微软12年之久的操作系统Windows XP支持的终止引起了广泛关注,但在大多数情况下,该操作系统对公司和个人用户的风险保持不变。
不过,这个风险也不小。
Windows XP于2001年发布,它是微软在作为可信计算计划的一部分开始创建其安全开发生命周期(SDL)之前开发的最后一个操作系统。Windows没有充分利用该公司的许多高级软件防御功能包含在操作系统的后期版本中,因此感染率很高。作为该公司恶意软件清除工具计划的一部分,每1000台扫描的计算机中有4台以上有恶意软件。这些计算机已经完全更新并运行防病毒功能;该公司在2013年初发布的安全情报报告(SIR)中指出,每1000台运行Windows XP的未受保护的计算机中,必须删除大约16个恶意软件。
最新发布的Windows版本有许多Windows XP中没有的安全改进,这意味着即使是运行Windows XP的受保护计算机也有被利用和恶意软件感染的风险,这些风险不适用于较新版本的Windows。”微软在报告中指出。
根据32位系统上的SIR数据,当时最新版本的Windows 8 RTM,每更新1000个系统,只发现0.5个感染。
不过,Windows XP还是有合理用途的。Qualys首席技术官沃尔夫冈坎德克(Wolfgang Kandek)表示,没有连接到互联网的嵌入式系统仍然可以运行操作系统,而不会有被利用的风险。
他说:“为了安全,你不必连接互联网。”“仅仅因为你有防火墙和杀毒功能,你就不能让它安全。最终,您希望端点尽可能强大。”
根据微软的扩展支持计划,它将继续支持在许多自动取款机中使用的Windows XP嵌入式服务包3,以及在基于计算机的收银机中使用的Windows XP嵌入式服务SP3。公司应该在互联网和这些系统之间保持强大的隔离,但是使用承包商的系统访问销售点系统的Target漏洞凸显了维护这样一堵墙的难度。
Kandek表示,公司应该发现并消除Windows XP系统,并为系统中重要缺陷的不可避免的发现做好准备。尽管出于商业原因需要将系统保留更长的几个月时间,但它们应该在年底前更换。
目前正在一步一步进行更换,但不清楚多久能完成。根据该公司的数据,Qualys的客户可以说比普通公司更注重安全,他们在Windows XP系统中的份额从一年前同季度的18%下降到了2014年第一季度的8%。
然而,总的来说,整个互联网的发展是缓慢的。根据网络指标公司StatCounter的数据,2014年3月,Windows XP占所有操作系统的19%,低于一年前同月的25%。
竞争对手NetApplications描绘的情况有点轻微:Windows XP仍占其客户遇到的操作系统的28%,低于一年前的38%。
Kandek认为,至少到今年年底,该公司将能够控制这个问题。
他说:“到今年年底,一切都将是个位数。”“问题的能见度提高了,我们对此有很多疑问。”