Acesso de alto desempenho para armazenamento de arquivos
Sysadmin Blog O XPocalypse está sobre nós, gentlebeings, e aqueles de nós que deve manter XP redor estão condenados! Ou pelo menos alguns empurrões de marketing muito caros nos querem fazer crer.
Como você já sabe, eu tenho que manter alguns sistemas XP ao redor . Em alguns casos, eles provavelmente vai ser em torno de uma década ou mais. Se você acredita que a hipérbole de tirar o fôlego de frenéticos kit-shifters, estamos todos indo para ser sugado para um buraco negro de destruição do suporte instantâneo para XP termina, com chapéus pretos aparecendo esquerda e direita para liberar as vulnerabilidades ocultas. Cães e gatos vão viver juntos, nossos negócios entrará em colapso em uma confusão de entulho mal mantido e tudo vai ser culpa sua.
Puh-locação.
Você só está em apuros se a bichos papões mal podem obter seu crud em seu sistema. Vamos deixar de lado as noções tolas como "apenas não permitem XP na internet", e pensar de forma realista por um momento ou dois. Com exceção de algumas circunstâncias muito raras, cada caixa XP ainda deixou no passado o serviço hoje vai precisar obter informações sobre e fora dela de alguma forma ou de outra.
Informação entra, a informação sai; isso é o que nós usamos computadores. O bicho-papão pode rastrear através de um disquete, um CD, um stick USB ou mesmo algum companheiro apenas à procura de um lugar para ligar no seu smartphone para carregar. Defendendo a eminentemente vulnerável requer alguma "defesa em profundidade" considerações, mas é perfeitamente possível.
Homem das ameias
Pergunte-se como esse computador Windows XP está realmente sendo usado. Se ele está sentado lá aceitando alguns arquivos da internet, processá-los e, em seguida, cuspindo os resultados em outro lugar, você precisa ter USB habilitado ou unidades de CD ligado? Considere - e eu não estou brincando aqui - basta colar as portas USB para cima. Compra-se uma placa USB PCI, coloque-o em um saquinho e fita-lo para o interior do painel lateral. Se você alguma vez, por qualquer motivo, precisa usar um USB-administrativamente algo ou outro, é assim que você vai fazê-lo.
Por outro lado, se a coisa não precisa estar na internet para fazer seu trabalho, sem piedade bloqueá-lo de tal. Coloque-o em sua própria sub-rede e VLAN, Wall-lo de tudo, mas os sistemas de exatas com as quais terá de comunicar e obter um firewall de terceiros instalado que só vai falar com os sistemas que você precisa para conversar.
Considere um firewall / sistema de detecção de intrusão em linha operando como um aparelho separado entre a sua sub-rede XP e qualquer outra coisa que eles precisam conversar. Se o mundo exterior precisa para chegar a esse caixa XP, certifique-se de condenados é tem que passar por um corredor polonês de firewalls e listas brancas para chegar lá.
Que traz a última parte sobre a informação dentro e fora daquela caixa XP: considerar o mínimo que o sistema XP deve se comunicar com e whitelist apenas os sistemas. No mundo do Windows é muito mais comum para o padrão para "permitir tudo" e, em seguida, lista negra bandidos, mas quando o sistema que você está trabalhando com está em um estado vulnerável conhecido que é um plano muito ruim.
Reduzir, reconstruir, repita
Se possível, tranque XP em uma máquina virtual. Há muitas razões por que isso nem sempre é possível - dongles de hardware, a necessidade de alimentar cartões de hardware proprietário e assim por diante, mas, sempre que possível, tentar. Hipervisores tem essas coisas bacanas chamados "instantâneos" que você deve se preocupam; eles fornecem a capacidade de rolar XP de volta ao ponto antes que o último vírus incapacitante arruinou o seu dia.
Apague sua caixa de XP e reconstruí-lo. Faça isso várias vezes. Saiba que o sistema dentro e por fora. Não tem um aplicativo, um único arquivo em que a caixa XP que não precisa estar lá. Já a sua construção documentado para a perfeição. Você precisa saber quando algo está fora do lugar.
Auditoria muda para o registro e para o sistema de arquivos . Configure alertas e monitoramento através de script , tanto quanto possível.
Você precisa saber não só quando algo está errado, mas ser capaz de reconstruir o sistema a partir do zero na queda de um chapéu. Considere a construção de uma imagem de Santo Gold Master e periodicamente re-imaginando o sistema em intervalos aleatórios. Se você sabe onde todos os seus arquivos são, então você deve ser capaz de definir o seu sistema de modo que os itens de configuração, preferências do usuário e assim por diante são copiados para um local que não está no sistema de XP em si - NASes são baratos - e, portanto, uma restauração do sistema XP a partir de uma imagem será capaz de buscar ou mapear para os arquivos de configuração que você precisa automaticamente.
XP não-persistente
O objetivo final é uma cópia completamente não-persistente do Windows XP. Você busca a capacidade de arrancar a partir de somente leitura da mídia e conseguir tudo o que arquivos de configuração que você precisa de armazenamento gravável, com tanto que o armazenamento gravável e acesso a XP box'ss para o resto do mundo vigiado e monitorado.
Para aqueles de nós que não podem virtualizar XP, provavelmente há apenas duas razões: alguma grande cartão de hardware proprietário grande ou um dongle. Se a sua exigência corre para o lado "cartão de hardware" da equação, então é hora de começar a construir a sua própria versão somente leitura do XP.
Eu poderia escrever um monte de coisas sobre como construir um desses ambientes do Windows XP mesmo, mas seria um desperdício galáctico de todo o nosso tempo. Vai olhar para BartPE e Hirens . As pessoas que se reuniram essas coisas são muito inteligentes, e você não é provável em tudo para fazer melhor do que eles têm.
Iniciar a partir de BartPE se você precisa de um ambiente limpo e de Hirens se você precisa de um cheio de geléia. Tira para fora o que você não precisa e personalizar com suas necessidades. Test, reteste, construir e reconstruir. Arranja uma versão do XP que pode durar uma década, porque os únicos locais graváveis As conversas de sistema são os locais que absolutamente precisa para conversar, a fim de executar seu software e atualizar sua configuração.
Considere também Faronics Deep Freeze . Eu não tive a chance de testá-lo eu mesmo, mas foi recomendado para me por esta aplicação e é provavelmente vale investigação.
As defesas melhor impostas contra os bandidos entrando em só vão atrasar o inevitável, não impedi-lo. Estupidez humana é o único recurso ilimitado no universo e de alguma forma, através de algum mecanismo incompreensível, malware irá encontrar o seu caminho para o seu sistema de XP. Recuperando-se de isso deve ser tão simples como reiniciar o sistema.
Pré-lata
Se você só precisa de cerca de XP por causa de um dongle, considere bater-se eBay e olhando para um cliente Wyse. Eles correm XP incorporado, alguns deles são poderosos o suficiente para fazer uma quantidade bastante razoável de trabalho, e eu sei por experiência que eles são muito conteúdo para se sentar em um canto e ser um servidor dongle para os tipos de aplicações industriais que precisam deles. Bônus: XP incorporado é corrigido para um pouco mais ainda, então você pode comprar-se mais alguns meses para conseguir isso completamente automatizado.
Uma coisa sobre tudo isso a desgraça de fautor é verdade: há pessoas ruins lá fora que sabem como atacar o Windows XP e eles estão apenas esperando para descontar dentro Além disso, as vulnerabilidades serão descobertas que afetam "todas as versões do Windows" - incluindo XP.
A Microsoft está empenhada em remendar um descendente OS XP - POSReady 2009 - por algum tempo para vir. Qualquer blackhat na metade competente poderia reverter a engenharia dos patches para que o OS e explorar o agora sem correção clássica do Windows XP.
Os programas anti-malware absolutamente não vai salvá-lo. Cada pessoa ler este artigo sabe muito bem que a primeira coisa a acontecer quando um sistema se pwned é que o software anti-malware é comido sem reclamar. Na verdade, a sua melhor indicação de que o seu sistema foi infectado é que o ícone não estiver na bandeja do sistema, em que ponto você está metralhado qualquer maneira.
Se você pode executar o Windows XP em uma máquina virtual, você pode rolar para trás usando instantâneos e clones. Isso é brincadeira de criança. Se você não pode, você precisa ser mais criativo ... mas o fim do mundo, não é esse. Windows XP estará em serviço em todo o mundo há mais de uma década para vir, ele vai simplesmente estar em serviço como um bem testado, OS robusto, bem entendido que os administradores de sistemas têm implementado como somente leitura.
Boa sorte a todos vocês. ®
Nenhum comentário:
Postar um comentário