HKCert
保安博錄

微軟視窗伺服器 2003 終止支援服務後的應對措施

發布日期: 31 / 08 / 2015
最後更新: 01 / 09 / 2015

 

微軟視窗伺服器 2003 終止支援服務後的應對措施

 

繼視窗XP後,微軟於今年714日停止支援企業常用的 Windows Server 2003 系列作業系統1,不再提供修補程式。企業若仍運行有關作業系統,其伺服器將不獲安全防護而極易遭受外界攻擊。

 

視窗伺服器 2003 可能仍被使用

 

自微軟視窗伺服器 2003 (Windows Server 2003) 2015714日終止支援服務,至今已超過一個月。跟據HP 於2014年5月的數據顯示,約有一千一百萬個系統仍然使用視窗伺服器  2003 2,數量相當驚人。顯示坊間可能仍有為數不少伺服器管理員無法及時升級或轉換至其他操作系統。有見及此,本保安博錄將分析沒有升級或轉換至其他操作系統的原因,及探討繼續使用視窗伺服器 2003 所需要承受的風險。

 

用戶沒有升級或轉換至其他操作系統原因?

 

有關用戶沒有升級或轉換至其他操作系統的常見原因如下 (排名不分先後)

  • 下次更換伺服器才將進行系統升級或轉換至其他操作系統。
  • 系統仍然能如常運作,無需進行升級或轉換至其他操作系統。
  • 相信安裝防毒軟件已足夠解決保安上的風險。
  • 相信舊軟件 (legacy software) 只能在 視窗伺服器2003上運行。7
  • 缺乏技術/資金進行升級或轉換至其他操作系統。

然而,上述原因可能為企業帶來保安風險,定期為員工提供不同種類的資訊保安培訓,例如﹕參加資訊保安研討會,是其中一個方法令員工明白及時升級及更新操作系統的重要性。

 

終止支援服務後,仍然可以使用視窗伺服器 2003 嗎?

 

視窗伺服器 2003 2015714日後是仍然可以運作,但微軟再不會為視窗伺服器 2003 提供任何支援服務 (度身訂造的支援服務除外),包括發布保安漏洞的修補程式,表示視窗伺服器 2003 用戶未來要面對出現漏洞而不獲修補的安全風險。這些保安風險更可能隨著公布的漏洞日增而逐漸提升,企業不容忽視。

 

注意﹕微軟在 20158月份發布的資訊安全公告,已經沒有包括視窗伺服器 2003,例如﹕不為其提供修補程式。

 

繼續使用視窗伺服器 2003 的保安風險

 

如果用戶需在短期內繼續使用視窗伺服器 2003,你需要明白此舉所帶來的保安風險,及準備可減低風險的措施。綜觀以往經驗,網絡不法份子一般會從新版本作業系統的修補程式入手,從中找出攻擊舊版本系統漏洞的方法,然後入侵他人電腦。據了解,加密勒索軟件事故的受害者可能是因使用沒有官方支援服務的作業系統而受到攻擊3

 

不要使用非正式的安全性修補程式

 

由於在視窗伺服器 2003 終止支援後,選用微軟官方度身訂造的支援服務可能十分昂貴6,故部分仍使用視窗伺服器 2003 的企業及個人用戶或會在官方終止支援後,選擇採用第三者提供的修補程式,以延長系統的安全使用期。然而,這些程式的開發者對系統內部結構的認知,以及處理各種環境和應用的經驗,始終不及官方全面,程式的可用性及兼容性皆存疑。他們亦沒有任何合約義務,用戶難以問責。更有甚者,黑客或可藉機以暗藏木馬程式的偽冒修補程式作招徠,令用戶在不知底蘊下安裝惡意軟件,最終得不償失

 

盡快升級或轉換至其他操作系統

 

雖然視窗伺服器 2003 系統過去曾被廣泛使用,但它始終屬於較舊的伺服器操作系統。在科技日新月異的情況下,無論在效能和資訊保安方面都存在不少問題4。因此,香港電腦保安事故協調中心呼籲仍使用視窗伺服器 2003 系列系統的本地企業,將系統盡快升級或轉換至其他操作系統,這才是確保伺服器繼續安全運作的有效方法

 

參考資料﹕

[1] Microsoft Support Lifecycle

https://support.microsoft.com/zh-tw/lifecycle/search?sort=PN&alpha=Windows%20Server%202003&Filter=FilterNO
[2] The Channel

http://www.channelregister.co.uk/2014/05/02/windows_server_2003_hp/

[3] 提防加密勒索軟件

https://www.hkcert.org/my_url/zh/blog/15050402

[4] Windows Server 2003 Rapidly Approaches End-Of-Life, Watch Out For Performance Bottlenecks

http://blogs.technet.com/b/mspfe/archive/2013/04/29/windows-server-2003-rapidly-approaches-end-of-life-watch-out-for-performance-bottlenecks.aspx

[5] Migration is worth it! Windows Server 2003 extended support ended on July 14, 2015

https://www.microsoft.com/zh-tw/server-cloud/products/windows-server-2003/

[6] Windows Server 2003 custom support could cost MILLIONS

http://www.theregister.co.uk/2014/12/19/got_a_few_million_tucked_under_the_mattress_for_microsoft/

[7] Windows Server 2003 is still running in 61 percent of businesses

http://www.theinquirer.net/inquirer/news/2400343/windows-server-2003-is-still-running-in-61-percent-of-businesses

[8] Windows Server 2003 End of Life

http://community.spiceworks.com/windows/server-2003-end-of-life