microsoftwindows server 2003將於今年7月終止支援,很多企業為避免遭受漏洞攻擊,正努力轉移到新的平台工作。然而對於許多企業來說,基於人力、財力及其他因素,要在時限之內完成轉移是一項特別艱鉅的挑戰。
在趨勢科技協助客戶轉移的過程當中,我們也看到客戶對於近期終止支援一事的獨到見解,因此特別和大家分享(當然,若客戶在7月14日之前尚未準備好轉移,我們也能協助他們保護windows server 2003,而且還能保護windows server2012與 azure等新的 windows平台)。我們訪問了 university of florida health shands 醫療中心的資訊保安經理tim nance,來聽聽他們轉移windows xp的經驗。該機構擁有大約18,000 臺台式計算機與1,400臺伺服器 (其中900臺是vmware),為此,ufhealth shands 的人員面臨了相當艱難的任務。以下是他們的轉移經驗:
趨勢科技:貴單位在終止支援平台的防護上面臨多大的問題?就準備的角度來看,這對貴單位的影響為何?
timnance:我們負責windows xp 轉移的人員在2013和2023年都未認真執行,一直到很晚才開始。我們有數千台機器在該平台上,雖然我們一直在督促終止日期即將來臨,但他們似乎還是沒意識到事情即將發生,後來大學部的主管單位下了一道命令,要求所有使用xp的機器必須全部下線,到那時才有許多人力投入轉移的工作。他們雇用了一些人來進行公升級,但仍知道無法在時限之內完成。
此時我們開始考慮採用趨勢科技的入侵防護防火牆(現在稱趨勢科技vulnerability protection)來解決這項問題。我們在所有使用windowsxp的機器上部署了一些政策來解決暫時的問題,直到我們找到永久的解決方案為止。我們有許多昂貴的機器,幸好vulnerabilityprotection為我們爭取了一些時間。
趨勢科技:貴單位如何利用虛擬修補技術來協助進行轉移?
timnance:我們採用趨勢科技deep security來部署虛擬修補技術,為我們的windows xp裝置提供暫時的解決方案,延長其使用年限,讓我們逐漸減少這類裝置的數量,原本的轉移時間是10個月,有了虛擬修補之後,我們可以在6至7個月內完成。在某些情況下,過濾規則會太多而影響裝置的效能,但僅負責單一作業的裝置應該可以撐一年至一年半,為我們爭取到不少時間。我們原本就是趨勢科技的客戶,因此我們知道這套產品應該很適合我們。
趨勢科技:您轉移windows xp的主要策略為何?
timnance:這些機器當時都是轉移到windows 7,此外,也建立了一些vdi終端和授權許可。原先的目標是在6至7個月內完成轉移,但在第乙個月內,美國地區的關鍵裝置就已完成轉移。目前還剩幾百台windows xp無法轉移,因為他們需要執行一些無法在 microsoft 新版作業系統上運作的特定應用程式。對於這些機器,我們將繼續透過虛擬修補來解決安全問題,或者採購硬體防火牆來保護這些裝置。
例如,我們有一台用來進行實驗分析的病理裝置,更換這台機器要花$175,000美元,而新的機器又不能提供更多的診斷專案,還不如花個$500美元採用硬體防火牆來保護更符合經濟效益。
要不是採用了虛擬修補技術,我們肯定會發生一些業務中斷的情況。在乙個需要24小時全天候運作的環境,我們無法就這麼將300臺機器直接下線,我們只有48-50名現場服務人員,而我們也沒有足夠的時間在期限內到現場更換所有機器的作業系統,而且同時還要維持運營的順暢。虛擬修補讓我們能延長這些裝置的使用年限,並且讓我們維持正常運營。
趨勢科技:隨著支援終止日期將近,貴單位是否有任何迫切的法規遵循需求?
timnance:我們擔心的反倒不是法規遵循的問題,而是我們希望從安全和風險的角度來看,怎樣對我們最好。我們最擔心的是漏洞問題。已經有安全專家指出,有黑客準備在支援終止當天發動一項零時差攻擊。一旦microsoft不再提供修補程式,很可能就會出現大規模的資料攻擊,因此,我們最重要的工作是要防止遭到這類威脅。
趨勢科技:貴單位從windows xp的轉移經驗當中學到些什麼?
timnance:我們還真的是進度超前,我們預計應該在xp終止支援的三個月之前就能完成轉移(除了無法移轉的裝置之外)。我學到的一點是,若你可以擬定好計畫和策略,deep security 可以讓你在人力不足、無法盡快完成轉移的情況下爭取到更多時間。
Python支援的所有轉移序列
backslash 反斜槓 single quote 單引號 double quote 雙引號 aascii bell 響鈴符 bascii backspace 退格符 fascii formfeed 進紙符 nascii linefeed 換行符 nunicode資料庫中的字元名,其中name就是...
開發支援平台
一直以來都在不斷試用各種協同開發的工具。像 易度這樣的輕型網路平台或者是微軟tfs之類重型裝置。折騰來折騰去,得出的經驗就是,平台不重要,關鍵是使用的人是不是有這個意識。但是不管在怎樣,硬體總是要有的。圖就是目前的開發支援平台的結構。部署在區域網內的一台專用伺服器上,配置了網域名稱也可以從外部訪問。...
KlayGE支援WinRT平台
這個版本基本就到這個程度了,下個版本開始要支援metro和android觸屏操作,更深入地應用新平台。在現在的版本裡,還有一些需要注意的問題。因為metro下不支援d3dcompile之類的函式,effect都得offline先編譯成.kfx才能載入。所以先要用非metro的執行一遍,生成kfx。這...