只要这样做 老旧Windows服务器也能挡住黑客

只要这样做 老旧Windows服务器也能挡住黑客。很多公司依然在用 Windows Server 2003——即便微软不再支持该操作系统。

如果你还在用 Windows Server 2003，那你就已经面临严重的被黑风险了。原因是本月早些时候放出的一个互联网更新，在 Windows Server 2003 机器上画了个鲜明的靶子。

间谍工具包含很多基于Windows的漏洞利用程序，或者黑客程序，针对用于文件共享的Windows服务器消息块(SMB)协议。这些漏洞利用程序可以远程触发操作系统执行代码，也就可以用于安装其他恶意软件。

我都能教会我妈妈使用这些漏洞利用程序，它们一点都不复杂。

——Rendition Infosec 创始人杰克·威廉姆斯

专家敦促受影响公司升级到最新的Windows系统，新系统才可以提供安全补丁解决这些威胁。但是有些公司， 尤其是制造业和医疗健康行业的公司，因为依赖不能运行在现代操作系统上的遗留软件，而无法获取安全补丁。

升级的代价通常高到离谱。而且，机器运行得好好的，而控制不得不通过 Windows Server 2003 进行。

设备搜索引擎Shodan的结果显示，公开暴露在互联网上的 Windows Server 2003 机器可能超过50万台 。还有更多脆弱机器运行在公司防火墙内。于是，对这些得不到安全补丁的机器，可以按照下列建议来巩固安全。

1. 网络分隔与监视

受老旧Windows服务器拖累的公司也可以防护自身。威廉姆斯建议，不仅仅将这些服务器置于防火墙之后，还要使用网络分隔战术。

这包括限制对最关键服务器的访问，以及确保只有系统管理员可以控制这些服务器。

由此，即便黑客真的穿透了防火墙，他们也只能接触到相对较小的公司网络区域。

而且，网络分隔花不了多少钱就能办到。企业互联网路由器通常就包含访问控制功能，可以限制哪些机器能访问哪些资源。

公司还应该考虑 监视脆弱服务器 ，或者至少监视那些承载着关键信息的服务器。任何流经它们的异常数据流量活动，都可能是被入侵的迹象。

2. 衡量风险

想要将恶意活动隔离在脆弱系统之外， 应用白名单 也是可以利用起来的。

白名单的运行机制，是只允许可信应用在计算机上执行。这与反病毒产品的方法正好相反，反病毒产品基本上是基于已知指征，用黑名单屏蔽掉恶意程序。

公司还可以 为存储在机器中的任意敏感数据创建备份 。最近几年兴起的一种恶意威胁，就是勒索软件。它们会感染计算机，加密里面的所有数据，勒索受害者，称不支付赎金就别想解密数据。

不过，即便有了这种种安全防护措施，保护脆弱的遗留 Windows Server 系统的最佳解决方案，依然是升级到更新版本。

尽管短期看开销很大，这笔投资可以帮助公司避免掉灾难性的数据泄露。公司企业应该计算一下哪边代价更大：“购买升级的开销，还是一旦被黑，公司品牌及其客户遭受的伤害?”