[資安小常識] 持續使用 Windows XP 可能會造成的資安風險
編者:Cho-Han Wu
圖一、Window XP 即將在 2014年4月8日終止支援 (圖片來源)
Windows XP 是微軟從2001 年就發行的作業系統,至今已經超過十個年頭了。微軟相當了解該產品的生命週期,也了解升級需要花上一段時間,所以提前在 2007年就宣布Windows XP 將在 2014年的四月八日終止支援。目前大部分的企業都已經將系統升級了,但是仍有部分客戶尚未升級。但由於使用過期的 Windows 版本可能會危害系統的安全,故本次資安小常識將介紹持續使用 Windows XP 可能造成的資安風險,並提供您最新版 Windows 8.1 所具備的資安特色以及升級指南。
Windows XP 的資安風險
根據微軟資訊安全情報報告書的內容,持續使用 Windows XP 會有以下幾點風險:
一、 瀏覽網頁 (Surfing the Internet)
在停止更新之後,新的 Windows XP入侵套件可能會在駭客之間被販賣和流通,進而被駭客所利用。而缺乏官方更新的Windows XP 會讓使用者在瀏覽網路時暴露在風險之中。
二、 開啟Email 和使用即時訊息 (Opening Email and Using Instant Messaging, IM)
許多的攻擊者會透過Email 來發送含有非法網址的 釣魚郵件,或是利用即時訊息來發送詐騙的網址。不小心下載到這些網址所夾帶的附件,可能會讓您的系統更加脆弱,讓攻擊者有機會控制您的系統。而這些情形將在支援終止更加嚴重。
三、 使用行動硬碟 (Using Removable Drives)
攻擊者會透過 USB 和其他種類的隨身硬碟來散佈惡意程式,並把Windows XP 所暴露的漏洞極大化來攻擊系統。
四、 最新發現的資安漏洞將會攻擊 Windows XP (Worms Will Use Any Newly Discovered Vulnerabilities to Attack Windows XP)
惡意軟體的傳播者將會整合 Windows XP 新公布的安全性弱點來攻擊Windows XP 的使用者。這些衝擊在那些尚未使用防火牆和 強式密碼 的企業當中,且在缺乏Windows 支援的情況下會更加危險。
五、 勒索惡意軟體 (Ransomware)
勒索惡意軟體是攻擊者將使用者的某些檔案惡意加密或是將其桌面鎖住,使用者必須要支付一筆贖金後才會被解開。這類的攻擊很有可能會癱瘓中小企業的營運,而當支援結束時,缺乏更新的Windows 也會讓這種情形更加嚴重。
Windows 8.1 的資安特色
在行動裝置的使用逐漸頻繁的情況下,公司採用 員工可攜自有設備上班 (BYOD) 的策略已經是不能抵擋的趨勢了。為了要管理公司內的各種行動裝置,微軟也透過了 Windows 8.1 和 Windows Server 2012 R2 的搭配,開發了專屬的管控方案。而導入行動裝置設計理念的 Windows 8.1 也同樣地將此概念加入至它的資安策略中,以下五點為Windows 8.1 主要的資安特色:
一、 遠端移除商業資料 (Remote Business Data Removal)
Windows 8.1 允許管理者從使用者的Windows 8.1 裝置上刪除公司的部分機敏性資料。
二、 加入工作地點 (Workplace Join)
在 BYOD 當道的情況下,公司員工或訪客只需將個人隨身攜帶的行動裝置加入企業架設的工作地點服務後,即可使用這種簡單、安全的方式,快速存取企業內部網路上的資源和服務,以提升工作效率。
三、 指定存取 (Assigned Access)
Windows 8.1 的指定存取功能可以針對某個使用者客製該使用者的使用權限,譬如說某應用程式的存取等等。
四、 提供生物辨識的加解密功能 (Biometric Folder and Authentication Security)
有了這項功能,使用者不只可以利用指紋來解鎖裝置,同時Windows 8.1 也讓您針對某些資料夾用指紋來進行加解密。
五、 Windows 8.1 裝置加密 (Windows 8.1 Device Encryption)
BitLocker 是簡易使用且相當安全的Windows 加密機制,從 Windows 8.1 開始,Windows將登入的使用者帳號自動加密。並也開放其他所有版本的Windows 都使用 BitLocker。
您可以參考 Windows 8.1 的升級指南 來將您的作業系統升級,建議您現在就使用最新版本的 Windows 吧!
參考資料
Windows XP 即將受到的網路威脅以及中小企業和客戶的升級指南 (英文)
https://blogs.technet.com/b/security/archive/2014/03/24/cyber-threats-to-windows-xp-and-guidance-for-small-businesses-and-individual-consumers.aspxWindows 8.1 的資安五大特色 (英文)
https://searchenterprisedesktop.techtarget.com/tip/Top-five-Windows-8-security-features-new-to-Windows-81[資安小常識] 微軟資訊安全情報報告第15卷內容摘要
https://blogs.technet.com/b/twsecurity/archive/2013/11/12/microsoft-15.aspx微軟伺服器平台搶攻 BYOD 應用
https://www.ithome.com.tw/node/83094