Моя компания (помимо прочего) отвечает за небольшую сеть с несколькими серверами и примерно 50 рабочими станциями. Они хотят, чтобы я помог действующему администратору этой сети.
Сеть состоит из серверов Windows NT 4.0 и Windows 2000, клиентами являются Windows 2000 и Windows XP. Единственная причина для всех унаследованных систем - это стоимость лицензии. Сеть имеет NAT, и рабочие станции получают доступ к Интернету через прокси (linux).
Админа вроде не беспокоит безопасность сети. Его аргумент звучит так:
В Windows NT и Windows 2000 нет известных уязвимостей, и маловероятно, что будут обнаружены новые, потому что в любом случае никто не будет вкладывать энергию в эти старые системы. Даже если бы была уязвимость, это не было бы проблемой, потому что рабочие станции не имеют прямого подключения к Интернету.
Можете ли вы привести веские аргументы, почему обновления до версий Windows, которые все еще поддерживаются Microsoft, неизбежны с точки зрения безопасности?
Если вы думаете, что администратор прав, а я ошибаюсь, я тоже хотел бы услышать об этом.
Windows NT, Server 2000 и Windows 2000 в настоящее время рассматриваются Microsoft как конец жизненного цикла. Это означает, что при обнаружении каких-либо новых уязвимостей в этих операционных системах Microsoft не будет прилагать усилий для создания исправления безопасности.
Хотя я согласен, что да, маловероятно, что вирус будет конкретно разработан для чего-то меньшего, чем Windows XP / Server 2003, поскольку все они развиваются из одного и того же кода, вполне возможно, что «современный» вирус, разработанный для Windows XP / Vista / 7, также сможет успешно атаковать Windows NT / 2000. На самом деле в сентябре 2009 г. была обнаружена уязвимость в системе безопасности который затронул целый ряд операционных систем (включая Windows 2000), и все они получили исправление, кроме Windows 2000.
Помимо уязвимостей в основной операционной системе, вы также в лучшем случае столкнетесь с Internet Explorer 6. Известно, что Internet Explorer 6 не реализует различные функции защиты, которые есть в более поздних версиях браузера, и вы с большей вероятностью подвергнетесь атаке вируса типа «просматривайте и становитесь владельцем». Затем у вас есть плагины для браузера (Flash Player, Adobe Reader и т. Д.) - они могут все еще выпускать обновления для Windows 2000, но вы идете по тонкому льду. Рано или поздно они сделают то, что делает остальной мир, и перестанут поддерживать операционную систему 10-летней давности. Тогда у вас будут уязвимые плагины браузера, и поверьте мне - они наиболее документированы и используются, потому что это такой простой и эффективный вектор атаки.
Сторонние приложения также станут проблемой безопасности (если они еще не были), поскольку поставщики прекратят исправлять старые версии программного обеспечения, которые работают только в устаревших операционных системах.
Например, Office XP был последней версией, работающей в Windows NT, а Office 2003 - последней версией, работающей в Windows 2000. Эти продукты скоро перестанут работать (если они еще не закончились) - и Office часто входит в ежемесячные обновления безопасности.
Тогда у вас есть все остальное программное обеспечение. Это не обязательно вызовет проблемы с безопасностью, а скорее проблемы с ремонтопригодностью. Большинство программ давно перестали тестироваться на Windows 2000. Это означает, что если одно из ваших приложений выйдет из строя, поставщик, скорее всего, скажет вам: «Ну, вы используете Windows 2000 .... чего вы ожидаете?».
Кроме того, убедитесь, что на всех ваших рабочих станциях с Windows XP установлен пакет обновления 3, так как более ранние версии не поддерживаются Microsoft и не будут получать обновления безопасности.
Единственные машины, которые защищены от атак, - это те, которые отключены. Все системы, которые включены, используются и каким-либо образом подключены к сети, могут столкнуться с вредоносным кодом. Если кто-то думает иначе, то последние 20 лет они не обращали внимания на векторы эксплойтов. Администраторы должны признать наличие уязвимостей и сбалансировать риски, которые они представляют, с затратами на их устранение. Вы можете решить жить с определенным набором рисков, включая такие вещи, как операционные системы, которые больше не поддерживаются, но вам следует делать это только в том случае, если вы правильно понимаете риски. Я не верю, что твой друг-системный администратор знает.
Утверждение, что XP и NT не имеют известных уязвимостей, - полная чушь. Вот три примера недавно опубликованных уязвимостей, которые затрагивают все версии Windows, активно эксплуатируются и для которых не будут выпущены какие-либо исправления для NT или Windows 2000, устраняющие уязвимости.
http://isc.sans.edu/diary.html?storyid=8023 (Уязвимость NTVDM) http://isc.sans.edu/diary.html?storyid=8995 (Уязвимость Windows Help \ VBScript) http://isc.sans.edu/diary.html?storyid=9445 (Уязвимость обработчика значков ярлыков .LNK)
Если вы вернетесь назад, то обнаружите множество уязвимостей, в которых есть исправления для W2K и XP, но не для Windows NT, например.
http://www.microsoft.com/technet/security/bulletin/ms08-063.mspx
Сотни из них для платформ Windows сейчас не поддерживаются, и их список будет продолжать расти.
Последний из них является особенно серьезным, поскольку позволяет злоумышленнику удаленно получить контроль над пораженной системой (то есть любой машиной Windows NT), если они находятся в одной сети и не разделены хорошим брандмауэром. Ваш внешний брандмауэр предотвратит непосредственное использование этого эксплойта внешним злоумышленником, но это не означает, что вы в безопасности, просто им нужен другой способ проникнуть первым.
В настоящее время в большинстве атак используются эксплойты, нацеленные на первую компрометацию клиентских систем через их веб-браузеры и аналогичные сложные приложения, которые получают данные из внешних источников (E-Mail \ Flash \ PDF ..). После того, как компьютер пользователя был скомпрометирован, можно запустить серию дополнительных эксплойтов, чтобы попытаться агрессивно распространять атаки в локальной сети.
Ранним примером этого комбинированного векторного подхода был Червь NIMDA - у которого были векторы атак, которые включали прямые атаки на веб-серверы (используя фильтр файлов в IIS, если я правильно помню), он затем вводил код в веб-страницы, размещенные на этом сервере, чтобы распространяться среди клиентов, подключающихся к этому веб-серверу, а также использовал старую версию метода перехвата DLL, перечисленного выше, для распространения инфекции через общие файловые ресурсы, и это могло распространяться по электронной почте. NIMDA была особенно неприятной, поскольку она могла (и распространялась) распространяться, заражая файлы, хранящиеся на серверах Linux - эти серверы не были напрямую уязвимы, но системы Windows, сопоставленные с ними, были, и NIMDA также заражала файлы и каталоги на этих общих ресурсах. И это было 9 лет назад - теперь комбинация атак намного сложнее. Брандмауэры и другие комплекты сетевой безопасности могут защитить от некоторых из них, но только если вы очень старательно обновляете свои наборы правил, а их самих по себе недостаточно.
Если у вас есть пользователи на старых системах, например, те, которые вас беспокоят, которые активно просматривают Интернет, получают электронную почту и т. Д., То они столкнутся с вредоносным ПО, которое сможет взять под контроль их машины. Ни один ответственный администратор не должен с радостью игнорировать тот факт, что, запустив эти системы, они значительно увеличивают риск того, что вредоносные программы закрепятся в их сетях. У вас может не быть выбора, но, по крайней мере, вы понимаете и честно осознаете риски, связанные с решением оставить такие вещи в производстве.
Я вижу обе стороны аргумента tbh.
Выйдите сегодня и установите Windows 2008 и загрузите все клиенты на Windows 7, и вы по-прежнему сталкиваетесь с множеством ежемесячных исправлений от Microsoft.
Затем установите Adobe Flash Player и Adobe Acrobat reader и повторяйте весь процесс исправления каждый месяц.
Затем сделайте то же самое с Java - вы понимаете, наличие последних версий всегда полезно, но я не уверен, что вам автоматически становится хуже исключительно из-за того, что вы используете NT, все это связано со слоями (брандмауэр, блокировка пользователей, антивирус и т. д.).
Также есть довольно красноречивое утверждение: «Единственная причина для всех унаследованных систем - это стоимость лицензии» - если они не могут позволить себе обновление, независимо от того, насколько это имеет смысл, что бы вы от них сделали?
Хосты защищены от Интернета, но защищены ли они от локальной сети? Вирус LAN распространяется со скоростью пороха.
Если на этих серверах есть общие папки или требуется NetBIOS (порты 135–139 и т. Д.) Или другие услуги, предоставляемые ОС, то они обречены.
Более того, какое бы серверное программное обеспечение они ни использовали, весьма вероятно, что поставщик откажется от поддержки NT, и они застрянут на старой неподдерживаемой версии (если им это небезразлично).
В настоящее время множество вирусов распространяется по электронной почте или через взломанные сайты. Ваш прокси-сервер должен быть очень хорошо настроен для предотвращения этих атак, и вы не указываете, какую почтовую систему вы используете. Если он того же возраста, что и остальная часть комплекта, то у вас может быть огромная дыра.
С этим связаны 2 основные проблемы:
Windows NT имеет обширный список известных и не исправленных уязвимостей.до такой степени, что при тестировании корпоративных сетей, если мы сталкиваемся с NT-серверами, мы знали, что можем получить от них все, что захотим, и использовать их в качестве платформы для получения доступа к различным областям, особенно в смешанной среде NT и 2k. Это подорвет ваши исправления в другом месте.
Уязвимости в NT активно сканируются на предмет - Плохие парни знают, что старый комплект часто невозможно исправить, так что оно того стоит. Дополнительные усилия по идентификации NT4 при первоначальном сканировании незначительны, поэтому вы должны ожидать, что это произойдет.
Вы хотите поговорить со своим админом и указать на ошибки в его мышлении :-)
Просто выпустите Blaster (http://www.mac-net.com/346484.page) в среду, и это должно очень быстро сделать это утверждение недействительным.
Меня в первую очередь беспокоит то, что win2k в качестве клиента означает, что они, вероятно, используют IE6 в качестве веб-браузера. Уже одно это является причиной перехода на более современную ОС.