自微軟視窗 XP 系統 (WinXP) 在2014年4月8日終止支援服務，至今已超過一個月，從 StatCounter 統計報告資料¹，香港 WinXP 用戶人數(14.01%)對比上一個月只有 1% 的輕微下降，顯示坊間仍然有為數不少用戶無法及時升級或轉換至其他操作系統。有見及此，本文嘗試了解用戶沒有升級或轉換至其他操作系統的原因和探討繼續使用 WinXP 所需要的風險管理。

圖1. WinXP 在香港的市場佔有率趨勢 (2014年一月至2014年五月)

終止支援服務後，仍然可以使用 WinXP 嗎？

WinXP 在2014年4月8日後是仍然可以運作，但微軟再不會為 WinXP 提供任何支援服務，包括發布保安漏洞的修補程式，表示 WinXP 用戶未來要面對出現漏洞而不獲修補的安全風險。在2014年4月26日保安專家發現了一個新的 Internet Explorer 零日漏洞 (CVE-2014-1776)，影響包括 WinXP 上使用 Internet Explorer 版本 6 至 8，由於攻擊程式在漏洞公布前已廣泛流傳，微軟認為這是嚴重的漏洞，最終為 WinXP 的用戶提供了修補程式，但是這種破例是沒有保證的。微軟在 2014年5月份發布的資訊安全公告，是首次沒有包括 WinXP。

雖然 WinXP 在終止服務後仍能運作，但是隨著公布的漏洞日增，而又沒有相應的修補程式，保安風險將遂步提升。

用戶沒有升級或轉換至其他操作系統原因？

有關 WinXP 終止支援服務，近期在互聯網上對於這個話題都有熱烈的討論，當中包括用戶沒有升級或轉換至其他操作系統的原因，我們搜集了主要原因如下(不分先後)：

1. "等待下次更換電腦才將 Windows 系統升級或轉換至其他操作系統。"
2. "系統仍然能如常運作，無需進行升級或轉換至其他操作系統。"
3. "相信安裝防毒軟件已足夠解決保安上的風險。"
4. "有軟件/應用程式只能在 WinXP上運行。"
5. "沒有資金進行升級或轉換至其他操作系統。"

繼續使用 WinXP 的風險管理

綜觀上述原因，如果用戶選擇或逼不得而在短期內繼續使用 WinXP，我們建議你們需要做好風險管理，以減少可能出現的保安風險。由於繼續使用 WinXP 的保安威脅主要來自互聯網，我們可以依照 WinXP 用戶使用互聯網的需要，制定系統升級或轉換的優先次序及減低風險的措施。

預備軟件終止支援服務的週期

這次 WinXP 終止支援服務的情況，正好揭示我們對於電腦系統及軟件應用程式終止支援服務的準備不足。其實，我們日常使用的軟件，例如 Microsoft Office, Adobe Reader ，及 Oracle Java 都有各自的支援服務的週期，在終止前，我們應該預早對沒有支援服務後，需要預備升級或轉換系統的經費和無法升級而制定減低安全風險的措施。

隨著 WinXP 終止支援服務後，，我們也需要留意軟件供應商對 WinXP 支援也將會遂步減少，例如 Google Chrome、Adobe Photoshop和某些保安軟件³等也公布了新版本或現有版本會在2015年停止支援 WinXP。此外，一般 WinXP 用戶都是使用32位元版本的作業系統，但是現在新開發的軟件都轉向以支援 64位元作業系統為主，所以 WinXP 可能無法安裝這類新軟件。

總結

WinXP 曾經是一個非常成功的操作系統，但它的設計不是處理現代的保安威脅。在過去十年保安形勢有顯著變化，網絡犯罪變得猖獗、惡意軟件和網絡攻擊激增，可以令個人及企業因資料漏露、拒絕服務等而造成金錢上損失。此外，加上網民對數據隱私的需求，繼續使用 WinXP 及附帶的舊版本 IE 瀏覽器會帶來額外的威脅，例如內存保護、加密、雜湊函數和數碼簽署算法的強度不足，沒有沙箱和更先進的安全瀏覽功能。為了確保電腦繼續安全地運作，HKCERT 呼籲消費者和企業盡快升級或轉換至其他操作系統，以減低因惡意軟件和網絡攻擊造成資料和金錢損失的風險。如果你因為任何原因暫時要繼續使用 WinXP，請做好風險評估，做好減少保安威脅的措施，同時制定系統升級或轉換的優先次序，為完全升級或轉移做好計劃。

參考資料

1. http://gs.statcounter.com/#desktop-os-HK-monthly-201404-201405
2. http://cw.com.hk/feature/10-ways-keep-windows-xp-machines-secure
3. http://www.av-test.org/en/news/news-single-view/the-end-is-nigh-for-windows-xp-these-anti-virus-software-products-will-continue-to-protect-xp-after/