转移終止支援Windows 平台的经验分享

MicrosoftWindows Server 2003将于今年7月终止支持，很多企业为避免遭受漏洞攻击，正努力转移到新的平台工作。然而对于许多企业来说，基于人力、财力及其他因素，要在时限之内完成转移是一项特别艰巨的挑战。

在趋势科技协助客户转移的过程当中，我们也看到客户对于近期终止支持一事的独到见解，因此特别和大家分享（当然，若客户在7月14日之前尚未准备好转移，我们也能协助他们保护Windows Server 2003，而且还能保护Windows Server2012与 Azure等新的 Windows平台）。我们访问了 University of Florida Health Shands 医疗中心的信息安全经理Tim Nance，来听听他们转移Windows XP的经验。该机构拥有大约18,000 台台式计算机与1,400台服务器 （其中900台是VMware），为此，UFHealth Shands 的人员面临了相当艰难的任务。以下是他们的转移经验：

趋势科技：贵单位在终止支持平台的防护上面临多大的问题？就准备的角度来看，这对贵单位的影响为何？

TimNance：我们负责Windows XP 转移的人员在2013和2014年都未认真执行，一直到很晚才开始。我们有数千台机器在该平台上，虽然我们一直在督促终止日期即将来临，但他们似乎还是没意识到事情即将发生，后来大学部的主管单位下了一道命令，要求所有使用XP的机器必须全部下线，到那时才有许多人力投入转移的工作。他们雇用了一些人来进行升级，但仍知道无法在时限之内完成。

此时我们开始考虑采用趋势科技的入侵防护防火墙（现在称趋势科技Vulnerability Protection）来解决这项问题。我们在所有使用WindowsXP的机器上部署了一些政策来解决暂时的问题，直到我们找到永久的解决方案为止。我们有许多昂贵的机器，幸好VulnerabilityProtection为我们争取了一些时间。

趋势科技：贵单位如何利用虚拟修补技术来协助进行转移？

TimNance：我们采用趋势科技Deep Security来部署虚拟修补技术，为我们的Windows XP设备提供暂时的解决方案，延长其使用年限，让我们逐渐减少这类设备的数量，原本的转移时间是10个月，有了虚拟修补之后，我们可以在6至7个月内完成。在某些情况下，过滤规则会太多而影响设备的效能，但仅负责单一作业的设备应该可以撑一年至一年半，为我们争取到不少时间。我们原本就是趋势科技的客户，因此我们知道这套产品应该很适合我们。

趋势科技：您转移Windows XP的主要策略为何？

TimNance：这些机器当时都是转移到Windows 7，此外，也建立了一些VDI终端和授权许可。原先的目标是在6至7个月内完成转移，但在第一个月内，美国地区的关键设备就已完成转移。目前还剩几百台Windows XP无法转移，因为他们需要执行一些无法在 Microsoft 新版操作系统上运作的特定应用程序。对于这些机器，我们将继续透过虚拟修补来解决安全问题，或者采购硬件防火墙来保护这些设备。

例如，我们有一台用来进行实验分析的病理设备，更换这台机器要花$175,000美元，而新的机器又不能提供更多的诊断项目，还不如花个$500美元采用硬件防火墙来保护更符合经济效益。

要不是采用了虚拟修补技术，我们肯定会发生一些业务中断的情况。在一个需要24小时全天候运作的环境，我们无法就这么将300台机器直接下线，我们只有48-50名现场服务人员，而我们也没有足够的时间在期限内到现场更换所有机器的操作系统，而且同时还要维持运营的顺畅。虚拟修补让我们能延长这些设备的使用年限，并且让我们维持正常运营。

趋势科技：随着支持终止日期将近，贵单位是否有任何迫切的法规遵循需求？

TimNance：我们担心的反倒不是法规遵循的问题，而是我们希望从安全和风险的角度来看，怎样对我们最好。我们最担心的是漏洞问题。已经有安全专家指出，有黑客准备在支持终止当天发动一项零时差攻击。一旦Microsoft不再提供修补程序，很可能就会出现大规模的数据攻击，因此，我们最重要的工作是要防止遭到这类威胁。

趋势科技：贵单位从Windows XP的转移经验当中学到些什么？

TimNance：我们还真的是进度超前，我们预计应该在XP终止支持的三个月之前就能完成转移（除了无法移转的装置之外）。我学到的一点是，若你可以拟定好计划和策略，Deep Security 可以让你在人力不足、无法尽快完成转移的情况下争取到更多时间。