Windows

如果必要的客戶端應用程序必須在舊的(易受攻擊的)框架上執行,我該怎麼辦?

  • February 19, 2015

客戶端需要已.NET Framework 4安裝且未打更新檔,以便他們的軟體在其Windows 2008 R2 Server功能上正常執行。

這引發了以下問題:

  1. 如果他們的應用程序與最新的框架版本不兼容,什麼時候可以容納易受攻擊的框架?
  2. 在這種情況下,最佳做法是什麼?

也許這個問題應該在SE:資訊安全?

“最佳實踐”通常是不執行要求您使用易受攻擊的框架(或者說舊版本的 Java)的軟體,但不幸的是,這並不總是一個可以接受的答案。對於大多數企業(至少不是基於技術或 IT 的企業),IT 服務於業務需求,而不是相反,因此您並不總是可以使用該答案並拋棄系統,因為它是一個安全風險。

在這些情況下,您唯一能做的就是盡可能地包含易受攻擊的伺服器。盡可能限制使用者訪問。將防火牆中的最低 IP 或 IP 範圍列入白名單。如果可行,請在伺服器上使用防病毒軟體,並提高日誌記錄級別(當然,還要花時間檢查日誌)。盡可能多地解除安裝,如果可能,使用不易接受客戶端連接的代理。(例如,搭建 RDS 伺服器,將易受攻擊的伺服器設置為接受來自 RDS 伺服器的網路連接,並讓使用者使用 RDS 伺服器訪問易受攻擊伺服器上的應用程序。)

而且,當然,一定要告訴 CYA - 通知管理層您已發現該系統存在安全風險,因此繼續使用它(以及可能出現的任何安全漏洞)的決定是他們的責任,而不是您的責任。

引用自:https://serverfault.com/questions/581876