Risiko meninggalkan Windows Server 2003 terisolasi yang tidak berpasangan vs risiko terhubung ke Internet [ditutup]

1

Saya punya mesin Windows Server 2003 R2 lama yang menjalankan jaringan kamera keamanan. Tampaknya sebagian besar terisolasi dari Internet sekarang, tetapi ada berbagai mekanisme akses remote warisan yang dibangun ke dalam server video. Mesin itu ada di LAN lokal, di sekolah dengan banyak laptop siswa yang cerdik.

Server memiliki patch keamanan yang diubah menjadi "instalasi manual" mungkin 5-10 tahun yang lalu. Saya menerapkan semua patch yang telah dikumpulkan hari ini.

Bagaimana Anda menangani langkah selanjutnya ... hanya membuka mesin ke Internet memiliki risiko, bahkan hanya untuk mengumpulkan patch apa pun yang ada di luar sana. Membiarkannya apa adanya dapat mengakibatkan kompromi dari-LAN.

Bryce
sumber
3
Saya akan membuatnya offline, secara pribadi, atau memutakhirkannya ke versi dukungan Windows Server
Ramhound
Saya sangat setuju ... coba migrasi ke versi yang lebih baru dari Windows Server dan melakukan pergantian di beberapa titik dalam upgrade di tempat bukanlah suatu pilihan. Jika vendor tidak mendukung OS Windows yang lebih baru, tanyakan apa yang perlu Anda lakukan untuk mendukungnya seperti versi perangkat lunak yang lebih baru, dll. Jika tidak, JANGAN paparkan mesin ini ke Internet karena itu bukan demi keamanan Anda. Saya akan mencoba meletakkannya di belakang FW atau aturan ACL router dengan kebijakan akses alamat IP eksplisit hanya untuk mesin tunggal hanya untuk menghubungkannya serta mengunci Windows FW dengan aturan yang relevan juga.
Pimp Juice IT
Jadi FW atau router dan aturan OS FW akan memperketat sisi LAN, tidak terhubung ke Internet WAN akan mengurus mengeksposnya pada tingkat ini, tapi saya masih akan memperbarui patch keamanan WU terbaru bahkan jika itu berarti Anda melakukannya secara manual. Jika tidak, sekarang saatnya untuk memperbarui hal ini, menjangkau vendor untuk mendapatkan dukungan, memutakhirkan perangkat lunak untuk menjadi dukungan, bermigrasi dan / atau memotongnya, dll. Jika Anda orang ITU, maka beri tahu sekolah apa hal yang benar lakukan adalah dan jika mereka tidak melakukannya, maka mulailah menguncinya dengan aturan alamat IP EXPLICIT dan blok SEMUA yang lainnya dan terapkan patch WU.
Pimp Juice IT
Ini mungkin kandidat yang baik untuk server virtual juga saya kira jika itu berlaku atau pilihan untuk Anda ... Hanya memikirkan ide-ide cepat di sini.
Pimp Juice IT

Jawaban:

0

Karena Anda sudah menjalankan sistem operasi yang tidak didukung, hal terbaik yang harus Anda lakukan adalah meningkatkan ke os yang lebih baru. jika Anda tidak dapat mengkonfigurasi firewall lokal dan jaringan Anda untuk hanya mengizinkan koneksi ke kamera itu sendiri dan konsol manajemen / tampilan apa pun yang Anda perlukan. Selama sistem ini terisolasi, menjalankan os yang sudah usang bukanlah masalah besar.

JamesK
sumber