我的公司(负责许多其他事情)负责一个小型networking,只有几台服务器和大约50台工作站。 他们希望我帮助该networking的当前pipe理员。
networking由Windows NT 4.0和Windows 2000 Server组成,客户端为Windows 2000和Windows XP。 所有遗留系统的唯一原因是许可成本。 networking是NAT,工作站通过(linux)代理访问互联网。
pipe理员似乎不担心networking的安全。 他的论点是这样的:
Windows NT和Windows 2000没有已知的漏洞,而且发现新的漏洞是不太可能的,因为没有人会把精力投入到那些旧的系统中。 即使存在漏洞,也不会成为问题,因为工作站与互联网没有直接的联系。
你可以给我一些坚实的论点,从安全的angular度来看,为什么升级到Windows仍然支持的Windows版本是不可避免的?
如果你认为pipe理员是正确的,我错了,我也想听到这个。
Windows NT,Server 2000和Windows 2000现在被微软视为终结。 这意味着,如果在这些操作系统上发现任何新的安全漏洞,Microsoft将不会努力创build安全补丁。
虽然我同意,但是病毒不太可能专门针对Windows XP / Server 2003以外的任何目标进行开发,因为它们都是从相同的代码发展而来的,所以为Windows XPdevise的“现代”病毒肯定是可能的/ Vista / 7也可以成功攻击Windows NT / 2000。 事实上,2009年9月份的一个安全漏洞影响了整个操作系统(包括Windows 2000),除了Windows 2000之外,他们都得到了补丁。
除了核心操作系统中的漏洞之外,最好还是使用Internet Explorer 6。 已知Internet Explorer 6并未实现浏览器的更高版本所具有的各种保护function,而且您更可能受到“冲浪和获取拥有”types病毒的攻击。 然后,你有浏览器插件(Flash Player,Adobe Reader等) – 这些可能仍然释放Windows 2000的更新,但你正在细细的冰上行走。 他们迟早会做世界上其他的事情,停止支持一个10年的操作系统。 然后,你会有脆弱的浏览器插件,相信我 – 他们是最logging和利用,因为它是一个这样一个简单而有效的攻击媒介。
第三方应用程序也将成为一个安全问题(如果他们还没有,他们将),因为供应商停止补丁旧版本的软件,只能在传统的操作系统上工作。
例如,Office XP是在Windows NT上运行的最后一个版本,在Windows 2000上运行的最后一个版本是Office 2003。这些产品将很快(如果它们不是)已经结束了,而且Office经常在每月安全更新。
那么你有所有的其他软件。 这不一定会导致您的安全问题,而是可维护性问题。 大部分软件在很久以前就停止了对Windows 2000的testing。 这意味着,如果你的一个应用程序中断了,供应商很可能会对你说:“那么你正在运行Windows 2000 ….你期望什么?”。
另外,请确保您的所有Windows XP工作站都在Service Pack 3上,因为低于此值的任何Microsoft都不支持,并且不会收到安全更新。
我可以看到tbh的两个论点。
今天就出去安装Windows 2008,把所有的客户端都安装到Windows 7上,而且你还是要面对来自微软的大量的每月补丁。
然后去安装Adobe Flash Player和Adobe Acrobat reader,每个月重复整个修补程序。
然后对Java进行相同的处理 – 你明白了,拥有最新的版本总是有帮助的,但是我并不认为只是通过运行NT的事实,你自然会变得更糟糕,这完全与层次有关(防火墙,用户locking,防病毒等)。
另外还有一个颇具说服力的陈述:“所有遗留系统的唯一原因是许可证费用” – 如果无论承担多less费用,都无法承担升级费用,那么他们会做什么?
唯一能够抵御攻击的机器是那些被closures的机器。 所有打开电源,正在使用并以任何方式连接到networking的系统都将遇到恶意代码。 如果有人不这样认为,过去20年来他们一直没有注意利用媒介。 pipe理员必须承认存在漏洞,并平衡他们所代表的风险与减轻风险的成本。 您可能会select承受一系列特殊风险,包括不再受支持的操作系统,但只有在正确理解风险的情况下才应该这样做。 我不相信你的SysAdmin的朋友。
XP和NT没有已知漏洞的说法是完全垃圾。 以下是最近发布的影响所有Windows版本的漏洞的三个示例,正在被积极利用,并且将不会有任何针对NT或Windows 2000发布的修补程序来删除这些漏洞。
http://isc.sans.edu/diary.html?storyid=8023(NTVDM漏洞) http://isc.sans.edu/diary.html?storyid=8995 (Windows Help \ VBScript漏洞) http:// isc .sans.edu / diary.html?storyid = 9445 (.LNK快捷方式图标处理程序漏洞)
当你回头进一步有很多的漏洞,有W2K和XP的补丁,但不是Windows NT,例如
http://www.microsoft.com/technet/security/bulletin/ms08-063.mspx
目前有数百种Windows平台在这个时间点已经不在支持之列,而且这个列表还会继续增长。
最后一个是特别严重的一个,因为它允许攻击者远程控制受影响的系统(即任何Windows NT机器),如果它们在同一个networking中并且没有被好的防火墙隔开。 您的外部防火墙将防止外部攻击者直接使用该漏洞,但这并不意味着您是安全的,只是他们需要另一种方式先入侵。
现在大多数攻击都涉及攻击,首先通过其网页浏览器和类似的复杂应用程序从外部源(E-Mail \ Flash \ PDF ..)中提供数据,从而危及客户端系统。 一旦用户的机器受到攻击,可以启动一系列进一步的攻击,试图在局域网内积极地分发攻击。
这种组合向量方法的早期例子是NIMDA蠕虫 – 它具有攻击媒介,包括对Web服务器的直接攻击(如果我正确记得,在IIS中利用一个文件filter),然后将代码注入到该服务器托pipe的网页中传播到连接到该Web服务器的客户端,它也使用上面列出的DLL劫持方法的老版本通过文件共享传播感染,它可以通过电子邮件传播。 NIMDA特别讨厌,因为它可能(并且确实)通过感染存储在Linux服务器上的文件进行传播 – 这些服务器不是直接受到攻击,而是映射到它们的Windows系统,NIMDA也会感染这些共享上的文件和目录。 那是9年前 – 攻击的组合现在更复杂了。 防火墙和其他networking安全工具包可以防止其中的一些,但只有当你非常认真地更新你的规则集,而他们自己还不够时。
如果您的用户在旧系统上,比如您正在关注的系统正在主动浏览networking\接收电子邮件等,那么他们将遇到能够控制其机器的恶意软件。 没有负责任的pipe理员应该乐于忽视这样一个事实,即通过运行这些系统,他们将大大增加恶意软件在networking中立足的风险。 你可能没有select – 但至less要理解并诚实地承认与在生产中保留这些东西的决定有关的风险。
主机受到保护而不受互联网保护,但它们是否受到局域网的保护? 局域网内的病毒传播速度和枪粉一样快。
如果这些服务器有共享文件夹或需要NetBIOS(端口135-139等)或OS提供的其他服务,那么他们注定要失败。
而且,无论他们运行什么服务器软件,供应商很可能会放弃NT支持,而且他们会陷入旧的不受支持的版本(如果他们关心的话)。
如今,很多病毒通过电子邮件或访问被黑网站的用户传播。 您的代理必须configuration得非常好,以防止这些攻击,并且您不指定您正在使用的邮件系统。 如果它与套件的其余部分的年龄相似,那么您可能在那里有一个大洞。
这两个主要问题是:
Windows NT有一个广泛的已知和未修补漏洞列表 ,在testing企业networking时,如果我们遇到NT服务器,我们知道我们可以得到我们想要的任何东西,并将它们用作访问超出区域的平台,特别是在混合的NT和2K环境中。 这会破坏你在其他地方的补丁。
NT中的漏洞被主动扫描 – 坏人知道旧套件通常是不可修复的,所以这是值得的。 在初始扫描中识别NT4的额外努力是微不足道的,所以你应该期望它发生。
你想和你的pipe理员谈谈,并指出他的思想中的错误:-)
只要将Blaster( http://www.mac-net.com/346484.page )释放到环境中,并且应该很快使该声明无效。
我首先关心的是win2k作为客户端意味着他们可能使用IE6作为网页浏览器。 仅此一点就是升级到更现代的操作系统的原因。