觀點

Windows XP走入歷史 企業降低風險的5個安全建議

2014 / 04 / 10
花俊傑
Windows XP走入歷史  企業降低風險的5個安全建議

從2014年4月8日開始,微軟正式終止了Windows XP的支援服務,也就是說日後不會再提供一般使用者,任何的安全更新與漏洞修補,對目前仍在使用它的企業而言,這個運作已久的作業系統雖然走入了歷史,但卻也提高了營運的資安風險。

Windows XP在2001年10月正式問世之後,一直受到全球各地使用者的喜愛,根據統計指出,目前全球還有大約30%的電腦,安裝並運行著Windows XP作業系統,使用的對象包括了政府單位、學校、醫院、一般企業,以及ATM提款機等,如果還是持續使用下去,恐怕就會成為惡意人士的主要攻擊對象。

根據微軟表示,「在過去12年來,惡意程式、駭客攻擊、假病毒警報和資安弱點已從原本的數千個一舉暴增到數百萬個,舉例來說,Windows XP SP3受到攻擊的機率是Windows 8的5.68倍,而受到惡意程式感染的比例更高出82.4%」。站在攻擊者的角度,柿子先挑軟的吃是普遍適用的原則,一旦底層的作業系統被發現的安全漏洞無法修補,也就會成為最容易受到入侵的管道。
 
圖1:歷時12年的Windows XP正式走入歷史

企業遲遲不願更新的原因

至今,微軟在個人電腦的作業系統市場,已經縱橫馳騁了二十年,就算日漸興起的Mac OS和開放免費使用的Linux等作業系統,依舊無法撼動其主宰的地位,對微軟而言,其最大的競爭者往往就是它自己,因為隨著時間的推移與技術的進步,就需要推出更新的作業系統來支援最新的硬體周邊設備,並且提供更多的功能與服務,對此,相對地也會削弱了對於一些舊版系統的支援,促使使用者必須要升級使用更新的作業系統。

通常,微軟對於旗下產品所設定的技術支援週期是十年,但是隨著Windows XP之後的Vista、Windows 7及最新的Windows 8的推出,仍有許多企業遲遲不願升級至新的作業系統,歸納其主要的原因大致有以下幾個:

1. 升級會產生額外成本:大多數企業針對業務運作所需要的資訊服務,Windows XP已可提供了良好的運作環境,如果沒有必須升級的重大理由,為了節省不必要的成本支出,通常企業不願意主動且持續地更新其電腦作業系統。
2. 軟體相容性:有些企業在內部自行開發了許多應用程式,並且隨著時間已成為營運不可或缺的重要流程之一,為了繼續運作這些只相容於Windows XP的舊應用程式,避免移轉至新系統之後出現相容性的問題,只好繼續使用舊有的作業系統。

3. 硬體相容性:除了軟體相容性之外,有些舊有的電腦硬體,或是使用在電腦上的周邊設備,一旦升級到了新的作業系統環境,就會發生不被支援且無法使用的情況,為了解決硬體相容性問題,也需要額外預算進行硬體更新,對企業也是一項負擔。
4. 缺少可移轉系統的工具:也有企業想要升級使用最新的作業系統,但是考量到系統中大量的資料與應用程式,缺少可以順利移轉至新系統的工具,因此而打了退堂鼓,深怕移轉過程中發生不必要的問題。
5. 需要改變使用者習慣:新版的作業系統,往往有著新的使用操作介面,也就需要使用者重新來適應和使用,一旦使用者排斥並提出了抱怨,也將造成IT人員的困擾,同時企業也需要增加教育訓練的支出。

以上種種原因,有些是實際上所面臨的困難,有些或許只是不想面對問題的藉口,但是隨著資訊安全受到各界的重視,以及惡意攻擊竊取資料的事件不斷發生,企業就必須要重新檢視目前的現況,並且訂出因應風險的作法,以免因為發生資料外洩或系統停擺,進而造成企業更大的衝擊與損失。

了解目前使用現況與升級理由

許多IT人員很擔心,一旦和老闆報告說明想要升級作業系統,就會被老闆認為是不必要的浪費與支出,事實上,根據IDC的研究分析指出,持續採用舊版的PC和作業系統,對企業往往造成更多成本的提高。以一台安裝Windows XP並且使用五年的電腦為例,使用者的產能成本將會從第二年的177美元,上升到第五年的324美元,基本上會增加一倍左右的支出。

對IT部門而言,還需要評估的是所謂的IT勞動成本,這方面也將從451美元提升到766美元,因為舊版的作業系統,需要IT 人員更多的服務支援,停機與等待的時間也會大幅增加,相對地也降低了使用者的生產力,這些同樣是企業營運將會面臨的損失。

此外,在Windows XP失去原廠的技術支援之後,其安全漏洞將永遠無法修補,企業會面臨更多的安全威脅與攻擊,反之,如果更新至新版的作業系統,也將會獲得更多的安全功能,例如作業系統核心的改善(Address Space Layout Randomization, Data Execution Prevention)、BitLocker磁碟加密、使用者帳號控制(UAC)、新版IE瀏覽器、AppLocker和Windows Defender等安全工具等,這些都是Windows XP本身無法因應新式攻擊,所缺少的安全防護措施。


圖2:在2014年4月8日後微軟不再提供安全更新


不升級作業系統的5個建議安全作法

微軟可信賴運算部門總監Tim Rains指出,在Windows XP不再提供安全更新之後,對企業最大的風險在於,惡意人士可以更容易地發現Windows XP的弱點,更容易對舊版的作業系統發動攻擊。

舉例來說,微軟觀察發現每次只要在發佈了安全更新之後,就會有惡意人士透過逆向工程的方式,找出特定程式碼可能存在的安全弱點,進而開發出針對這些弱點的攻擊程式,以便向尚未修補漏洞的電腦發出攻擊。對Windows作業系統而言,某些漏洞很可能都會存在於每一個版本之中,這也就是為什麼,微軟的安全反應中心(MSRC)都會同時對所有產品釋出更新檔的原因。

一旦,Windows XP停止提供安全更新之後,就像是永遠存在著「零時差攻擊(Zero day attack)」的風險一樣,因為惡意人士會藉由其他版本的安全更新,推演出可能存在的漏洞,進而轉向無法修補的Windows XP來實施攻擊,這種方式對惡意入士而言簡直是如虎添翼。

為了降低安全風險,企業最好的做法還是盡快更新替換Windows XP,如果目前礙於種種的原因,依舊無法升級至新版的作業系統,為了降低可能的安全風險,以下是提供給企業可以實施的安全建議:

1. 將Windows XP運作在封閉網路:對於運行Windows XP的老舊電腦,請盡量使其位於隔離的網段,避免與外部網路直接連接。當然,這種做法只適用於一些專供企業內部使用的工作站電腦,對於需要使用Internet服務的一般使用者而言,可能根本難以實施。

2. 避免使用管理者帳號登入:企業可以考慮停用本地管理者帳號,讓使用者以一般使用者的帳號登入系統,透過讓使用者僅擁有最小的權限,可以避免當系統受到非法控制時,可能造成的重大危害。

3. 只使用持續更新的瀏覽器:提醒使用者不要使用Windows XP內建的IE瀏覽器,以避免存在的安全弱點受到利用,建議使用可持續更新的瀏覽器如Google Chrome等,但由於作業系統的弱點依舊存在,所以此一安全防護的效果仍然有限。另外,也別忘了持續更新如Flash、PDF檢視器等附加的應用程式。

4. 對老舊電腦實施安全監控:透過企業安全事件監控系統如SIEM的使用,一旦發現了安全警示就立即處理,以避免系統遭到入侵而被當做跳板使用。另外,也可以定期檢視分析老舊電腦所產生的Log資料,以作為預防安全事件的參考。

5. 提供多層次的防禦:在Windows XP外圍建置網路防火牆、入侵偵測系統及防毒牆等。在主機本身則安裝包括防毒軟體、主機型防火牆和主機型入侵偵測系統等,但要注意的是微軟所提供的防惡意程式軟體 Microsoft Security Essentials,只提供防惡意程式軟體簽章與防毒引擎的更新給Windows XP的用戶至2015年7月14日止,在這之後就要選擇其他替代的防毒軟體。

如何移轉至新版的作業系統

最後,為了協助使用者順利升級電腦作業系統,微軟也推出了免費的Windows XP移轉工具PCmover Express,可以直接到下載,即可利用此一工具將原本Windows XP上的資料檔案、音樂、影片、電子郵件和使用者設定,全數移轉至安裝新版作業系統的電腦上。

特別要提醒的是,在新舊系統上面都必須要安裝此項工具,並且需要以具有管理者權限的帳號登入才可進行,但是過去在Windows XP上所安裝的應用程式,並不會隨之一併移轉至新版的作業系統中,這點要請使用者留心注意。

圖3: 微軟提供免費簡易的系統資料移轉工具