Клиент должен иметь .NET Framework 4 установлено и не исправлено, поэтому их программное обеспечение работает на их Windows 2008 R2 Server функционирует правильно.
Это вызывает вопросы:
Возможно, этот вопрос стоит в SE: Информационная безопасность?
«Лучшая практика» - это, как правило, не запускать программное обеспечение, которое требует от вас использования уязвимой структуры (или, скажем, более старой версии Java), но, к сожалению, это не всегда приемлемый ответ. Для большинства предприятий (по крайней мере, тех, которые не связаны с технологиями или ИТ) ИТ обслуживают бизнес-потребности, а не наоборот, поэтому не всегда можно воспользоваться этим ответом и выбросить систему, потому что это риск безопасности.
В этих сценариях единственное, что вы действительно можете сделать, - это как можно больше ограничить уязвимый сервер. Максимально ограничьте доступ пользователей. Внесите в белый список минимальные IP-адреса или диапазоны IP-адресов в брандмауэре. Используйте антивирус на сервере, если это возможно, и повысьте уровень ведения журнала (и, конечно, уделите время проверке журналов). Разгрузите как можно больше и, если возможно, используйте прокси, который не уязвим для приема клиентских подключений. (Например, установите сервер RDS, установите уязвимый сервер на только принимать сетевые подключения от сервера RDS и предлагать пользователям использовать сервер RDS для доступа к приложению на вашем уязвимом сервере.)
И, конечно же, обязательно сообщите CYA - сообщите руководству, что вы определили угрозу безопасности этой системы, поэтому решение о продолжении ее использования (и любых возможных нарушений безопасности) является их обязанностью, а не вашей.