it-swarm.com.de

Windows XP PCs im Firmennetzwerk

In unserem kleinen Unternehmen verwenden wir ungefähr 75 PCs. Server und Desktops/Laptops sind alle auf dem neuesten Stand und werden mit Panda Business Endpoint Protection nd Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit) gesichert.

In unserer Produktionsumgebung laufen jedoch ungefähr 15 Windows XP-PCs. Sie sind mit dem Unternehmensnetzwerk verbunden. Hauptsächlich für SQL-Konnektivitäts- und Protokollierungszwecke. Sie haben eingeschränkten Schreibzugriff auf die Server.

Die Windows XP-PCs werden nur für eine dedizierte (benutzerdefinierte) Produktionsanwendung verwendet. Keine Office-Software (E-Mail, Surfen, Büro, ...). Darüber hinaus verfügt jeder dieser XP-PCs über eine Panda-Webzugriffskontrolle, die keinen Internetzugang zulässt. Die einzigen Ausnahmen gelten für Windows- und Panda-Updates.

Ist es aus Sicherheitsgründen erforderlich, diese Windows XP-PCs durch neue PCs zu ersetzen?

36
Thomas VDB

Ersatz könnte übertrieben sein. Richten Sie ein Gateway ein. Der Gateway-Computer sollte nicht Windows ausführen; Linux ist wahrscheinlich die beste Wahl. Der Gateway-Computer sollte über zwei separate Netzwerkkarten verfügen. Die Windows XP Computer befinden sich auf der einen Seite in einem Netzwerk, der Rest der Welt auf der anderen Seite. Linux leitet den Datenverkehr nicht weiter.

Installieren Sie Samba und erstellen Sie Freigaben für die XP Maschinen, auf die geschrieben werden soll. Kopieren Sie eingehende Dateien weiter zum endgültigen Ziel. rsync wäre die logische Wahl.

Blockieren Sie mit iptables alle Ports außer den für Samba verwendeten. Blockieren Sie ausgehende Samba-Verbindungen auf der Seite mit XP Maschinen (damit nichts auf die XP Maschinen schreiben kann) und ** alle * eingehenden Verbindungen auf der anderen Seite (damit nichts schreiben kann) überhaupt auf den Linux-Rechner) - vielleicht mit einer einzigen fest codierten Ausnahme für SSH, aber nur von der IP Ihres Management-PCs.

Um die XP Maschinen zu hacken, muss jetzt ein Linux-Server dazwischen gehackt werden, wodurch alle Verbindungen, die von Nicht-XP-Seiten eingehen, positiv abgelehnt werden. Dies ist das, was als Tiefenverteidigung bekannt ist. Es ist zwar möglich, dass es noch eine unglückliche Kombination von Fehlern gibt, die es einem entschlossenen und sachkundigen Hacker ermöglichen würden, dies zu umgehen, aber Sie würden von einem Hacker sprechen, der speziell versucht, diese 15 XP Computer in Ihrem Netzwerk zu hacken . Botnets, Viren und Würmer können normalerweise nur eine oder zwei häufige Sicherheitslücken umgehen und funktionieren selten auf mehreren Betriebssystemen.

19
MSalters

Die Nachrichten dieses Wochenendes über WannaCry hätten zweifelsohne klarstellen müssen, dass Windows XP und ähnliche Systeme, wo immer möglich, unbedingt ersetzt werden müssen).

Selbst wenn MS einen außergewöhnlichen Patch für dieses alte Betriebssystem veröffentlicht hat, gibt es überhaupt keine Garantie dafür, dass dies erneut passieren wird.

13
Sven

Wir verwenden einige Windows XP-Computer für bestimmte (Legacy-) Software. Wir haben versucht, mithilfe von Oracle VirtualBox (kostenlos) so viel wie möglich auf virtuelle Maschinen zu übertragen, und ich würde Ihnen empfehlen, dasselbe zu tun.

Dies bietet mehrere Vorteile;

Nummer 1 für Sie ist, dass Sie den Netzwerkzugriff der VM von außen sehr genau steuern können (ohne etwas in Windows XP zu installieren) und vom Schutz des neueren Betriebssystems des Host-Computers und der darauf ausgeführten Sicherheitssoftware profitieren.

Dies bedeutet auch, dass Sie das VM] bei Upgrades oder Hardwarefehlern auf verschiedene physische Maschinen/Betriebssysteme verschieben können Anwenden von Updates/Änderungen.

Wir verwenden ein VM pro Anwendung, um die Dinge super getrennt zu halten. Solange Sie die UUID des Startlaufwerks korrekt halten, macht die Windows XP-Installation nichts aus.

Dieser Ansatz bedeutet, dass wir eine VM für eine bestimmte Aufgabe mit einer minimalen Windows XP-Installation und der erforderlichen Software) hochfahren können, ohne dass zusätzliche Cruft angeheftet wird und nichts, was sie auslösen könnte. Durch das Drosseln des Netzwerkzugriffs des Computers wird die Sicherheitsanfälligkeit erheblich verringert und verhindert, dass Windows XP Sie mit Updates überrascht, die möglicherweise Probleme verursachen oder schlimmer werden.

5
John U

Wie bereits erwähnt, sollten Sie die Isolation gegenüber dem Rest des Netzwerks verstärken.

Das Verlassen auf On-Machine-Software ist schwach (da es sich auf den Betriebssystem-Netzwerkstapel stützt, der selbst anfällig sein kann). Ein dediziertes Subnetz wäre ein guter Start und eine VLAN-basierte Lösung besser (dies kann von einem entschlossenen Angreifer ausgenutzt werden, verhindert jedoch, dass die meisten "Verbrechen der Gelegenheit" -Angriffe tot sind. NIC Treiber Dies muss jedoch unterstützt werden. Ein dediziertes physisches Netzwerk (entweder über einen dedizierten Switch oder ein portbasiertes VLAN) ist am besten geeignet.

3
rackandboneman