Окончание поддержки Microsoft Windows Server 2008 и Windows Server 2008 R2

[Carder]

14 января 2020 года Microsoft прекратила поддержку Microsoft Windows Server 2008 и Windows Server 2008 R2. Таким образом, организации больше не получают исправления для уязвимостей безопасности, обнаруженных в этих продуктах. Впоследствии злоумышленники могут использовать эти незащищенные уязвимости безопасности для нацеливания на серверы Microsoft Windows Server 2008 и Windows Server 2008 R2.

Введение​

В Стратегии к инцидентам СМЯГЧАТЬ Cyber Security ранги своевременное исправление уязвимостей, а также с использованием последних версий операционной системы, в качестве основных стратегий смягчения в предотвращении инцидентов кибер - безопасности.
14 января 2020 года Microsoft прекратила поддержку Microsoft Windows Server 2008 и Windows Server 2008 R2. Таким образом, организации больше не получают исправления для уязвимостей безопасности, обнаруженных в этих продуктах. Впоследствии злоумышленники могут использовать эти незащищенные уязвимости безопасности для нацеливания на серверы Microsoft Windows Server 2008 и Windows Server 2008 R2.
Организации, использующие Microsoft Windows Server 2008 и Windows Server 2008 R2, должны выполнить обновление до последней версии Microsoft Windows Server 2016 или Windows Server 2019, чтобы продолжать получать исправления для уязвимостей системы безопасности, а также воспользоваться улучшениями безопасности в новых операционных системах. Организации, которым еще предстоит перейти на новую поддерживаемую операционную систему, должны пересмотреть свои оценки рисков и начать планирование реализации стратегий по снижению подверженности рискам, отмечая, что общее увеличение подверженности рискам все равно будет происходить до тех пор, пока Microsoft Windows Server 2008 не появится. и серверы Windows Server 2008 R2 обновлены.
Рекомендации в этой публикации предназначены для организаций, которые не могут выполнить обновление с Microsoft Windows Server 2008 и Windows Server 2008 R2. Рекомендации разделены на стратегии смягчения для организаций, эксплуатирующих парк серверов Microsoft Windows Server 2008 и Windows Server 2008 R2, и стратегии смягчения для организаций, которые имеют ограниченное количество серверов Microsoft Windows Server 2008 и Windows Server 2008 R2 для поддержки устаревших версий. бизнес-приложения.

Управление парком серверов Microsoft Windows Server 2008 и Windows Server 2008 R2​

Организации, продолжающие эксплуатировать парк серверов Microsoft Windows Server 2008 и Windows Server 2008 R2 после истечения срока поддержки, должны реализовать следующие стратегии снижения рисков:

• Реализуйте контроль приложений, например AppLocker от Microsoft. Контроль приложений, если он реализован надлежащим образом, может обнаруживать и предотвращать выполнение вредоносного кода и попытки распространения сети злоумышленником.
• Для неподдерживаемых собственных приложений выполните обновление до поддерживаемых версий или, если это невозможно, рассмотрите возможность удаления приложения или использования альтернативных приложений для достижения аналогичных бизнес-функций. Каждое неподдерживаемое приложение, обновленное, удаленное или замененное альтернативным вариантом, поддерживаемым поставщиком, обычно сокращает поверхность атаки серверов и может помочь предотвратить выполнение вредоносного кода.
• Договоритесь с Microsoft о расширенном обновлении безопасности (ESU) о предоставлении исправлений для уязвимостей безопасности в Microsoft Windows Server 2008 и Windows Server 2008 R2 [1]. Хотя договоренность о ESU не устраняет все уязвимости безопасности, обнаруженные для устаревших приложений Microsoft, это поможет уменьшить поверхность атаки серверов. Обратите внимание: если вы решите перенести серверы Microsoft Windows Server 2008 и Windows Server 2008 R2 из локальной среды в Azure, организации получат три года бесплатных исправлений, вместо того, чтобы требовать соглашения ESU с Microsoft.
• Убедитесь, что учетные данные привилегированной учетной записи не вводятся на серверах Microsoft Windows Server 2008 и Windows Server 2008 R2 (например, для администрирования рабочих станций, других серверов или приложений в сети организации). Вместо этого для этих действий должна использоваться операционная система, поддерживаемая поставщиком, а для всех других неадминистративных действий должна использоваться учетная запись с низким уровнем привилегий. Серверы Microsoft Windows Server 2008 и Windows Server 2008 R2 будут подвержены более высокому риску компрометации из-за незащищенных уязвимостей безопасности, а также будут отсутствовать дополнительные функции безопасности новых версий Microsoft Windows Server для защиты учетных данных привилегированных учетных записей от захвата злоумышленником и использования для распространяются по сети.
• Внедрите Microsoft Enhanced Mitigation Experience Toolkit (EMET). Внедрение EMET для приложений, которые обычно взаимодействуют с данными из ненадежных источников, может снизить риск успешного выполнения вредоносного кода, а также помочь в выявлении таких попыток.
• Внедрите сторонний программный брандмауэр приложений, который выполняет фильтрацию как входящего, так и исходящего сетевого трафика. Программный брандмауэр приложений может помочь в обнаружении и предотвращении выполнения вредоносного кода, распространения в сети и кражи данных злоумышленником.
• По возможности применяйте базовое усиление к операционным системам, приложениям и учетным записям пользователей. Отключение ненужных функций или распространенных векторов вторжений, таких как службы AutoRun, SMB и NetBlOS, может помочь предотвратить выполнение вредоносного кода и распространение сети злоумышленником.
• Убедитесь, что производители продолжают поддерживать антивирусные приложения. Если поставщик прекращает поддержку, переключитесь на альтернативного поставщика, который продолжает оказывать поддержку. Использование антивирусных приложений может помочь в обнаружении и предотвращении выполнения вредоносного кода.

В дополнение к указанным выше стратегиям смягчения может быть реализован ряд стратегий смягчения, чтобы в первую очередь снизить вероятность попадания вредоносного кода на серверы Microsoft Windows Server 2008 и Windows Server 2008 R2. Они включают:

• Внедрите автоматический динамический анализ электронной почты и веб-контента в песочнице для обнаружения подозрительного поведения. Анализируя данные из ненадежных источников на предмет подозрительной активности при имитации взаимодействия с пользователем, можно определить вредоносный код и заблокировать его доступ к уязвимым серверам Microsoft Windows Server 2008 и Windows Server 2008 R2.
• Реализуйте фильтрацию входящих и исходящих данных электронной почты и веб-содержимого, чтобы разрешить только разрешенные типы файлов. Контролируя типы данных, которые достигают серверов Microsoft Windows Server 2008 и Windows Server 2008 R2, организации могут снизить вероятность выполнения вредоносного кода, а также выявить источник таких попыток.
• Запретить пользователям подключать съемные носители к серверам Microsoft Windows Server 2008 и Windows Server 2008 R2. Поскольку серверы Microsoft Windows Server 2008 и Windows Server 2008 R2 более уязвимы для эксплуатации, передача данных на такие серверы должна контролироваться через службу поддержки ICT организации, чтобы снизить вероятность выполнения вредоносного кода и кражи данных.

Работа с ограниченным количеством серверов Microsoft Windows Server 2008 и Windows Server 2008 R2​

Организации, продолжающие использовать ограниченное количество серверов Microsoft Windows Server 2008 и Windows Server 2008 R2 после истечения срока поддержки для поддержки устаревших бизнес-приложений, должны реализовать следующие стратегии снижения рисков:

• Изолируйте серверы Microsoft Windows Server 2008 и Windows Server 2008 R2 от других несущественных сетевых ресурсов. Это может снизить риск использования злоумышленником взломанных серверов Microsoft Windows Server 2008 и Windows Server 2008 R2 для распространения по сети и доступа к другим сетевым ресурсам.
• Виртуализируйте доступ к операционным средам Microsoft Windows Server 2008 и Windows Server 2008 R2 и необходимым приложениям из поддерживаемой поставщиком операционной системы. Использование виртуализированных сред может помешать злоумышленнику выйти за пределы виртуализированной среды и распространиться на другие сетевые ресурсы.
• Предотвращение прямого доступа к серверам Microsoft Windows Server 2008 и Windows Server 2008 R2 и прямого доступа из Интернета. Поскольку унаследованные бизнес-приложения, вероятно, будут работать в локальном автономном режиме или требуют доступа только через интрасеть организации, ограничение доступа с серверов Microsoft Windows Server 2008 и Windows Server 2008 R2 в Интернет и из Интернета может снизить риск таких серверов. прямая компрометация противником.

Дополнительные соображения​

Независимо от того, как серверы Microsoft Windows Server 2008 и Windows Server 2008 R2 эксплуатируются организациями, организациям следует внедрить надежную централизованную структуру ведения журналов и аудита для сбора и анализа как серверных, так и сетевых событий. Соответствующая структура аудита внутри организации может помочь в выявлении отдельных серверов, которые могли быть скомпрометированы, а также в адаптации мер реагирования на инциденты для удаления зараженных серверов из сети организации.