該讓您的 XP 走了但為何難以分手?

管理您的老舊作業系統,Windows XP 終止支援之後,未來的日子將變得如何?

Microsoft 長達十多年的 WindowsR XP 支援在 2014 年 4 月 8 日劃下句點。使用者再也不會收到安全更新、非安全相關修正,以及免費或付費的支援,同時線上技術資訊也不再更新。

企業 商務 IT SMB Man

 

支援終止意味著仍在使用 Windows XP 的企業系統將面臨嚴重的後果。本文探討企業繼續使用這套作業系統所將面臨的威脅、潛在損失、法規遵循問題以及更高的使用者運算成本。

Windows XP 全球使用率在過去一年逐步下滑的趨勢。儘管該作業系統的市場占有率已經大幅滑落,但 Windows XP 在市場上仍占有一席之地。Microsoft 至今已雄霸用戶端作業系統市場長達二十多年。根據 IDC的調查,每十台 PC 就有一台是使用 Windows 作業系統。此外,根據Spiceworks 所作的一篇研究也發現,截至 2013 年 12 月為止,有 76% 的IT 人員仍得支援 Windows XP 作業系統。其中,97% 支援的是桌上型電腦,68% 支援的是筆記型電腦。 

「該讓您的 XP 走了但為何難以分手?」

儘管 Windows XP 作業系統即將終止支援,但其使用率仍非常普遍。Microsoft 過去也曾有許多 Windows 版本已終止支援,但沒有一個版本至今仍在普遍使用。Windows XP 之所以雄霸至今,原因之一可能是 2008 年的經濟危機造成許多企業資金短絀、裁員和撙節成本。此外,WindowsXP 和其後繼系統 Windows Vista 之間只有五年的間隔,也或許還不足以讓企業有升級的動機,導致桌上型電腦汰換週期遲緩。

Windows XP

「金融危機釋疑:為何我們還不曉得到底發生了什麼?」

為仍有一大部分的桌上型電腦市場將暴露在與日俱增的威脅當中。當年 Windows XP 在 2001 年上市時,行動使用者的數量非常稀少,而且都是透過有線網路連線。當時,使用者大多經由企業掌握的網路上網,遠端存取則通常透過撥號連線。當年的 PC 威脅大多只會讓使用者困擾或是浪費時間,而非竊取重要資料。簡單言之,今日之所以要淘汰 Windows XP,正因為它是針對當年的時空背景設計的產品。

儘管迫在眉睫,但更換作業系統並沒有想像中的容易。IT 人員需預先料到升級會遇到哪些問題。根據 Dell 的一項研究顯示,作業系統移轉總是會帶來一些頭痛問題,4 例如應用程式相容性 (41%) 及使用者教育訓練和支援 (33%) 等等都是受訪者所指出的問題。此外,升級也可能會需要採購新的硬體,讓轉換過程不如想像順利。

2013 年 2 月,當 Oracle 宣布 Java. 6 終止支援,不再提供安全更新來修補任何漏洞之後,駭客即開始強力鎖定該軟體未修補的版本。就在 Java 6 終止支援幾個月後,駭客便試圖攻擊 Java 的CVE-2013-2463 漏洞,影響的範圍包括 Java 6 在內的多個版本。

由於 Java 6 已不再獲得支援,Oracle 便不提供 (未來也不會提供) 安全更新給使用者。更糟的是,此漏洞攻擊已整合到 Neutrino 漏洞攻擊套件當中,未來將有更多同樣的攻擊得逞。

2014 年 4 月 8 日之後,Java 6 的情況同樣也將發生在 Windows XP 使用者身上,但 Windows XP 的威脅將遠勝於此。因為, Windows XP 和後繼 Windows 作業系統版本之間的共用程式碼,將成為駭客尋找待修補漏洞的「線索」。

總而言之,今日的威脅已和以往大不相同。事實上 Windows XP 的漏洞很可能讓整體企業及企業資料陷入危險當中。要防範這類已不再釋出修補程式的軟體漏洞,我們建議企業採用一套像趨勢科技 OfficeScan. Intrusion Defense Firewall 入侵防禦防火牆這類的漏洞防護方案。漏洞防護技術的運作原理是,漏洞攻擊都會透過特定的網路途徑來攻擊應用程式。因此,我們可以藉由一些網路層的控管規則來管制進出目標軟體的通訊。

2013 年 10 月 Microsoft 公布一項消息表示 Windows XP 終止支援之後,該系統的感染情況將增加 66%,顯示駭客很可能會利用這段感染空窗期。6 駭客將試圖利用後續新版作業的安全更新來進行反向工程,藉此尋找Windows XP 的漏洞。網路犯罪者甚至將「囤積」各種漏洞攻擊,待Windows XP 支援終止時全面傾巢而出。

一旦 Windows XP 支援終止,Internet ExplorerR (IE) 也將成為另一個風險因素。該瀏覽器從 IE 8 之後的版本就不再支援舊版作業系統,這表示舊版作業系統的使用者將被打入冷宮。當然,使用者也可改用其他瀏覽器,不過,光更換瀏覽器仍不能 100% 防止瀏覽器漏洞。

另一項可能的技術風險是含有漏洞的端點裝置很可能被當成新一代惡意程式的攻擊跳板,因為舊系統很難對抗這些新的威脅。鎖定目標攻擊即經常利用軟體漏洞來入侵系統,讓企業暴露在資料竊盜和商業間諜的風險中,此外,任何使用 Windows XP 的 PC 對駭客來說都是一個明顯的弱點。

老舊的系統和軟體若不淘汰,將帶來嚴重的企業風險,包括一些不可預期的潛在成本和後果。然而,也有人認為繼續使用 Windows XP 可以讓使用者不必再學一套新的作業系統,因為他們已經很熟悉系統的使用介面,而開發人員也對其瞭若指掌,這樣的主張看起來也很合理。

那麼,為何一定要更換系統?首先,IT 系統管理員應考量一下在終止支援之後繼續維護 Windows XP 的財務成本。決定繼續使用該系統的企業很可能必須加入客製化支援服務,也就是必須成為 Microsoft Premier Online 線上服務的會員。

看完整文章請下載白皮書 :Windows XP 終止支援之後 未來的日子將變得如何?

Windows XP 終止服務後,如何管理就系統?

 

<更新版>第一個 Windows XP 系統終止支援後出現的重大IE漏洞

 此篇文章的原始版本裡提到Windows XP不會有針對此弱點的修補程式。不過微軟已經發佈了針對此弱點的安全更新(MS14-021),其中也包含了Windows XP。本文也隨之更動相應段落。

 

 漏洞 弱點攻擊

在上週末,微軟發布了安全通報2963983,內容描述一個Internet Explorer的新零時差漏洞。(它被分配CVE編號為CVE-2014-1776)。

 

這個遠端執行程式碼漏洞讓攻擊者可以在受害者系統內執行程式碼,如果該使用者連上了攻擊者所控制的網站。雖然已知的攻擊針對了三個版本的IE(IE9到IE11),但是它相關的漏洞存在於今日還在使用中的所有IE瀏覽器版本(從IE6一直到IE11)。

這樣一個嚴重的漏洞並不完全只有壞消息。首先,該漏洞只會用系統登入使用者的相同權限來執行程式碼。因此,如果使用者帳號沒有系統管理者權限,惡意程式碼就不會以系統管理者權限執行,這部分地降低了風險。(當然,這僅僅是當使用者帳號沒有被設定為系統管理者時才成立。)

其次,一些解決方法已經被提供在微軟的通報內;其中以啟用增強地受保護模式(一個只存在於IE10和IE11的功能)最容易做到。漏洞攻擊碼需要使用Adobe Flash才能執行,因此停用或移除IE瀏覽器的Flash Player也會降低此漏洞的威脅。

更新於2014年4月28日,美西時間中午12:30

Windows XP

這是第一個會影響Windows XP而不會被修補的漏洞。停止了對軟體和作業系統的支援,讓使用者和和組織更容易受到威脅。不過,也有一些解決方案可以幫助解決或減輕此一困境。虛擬修補可以補足傳統的修補程式管理策略,因為它可以在實際修補程式可用前,先「虛擬修補」受影響的系統。另一個好處是,它可以「虛擬修補」支援終止的應用程式。例如,趨勢科技Deep Security就一直在支援Windows 2000上的漏洞問題,甚至在此作業系統支援終止之後。 Continue reading “< 更新版>第一個 Windows XP 系統終止支援後出現的重大IE漏洞”