PCs com Windows XP na rede da empresa

36

Em nossa pequena empresa, estamos usando cerca de 75 PCs. Servidores e desktops / laptops estão atualizados e são protegidos usando o Panda Business Endpoint Protection e o Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

No entanto, em nosso ambiente de produção, temos cerca de 15 PCs com Windows XP em execução. Eles estão conectados à rede da empresa. Principalmente para fins de conectividade e log de SQL. Eles têm acesso de gravação limitado aos servidores.

Os PCs com Windows XP são usados ​​apenas para um aplicativo de produção dedicado (personalizado). Nenhum software de escritório (email, navegação, escritório, ...). Além disso, cada um desses PCs XP possui controle de acesso à web do Panda, o que não permite acesso à Internet. As únicas exceções são para atualizações do Windows e do Panda.

Do ponto de vista da segurança, é necessário substituir esses PCs com Windows XP por novos?

Thomas VDB
fonte
3
As máquinas XP têm alguma conexão com o mundo exterior? Ou o mundo exterior tem alguma conexão dentro? Se todos eles são "estritamente" internos ... na minha empresa, temos máquinas XP "desconectadas" do mundo externo (algumas não estão conectadas a nada) e software "proprietário" que interage com máquinas que não podem ser substituído facilmente ... Substituí-los é uma pergunta diferente do que dizer ... substituir um servidor Web.
WernerCD
10
@ Nav Se os únicos fornecedores de uma classe inteira de hardware suportam apenas janelas, é claro que precisam usar janelas. Se esse hardware durar décadas, eles terão que usar o Windows XP ou 98. Ou DOS. Se o custo de mudar todos os seus sistemas legados e reciclar o usuário for alto, eles o fazem na prática.
21717 Chris H
21
@ Nav que é uma atitude incrivelmente elitest para ter. Mudar a grande maioria dos funcionários para um sistema operacional diferente é um grande custo e ônus. E dizer que o Linux é "muito melhor e mais seguro" é ingênuo. Como você mede "melhor"? Se o Linux tivesse a penetração do Windows, haveria tantas explorações e riscos para o Linux. E há muitas explorações inofensivas voltadas para o Linux - já esquecemos o coração? Sistemas operacionais diferentes têm prós e contras diferentes para cada público, e as decisões devem ser tomadas nesse contexto.
Mark Henderson
3
O @Nav Windows em um escritório é uma plataforma para o MS Office, muitas vezes. E MS Office ainda é insubstituível em muitos casos, apesar de 20 anos de ingenuidade sobre isso na comunidade de código aberto :)
rackandboneman
3
@KhajakVahanyan Neste ano sozinho o kernel Linux tem as vulnerabilidades mais distintas (público), quase quatro vezes do Windows 2008.
Martheen

Respostas:

64

é necessário, do ponto de vista da segurança, substituir esses PCs XP por novos PCs.

Não, não é necessário substituir os PCs. Mas é necessário atualizar esses sistemas operacionais (isso também pode envolver a substituição desses PCs - não sabemos. Mas se eles executam hardware especializado, pode ser possível manter o PC).

Existem muitas histórias do mundo real sobre PCs supostamente "com falta de ar" sendo infectados. Isso pode acontecer independentemente do seu sistema operacional, mas ter um sistema operacional não atualizado e super antigo torna-o ainda mais em risco.

Especialmente porque parece que seus computadores estão protegidos por uma restrição de software para bloquear o acesso à Internet. Provavelmente é fácil ignorar. (ressalva: nunca ouvi falar desse controle de acesso à web do Panda, mas certamente parece um software no host).

O problema que você provavelmente enfrentará é a falta de cooperação do fornecedor. É possível que os fornecedores se recusem a ajudar, queiram cobrar US $ 100.000 por uma atualização ou tenham simplesmente falido e o IP jogado fora.

Se for esse o caso, é algo que a empresa precisa orçar.

Se realmente não há outra opção, a não ser manter o sistema operacional de 16 anos sem patches (talvez seja um torno CNC ou uma máquina de trituração ou ressonância magnética) de um milhão de dólares, será necessário fazer um isolamento sério do host baseado em hardware. Colocar essas máquinas em sua própria vlan com regras de firewall extremamente restritivas seria um bom começo.


Parece que você precisa de alguma ajuda a esse respeito, então como é isso:

  • O Windows XP é um sistema operacional de 16 anos. Dezesseis anos de idade . Deixe isso acontecer. Eu pensaria duas vezes antes de comprar um carro de dezesseis anos, e eles ainda fazem peças de reposição para carros de 16 anos. Não há 'peças de reposição' para o Windows XP.

  • Pelo que parece, você tem um isolamento ruim do host. Digamos que algo já entre na sua rede. Por alguns outros meios. Alguém se conecta a um pendrive infectado. Ele vai escanear sua rede interna e se propagar para qualquer coisa que tenha uma vulnerabilidade que possa ser explorada. A falta de acesso à Internet é irrelevante aqui, porque a ligação vem de dentro da casa

  • Este produto de segurança Panda parece ter restrições baseadas em software. O software pode ser ignorado, às vezes facilmente. Aposto que um pedaço decente de malware ainda pode sair para a Internet, se a única coisa que o parar é um software em execução no topo da pilha de rede. Poderia apenas obter privilégios de administrador e interromper o software ou serviço. Portanto, eles realmente não têm acesso à Internet. Isso volta ao isolamento do host - com o isolamento adequado do host, você pode realmente tirá-los da Internet e talvez limitar o dano que eles podem causar à sua rede.

Honestamente, você não precisa justificar a substituição desses computadores e / ou sistema operacional. Eles serão totalmente depreciados para fins contábeis, provavelmente já terão passado do fim de qualquer garantia ou suporte do fornecedor de hardware, eles definitivamente terão passado por qualquer tipo de suporte da Microsoft (mesmo que você acene com o titânio American Express na cara da Microsoft, eles ainda não aceitam seu dinheiro).

Qualquer empresa interessada em reduzir riscos e responsabilidades teria substituído essas máquinas anos atrás. Há pouca ou nenhuma desculpa para manter as estações de trabalho por perto. Eu listei algumas desculpas válidas acima (se estiver totalmente desconectado de toda e qualquer rede e viver em um armário e executar a música do elevador, eu poderia - PODE - dar uma chance). Parece que você não tem nenhuma desculpa válida para deixá-los por perto. Especialmente agora que você está ciente de que eles estão lá e viu o dano que pode ocorrer (presumo que você o tenha escrito em resposta ao WannaCry / WannaCrypt).

Mark Henderson
fonte
1
Olá, vou ter que explicar por que é necessário substituir esses antigos XP-PCs, apesar de eles não terem acesso à Internet. Portanto, é possível me dar algumas explicações (semi) técnicas sobre quais situações podem ocorrer. O fato de o controle de acesso à web ser baseado em software é definitivamente um começo. btw este é um link para o controle de acesso web Panda: pandasecurity.com/usa/support/card?id=50074
Thomas VDB
2
@ThomasVDB Adicionei uma atualização à minha resposta
Mark Henderson
19

A substituição pode ser um exagero. Configure um gateway. A máquina do gateway não deve executar o Windows; O Linux é provavelmente a melhor escolha. A máquina de gateway deve ter duas placas de rede separadas. As máquinas com Windows XP estarão em uma rede de um lado e o restante do mundo no outro lado. O Linux não roteará o tráfego.

Instale o Samba e faça compartilhamentos para as máquinas XP para gravar. Copie os arquivos recebidos para o destino final. rsyncseria a escolha lógica.

Usando iptables, bloqueie todas as portas, exceto aquelas usadas para o Samba. Bloqueie as conexões de saída Samba no lado que possui máquinas XP (para que nada possa gravar nas máquinas XP) e ** todas * as conexões de entrada no outro lado (para que nada possa gravar na máquina Linux) - talvez com um único exceção codificada para SSH, mas apenas a partir do IP do seu PC de gerenciamento.

Para hackear as máquinas XP agora é necessário invadir um servidor Linux no meio, o que rejeita positivamente todas as conexões vindas do lado não-XP. Isso é conhecido como defesa em profundidade . Embora seja possível que ainda exista uma combinação infeliz de bugs que permita a um hacker determinado e experiente contornar isso, você estaria falando de um hacker que está especificamente tentando invadir aquelas 15 máquinas XP na sua rede. Botnets, vírus e worms normalmente podem ignorar apenas uma ou duas vulnerabilidades comuns e raramente podem funcionar em vários sistemas operacionais.

MSalters
fonte
3
Isso pode funcionar. PFSense ou monowall funcionaria aqui, não? Os PCs ainda devem poder se conectar ao nosso SQL Server.
Thomas VDB
4
Sim, ou em vez de uma máquina de gateway, você acabou de comprar um roteador pequeno mas capaz (Mikrotik) ou como US $ 40. Concluído. Usa muito menos energia.
TomTom
-1 porque isso não resolverá os problemas do OP.
James Snell
6
@ JamesSnell: Isso não é um comentário útil. Por que isso não ajuda? Que ameaça de segurança concreta você pode citar que ignora essa configuração?
MSalters
3
@ThomasVDB: O objetivo de um gateway executando iptables e Samba é que os pacotes IP sejam descartados (não SMB) ou manipulados por uma implementação moderna e capaz. Isso significa que as máquinas XP receberão apenas pacotes IP gerados pelo Samba na máquina Linux. Sabe-se que eles não estão malformados. Um roteador, como sugere a TomTom, encaminhará pacotes IP, mas não saberá sobre o protocolo SMB e encaminhará pacotes incorretos como os que acionaram o WannaCry. Sim, não verificar é mais eficiente em termos de energia, mas a segurança deve ser a principal prioridade aqui.
MSalters
13

As notícias deste final de semana sobre o WannaCry deveriam ter deixado claro, sem sombra de dúvida, que é absolutamente necessário substituir o Windows XP e sistemas similares sempre que possível.

Mesmo que a MS tenha lançado um patch extraordinário para este sistema operacional antigo, não há garantia de que isso ocorra novamente.

Sven
fonte
2
Sim, mas esses vírus não entram na empresa por e-mail e navegam na web? Isso não é coberto pelo fato de que esses PCs não têm acesso à Internet? Tenho certeza de que os PCs XP não são seguros quando usados ​​em aplicativos de desktop. Mas ao executar apenas um aplicativo sem acesso à Internet, deve haver uma situação diferente? Ou o que estou perdendo?
Thomas VDB
2
Mas eles estão conectados a um servidor SQL. O que acontece se ele for infectado com outro malware na próxima vez e usar um buraco potencial na implementação do cliente SQL Server? Contanto que exista alguma conexão com outros sistemas, há perigo em potencial.
Sven
13
@ThomasVDB: O WannaCry tem duas maneiras de se distribuir. Os anexos de email são um, mas o segundo método foi por meio de compartilhamentos de arquivos. Em particular, compartilhamentos de arquivos usando o protocolo SMBv1 mais antigo. A Microsoft lançou patches especificamente para esse problema em março de 2017. No entanto, como o XP estava sem suporte, inicialmente, a Microsoft não lançou uma versão XP desse patch SMBv1. Eles reverteram essa decisão agora que o WannaCry chegou, mas apenas para esse problema específico.
MSalters
7
Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access?- "Eu não tranco as janelas do meu quarto porque elas estão no segundo andar e não há escada lá fora" é uma justificativa que nunca impediu um ladrão de assaltar uma casa. Se essas máquinas caírem sob sua responsabilidade e sob sua responsabilidade, será necessário corrigi-las, independentemente do que você acha que é provável que elas estejam comprometidas.
Joeqwerty 17/05/19
Isso impedirá um ladrão que tenha muitas casas com janelas abertas ao nível do solo. Atacante determinado (funcionário insatisfeito tecnicamente qualificado ou espião corporativo) x invasor oportunista (malware, vândalos, criadores de botnet).
Rackandboneman 17/05/19
5

Usamos algumas máquinas Windows XP para software específico (legado), tentamos mudar o máximo possível para máquinas virtuais usando o Oracle VirtualBox (gratuito), e eu recomendo que você faça o mesmo.

Isso oferece vários benefícios;

O número 1 para você é que você pode controlar o acesso à rede da VM com muita força a partir do exterior (sem instalar nada dentro do Windows XP) e se beneficia da proteção do sistema operacional mais recente da máquina host e de qualquer software de segurança em execução nela.

Isso também significa que você pode mover a VM por diferentes máquinas / sistemas operacionais físicos à medida que ocorrem atualizações ou falhas de hardware, fazendo o backup facilmente, incluindo a capacidade de salvar uma captura instantânea do estado "conhecido como bom funcionamento" antes de aplicar quaisquer atualizações / alterações.

Usamos uma VM por aplicativo para manter as coisas super segregadas. Contanto que você mantenha o UUID da unidade de inicialização correto, a instalação do Windows XP não se importa.

Essa abordagem significa que podemos ativar uma VM para uma determinada tarefa que tenha uma instalação mínima do Windows XP e o único software necessário, sem nenhum problema extra e nada para desmontá-lo. A limitação do acesso à rede da máquina reduz bastante a vulnerabilidade e impede o Windows XP de surpreendê-lo com qualquer atualização que possa quebrar coisas ou pior.

John U
fonte
Isso pode causar problemas se o software personalizado estiver presente para direcionar hardware personalizado :) Em qualquer outro caso, VMs e instantâneos permitem uma estratégia realmente "suja", se necessário: Corra até ser hackeado, restaure a partir do instantâneo, enxágue e repita :) certeza que nada mais é atingido, embora :)
rackandboneman
É verdade, mas hoje em dia as VMs são surpreendentemente boas na maior parte disso, e o fato de você poder executá-las em uma máquina host com uma ajuda 10 vezes mais poderosa. Se o software especial estiver fazendo algo especialmente vulnerável, você não terá muitas opções, mas como você diz, pelo menos é apenas uma VM clonada que é invadida e você pode destruí-la e começar do zero facilmente.
John U
Eu estava pensando em "dirigir placas ISA estranhas, como interfaces GPIO, DAC / ADC ou IEEE-488" :) Uma das razões clássicas para ter ambientes antigos de sistema operacional por perto.
Rackandboneman 19/05
Bem, sim, embora atualmente você esteja apenas com um Raspberry Pi ou um Arduino longe de replicar ou fazer interface com esse tipo de coisa.
John U
3

Como alguém sugeriu anteriormente, considere fortalecer o isolamento em relação ao restante da rede.

Confiar no software da máquina é fraco (porque depende da pilha de rede do SO, que pode ser vulnerável). Uma sub-rede dedicada seria um bom começo e uma solução baseada em VLAN melhor (isso pode ser aproveitado por um invasor determinado, mas impedirá a maioria dos ataques de "crimes de oportunidade". Os drivers da NIC precisam dar suporte a isso). Uma rede física dedicada (via switch dedicado ou VLAN baseada em porta) é a melhor.

rackandboneman
fonte
-5

Sim, eles precisam ser substituídos. Qualquer pessoa executando máquinas Windows XP conectadas a qualquer tipo de rede pós-WannaCry está apenas pedindo problemas.

Erlando
fonte
7
-1, isso não adiciona nada que não foi dito melhor em outras respostas.
HopelessN00b