MicrosoftWindows Server 2003将于今年7月终止支持,很多企业为避免遭受漏洞攻击,正努力转移到新的平台工作。然而对于许多企业来说,基于人力、财力及其他因素,要在时限之内完成转移是一项特别艰巨的挑战。
在趋势科技协助客户转移的过程当中,我们也看到客户对于近期终止支持一事的独到见解,因此特别和大家分享(当然,若客户在7月14日之前尚未准备好转移,我们也能协助他们保护Windows Server 2003,而且还能保护Windows Server2012与 Azure等新的 Windows平台)。我们访问了 University of Florida Health Shands 医疗中心的信息安全经理Tim Nance,来听听他们转移Windows XP的经验。该机构拥有大约18,000
台台式计算机与1,400台服务器 (其中900台是VMware),为此,UFHealth Shands 的人员面临了相当艰难的任务。以下是他们的转移经验:
趋势科技:贵单位在终止支持平台的防护上面临多大的问题?就准备的角度来看,这对贵单位的影响为何?
TimNance:我们负责Windows XP 转移的人员在2013和2014年都未认真执行,一直到很晚才开始。我们有数千台机器在该平台上,虽然我们一直在督促终止日期即将来临,但他们似乎还是没意识到事情即将发生,后来大学部的主管单位下了一道命令,要求所有使用XP的机器必须全部下线,到那时才有许多人力投入转移的工作。他们雇用了一些人来进行升级,但仍知道无法在时限之内完成。
此时我们开始考虑采用趋势科技的入侵防护防火墙(现在称趋势科技Vulnerability Protection)来解决这项问题。我们在所有使用WindowsXP的机器上部署了一些政策来解决暂时的问题,直到我们找到永久的解决方案为止。我们有许多昂贵的机器,幸好VulnerabilityProtection为我们争取了一些时间。
趋势科技:贵单位如何利用虚拟修补技术来协助进行转移?
TimNance:我们采用趋势科技Deep Security来部署虚拟修补技术,为我们的Windows XP设备提供暂时的解决方案,延长其使用年限,让我们逐渐减少这类设备的数量,原本的转移时间是10个月,有了虚拟修补之后,我们可以在6至7个月内完成。在某些情况下,过滤规则会太多而影响设备的效能,但仅负责单一作业的设备应该可以撑一年至一年半,为我们争取到不少时间。我们原本就是趋势科技的客户,因此我们知道这套产品应该很适合我们。
趋势科技:您转移Windows XP的主要策略为何?
TimNance:这些机器当时都是转移到Windows 7,此外,也建立了一些VDI终端和授权许可。原先的目标是在6至7个月内完成转移,但在第一个月内,美国地区的关键设备就已完成转移。目前还剩几百台Windows XP无法转移,因为他们需要执行一些无法在 Microsoft 新版操作系统上运作的特定应用程序。对于这些机器,我们将继续透过虚拟修补来解决安全问题,或者采购硬件防火墙来保护这些设备。
例如,我们有一台用来进行实验分析的病理设备,更换这台机器要花$175,000美元,而新的机器又不能提供更多的诊断项目,还不如花个$500美元采用硬件防火墙来保护更符合经济效益。
要不是采用了虚拟修补技术,我们肯定会发生一些业务中断的情况。在一个需要24小时全天候运作的环境,我们无法就这么将300台机器直接下线,我们只有48-50名现场服务人员,而我们也没有足够的时间在期限内到现场更换所有机器的操作系统,而且同时还要维持运营的顺畅。虚拟修补让我们能延长这些设备的使用年限,并且让我们维持正常运营。
趋势科技:随着支持终止日期将近,贵单位是否有任何迫切的法规遵循需求?
TimNance:我们担心的反倒不是法规遵循的问题,而是我们希望从安全和风险的角度来看,怎样对我们最好。我们最担心的是漏洞问题。已经有安全专家指出,有黑客准备在支持终止当天发动一项零时差攻击。一旦Microsoft不再提供修补程序,很可能就会出现大规模的数据攻击,因此,我们最重要的工作是要防止遭到这类威胁。
趋势科技:贵单位从Windows XP的转移经验当中学到些什么?
TimNance:我们还真的是进度超前,我们预计应该在XP终止支持的三个月之前就能完成转移(除了无法移转的装置之外)。我学到的一点是,若你可以拟定好计划和策略,Deep Security 可以让你在人力不足、无法尽快完成转移的情况下争取到更多时间。