很多公司依然在用 Windows Server 2003——即便微軟不再支持該操作系統(tǒng)。

如果你還在用 Windows Server 2003，那你就已經(jīng)面臨嚴(yán)重的被黑風(fēng)險(xiǎn)了。原因是本月早些時(shí)候放出的一個(gè)互聯(lián)網(wǎng)更新，在 Windows Server 2003 機(jī)器上畫(huà)了個(gè)鮮明的靶子。

間諜工具包含很多基于Windows的漏洞利用程序，或者黑客程序，針對(duì)用于文件共享的Windows服務(wù)器消息塊(SMB)協(xié)議。這些漏洞利用程序可以遠(yuǎn)程觸發(fā)操作系統(tǒng)執(zhí)行代碼，也就可以用于安裝其他惡意軟件。

我都能教會(huì)我媽媽使用這些漏洞利用程序，它們一點(diǎn)都不復(fù)雜。

　　——Rendition Infosec 創(chuàng)始人杰克·威廉姆斯

專(zhuān)家敦促受影響公司升級(jí)到最新的Windows系統(tǒng)，新系統(tǒng)才可以提供安全補(bǔ)丁解決這些威脅。但是有些公司，尤其是制造業(yè)和醫(yī)療健康行業(yè)的公司，因?yàn)橐蕾?lài)不能運(yùn)行在現(xiàn)代操作系統(tǒng)上的遺留軟件，而無(wú)法獲取安全補(bǔ)丁。

升級(jí)的代價(jià)通常高到離譜。而且，機(jī)器運(yùn)行得好好的，而控制不得不通過(guò) Windows Server 2003 進(jìn)行。

設(shè)備搜索引擎Shodan的結(jié)果顯示，公開(kāi)暴露在互聯(lián)網(wǎng)上的 Windows Server 2003 機(jī)器可能超過(guò)50萬(wàn)臺(tái)。還有更多脆弱機(jī)器運(yùn)行在公司防火墻內(nèi)。于是，對(duì)這些得不到安全補(bǔ)丁的機(jī)器，可以按照下列建議來(lái)鞏固安全。

1. 網(wǎng)絡(luò)分隔與監(jiān)視

受老舊Windows服務(wù)器拖累的公司也可以防護(hù)自身。威廉姆斯建議，不僅僅將這些服務(wù)器置于防火墻之后，還要使用網(wǎng)絡(luò)分隔戰(zhàn)術(shù)。

這包括限制對(duì)最關(guān)鍵服務(wù)器的訪問(wèn)，以及確保只有系統(tǒng)管理員可以控制這些服務(wù)器。

由此，即便黑客真的穿透了防火墻，他們也只能接觸到相對(duì)較小的公司網(wǎng)絡(luò)區(qū)域。

而且，網(wǎng)絡(luò)分隔花不了多少錢(qián)就能辦到。企業(yè)互聯(lián)網(wǎng)路由器通常就包含訪問(wèn)控制功能，可以限制哪些機(jī)器能訪問(wèn)哪些資源。

公司還應(yīng)該考慮監(jiān)視脆弱服務(wù)器，或者至少監(jiān)視那些承載著關(guān)鍵信息的服務(wù)器。任何流經(jīng)它們的異常數(shù)據(jù)流量活動(dòng)，都可能是被入侵的跡象。

2. 衡量風(fēng)險(xiǎn)

想要將惡意活動(dòng)隔離在脆弱系統(tǒng)之外，應(yīng)用白名單也是可以利用起來(lái)的。

白名單的運(yùn)行機(jī)制，是只允許可信應(yīng)用在計(jì)算機(jī)上執(zhí)行。這與反病毒產(chǎn)品的方法正好相反，反病毒產(chǎn)品基本上是基于已知指征，用黑名單屏蔽掉惡意程序。

公司還可以為存儲(chǔ)在機(jī)器中的任意敏感數(shù)據(jù)創(chuàng)建備份。最近幾年興起的一種惡意威脅，就是勒索軟件。它們會(huì)感染計(jì)算機(jī)，加密里面的所有數(shù)據(jù)，勒索受害者，稱(chēng)不支付贖金就別想解密數(shù)據(jù)。

不過(guò)，即便有了這種種安全防護(hù)措施，保護(hù)脆弱的遺留 Windows Server 系統(tǒng)的最佳解決方案，依然是升級(jí)到更新版本。

盡管短期看開(kāi)銷(xiāo)很大，這筆投資可以幫助公司避免掉災(zāi)難性的數(shù)據(jù)泄露。公司企業(yè)應(yīng)該計(jì)算一下哪邊代價(jià)更大：“購(gòu)買(mǎi)升級(jí)的開(kāi)銷(xiāo)，還是一旦被黑，公司品牌及其客戶(hù)遭受的傷害？”