PC Windows XP en réseau d'entreprise

Dans notre petite entreprise, nous utilisons environ 75 ordinateurs. Les serveurs et les ordinateurs de bureau / portables sont tous à jour et sécurisés à l'aide de Panda Business Endpoint Protection et de Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Cependant, dans notre environnement de production, environ 15 ordinateurs Windows XP sont en cours d'exécution. Ils sont connectés au réseau de l'entreprise. Principalement à des fins de connectivité SQL et de journalisation. Ils ont un accès en écriture limité aux serveurs.

Les PC Windows XP ne sont utilisés que pour une seule application de production (personnalisée). Pas de logiciel de bureautique (email, navigation, bureautique, ...). De plus, chacun de ces PC XP dispose d’un contrôle d’accès Web Panda qui ne permet pas l’accès à Internet. Les seules exceptions concernent les mises à jour Windows et Panda.

Est-il nécessaire, du point de vue de la sécurité, de remplacer ces PC Windows XP par de nouveaux PC?

Est-il nécessaire, du point de vue de la sécurité, de remplacer ces XP-PC par de nouveaux PC?

Non, il n'est pas nécessaire de remplacer les PC. Mais il est nécessaire de mettre à niveau ces systèmes d’exploitation (cela peut également impliquer le remplacement de ces PC - nous ne le savons pas. Mais s’ils utilisent du matériel spécialisé, il est alors possible de conserver le PC).

Il y a tellement d' histoires du monde réel sur des PC supposés "gorgés d'air" infectés. Cela peut arriver quel que soit votre système d'exploitation, mais le fait de disposer d'un système d'exploitation extrêmement ancien et non mis à jour le rend encore plus vulnérable.

D'autant plus que vos ordinateurs sont protégés par une restriction logicielle empêchant l'accès à Internet. Ceci est probablement facile à contourner. (Avertissement: je n'ai jamais entendu parler de ce contrôle d'accès Web Panda, mais il ressemble certainement à un logiciel sur l'hôte).

Le problème auquel vous êtes probablement confronté est le manque de coopération des fournisseurs. Il est possible que des fournisseurs refusent d'aider, veuillent facturer 100 000 USD pour une mise à niveau ou fassent carrément faillite et que la propriété intellectuelle soit jetée à la poubelle.

Si tel est le cas, l’entreprise doit prévoir un budget.

S'il n'y a vraiment pas d'autre choix que de garder le système d'exploitation vieux de 16 ans fonctionnant sans correctif (peut-être un tour ou une fraiseuse ou un IRM de plusieurs millions de dollars), alors vous devez procéder à une isolation sérieuse de l'hôte basée sur du matériel. Mettre ces machines sur leur propre réseau sans fil avec des règles de pare-feu extrêmement restrictives serait un bon début.

Il semblerait que vous ayez besoin d'un peu de main de main à cet égard. Alors, comment ça se fait:

• Windows XP est un système d'exploitation vieux de 16 ans. Seize ans . Laissez-moi pénétrer. Je réfléchirais deux fois avant d’acheter une voiture de 16 ans et ils fabriquent encore des pièces de rechange pour des voitures de 16 ans. Il n'y a pas de «pièces de rechange» pour Windows XP.

• En apparence, votre hôte est mal isolé. Disons que quelque chose entre déjà dans votre réseau. Par d'autres moyens. Quelqu'un branche une clé USB infectée. Il va scanner votre réseau intérieur et se propager à tout ce qui a une vulnérabilité à exploiter. Un manque d'accès à Internet est sans importance ici parce que l'appel téléphonique vient de l' intérieur de la maison

• Ce produit de sécurité Panda ressemble à des restrictions logicielles. Les logiciels peuvent être contournés, parfois facilement. Je parie qu'un malicieux programme malveillant pourrait quand même accéder à Internet si la seule chose qui l'arrête est un logiciel qui tourne au-dessus de la pile de réseaux. Il pourrait simplement obtenir les privilèges d'administrateur et arrêter le logiciel ou le service. Donc, ils n'ont pas vraiment pas d'accès à Internet du tout. Cela revient à l'isolation de l'hôte - avec une isolation appropriée de l'hôte, vous pourriez en fait les retirer d'Internet et peut - être limiter les dommages qu'ils pourraient causer à votre réseau.

Honnêtement, vous ne devriez pas avoir besoin de justifier le remplacement de ces ordinateurs et / ou du système d'exploitation. Ils seront totalement amortis aux fins de la comptabilité. Ils sont probablement bien au-delà de la fin de toute garantie ou assistance du fournisseur de matériel. Ils sont définitivement dépassés de tout type d'assistance de Microsoft ils ne prendront toujours pas votre argent).

Toute entreprise intéressée par la réduction des risques et de la responsabilité aurait remplacé ces machines il y a des années. Il n'y a pas ou peu d'excuse pour garder les postes de travail. J'ai énuméré quelques excuses valables ci-dessus (s'il est totalement déconnecté de tous les réseaux et vit dans un placard et exécute la musique d'ascenseur que je pourrais - PEUT - lui donner un laissez-passer). On dirait que vous n’avez aucune excuse valable pour les laisser. Surtout maintenant que vous savez qu'ils sont là et que vous avez vu les dommages qui peuvent en résulter (je suppose que vous écriviez ceci en réponse à WannaCry / WannaCrypt).

Le remplacement pourrait être exagéré. Mettre en place une passerelle. La machine passerelle ne doit pas exécuter Windows; Linux est probablement le meilleur choix. La passerelle doit avoir deux cartes réseau distinctes. Les machines Windows XP seront sur un réseau d'un côté, le reste du monde est de l'autre côté. Linux ne routera pas le trafic.

Installez Samba et créez des partages pour les machines XP sur lesquelles écrire. Copier les fichiers entrants vers la destination finale. rsyncserait le choix logique.

En utilisant iptables, bloquez tous les ports sauf ceux utilisés pour Samba. Bloquez les connexions Samba sortantes du côté des machines XP (pour que rien ne puisse écrire sur les machines XP) et ** toutes * les connexions entrantes de l’autre côté (pour que rien ne puisse écrire sur la machine Linux) - peut-être avec une seule Exception codée en dur pour SSH, mais uniquement à partir de l’IP de votre PC de gestion.

Pirater les machines XP nécessite maintenant de pirater un serveur Linux entre les deux, ce qui rejette positivement toutes les connexions provenant du côté non-XP. C'est ce qu'on appelle la défense en profondeur . Bien qu'il soit possible qu'il existe encore une combinaison de bogues malchanceuse qui permettrait à un pirate informatique déterminé et averti de contourner ce problème, vous parlez d'un pirate informatique qui essaie spécifiquement de pirater ces 15 machines XP sur votre réseau. Les botnets, les virus et les vers ne peuvent généralement contourner qu’une ou deux vulnérabilités communes et peuvent rarement fonctionner sur plusieurs systèmes d’exploitation.

Ce week-end, les nouvelles concernant WannaCry auraient dû indiquer clairement qu'il était absolument nécessaire de remplacer Windows XP et des systèmes similaires dans la mesure du possible.

Même si MS a publié un patch extraordinaire pour cet ancien système d'exploitation, rien ne garantit que cela se reproduira.

Nous utilisons certaines machines Windows XP pour des logiciels spécifiques (hérités), nous avons essayé de déplacer autant que possible les machines virtuelles à l'aide d'Oracle VirtualBox (gratuit), et je vous conseillerais de faire de même.

Cela donne plusieurs avantages.

Le numéro 1 pour vous est que vous pouvez contrôler très étroitement l'accès au réseau de la machine virtuelle (sans rien installer dans Windows XP) et que vous bénéficiez de la protection du système d'exploitation le plus récent de la machine hôte et des logiciels de sécurité qui y sont exécutés.

Cela signifie également que vous pouvez déplacer la machine virtuelle sur différentes machines physiques / systèmes d'exploitation au fur et à mesure que des mises à niveau ou des défaillances matérielles se produisent, la sauvegarder facilement, notamment en sauvegardant un instantané de l'état "en bon état de fonctionnement" avant d'appliquer toute mise à jour / modification.

Nous utilisons une machine virtuelle par application pour maintenir les choses super séparées. Tant que vous gardez l'UUID correct du lecteur d'amorçage, l'installation de Windows XP ne vous dérange pas.

Cette approche signifie que nous pouvons faire tourner une machine virtuelle pour une tâche donnée nécessitant une installation minimale de Windows XP et le logiciel requis, sans qu'aucune opération supplémentaire ne soit nécessaire et que rien ne le dérange. Limiter l’accès réseau de la machine réduit considérablement la vulnérabilité et empêche Windows XP de vous surprendre avec des mises à jour qui pourraient casser des choses ou pire.

Comme quelqu'un l'a suggéré précédemment, envisagez de renforcer l'isolement par rapport au reste du réseau.

S'appuyer sur un logiciel sur machine est faible (car il repose sur la pile réseau du système d'exploitation qui peut elle-même être vulnérable). Un sous-réseau dédié serait un bon début et une solution basée sur un VLAN mieux (cela peut être exploité par un attaquant déterminé, mais cela arrêtera la plupart des attaques de type «crimes d'opportunité». Les pilotes de cartes réseau doivent prendre en charge cela). Un réseau physique dédié (via un commutateur dédié ou un VLAN basé sur un port) est préférable.

Oui, ils doivent être remplacés. Quiconque utilise des machines Windows XP connectées à n’importe quel type de réseau post-WannaCry ne fait que poser des problèmes.