web-dev-qa-db-fra.com

Windows XP PC dans le réseau de l'entreprise

Dans notre petite entreprise, nous utilisons environ 75 PC. Les serveurs et les ordinateurs de bureau/portables sont tous à jour et sécurisés à l'aide de Panda Business Endpoint Protection et Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Cependant, dans notre environnement de production, nous avons environ 15 PC Windows XP en cours d'exécution. Ils sont connectés au réseau de l'entreprise. Principalement à des fins de connectivité SQL et de journalisation. Ils ont un accès en écriture limité aux serveurs.

Les PC Windows XP ne sont utilisés que pour une seule application de production dédiée (personnalisée). Pas de logiciel bureautique (email, navigation, bureau, ...). De plus, chacun de ces XP-PC dispose d'un contrôle d'accès Web Panda qui ne permet pas l'accès à Internet. Les seules exceptions concernent les mises à jour Windows et Panda.

Est-il nécessaire, du point de vue de la sécurité, de remplacer ces PC Windows XP par de nouveaux PC?

36
Thomas VDB

est-il nécessaire, du point de vue de la sécurité, de remplacer ces XP-PC par de nouveaux PC.

Non, il n'est pas nécessaire de remplacer les PC. Mais il est nécessaire de mettre à niveau ces systèmes d'exploitation (cela peut implique également de remplacer ces PC - nous ne savons pas. Mais s'ils utilisent du matériel spécialisé, alors il peut être possible de garder le PC).

Il y a tellement des histoires du monde réel sur des PC soi-disant "air-gap" infectés. Cela peut arriver quel que soit votre système d'exploitation, mais le fait d'avoir un système d'exploitation non mis à jour super ancien le rend encore plus à risque.

D'autant qu'il semble que vos ordinateurs soient protégés par une restriction logiciel pour bloquer l'accès à Internet. Ceci est probablement facile à contourner. (mise en garde: je n'ai jamais entendu parler de ce contrôle d'accès Web Panda, mais il ressemble comme un logiciel sur l'hôte).

Le problème auquel vous êtes probablement confronté est le manque de coopération des fournisseurs. Il est possible que les fournisseurs refusent d'aider, souhaitent facturer 100 000 $ pour une mise à niveau, ou aient carrément fait faillite et la propriété intellectuelle a été jetée.

Si tel est le cas, c'est quelque chose que l'entreprise doit budgétiser.

S'il n'y a vraiment pas d'autre option que de maintenir un système d'exploitation de 16 ans fonctionnant sans correctif (il s'agit peut-être d'un tour CNC ou d'une fraiseuse d'un million de dollars ou d'une IRM), alors vous devez faire une sérieuse isolation de l'hôte basée sur le matériel. Mettre ces machines sur leur propre vlan avec des règles de pare-feu extrêmement restrictives serait un bon début.


Il semblerait que vous ayez besoin d'une poignée de main à cet égard, alors comment est-ce:

  • Windows XP est un système d'exploitation de 16 ans. Seize ans. Laissez-le couler. Je pense à deux fois avant d'acheter une voiture de seize ans, et ils continuent fabriquer des pièces détachées pour les voitures de 16 ans. Il n'y a pas de "pièces détachées" pour Windows XP.

  • Par les sons de celui-ci, vous avez une mauvaise isolation de l'hôte. Disons que quelque chose pénètre déjà dans votre réseau. Par d'autres moyens. Quelqu'un branche une clé USB infectée. Il va scanner votre réseau intérieur et se propager à tout ce qui a une vulnérabilité qu'il peut exploiter. Un manque d'accès à Internet n'est pas pertinent ici parce que l'appel téléphonique vient de à l'intérieur de la maison

  • Ce produit de sécurité Panda ressemble à ses restrictions logicielles. Le logiciel peut être contourné, parfois facilement. Je parie qu'un logiciel décent pourrait encore se propager sur Internet si la seule chose qui l'arrête est un logiciel exécuté au-dessus de la pile réseau. Il pourrait simplement obtenir des privilèges d'administrateur et arrêter le logiciel ou le service. Ils n'ont donc vraiment aucun accès à Internet. Cela revient à l'isolement de l'hôte - avec une bonne isolation de l'hôte, vous pouvez réellement les retirer d'Internet et peut-être limiter les dommages qu'ils peuvent causer à votre réseau.

Honnêtement, vous ne devriez pas besoin pour justifier le remplacement de ces ordinateurs et/ou système d'exploitation. Ils seront entièrement amortis à des fins comptables, ils sont probablement bien après la fin de toute garantie ou assistance du fournisseur de matériel, ils ont définitivement dépassé tout type d'assistance de Microsoft (même si vous agitez votre American Express en titane face à Microsoft, ils ne prendront toujours pas votre argent).

Toute entreprise qui souhaite réduire les risques et la responsabilité aurait remplacé ces machines il y a des années. Il n'y a pas ou peu d'excuse pour garder les postes de travail autour. J'ai énuméré quelques valides excuses ci-dessus (s'il est totalement déconnecté de tous les réseaux et vit dans un placard et gère la musique de l'ascenseur, je pourrais - POURRAIT - lui donner un laissez-passer). Il semble que vous n'ayez aucune excuse valable pour les laisser traîner. Surtout maintenant que vous savez qu'ils sont là et que vous avez vu les dégâts qui peuvent survenir (je suppose que vous écriviez ceci en réponse à WannaCry/WannaCrypt).

64
Mark Henderson

Le remplacement peut être excessif. Configurez une passerelle. La machine passerelle doit pas exécuter Windows; Linux est probablement le meilleur choix. La machine passerelle doit avoir deux cartes réseau distinctes. Les machines Windows XP seront sur un réseau d'un côté, le reste du monde est de l'autre côté. Linux n'acheminera pas le trafic.

Installez Samba et faites des partages pour les machines XP sur lesquelles écrire. Copiez les fichiers entrants vers la destination finale. rsync serait le choix logique.

En utilisant iptables, bloquez tous les ports sauf ceux utilisés pour Samba. Bloquez les connexions Samba sortantes du côté qui a XP (afin que rien ne puisse écrire sur les machines XP) et ** toutes * les connexions entrantes de l'autre) côté (donc rien ne peut écrire du tout sur la machine Linux) - peut-être avec une seule exception codée en dur pour SSH, mais uniquement à partir de l'IP de votre PC de gestion.

Pour pirater les machines XP, il faut maintenant pirater un serveur Linux entre les deux, ce qui rejette positivement toutes les connexions provenant du côté non-XP. C'est ce qu'on appelle défense en profondeur. Bien qu'il soit possible qu'il existe encore une combinaison malchanceuse de bogues qui permettrait à un pirate déterminé et compétent de contourner cela, vous parleriez d'un pirate qui essaie spécifiquement de pirater ces 15 XP machines sur votre réseau. Les botnets, les virus et les vers ne peuvent généralement contourner qu'une ou deux vulnérabilités courantes et peuvent rarement fonctionner sur plusieurs systèmes d'exploitation.

19
MSalters

Les actualités de ce week-end concernant WannaCry auraient dû indiquer clairement hors de tout doute qu'il est absolument nécessaire de remplacer Windows XP et les systèmes similaires dans la mesure du possible.

Même si MS a publié un correctif extraordinaire pour cet ancien système d'exploitation, rien ne garantit que cela se reproduira.

13
Sven

Nous utilisons certaines machines Windows XP pour des logiciels spécifiques (hérités), nous avons essayé de migrer autant que possible vers des machines virtuelles utilisant Oracle VirtualBox (gratuit), et je vous recommanderais de faire de même.

Cela donne plusieurs avantages;

Le numéro 1 pour vous est que vous pouvez contrôler très étroitement l'accès au réseau de la machine virtuelle de l'extérieur (sans rien installer dans Windows XP), et vous bénéficiez de la protection du système d'exploitation le plus récent de la machine hôte et de tout logiciel de sécurité fonctionnant dessus.

Cela signifie également que vous pouvez déplacer l'état VM sur différentes machines physiques/systèmes d'exploitation à mesure que des mises à niveau ou des pannes matérielles se produisent, sauvegardez-le facilement, y compris la possibilité d'enregistrer un instantané de l'état de "bon fonctionnement connu" avant appliquer toutes les mises à jour/modifications.

Nous utilisons un VM par application pour garder les choses très séparées. Tant que vous gardez l'UUID du lecteur de démarrage correct, l'installation de Windows XP ne dérange pas.

Cette approche signifie que nous pouvons faire tourner un VM pour une tâche donnée qui a une installation minimale de Windows XP et le seul logiciel requis, sans ajout de matériel supplémentaire et rien pour le déclencher. Limiter l'accès au réseau de la machine réduit considérablement la vulnérabilité et empêche Windows XP de vous surprendre avec des mises à jour qui pourraient casser les choses ou pire.

5
John U

Comme quelqu'un l'a suggéré précédemment, envisagez de renforcer l'isolement vis-à-vis du reste du réseau.

Le recours à un logiciel sur machine est faible (car il repose sur la pile réseau du système d'exploitation qui peut être vulnérable elle-même). Un sous-réseau dédié serait un bon début et une solution basée sur un VLAN meilleure (cela peut être exploité par un attaquant déterminé, mais cela arrêtera la plupart des attaques par "délits d'opportunité". NIC drivers Cependant, un réseau physique dédié (via un commutateur dédié ou un VLAN basé sur le port) est préférable.

3
rackandboneman