Окончание поддержки Microsoft Windows 7

[Carder]

14 января 2020 года Microsoft прекратила поддержку Microsoft Windows 7. Таким образом, организации больше не получают исправления для уязвимостей безопасности, обнаруженных в этом продукте. Впоследствии злоумышленники могут использовать эти незащищенные уязвимости безопасности для нацеливания на рабочие станции Microsoft Windows 7.

Введение​

В Стратегии к инцидентам СМЯГЧАТЬ Cyber Security ранги своевременное исправление уязвимостей, а также с использованием последних версий операционной системы, в качестве основных стратегий смягчения в предотвращении инцидентов кибер - безопасности.
14 января 2020 года Microsoft прекратила поддержку Microsoft Windows 7. Таким образом, организации больше не получают исправления для уязвимостей безопасности, обнаруженных в этом продукте. Впоследствии злоумышленники могут использовать эти незащищенные уязвимости безопасности для нацеливания на рабочие станции Microsoft Windows 7.
Организации, использующие Microsoft Windows 7, должны выполнить обновление до последней версии Microsoft Windows 10, чтобы продолжать получать исправления для уязвимостей системы безопасности, а также воспользоваться улучшениями безопасности в новой операционной системе. Организации, которым еще предстоит перейти на новую поддерживаемую операционную систему, должны пересмотреть свои оценки рисков и начать планирование реализации стратегий по снижению подверженности рискам - отмечая, что общее увеличение подверженности рискам все равно будет происходить до тех пор, пока Microsoft Windows 7 не станет доступной. обновлен.
Рекомендации в этой публикации предназначены для организаций, которые не могут выполнить обновление с Microsoft Windows 7. Рекомендации разделены на стратегии смягчения для организаций, использующих весь парк Microsoft Windows 7, и стратегии смягчения для организаций, которые ограничили развертывание Microsoft Windows 7 для поддержки устаревших версий. бизнес-приложения.

Управление парком рабочих станций Microsoft Windows 7​

Организации, продолжающие эксплуатировать парк рабочих станций с Microsoft Windows 7 после истечения срока поддержки, должны реализовать следующие стратегии снижения рисков:

• Реализуйте контроль приложений, например AppLocker от Microsoft. Контроль приложений, если он реализован надлежащим образом, может обнаруживать и предотвращать выполнение вредоносного кода и попытки распространения сети злоумышленником.
• Для неподдерживаемых собственных приложений выполните обновление до поддерживаемых версий или, если это невозможно, рассмотрите возможность удаления приложения или использования альтернативных приложений для достижения аналогичных бизнес-функций. Каждое неподдерживаемое приложение, обновленное, удаленное или замененное альтернативным вариантом, поддерживаемым поставщиком, как правило, уменьшает поверхность атаки рабочих станций и может помочь предотвратить выполнение вредоносного кода.
• Договоренность о расширенном обновлении безопасности (ESU) с Microsoft для предоставления исправлений для уязвимостей безопасности в Microsoft Windows 7. Хотя соглашение ESU не устраняет все уязвимости безопасности, обнаруженные для устаревших приложений Microsoft, это поможет уменьшить поверхность атаки рабочих станций. .
• Убедитесь, что учетные данные привилегированной учетной записи не вводятся на рабочие станции Microsoft Windows 7 (например, для администрирования других рабочих станций, серверов или приложений в сети организации). Вместо этого для этих действий должна использоваться операционная система, поддерживаемая поставщиком, а для всех других неадминистративных действий должна использоваться учетная запись с низким уровнем привилегий. Рабочие станции Microsoft Windows 7 будут подвергаться более высокому риску компрометации из-за непоправленных уязвимостей безопасности и не будут иметь дополнительных функций безопасности новых версий Microsoft Windows, чтобы защитить учетные данные привилегированных учетных записей от захвата злоумышленником и использования для распространения по сети.
• Внедрите Microsoft Enhanced Mitigation Experience Toolkit (EMET). Внедрение EMET для приложений, которые обычно взаимодействуют с данными из ненадежных источников, может снизить риск успешного выполнения вредоносного кода, а также помочь в выявлении таких попыток.
• Внедрите сторонний программный брандмауэр приложений, который выполняет фильтрацию как входящего, так и исходящего сетевого трафика. Программный брандмауэр приложений может помочь в обнаружении и предотвращении выполнения вредоносного кода, распространения в сети и кражи данных злоумышленником.
• По возможности применяйте базовое усиление к операционным системам, приложениям и учетным записям пользователей. Отключение ненужных функций или распространенных векторов вторжений, таких как службы AutoRun, SMB и NetBlOS, может помочь предотвратить выполнение вредоносного кода и распространение сети злоумышленником.
• Убедитесь, что производители продолжают поддерживать антивирусные приложения. Если поставщик прекращает поддержку, переключитесь на альтернативного поставщика, который продолжает оказывать поддержку. Использование антивирусных приложений может помочь в обнаружении и предотвращении выполнения вредоносного кода.

В дополнение к указанным выше стратегиям смягчения может быть реализован ряд стратегий, направленных в первую очередь на снижение вероятности попадания вредоносного кода на рабочие станции Microsoft Windows 7. Они включают:

• Внедрите автоматический динамический анализ электронной почты и веб-контента в песочнице для обнаружения подозрительного поведения. Анализируя данные из ненадежных источников на предмет подозрительной активности при моделировании взаимодействия с пользователем, можно определить вредоносный код и заблокировать его доступ к уязвимым рабочим станциям Microsoft Windows 7.
• Реализуйте фильтрацию входящих и исходящих данных электронной почты и веб-содержимого, чтобы разрешить только разрешенные типы файлов. Контролируя типы данных, которые достигают рабочих станций Microsoft Windows 7, организации могут снизить вероятность выполнения вредоносного кода, а также выявить источник таких попыток.
• Запретить пользователям подключать съемные носители к рабочим станциям Microsoft Windows 7. Поскольку рабочие станции Microsoft Windows 7 более восприимчивы к эксплуатации, передачу данных на такие рабочие станции следует контролировать через службу поддержки ИКТ организации, чтобы снизить вероятность выполнения вредоносного кода и кражи данных.

Работа на ограниченном количестве рабочих станций Microsoft Windows 7​

Организации, продолжающие использовать ограниченное количество рабочих станций Microsoft Windows 7 после истечения срока поддержки для поддержки унаследованных бизнес-приложений, должны реализовать следующие стратегии снижения рисков:

• Изолируйте рабочие станции Microsoft Windows 7 от других рабочих станций и второстепенных сетевых ресурсов. Это может снизить риск того, что злоумышленник использует взломанную рабочую станцию Microsoft Windows 7 для распространения по сети и доступа к другим рабочим станциям и сетевым ресурсам.
• Виртуализируйте доступ к операционной среде Microsoft Windows 7 и необходимым приложениям из поддерживаемой поставщиком операционной системы. Использование виртуализированных сред может помешать злоумышленнику выйти за пределы виртуализированной среды и распространиться на другие рабочие станции и сетевые ресурсы.
• Предотвратите прямой доступ к рабочим станциям Microsoft Windows 7 из Интернета. Поскольку унаследованные бизнес-приложения могут работать в локальном автономном режиме или требуют доступа только через интрасеть организации, ограничение доступа с рабочих станций Microsoft Windows 7 в Интернет и из Интернета может снизить риск прямого взлома таких рабочих станций злоумышленником. .

Дополнительные соображения​

Независимо от того, как организации управляют рабочими станциями Microsoft Windows 7, организациям следует внедрить надежную централизованную структуру ведения журналов и аудита для сбора и анализа компьютерных и сетевых событий. Соответствующая структура аудита в организации может помочь в выявлении отдельных рабочих станций, которые могли быть скомпрометированы, а также помочь в адаптации мер реагирования на инциденты для удаления зараженных рабочих станций из сети организации. Дополнительную информацию можно найти в публикации центра кибербезопасности Windows Event Logging and Forwarding.