmen betreffen Windows- und Panda-Updates.

Müssen diese Windows XP-PCs aus Sicherheitsgründen durch neue PCs ersetzt werden?

Thomas VDB
quelle
3
Haben die XP-Rechner eine Verbindung zur Außenwelt? Oder hat die Außenwelt irgendwelche Verbindungen nach innen? Wenn sie alle "streng" intern sind ... haben wir XP-Maschinen, die von der Außenwelt "getrennt" sind (einige sind tatsächlich mit nichts verbunden) und "proprietäre" Software, die mit Maschinen interagiert, die dies nicht können leicht zu ersetzen ... Ersetzen ist eine andere Frage als sagen ... Ersetzen eines Webservers.
WernerCD
10
@Nav Wenn die einzigen Anbieter einer ganzen Hardware-Klasse nur Windows unterstützen, müssen sie natürlich Windows verwenden. Wenn diese Hardware Jahrzehnte dauert, müssen sie Windows XP oder 98 verwenden. Oder DOS. Wenn die Kosten für den Wechsel all ihrer Altsysteme und die Umschulung der Benutzer sehr hoch sind, tun sie dies in der Praxis.
Chris H
21
@Nav das ist eine unglaublich elitäre Einstellung zu haben. Die überwiegende Mehrheit der Mitarbeiter auf ein anderes Betriebssystem umzustellen, ist mit hohen Kosten und Lasten verbunden. Und zu sagen, dass Linux "viel besser und sicherer" ist, ist naiv. Wie misst du überhaupt "besser"? Wenn Linux die Verbreitung von Windows hätte, gäbe es für Linux ebenso viele Exploits und Risiken. Und es gibt eine Menge wilder Exploits, die auf Linux abzielen - haben wir Heartbleed bereits vergessen? Verschiedene Betriebssysteme haben für jede Zielgruppe unterschiedliche Vor- und Nachteile, und in diesem Zusammenhang sollten Entscheidungen getroffen werden.
Mark Henderson
3
@Nav Windows in einem Büro ist häufig eine Plattform für MS Office. Und trotz 20 Jahren Naivität in der Open-Source-Community ist MS Office in vielen Fällen immer noch unersetzlich :)
rackandboneman
3
@KhajakVahanyan Allein in diesem Jahr weist der Linux-Kernel die deutlichsten (öffentlichen) Sicherheitslücken auf, fast viermal so
viele

Antworten:

64

Ist es aus Sicherheitsgründen notwendig, diese XP-PCs durch neue PCs zu ersetzen?

Nein, es ist nicht erforderlich, die PCs auszutauschen. Es ist jedoch erforderlich, diese Betriebssysteme zu aktualisieren (dies kann auch das Ersetzen dieser PCs erforderlich machen - wir wissen es nicht. Wenn auf ihnen jedoch spezielle Hardware ausgeführt wird, kann der PC möglicherweise beibehalten werden).

Es gibt so viele reale Geschichten über angeblich "luftleere" PCs, die infiziert sind. Dies kann unabhängig von Ihrem Betriebssystem passieren, aber ein Super-altes, nicht aktualisiertes Betriebssystem macht es noch gefährdeter.

Vor allem, wenn es so klingt, als ob Ihre Computer durch eine Software- Einschränkung geschützt sind , die den Internetzugang blockiert. Dies ist wahrscheinlich leicht zu umgehen. (Warnung: Ich habe noch nie von dieser Panda-Webzugriffskontrolle gehört, aber sie sieht auf jeden Fall wie eine On-Host-Software aus).

Das Problem, mit dem Sie wahrscheinlich konfrontiert sind, ist die mangelnde Zusammenarbeit der Anbieter. Es ist möglich, dass Anbieter sich weigern, zu helfen, 100.000 US-Dollar für ein Upgrade in Rechnung stellen möchten oder dass sie schlichtweg pleite sind und die IP-Adresse weggeworfen wird.

Wenn dies der Fall ist, muss das Unternehmen ein Budget dafür aufstellen.

Wenn es wirklich keine andere Möglichkeit gibt, als ein 16 Jahre altes Betriebssystem ungepatcht laufen zu lassen (möglicherweise handelt es sich um eine millionenschwere CNC-Dreh- oder Fräsmaschine oder MRT), müssen Sie einige ernsthafte hardwarebasierte Host-Isolierungen vornehmen. Es wäre ein guter Anfang, diese Computer mit extrem restriktiven Firewall-Regeln auf ein eigenes VLAN zu stellen.


Es scheint, dass Sie diesbezüglich etwas Handarbeit benötigen.

  • Windows XP ist ein 16 Jahre altes Betriebssystem. Sechzehn Jahre alt . Lassen Sie das einwirken. Ich würde es mir zweimal überlegen, bevor ich mir ein 16 Jahre altes Auto kaufe, und sie stellen immer noch Ersatzteile für 16 Jahre alte Autos her. Für Windows XP gibt es keine "Ersatzteile".

  • Anhand der Geräusche haben Sie eine schlechte Host-Isolation. Nehmen wir an, dass bereits etwas in Ihr Netzwerk gelangt. Mit anderen Mitteln. Jemand steckt einen infizierten USB-Stick ein. Es scannt Ihr internes Netzwerk und verbreitet sich auf alles, was eine Schwachstelle aufweist, die es ausnutzen kann. Ein Mangel an Internetzugang spielt hier keine Rolle, da der Anruf aus dem Inneren des Hauses kommt

  • Dieses Panda-Sicherheitsprodukt scheint softwarebasierte Einschränkungen zu haben. Software kann manchmal leicht umgangen werden. Ich wette, eine anständige Malware könnte immer noch ins Internet gelangen, wenn das Einzige, was sie daran hindert, eine Software ist, die auf dem Netzwerkstapel läuft. Es könnte nur Administratorrechte erhalten und die Software oder den Dienst stoppen. So dass sie nicht wirklich haben keinen Internetzugang auf allen. Dies kommt auf die Host-Isolation zurück - mit der richtigen Host-Isolation könnten Sie sie tatsächlich aus dem Internet holen und möglicherweise den Schaden begrenzen, den sie Ihrem Netzwerk zufügen können.

Um ehrlich zu sein, sollten Sie das Ersetzen dieser Computer und / oder des Betriebssystems nicht rechtfertigen müssen . Sie werden zu Buchhaltungszwecken vollständig abgeschrieben. Sie haben wahrscheinlich das Ende jeglicher Gewährleistung oder des Supports des Hardwareherstellers überschritten. Sie haben definitiv jegliche Art von Support von Microsoft hinter sich (selbst wenn Sie Microsoft mit Ihrem Titan American Express konfrontiert werden). Sie werden immer noch nicht Ihr Geld nehmen).

Jedes Unternehmen, das daran interessiert ist, das Risiko und die Haftung zu verringern, hätte diese Maschinen vor Jahren ersetzt. Es gibt kaum eine Entschuldigung, um Arbeitsplätze in der Nähe zu halten. Ich habe oben einige gültige Ausreden aufgeführt (wenn es vollständig von allen Netzwerken getrennt ist und in einem Schrank wohnt und die Aufzugsmusik abspielt, die ich - KÖNNTE - ausgeben könnte). Es hört sich so an, als ob Sie keine gültige Entschuldigung dafür hätten, sie herumzulassen. Besonders jetzt, wo Sie wissen, dass sie da sind, und Sie den Schaden gesehen haben, der auftreten kann (ich nehme an, Sie haben dies als Antwort auf WannaCry / WannaCrypt geschrieben).

Mark Henderson
quelle
1
Hallo, ich muss erklären, warum es notwendig ist, diese alten XP-PCs zu ersetzen, obwohl sie keinen Internetzugang haben. Es ist also möglich, mir einige (halb-) technische Erklärungen zu geben, welche Situationen auftreten könnten. Die Tatsache, dass die Webzugriffskontrolle softwarebasiert ist, ist definitiv ein Anfang. Übrigens ist dies ein Link zur Panda- Webzugriffskontrolle
Thomas VDB
2
@ThomasVDB Ich habe meiner Antwort ein Update hinzugefügt
Mark Henderson
19

Ersatz könnte übertrieben sein. Richten Sie ein Gateway ein. Auf dem Gateway-Computer sollte Windows nicht ausgeführt werden. Linux ist wahrscheinlich die beste Wahl. Der Gateway-Computer sollte über zwei separate Netzwerkkarten verfügen. Die Windows XP-Computer befinden sich auf der einen Seite in einem Netzwerk, der Rest der Welt befindet sich auf der anderen Seite. Linux leitet den Datenverkehr nicht weiter.

Installieren Sie Samba und erstellen Sie Freigaben, auf die die XP-Maschinen schreiben können. Kopieren Sie eingehende Dateien an das endgültige Ziel. rsyncwäre die logische Wahl.

Mit iptablesblockieren Sie alle Ports außer denen, die für Samba verwendet werden. Blockieren Sie ausgehende Samba-Verbindungen auf der Seite mit XP-Maschinen (damit nichts auf die XP-Maschinen schreiben kann) und ** alle * eingehenden Verbindungen auf der anderen Seite (damit überhaupt nichts auf die Linux-Maschine schreiben kann) - möglicherweise mit einer einzigen Ausnahmebedingung für SSH, jedoch nur von der IP Ihres Management-PCs.

Um die XP-Maschinen zu hacken, muss jetzt ein Linux-Server dazwischen gehackt werden, wodurch alle Verbindungen, die von Nicht-XP-Seite eingehen, positiv abgelehnt werden. Dies wird als Tiefenverteidigung bezeichnet . Möglicherweise gibt es noch eine unglückliche Kombination von Fehlern, die es einem entschlossenen und sachkundigen Hacker ermöglichen, dies zu umgehen. Sie sprechen jedoch von einem Hacker, der speziell versucht, diese 15 XP-Computer in Ihrem Netzwerk zu hacken. Botnets, Viren und Würmer umgehen in der Regel nur eine oder zwei häufig auftretende Sicherheitslücken und funktionieren selten unter mehreren Betriebssystemen.

MSalters
quelle
3
Das könnte funktionieren. PFSense oder Monowall würden hier funktionieren, nein? Die PCs sollten weiterhin in der Lage sein, eine Verbindung zu unserem SQL Server herzustellen.
Thomas VDB
4
Ja, oder statt eines Gateway-Rechners kaufen Sie einfach einen kleinen, aber fähigen Router (Mikrotik) oder wie USD 40. Fertig. Verbraucht viel weniger Strom.
TomTom
-1, weil dies die Probleme des OP nicht lösen wird.
James Snell
6
@ JamesSnell: Das ist kein hilfreicher Kommentar. Warum hilft es nicht? Welche konkrete Sicherheitsbedrohung können Sie nennen, die dieses Setup umgeht?
MSalters
3
@ThomasVDB: Der Punkt eines Gateways, auf dem iptables und Samba ausgeführt werden, ist, dass die IP-Pakete entweder verworfen werden (nicht SMB) oder von einer leistungsfähigen, modernen Implementierung verarbeitet werden. Dies bedeutet, dass die XP-Computer nur IP-Pakete empfangen, die von Samba auf dem Linux-Computer generiert wurden. Es ist bekannt, dass diese nicht fehlerhaft sind. Ein Router, wie TomTom vorschlägt, leitet IP-Pakete weiter, aber ein Router kennt das SMB-Protokoll nicht und leitet fehlerhafte Pakete weiter, wie sie WannaCry ausgelöst haben. Ja, nicht prüfen ist energieeffizienter, aber Sicherheit sollte hier oberste Priorität haben.
MSalters
13

Die Wochenendnachrichten zu WannaCry hätten zweifelsohne deutlich machen müssen, dass es unbedingt erforderlich ist, Windows XP und ähnliche Systeme nach Möglichkeit zu ersetzen.

Auch wenn MS einen außergewöhnlichen Patch für dieses alte Betriebssystem veröffentlicht hat, gibt es überhaupt keine Garantie dafür, dass dies erneut passieren wird.

Sven
quelle
2
Ja, aber treten diese Viren nicht per E-Mail in das Unternehmen ein und surfen im Internet? Wird dies nicht dadurch abgedeckt, dass diese PCs keinen Internetzugang haben? Ich bin sicher, dass XP-PCs unsicher sind, wenn sie für Desktop-Anwendungen verwendet werden. Aber wenn nur eine App ohne Internet-Zugang läuft, muss das eine andere Situation sein? Oder was fehle ich?
Thomas VDB
2
Sie sind jedoch mit einem SQL-Server verbunden. Was passiert, wenn diese das nächste Mal mit einer anderen Malware infiziert werden und eine potenzielle Lücke in der SQL Server-Client-Implementierung schließen? Solange eine Verbindung zu anderen Systemen besteht, besteht potenzielle Gefahr.
Sven
13
@ThomasVDB: WannaCry hat zwei Möglichkeiten, sich zu verbreiten. E-Mail-Anhänge sind eine, aber eine zweite Methode war über Dateifreigaben. Insbesondere Dateifreigaben , die das ältere SMBv1-Protokoll verwenden. Microsoft hatte bereits im März 2017 Patches speziell für dieses Problem veröffentlicht. Da XP damals nicht mehr unterstützt wurde, hat Microsoft zunächst keine XP-Version dieses SMBv1-Patches veröffentlicht. Sie haben diese Entscheidung jetzt rückgängig gemacht, nachdem WannaCry sie getroffen hat, aber nur für dieses spezielle Problem.
MSalters
7
Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access?- "Ich schließe meine Schlafzimmerfenster nicht ab, weil sie sich im zweiten Stock befinden und draußen keine Leiter vorhanden ist" ist eine Rechtfertigung, die einen Einbrecher nie davon abgehalten hat, ein Haus zu überfallen. Wenn diese Maschinen in Ihren Verantwortungsbereich fallen, müssen Sie sie patchen, unabhängig davon, wie wahrscheinlich es ist, dass sie kompromittiert werden.
Joeqwerty
Das wird einen Einbrecher stoppen, der viele Häuser mit offenen Fenstern im Erdgeschoss hat. Entschlossener Angreifer (technisch versierter verärgerter Angestellter oder Unternehmensspion) gegen opportunistischer Angreifer (Malware, Vandalen, Botnet-Entwickler).
Rackandboneman
5

Wir verwenden einige Windows XP-Computer für bestimmte (Legacy-) Software. Wir haben versucht, mithilfe von Oracle VirtualBox (kostenlos) so weit wie möglich auf virtuelle Computer umzusteigen, und ich empfehle Ihnen, dasselbe zu tun.

Dies bietet mehrere Vorteile;

Die Nummer 1 für Sie ist, dass Sie den Netzwerkzugriff der VM von außen sehr genau steuern können (ohne irgendetwas innerhalb von Windows XP zu installieren), und dass Sie vom Schutz des neueren Betriebssystems des Host-Computers und der darauf ausgeführten Sicherheitssoftware profitieren.

Dies bedeutet auch, dass Sie die VM bei Upgrades oder Hardwarefehlern auf verschiedene physische Maschinen / Betriebssysteme verschieben können. Sie können auch problemlos eine Sicherungskopie des Status "Bekanntermaßen funktionsfähig" erstellen, bevor Sie Aktualisierungen / Änderungen vornehmen.

Wir verwenden eine VM pro Anwendung, um die Dinge super getrennt zu halten. Solange Sie die UUID des Startlaufwerks korrekt halten, hat die Windows XP-Installation nichts dagegen.

Dieser Ansatz bedeutet, dass wir eine VM für eine bestimmte Aufgabe starten können, für die eine minimale Windows XP-Installation und die erforderliche Software erforderlich sind, ohne dass ein zusätzliches Problem auftritt und nichts zu deren Beeinträchtigung erforderlich ist. Wenn Sie den Netzwerkzugriff des Computers drosseln, wird die Sicherheitsanfälligkeit erheblich verringert, und Windows XP kann Sie nicht mit Updates überraschen, die zu Fehlern oder Schlimmerem führen können.

John U.
quelle
Dies kann zu Problemen führen, wenn die angepasste Software zur Steuerung der angepassten Hardware vorhanden ist :) In allen anderen Fällen ermöglichen VMs und Snapshots bei Bedarf eine wirklich "schmutzige" Strategie: Bis zum Hacking ausführen, vom Snapshot wiederherstellen, ausspülen, wiederholen :) sicher, dass nichts anderes getroffen wird, obwohl :)
Rackandboneman
Stimmt, aber heutzutage sind VMs meistens überraschend gut, und die Tatsache, dass Sie sie auf einem Host-Computer ausführen können, der 10x so leistungsfähig ist, hilft. Wenn die spezielle Software etwas besonders Verwundbares tut, dann haben Sie nicht viele Optionen, aber wie Sie sagen, es ist zumindest eine geklonte VM, die gehackt wird und Sie können sie nuken und ganz einfach von vorne anfangen.
John U
Ich dachte, "Oddball-ISA-Karten wie GPIO-, DAC / ADC- oder IEEE-488-Schnittstellen fahren" :) Einer der klassischen Gründe, um alte Betriebssystemumgebungen zu haben.
Rackandboneman
Nun ja, obwohl Sie heutzutage nur ein Himbeer-Pi oder ein Arduino sind, der nicht in der Lage ist, solche Dinge zu replizieren oder mit ihnen zu kommunizieren.
John U
3

Erwägen Sie, wie bereits vorgeschlagen, die Isolierung gegenüber dem Rest des Netzwerks zu verstärken.

Das Verlassen auf Software auf dem Computer ist schwach (weil sie auf dem Netzwerkstapel des Betriebssystems beruht, der selbst anfällig sein kann). Ein dediziertes Subnetz wäre ein guter Anfang und eine VLAN-basierte Lösung besser (dies kann von einem entschlossenen Angreifer ausgenutzt werden, stoppt jedoch die meisten Angriffe, bei denen es sich um "Crimes of Opportunity" handelt. NIC-Treiber müssen dies jedoch unterstützen). Ein dediziertes physisches Netzwerk (entweder über einen dedizierten Switch oder ein portbasiertes VLAN) ist am besten geeignet.

Rackandboneman
quelle
-5

Ja, sie müssen ersetzt werden. Jeder, auf dem Windows XP-Computer ausgeführt werden, die nach WannaCry mit einem Netzwerk verbunden sind, bittet nur um Probleme.

Erlando
quelle
7
-1, das fügt nichts hinzu, was in anderen Antworten nicht besser gesagt wird.
HopelessN00b