iThome
微軟停止Windows 2000 Server的延伸支援後,部分企業用戶擔心微軟不再提供安全更新,而考慮全面升級至Windows Server 2008。但是,部份資安專家認為,並非所有企業應用系統都得升級,必須依照企業的環境、可承受的風險與帶來的效益,去評估升級的效益。熟悉作業系統安全的李倫銓說:「不要只因微軟停止更新而升級系統,必須先檢視自身的環境,此時,再做出升級的考量也不遲。」
微軟停止作業系統更新後,將增加資安風險
微軟停止安全更新,真的會影響企業的資訊安全嗎?某家企業的資訊長根本不會擔心微軟停止Windows 2000 Server延伸支援所造成的資訊安全漏洞,他認為,駭客喜歡攻擊微軟新推出的作業系統,反而對老舊作業系統更顯得興趣缺缺,對他來說,就算微軟停止更新,Windows 2000 Server的資訊安全也沒有太大的問題。對此,Symantec資深技術顧問莊添發有不同的看法,他說:「反而是停止更新的作業系統,資訊安全的漏洞更大。」
微軟每個月都會定期公布資訊安全公告,針對微軟產品的弱點提供安全性的修補程式,莊添發表示,微軟作業系統的部份架構或功能會延續到下一代,由於擁有相同的功能,可能在Windows Server 2000、2003或2008作業系統上都會出現同樣的漏洞,所以,駭客不會只針對部分作業系統進行攻擊,而是會針對系統的漏洞進行攻擊,如果每個Windows作業系統都有相同的漏洞,當然這些作業系統被攻擊的機率也相當。
如果微軟不提供作業系統的安全更新後,反而是這些老舊的作業系統更為危險。莊添發表示,如果微軟數個跨世代的Windows作業系統都擁有相同的漏洞,但微軟只針對新推出的作業系統提供安全更新,那麼,當微軟停止Windows 2000 Sever作業系統的安全更新後,當然這些作業系統被攻擊的機率就會增加。
依系統重要性,訂出符合企業需求的升級策略
要如何避免被攻擊,首先就要知道駭客攻擊的手法,他們通常第一步會執行網路或主機的掃描,列出伺服器對外的連接埠和這些連接埠上會有哪些應用與服務,並透過掃描得知這些服務的漏洞後,就可以透過這些漏洞提升入侵者的權限,獲得系統控制權,再取得伺服器中的資料。
所以,如果還擁有Windows 2000 Server的企業,更需要重新檢視企業的IT架構。莊添發表示,依照駭客攻擊的手法,如果是越多人可以接觸到的系統,這些系統被攻擊的機率也會增加。
目前部分企業還擁有數量龐大的Windows 2000 Server伺服器,莊添發認為,必需要依照系統的重要性、可承受的風險與被攻擊的可能性進行升級的評估,一般來說,如果Windows 2000 Server伺服器執行對外服務應用就可以考慮升級。
因為這些對外伺服器,如網站伺服器等,對外連線使用者的數量較多,當然面對的風險也會提升。此外,對於部分公司來說,對外網站代表企業形象,如果被駭客攻擊,可能會影響公司的商譽。「企業用戶仍必須依照自身的狀況做出最後的判斷。」莊添發說。
如果將企業的應用分為對外應用、內網應用與封閉應用三種。莊添發與李倫銓皆認為,如果這三種應用都使用Windows 2000 Server作業系統,應該先升級對外應用的作業系統,然後逐步更新至內網應用,至於,封閉型的應用則必須依照實際的應用狀況再決定是否升級。
針對內網的應用,由於使用者的數量較少,如果企業還有建立對內與對外的防火牆機制,並針對每臺伺服器建立HIPS(Host Intrusion Prevent System)時,莊添發認為,這會減少Windows 2000 Server伺服器被攻擊的機率。
此外,如部分製造業的機臺仍在使用Windows 2000 Server作業系統,如果這些機臺都不會對外連線,而且從不更新機臺的作業系統,李倫銓認為,如果能確保這些電腦都不會對外聯結,那麼這些機臺的作業系統根本不用升級。
莊添發提醒企業用戶,雖然機臺都不會對外連線,但是內賊難防,如果萬一這些機臺的電腦與外部連結後,這些電腦幾乎沒有任何防禦能力,就像是木馬屠城一般,將可能會帶來嚴重性的後果。「如果能做到嚴格的內控機制,那麼機臺的電腦真的可以不用更新。」莊添發說。
內網應用真的不用升級嗎?
莊添發認為,就算這些內網都建立起防火牆與HIPS後,也不能代表100%不會受到駭客的攻擊,這個時候,就必須要評估這些內網系統對於企業的重要性。「Windows 2000是否升級就是一個風險考量,因為沒有100%不會被攻擊的電腦,只能降低被攻擊的機率。」莊添發說。
莊添發認為,如果這些內網的應用系統對於企業的重要性相當高,最好升級這些應用的Windows 2000伺服器。「系統的升級也是減少被攻擊的機率。」他說。
企業必須分類所有的應用系統,並評估系統的重要性與可承受的風險,評估過後,企業此時可考慮升級高風險應用的作業系統,並強化還未升級伺服器的防禦性。
莊添發認為,尚未升級的伺服器必須視企業狀況建立防火牆或HIPS機制。如果只有數臺伺服器的中小型企業,考慮成本效益,只要針對這些伺服器安裝HIPS與防毒軟體,就能降低被攻擊的機率。但是大型的企業,擁有數量龐大的伺服器群,考量成本的效益與整體的資訊安全,還是需要建立防火牆的機制,強化整體的資訊安全。
微軟Windows 2000 Server的安全更新
-%E7%B6%B2%E9%A0%813-600-1.png)
駭客的攻擊手法
-%E7%B6%B2%E9%A0%813-600-2.png)
相關報導請參考「Windows 2000終止支援,企業升級怎麼想」
熱門新聞
2025-01-06
2025-01-07
2025-01-08
2025-01-08
2025-01-06
-%E7%B6%B2%E9%A0%813-600-1-big.png){kind=link}