PC Windows XP en réseau d'entreprise


36

Dans notre petite entreprise, nous utilisons environ 75 ordinateurs. Les serveurs et les ordinateurs de bureau / portables sont tous à jour et sécurisés à l'aide de Panda Business Endpoint Protection et de Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Cependant, dans notre environnement de production, environ 15 ordinateurs Windows XP sont en cours d'exécution. Ils sont connectés au réseau de l'entreprise. Principalement à des fins de connectivité SQL et de journalisation. Ils ont un accès en écriture limité aux serveurs.

Les PC Windows XP ne sont utilisés que pour une seule application de production (personnalisée). Pas de logiciel de bureautique (email, navigation, bureautique, ...). De plus, chacun de ces PC XP dispose d’un contrôle d’accès Web Panda qui ne permet pas l’accès à Internet. Les seules exceptions concernent les mises à jour Windows et Panda.

Est-il nécessaire, du point de vue de la sécurité, de remplacer ces PC Windows XP par de nouveaux PC?


3
Les machines XP ont-elles une connexion avec le monde extérieur? Ou le monde extérieur a-t-il des liens à l'intérieur? Si elles sont toutes "strictement" internes ... dans mon entreprise, nous avons des machines XP qui sont "déconnectées" du monde extérieur (certaines ne sont en fait connectées à rien) et dont le logiciel "propriétaire" interagit avec des machines qui ne peuvent pas être remplacés facilement ... Les remplacer est une question différente de celle de ... remplacer un serveur Web.
WernerCD

10
@Nav Si les seuls fournisseurs de toute une classe de matériel ne prennent en charge que Windows, ils doivent bien entendu utiliser Windows. Si ce matériel dure des décennies, ils doivent utiliser Windows XP ou 98. Ou DOS. Si le coût de la commutation de tous leurs systèmes existants et du recyclage des utilisateurs est énorme, ils le font en pratique.
Chris H

21
@Nav c'est une attitude incroyablement élitiste à avoir. Basculer la grande majorité des employés vers un système d'exploitation différent représente un coût et un fardeau importants. Et dire que Linux est "bien meilleur et plus sûr" est naïf. Comment mesurez-vous même "mieux"? Si Linux avait la même pénétration que Windows, il y aurait tout autant d’exploits et de risques pour Linux. Et il existe de nombreux exploits dans la nature qui visent Linux - avons-nous déjà oublié notre cœur? Différents systèmes d'exploitation ont des avantages et des inconvénients différents pour chaque public, et les décisions doivent être prises dans ce contexte.
Mark Henderson

3
@Nav Windows dans un bureau est souvent une plate-forme pour MS Office. Et MS Office est toujours irremplaçable dans de nombreux cas malgré 20 années de naïveté à ce sujet dans la communauté open source :)
rackandboneman

3
@KhajakVahanyan Rien que cette année, le noyau Linux présente les vulnérabilités (publiques) les plus distinctes (près de quatre fois celle de Windows 2008).
Martheen

Réponses:


64

Est-il nécessaire, du point de vue de la sécurité, de remplacer ces XP-PC par de nouveaux PC?

Non, il n'est pas nécessaire de remplacer les PC. Mais il est nécessaire de mettre à niveau ces systèmes d’exploitation (cela peut également impliquer le remplacement de ces PC - nous ne le savons pas. Mais s’ils utilisent du matériel spécialisé, il est alors possible de conserver le PC).

Il y a tellement d' histoires du monde réel sur des PC supposés "gorgés d'air" infectés. Cela peut arriver quel que soit votre système d'exploitation, mais le fait de disposer d'un système d'exploitation extrêmement ancien et non mis à jour le rend encore plus vulnérable.

D'autant plus que vos ordinateurs sont protégés par une restriction logicielle empêchant l'accès à Internet. Ceci est probablement facile à contourner. (Avertissement: je n'ai jamais entendu parler de ce contrôle d'accès Web Panda, mais il ressemble certainement à un logiciel sur l'hôte).

Le problème auquel vous êtes probablement confronté est le manque de coopération des fournisseurs. Il est possible que des fournisseurs refusent d'aider, veuillent facturer 100 000 USD pour une mise à niveau ou fassent carrément faillite et que la propriété intellectuelle soit jetée à la poubelle.

Si tel est le cas, l’entreprise doit prévoir un budget.

S'il n'y a vraiment pas d'autre choix que de garder le système d'exploitation vieux de 16 ans fonctionnant sans correctif (peut-être un tour ou une fraiseuse ou un IRM de plusieurs millions de dollars), alors vous devez procéder à une isolation sérieuse de l'hôte basée sur du matériel. Mettre ces machines sur leur propre réseau sans fil avec des règles de pare-feu extrêmement restrictives serait un bon début.


Il semblerait que vous ayez besoin d'un peu de main de main à cet égard. Alors, comment ça se fait:

  • Windows XP est un système d'exploitation vieux de 16 ans. Seize ans . Laissez-moi pénétrer. Je réfléchirais deux fois avant d’acheter une voiture de 16 ans et ils fabriquent encore des pièces de rechange pour des voitures de 16 ans. Il n'y a pas de «pièces de rechange» pour Windows XP.

  • En apparence, votre hôte est mal isolé. Disons que quelque chose entre déjà dans votre réseau. Par d'autres moyens. Quelqu'un branche une clé USB infectée. Il va scanner votre réseau intérieur et se propager à tout ce qui a une vulnérabilité à exploiter. Un manque d'accès à Internet est sans importance ici parce que l'appel téléphonique vient de l' intérieur de la maison

  • Ce produit de sécurité Panda ressemble à des restrictions logicielles. Les logiciels peuvent être contournés, parfois facilement. Je parie qu'un malicieux programme malveillant pourrait quand même accéder à Internet si la seule chose qui l'arrête est un logiciel qui tourne au-dessus de la pile de réseaux. Il pourrait simplement obtenir les privilèges d'administrateur et arrêter le logiciel ou le service. Donc, ils n'ont pas vraiment pas d'accès à Internet du tout. Cela revient à l'isolation de l'hôte - avec une isolation appropriée de l'hôte, vous pourriez en fait les retirer d'Internet et peut - être limiter les dommages qu'ils pourraient causer à votre réseau.

Honnêtement, vous ne devriez pas avoir besoin de justifier le remplacement de ces ordinateurs et / ou du système d'exploitation. Ils seront totalement amortis aux fins de la comptabilité. Ils sont probablement bien au-delà de la fin de toute garantie ou assistance du fournisseur de matériel. Ils sont définitivement dépassés de tout type d'assistance de Microsoft ils ne prendront toujours pas votre argent).

Toute entreprise intéressée par la réduction des risques et de la responsabilité aurait remplacé ces machines il y a des années. Il n'y a pas ou peu d'excuse pour garder les postes de travail. J'ai énuméré quelques excuses valables ci-dessus (s'il est totalement déconnecté de tous les réseaux et vit dans un placard et exécute la musique d'ascenseur que je pourrais - PEUT - lui donner un laissez-passer). On dirait que vous n’avez aucune excuse valable pour les laisser. Surtout maintenant que vous savez qu'ils sont là et que vous avez vu les dommages qui peuvent en résulter (je suppose que vous écriviez ceci en réponse à WannaCry / WannaCrypt).


1
Bonjour, je vais devoir expliquer pourquoi il est nécessaire de remplacer ces anciens XP-PC, alors qu’ils n’ont pas accès à Internet. Il est donc possible de me donner des explications (semi) techniques quelles situations pourraient se produire. Le fait que le contrôle d'accès Web soit basé sur un logiciel est certainement un début. Par ailleurs, il s'agit d'un lien vers le contrôle d'accès Web de Panda: pandasecurity.com/usa/support/card?id=50074
Thomas VDB

2
@ThomasVDB J'ai ajouté une mise à jour à ma réponse
Mark Henderson

19

Le remplacement pourrait être exagéré. Mettre en place une passerelle. La machine passerelle ne doit pas exécuter Windows; Linux est probablement le meilleur choix. La passerelle doit avoir deux cartes réseau distinctes. Les machines Windows XP seront sur un réseau d'un côté, le reste du monde est de l'autre côté. Linux ne routera pas le trafic.

Installez Samba et créez des partages pour les machines XP sur lesquelles écrire. Copier les fichiers entrants vers la destination finale. rsyncserait le choix logique.

En utilisant iptables, bloquez tous les ports sauf ceux utilisés pour Samba. Bloquez les connexions Samba sortantes du côté des machines XP (pour que rien ne puisse écrire sur les machines XP) et ** toutes * les connexions entrantes de l’autre côté (pour que rien ne puisse écrire sur la machine Linux) - peut-être avec une seule Exception codée en dur pour SSH, mais uniquement à partir de l’IP de votre PC de gestion.

Pirater les machines XP nécessite maintenant de pirater un serveur Linux entre les deux, ce qui rejette positivement toutes les connexions provenant du côté non-XP. C'est ce qu'on appelle la défense en profondeur . Bien qu'il soit possible qu'il existe encore une combinaison de bogues malchanceuse qui permettrait à un pirate informatique déterminé et averti de contourner ce problème, vous parlez d'un pirate informatique qui essaie spécifiquement de pirater ces 15 machines XP sur votre réseau. Les botnets, les virus et les vers ne peuvent généralement contourner qu’une ou deux vulnérabilités communes et peuvent rarement fonctionner sur plusieurs systèmes d’exploitation.


3
Cela pourrait fonctionner. PFSense ou Monowall fonctionneraient ici, non? Les PC devraient toujours pouvoir se connecter à notre serveur SQL.
Thomas VDB

4
Ouais, ou à la place d'une passerelle, vous achetez simplement un routeur petit mais capable (Mikrotik) ou équivalent à 40 USD. Fini. Utilise beaucoup moins d'énergie.
TomTom

-1 car cela ne résoudra pas les problèmes du PO.
James Snell

6
@ JamesSnell: Ce n'est pas un commentaire utile. Pourquoi ça ne va pas aider? Quelle menace de sécurité concrète pouvez-vous nommer qui contourne cette configuration?
MSalters

3
@ThomasVDB: Le point essentiel d'une passerelle exécutant iptables et Samba est que les paquets IP sont soit abandonnés (pas SMB), soit gérés par une implémentation moderne et performante. Cela signifie que les machines XP ne recevront que les paquets IP générés par Samba sur la machine Linux. Ceux-ci sont connus pour ne pas être malformés. Comme le suggère TomTom, un routeur transfère les paquets IP, mais ne connaît pas le protocole SMB et transmet les paquets incorrects comme ceux qui ont déclenché WannaCry. Oui, ne pas vérifier est plus économe en énergie, mais la sécurité devrait être la principale priorité ici.
MSalters

13

Ce week-end, les nouvelles concernant WannaCry auraient dû indiquer clairement qu'il était absolument nécessaire de remplacer Windows XP et des systèmes similaires dans la mesure du possible.

Même si MS a publié un patch extraordinaire pour cet ancien système d'exploitation, rien ne garantit que cela se reproduira.


2
Oui, mais ces virus n'entrent-ils pas dans l'entreprise par courrier électronique et sur Internet? N'est-ce pas couvert par le fait que ces PC n'ont pas d'accès Internet? Je suis sûr que les PC XP ne sont pas sécuritaires lorsqu'ils sont utilisés pour des applications de bureau. Mais lorsque vous n'exécutez qu'une seule application sans accès à Internet, la situation doit-elle être différente? Ou qu'est-ce qui me manque?
Thomas VDB

2
Mais ils sont connectés à un serveur SQL. Que se passe-t-il si la prochaine fois, il est infecté par un autre malware et utilise un trou potentiel dans l'implémentation du client SQL Server? Tant qu'il y a une connexion avec d'autres systèmes, il y a un danger potentiel.
Sven

13
@ThomasVDB: WannaCry a deux façons de se distribuer. Les pièces jointes aux courriers électroniques en sont un, mais une deuxième méthode consistait à partager des fichiers. En particulier, les partages de fichiers utilisant l'ancien protocole SMBv1. Microsoft avait publié des correctifs spécifiquement pour ce problème en mars 2017. Cependant, comme XP n'était plus en support, Microsoft n'avait pas initialement publié de version XP de ce correctif SMBv1. Ils ont annulé cette décision maintenant que WannaCry a frappé, mais uniquement pour ce problème spécifique.
MSalters

7
Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access?- "Je ne verrouille pas les fenêtres de ma chambre parce qu'elles se trouvent au deuxième étage et qu'il n'y a pas d'échelle à l'extérieur" est une justification qui n'a jamais empêché un cambrioleur de cambrioler une maison. Si ces machines relèvent de votre compétence et de votre responsabilité, vous devez les corriger, peu importe ce que vous croyez probable.
joeqwerty

Cela arrêtera un cambrioleur qui a beaucoup de maisons avec des fenêtres ouvertes au rez-de-chaussée. Attaquant déterminé (employé techniquement mécontent ou espion) et attaquant opportuniste (malwares, vandales, constructeurs de botnet).
rackandboneman

5

Nous utilisons certaines machines Windows XP pour des logiciels spécifiques (hérités), nous avons essayé de déplacer autant que possible les machines virtuelles à l'aide d'Oracle VirtualBox (gratuit), et je vous conseillerais de faire de même.

Cela donne plusieurs avantages.

Le numéro 1 pour vous est que vous pouvez contrôler très étroitement l'accès au réseau de la machine virtuelle (sans rien installer dans Windows XP) et que vous bénéficiez de la protection du système d'exploitation le plus récent de la machine hôte et des logiciels de sécurité qui y sont exécutés.

Cela signifie également que vous pouvez déplacer la machine virtuelle sur différentes machines physiques / systèmes d'exploitation au fur et à mesure que des mises à niveau ou des défaillances matérielles se produisent, la sauvegarder facilement, notamment en sauvegardant un instantané de l'état "en bon état de fonctionnement" avant d'appliquer toute mise à jour / modification.

Nous utilisons une machine virtuelle par application pour maintenir les choses super séparées. Tant que vous gardez l'UUID correct du lecteur d'amorçage, l'installation de Windows XP ne vous dérange pas.

Cette approche signifie que nous pouvons faire tourner une machine virtuelle pour une tâche donnée nécessitant une installation minimale de Windows XP et le logiciel requis, sans qu'aucune opération supplémentaire ne soit nécessaire et que rien ne le dérange. Limiter l’accès réseau de la machine réduit considérablement la vulnérabilité et empêche Windows XP de vous surprendre avec des mises à jour qui pourraient casser des choses ou pire.


Cela peut vous donner des problèmes si le logiciel personnalisé permet de gérer du matériel personnalisé :) Dans tous les autres cas, les ordinateurs virtuels et les instantanés vous permettent une stratégie vraiment "sale" si nécessaire: Exécuter jusqu'à ce que piraté, restaurer à partir d'un instantané, rincer, répéter :) Faire sûr que rien d'autre ne sera touché, bien que :)
rackandboneman

C'est vrai, mais de nos jours, les ordinateurs virtuels sont étonnamment bons dans la plupart des cas, et le fait que vous puissiez les exécuter sur un ordinateur hôte qui est 10 fois plus puissant peut vous aider. Si le logiciel spécial fait quelque chose de particulièrement vulnérable, vous n’avez pas beaucoup d’options, mais comme vous le dites, au moins, c’est une machine virtuelle clonée qui est piratée et vous pouvez l’analyser facilement et recommencer à zéro.
John U

Je pensais "piloter des cartes ISA bizarres telles que les interfaces GPIO, DAC / ADC ou IEEE-488" :) Une des raisons classiques de disposer d’anciens environnements de système d’exploitation.
rackandboneman

Eh bien oui, même si ces temps-ci, vous n'êtes plus qu'un Raspberry Pi ou un Arduino qui ne peut répliquer ou interfacer ce genre de chose.
John U

3

Comme quelqu'un l'a suggéré précédemment, envisagez de renforcer l'isolement par rapport au reste du réseau.

S'appuyer sur un logiciel sur machine est faible (car il repose sur la pile réseau du système d'exploitation qui peut elle-même être vulnérable). Un sous-réseau dédié serait un bon début et une solution basée sur un VLAN mieux (cela peut être exploité par un attaquant déterminé, mais cela arrêtera la plupart des attaques de type «crimes d'opportunité». Les pilotes de cartes réseau doivent prendre en charge cela). Un réseau physique dédié (via un commutateur dédié ou un VLAN basé sur un port) est préférable.


-5

Oui, ils doivent être remplacés. Quiconque utilise des machines Windows XP connectées à n’importe quel type de réseau post-WannaCry ne fait que poser des problèmes.


7
-1, cela n'ajoute rien qui ne soit pas mieux dit dans les autres réponses.
HopelessN00b
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.