Windows XP 將停止更新、中小企用戶該何去何從?
Windows XP 將於今年 4 月 8 日終止服務,對中小企來說可能是一筆額外的財政負擔。基於安全理由,不少企業計劃在 4 月的死線前趕上尾班車,紛紛轉換作業系統。但事實上,微軟將會為 Windows XP 的防惡意軟件簽名(Anti-malware signatures)提供安全更新至 2015 年 7 月 14 日。
此外,根據 AV-Test.org 的調查,不少防毒軟件如 Trend Micro 及 Kaspersky 均會在未來的一年至幾年內,繼續支援 Windows XP。因此,精於網絡系統安全的 SolarWinds IT 達人 Praveen 認為,企業無需急於趕在四月前轉換作業系統。
以下的文章是 Praveen 的詳細分析:
雖然微軟公司結束支援 Windows XP SP3 的日子(2014 年 4 月 8 日)逐漸臨近,但根據 netmarketshare 的統計,Windows XP 用戶仍佔全部作業系統用戶總體約 29%。
各企業仍使用 XP 作業系統的原因各有不同,例如:不能在停機的情況下遷移作業系統、缺乏專業知識和協助,或缺乏預算等。從系統安全性的角度而言,由於 Microsoft 將繼續發佈針對 Windows XP 的防惡意軟件簽名更新至 2015 年 7 月 14 日,作業系統本身其實仍然是非常安全(且今後可能仍是安全的)。縱使微軟將會停止系統安全更新,但仍會繼續提供 Microsoft Security Essentials 的更新至 2014 年 7 月 14 日。此外,市場上還有眾多外置防毒軟件和防火牆供應商可為中小企的 XP 作業系統提供監控。
事實上,幾乎所有供應商均表示於 2014 年 4 月 8 日之後,他們仍會支援 Windows XP。這些第三方供應商可協助偵測威脅、封鎖攻擊及清除感染,但他們的支援會維持多久?根據 AVTest.org 的調查,大多數供應商於未來的一年仍會繼續支援 XP。而一些大型的系統監控供應商如 Webroot、Bitdefender、Trend Micro 和 Kaspersky 已經宣布他們分別於 2019、2017 和 2016 年才會停止對 Windows XP 的監控支援。
此外,調查亦發現其他供應商如 McAfee、AVG 和 Avast 甚至未為其產品設下停止支援 Windows XP 的確實日期。
近年來,電腦黑客針對的目標是安裝在系統内的應用程式漏洞,而非對其遠端服務進行直接攻擊。一些常受攻擊的應用程式包括網絡瀏覽器、WordPress、OpenX、文件閱讀器、Lotus Notes、SharePoint 等。在這些應用程式中,尤以網絡瀏覽器扮演重要角色,因為該應用程式與互聯網之間的互動最為頻繁。攻擊者常會利用這些漏洞,透過網絡瀏覽器直接進行攻擊,以竊取數據、操控電腦、損毀文件等。其中一些瀏覽器功能較易受到攻擊:例如 ActiveX、外掛程式、VBScript 和 JavaScript 等等。
隨著 Windows XP 不再提供 IE (Internet Explorer) 版本更新,IE 8 以上版本亦將不會與 Windows XP 相容。例如,由於 IE9(及以上版本)採用只有新版作業系統(Windows Vista、Windows 7 等)支援的 Direct2D 技術,而此技術並不支援 XP,因此 XP 用戶無法使用較新、較安全版本的瀏覽器。值得留意的是 IE 8 存在的網絡漏洞,向來是透過修補程式來修復。此後,由於微軟將不再為IE 8 提供支援,攻擊者將有機會利用瀏覽器中的漏洞來展開攻擊。
Windows XP 的忠實用戶若要避免受到網絡攻擊,可選擇棄用 IE 而轉用其它瀏覽器,例如 Google Chrome、Mozilla Firefox 等。這些外部瀏覽器雖然終有一天會停止支援 Windows XP,不過至少在未來的一年内它們仍會支援 XP。就以 Google Chrome 為例,他們宣佈對 Windows XP 的支援將延長至 2015 年 4 月,但轉用這類外部瀏覽器能否真的確保安全呢?這一點中小企用戶必需注意,因為任何人均可檢閱大部分外部瀏覽器的源代碼,使攻擊者更易乘虛而入。
此外,有部分用戶擔心由於現時 95% 的自動櫃員機仍在使用 Windows XP 為作業系統,因此認為銀行有需要盡快轉換至最新的作業系統,以避免系統相容產生的問題和風險因素。這些擔憂無疑是過慮的,因為大多數自動櫃員機是使用 Windows XP Embedded (XPe) 系統。此系統為組件化 Windows XP 專業版,而且由用戶選擇的組件數量通常有限,因此受攻擊的風險亦因而減低。
至於微軟,Windows XPe 亦會繼續獲得支援至 2016 年 1 月 12 日。因此,銀行用戶端的系統在此之前仍然是安全,並達到防護規格和標準。但為確保系統將來的安全性,銀行有需要在微軟正式停止支援前,提供充足的時間為其自動櫃員機的作業系統進行遷移和升級。例如美國銀行,已經開始從舊作業系統進行遷移。同樣,大多數銷售終端(POS) 亦安裝了 Windows XPe,因此零售商亦應於 Windows XPe 停止獲得支援的日期之前作好遷移規劃和時間表。
無容置疑,Windows XP 系統即將退出歷史舞台,而目前正是停止使用 Windows XP 並轉換至最新作業系統的有利時機。
Praveen Manohar, SolarWinds 極客達人
Praveen 為 IT 管理軟件領先供應商 SolarWinds 的極客達人(Head Geek)。加入 SolarWinds 前,Praveen 曾任技術支援工程師、產品導師及技術顧問等工作達 7 年。Praveen 的專業知識涵蓋網絡流量技術如 NetFlow,Flexible NetFlow、網絡技術如 WMI 和 SNMP、以及思科的 NBAR、IPSLA 等。Praveen 亦為終端用戶提供有關應用程式、網絡技術及監控工具的策略指導。