Question PC Windows XP en réseau d'entreprise


Dans notre petite entreprise, nous utilisons environ 75 ordinateurs. Les serveurs et les ordinateurs de bureau / portables sont tous à jour et sécurisés à l'aide de Panda Business Endpoint Protection et Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit).

Cependant, dans notre environnement de production, environ 15 ordinateurs Windows XP sont en cours d'exécution. Ils sont connectés au réseau de l'entreprise. Principalement à des fins de connectivité SQL et de journalisation. Ils ont un accès en écriture limité aux serveurs.

Les PC Windows XP ne sont utilisés que pour une seule application de production (personnalisée). Pas de logiciel de bureautique (email, navigation, bureautique, ...). De plus, chacun de ces PC XP dispose d’un contrôle d’accès Web Panda qui ne permet pas l’accès à Internet. Les seules exceptions concernent les mises à jour Windows et Panda.

Est-il nécessaire, du point de vue de la sécurité, de remplacer ces PC Windows XP par de nouveaux PC?


37
2018-05-16 13:02


origine


Les machines XP ont-elles un lien avec le monde extérieur? Ou le monde extérieur a-t-il des liens à l'intérieur? Si elles sont toutes "strictement" internes ... dans mon entreprise, nous avons des machines XP qui sont "déconnectées" du monde extérieur (certaines ne sont en fait connectées à rien) et qui possèdent un logiciel "propriétaire" qui interagit avec des machines qui ne peuvent pas être remplacés facilement ... Les remplacer est une question différente de celle de ... remplacer un serveur Web. - WernerCD
@Nav Si les seuls fournisseurs de toute une classe de matériel ne prennent en charge que Windows, ils doivent bien entendu utiliser Windows. Si ce matériel dure des décennies, ils doivent utiliser Windows XP ou 98. Ou DOS. Si le coût de la commutation de tous leurs systèmes existants et du recyclage des utilisateurs est énorme, ils le font en pratique. - Chris H
@Nav c'est une attitude incroyablement élitiste à avoir. Basculer la grande majorité des employés vers un système d'exploitation différent représente un coût et un fardeau importants. Et dire que Linux est "bien meilleur et plus sûr" est naïf. Comment mesurez-vous même "mieux"? Si Linux avait la même pénétration que Windows, il y aurait tout autant d’exploits et de risques pour Linux. Et il y a beaucoup des exploits dans la nature qui visent Linux - avons-nous déjà oublié heartbleed? Différents systèmes d'exploitation ont des avantages et des inconvénients différents pour chaque public, et les décisions doivent être prises dans ce contexte. - Mark Henderson♦
@Nav Windows dans un bureau est souvent une plate-forme pour MS Office. Et MS Office est toujours irremplaçable dans de nombreux cas malgré 20 ans de naïveté à ce sujet dans la communauté open source :) - rackandboneman
@KhajakVahanyan Cette année seulement, le Noyau Linux présentent les vulnérabilités (publiques) les plus distinctes, soit près de quatre fois celle de Windows 2008. - Martheen


Réponses:


Est-il nécessaire, du point de vue de la sécurité, de remplacer ces XP-PC par de nouveaux PC?

Non, il n'est pas nécessaire de remplacer les PC. Mais ça est nécessaire de mettre à niveau ces systèmes d’exploitation (cette peut impliquent également le remplacement de ces PC - nous ne savons pas. Mais s’ils utilisent du matériel spécialisé, il peut être possible de conserver le PC).

Il y a tant des histoires du monde réel sur des PC supposés "gorgés d'air" infectés. Cela peut arriver quel que soit votre système d'exploitation, mais le fait de disposer d'un système d'exploitation extrêmement ancien et non mis à jour le rend encore plus à risque.

D'autant plus que vos ordinateurs semblent protégés par un Logiciel restriction pour bloquer l'accès à Internet. Ceci est probablement facile à contourner. (mise en garde: je n'ai jamais entendu parler de ce contrôle d'accès Web Panda, mais il est certain regards comme logiciel sur l'hôte).

Le problème auquel vous êtes probablement confronté est le manque de coopération des fournisseurs. Il est possible que des fournisseurs refusent d’aider, veuillent facturer 100 000 dollars US pour une mise à niveau ou fassent carrément faillite et jettent leur adresse IP.

Si tel est le cas, l’entreprise doit prévoir un budget.

S'il n'y a vraiment pas d'autre choix que de garder le système d'exploitation vieux de 16 ans fonctionnant sans correctif (peut-être un tour CNC ou une fraiseuse ou une IRM d'un million de dollars), alors vous devez procéder à une isolation sérieuse de l'hôte basée sur du matériel. Mettre ces machines sur leur propre vlan avec des règles de pare-feu extrêmement restrictives serait un bon début.


Il semblerait que vous ayez besoin d'un peu de main de main à cet égard. Alors, comment ça se fait:

  • Windows XP est un système d'exploitation vieux de 16 ans. Seize ans. Laissez-moi y aller. Je réfléchirais deux fois avant d’acheter une voiture de 16 ans et ils fabriquent encore des pièces de rechange pour des voitures de 16 ans. Il n'y a pas de «pièces de rechange» pour Windows XP.

  • En apparence, votre hôte est mal isolé. Disons que quelque chose entre déjà dans votre réseau. Par d'autres moyens. Quelqu'un branche une clé USB infectée. Il va scanner votre réseau intérieur et se propager à tout ce qui a une vulnérabilité à exploiter. Un manque d’accès à Internet est sans importance ici parce que l’appel téléphonique vient de à l'intérieur de la maison

  • Ce produit de sécurité Panda ressemble à des restrictions logicielles. Les logiciels peuvent être contournés, parfois facilement. Je parie qu'un malicieux programme malveillant pourrait quand même accéder à Internet si la seule chose qui l'arrête est un logiciel qui tourne au-dessus de la pile réseau. Il pourrait simplement obtenir les privilèges d'administrateur et arrêter le logiciel ou le service. Donc ils ne vraiment n'ont pas accès à Internet du tout. Cela nous ramène à l’isolement de l’hôte - avec un isolement approprié de l’hôte, vous pourriez les obtenir hors d’Internet et peut être limiter les dommages qu’ils peuvent causer à votre réseau.

Honnêtement, vous ne devriez pas avoir besoin pour justifier le remplacement de ces ordinateurs et / ou du système d'exploitation. Ils seront totalement amortis à des fins comptables. Ils sont probablement bien au-delà de la fin de toute garantie ou assistance du fournisseur de matériel. Ils sont définitivement dépassés de toute assistance de Microsoft (même si vous brandissez votre titanium American Express sous le visage de Microsoft, ils ne prendront toujours pas votre argent).

Toute entreprise intéressée par la réduction des risques et de la responsabilité aurait remplacé ces machines il y a des années. Il n'y a pas ou peu d'excuse pour garder les postes de travail. J'en ai énuméré valide excuses ci-dessus (si elle est totalement déconnectée de tous les réseaux et vit dans un placard et exécute la musique d'ascenseur, je pourrais - PEUT - lui donner un laissez-passer). On dirait que vous n’avez aucune excuse valable pour les laisser. Surtout maintenant que vous savez qu'ils sont là et que vous avez vu les dommages qui peuvent en résulter (je suppose que vous écriviez ceci en réponse à WannaCry / WannaCrypt).


65
2018-05-16 13:16



Bonjour, je vais devoir expliquer pourquoi il est nécessaire de remplacer ces anciens XP-PC, alors qu’ils n’ont pas accès à Internet. Ainsi est-il possible de me donner quelques explications (semi) techniques quelles situations pourraient se produire. Le fait que le contrôle d'accès Web soit basé sur un logiciel est certainement un début. Voici un lien vers le contrôle d'accès Web de Panda: pandasecurity.com/usa/support/card?id=50074 - Thomas VDB
@ThomasVDB J'ai ajouté une mise à jour à ma réponse. - Mark Henderson♦


Le remplacement est peut-être excessif. Mettre en place une passerelle. La passerelle devrait ne pas exécuter Windows; Linux est probablement le meilleur choix. La passerelle doit avoir deux cartes réseau distinctes. Les machines Windows XP seront sur un réseau d'un côté, le reste du monde est de l'autre côté. Linux ne routera pas le trafic.

Installez Samba et créez des partages pour les machines XP. Copier les fichiers entrants en avant vers la destination finale. rsync serait le choix logique.

En utilisant iptables, bloquez tous les ports sauf ceux utilisés pour Samba. Bloquez les connexions Samba sortantes du côté des machines XP (pour que rien ne puisse écrire sur les machines XP) et ** toutes * les connexions entrantes de l’autre côté (pour que rien ne puisse écrire sur la machine Linux) - peut-être avec une seule Exception codée en dur pour SSH, mais uniquement à partir de l’IP de votre PC de gestion.

Pirater les machines XP nécessite maintenant de pirater un serveur Linux entre les deux, ce qui rejette positivement toutes les connexions provenant du côté non-XP. C'est ce qu'on appelle défense en profondeur. Bien qu'il soit possible qu'il existe encore une combinaison de bogues malchanceuse permettant à un pirate informatique déterminé et compétent de contourner ce problème, vous parlez d'un pirate informatique qui essaie spécifiquement de pirater ces 15 machines XP sur votre réseau. Les botnets, les virus et les vers ne peuvent généralement contourner qu’une ou deux vulnérabilités communes et peuvent rarement fonctionner sur plusieurs systèmes d’exploitation.


19
2018-05-16 15:58



Cela pourrait fonctionner. PFSense ou Monowall fonctionneraient ici, non? Les PC devraient toujours pouvoir se connecter à notre serveur SQL. - Thomas VDB
Ouais, ou à la place d’une passerelle, vous n’achetez qu’un routeur petit mais puissant (Mikrotik) ou équivalent à 40 USD. Fini. Utilise beaucoup moins de puissance. - TomTom
-1 car cela ne résoudra pas les problèmes du PO. - James Snell
@ JamesSnell: Ce n'est pas un commentaire utile. Pourquoi ça ne va pas aider? Quelle menace de sécurité concrète pouvez-vous nommer qui contourne cette configuration? - MSalters
@ThomasVDB: Le point essentiel d'une passerelle exécutant iptables et Samba est que les paquets IP sont soit abandonnés (pas SMB), soit gérés par une implémentation moderne et performante. Cela signifie que les machines XP seront seulement recevoir les paquets IP générés par Samba sur la machine Linux. Ceux-ci sont connus pour ne pas être malformés. Comme le suggère TomTom, un routeur transfère les paquets IP, mais ne connaît pas le protocole SMB et transmet les paquets incorrects comme ceux qui ont déclenché WannaCry. Oui, ne pas vérifier est plus économe en énergie, mais la sécurité devrait être la principale priorité ici. - MSalters


Ce week-end, les nouvelles concernant WannaCry auraient dû indiquer clairement qu'il était absolument nécessaire de remplacer Windows XP et des systèmes similaires dans la mesure du possible.

Même si MS a publié un patch extraordinaire pour cet ancien système d'exploitation, rien ne garantit que cela se reproduira.


13
2018-05-16 13:16



Oui, mais ces virus n'entrent-ils pas dans l'entreprise par courrier électronique et sur Internet? N'est-ce pas couvert par le fait que ces PC n'ont pas d'accès Internet? Je suis sûr que les PC XP ne sont pas sécuritaires lorsqu'ils sont utilisés pour des applications de bureau. Mais lorsque vous n'exécutez qu'une seule application sans accès à Internet, la situation doit-elle être différente? Ou qu'est-ce qui me manque? - Thomas VDB
Mais ils sont connectés à un serveur SQL. Que se passe-t-il si la prochaine fois, il est infecté par un autre malware et utilise un trou potentiel dans l'implémentation du client SQL Server? Tant qu'il existe une connexion avec d'autres systèmes, il existe un danger potentiel. - Sven♦
@ThomasVDB: WannaCry a deux façons de se distribuer. Les pièces jointes aux courriels en sont une, mais une deuxième méthode consistait à partager des fichiers. En particulier, partages de fichiers en utilisant l'ancien protocole SMBv1. Microsoft avait publié des correctifs spécifiquement pour ce problème en mars 2017. Toutefois, XP n'étant plus en mesure de le supporter, Microsoft n'avait pas initialement publié de version XP de ce correctif SMBv1. Ils ont inversé cette décision maintenant que WannaCry a frappé, mais seulement pour ce problème spécifique. - MSalters
Yes, but don't these viruses enter the company by email and browsing the web? Is this not covered by the fact that these PC's have no internet access? - "Je ne verrouille pas les fenêtres de ma chambre parce qu'elles se trouvent au deuxième étage et qu'il n'y a pas d'échelle à l'extérieur" est une justification qui n'a jamais empêché un cambrioleur de cambrioler une maison. Si ces machines relèvent de votre compétence et de votre responsabilité, vous devez les corriger, peu importe ce que vous croyez probable. - joeqwerty
Cela arrêtera un cambrioleur qui a beaucoup de maisons avec des fenêtres ouvertes au sol. Attaquant déterminé (employé techniquement mécontent ou espion) et attaquant opportuniste (malwares, vandales, constructeurs de botnet). - rackandboneman


Nous utilisons certaines machines Windows XP pour des logiciels spécifiques (existants), nous avons essayé de déplacer autant que possible les machines virtuelles à l'aide d'Oracle VirtualBox (gratuit), et je vous conseillerais de faire de même.

Cela donne plusieurs avantages;

Le numéro 1 pour vous est que vous pouvez contrôler très étroitement l'accès au réseau de la machine virtuelle (sans rien installer à l'intérieur de Windows XP) et que vous bénéficiez de la protection du système d'exploitation le plus récent de la machine hôte et des logiciels de sécurité qui y sont exécutés.

Cela signifie également que vous pouvez déplacer la machine virtuelle sur différentes machines physiques / systèmes d'exploitation au fur et à mesure que des mises à niveau ou des défaillances matérielles se produisent, la sauvegarder facilement, notamment en sauvegardant un instantané de l'état "en bon état de fonctionnement" avant d'appliquer toute mise à jour / modification.

Nous utilisons un ordinateur virtuel par application pour maintenir les choses super séparées. Tant que vous gardez l'UUID correct du lecteur d'amorçage, l'installation de Windows XP ne vous dérange pas.

Cette approche signifie que nous pouvons faire tourner une machine virtuelle pour une tâche donnée qui nécessite une installation minimale de Windows XP et le logiciel requis, sans qu'aucune opération supplémentaire ne soit nécessaire et qui ne cause rien. Limiter l’accès réseau de la machine réduit considérablement la vulnérabilité et empêche Windows XP de vous surprendre avec des mises à jour qui pourraient casser des choses ou pire.


5
2018-05-18 12:20



Cela peut vous poser des problèmes si le logiciel personnalisé permet de gérer du matériel personnalisé :) Dans tous les autres cas, les ordinateurs virtuels et les instantanés vous permettent une stratégie vraiment "sale" si nécessaire: Exécuter jusqu'à ce que piraté, restaurer à partir d'un instantané, rincer, répéter :) Faire bien sûr, rien d’autre n’est touché :) - rackandboneman
C'est vrai, mais de nos jours, les ordinateurs virtuels sont étonnamment bons dans la plupart des cas, et le fait que vous puissiez les exécuter sur un ordinateur hôte dix fois plus puissant aide. Si le logiciel spécial fait quelque chose de particulièrement vulnérable, vous n’avez pas beaucoup d’options, mais comme vous le dites, au moins, c’est au moins une machine virtuelle clonée qui est piratée et vous pouvez la réutiliser facilement. - John U
Je pensais "piloter des cartes ISA bizarres telles que les interfaces GPIO, DAC / ADC ou IEEE-488" :) Une des raisons classiques de disposer d’anciens environnements de système d’exploitation. - rackandboneman
Eh bien oui, même si ces jours-ci, vous n'êtes plus qu'un Raspberry Pi ou un Arduino qui ne peut pas reproduire ou interfacer ce genre de chose. - John U


Comme quelqu'un l'a suggéré précédemment, envisagez de renforcer l'isolement par rapport au reste du réseau.

S'appuyer sur un logiciel sur machine est faible (car il repose sur la pile réseau du système d'exploitation qui peut elle-même être vulnérable). Un sous-réseau dédié serait un bon début et une solution basée sur un VLAN mieux (elle peut être exploitée par un attaquant déterminé, mais elle arrêtera la plupart des attaques de type «crimes d'opportunité». Les pilotes de cartes réseau doivent prendre en charge cela.). Un réseau physique dédié (via un commutateur dédié ou un VLAN basé sur un port) est préférable.


3
2018-05-17 19:11





Oui, ils doivent être remplacés. Quiconque utilise des machines Windows XP connectées à n’importe quel type de réseau post-WannaCry ne fait que poser des problèmes.


-5
2018-05-17 11:32



-1, cela n'ajoute rien qui ne soit pas mieux dit dans les autres réponses. - HopelessN00b