Windows XP : ce qu’il faut prévoir en dernier recours

Le support de Windows XP est arrivé à son terme. Pour les machines fonctionnant encore avec, des éléments tels que l’anti-virus et les protections réseau s’avèrent essentiels avant de migrer.

Le support de Windows XP est arrivé à son terme. Les migrations les plus aisées ont déjà eu lieu. Nombreux sont ceux qui ont migré vers Windows 7 ou Windows 8, ou qui sont en train de le faire. Mais il reste les cas les plus délicats. Il peut s’agir de PME mais également d’entreprises de tailles plus importantes. Certaines n’ont pas le choix : elles utilisent des équipements spécialisés, contrôlés par une machine sous Windows qui ne peut pas être mise à jour ou remplacée. Confrontés à une telle situation, certains ont pu souscrire auprès de Microsoft un contrat de support étendu. Mais pour les autres, il est plus que grand temps de prendre quelques mesures de dernier recours.

Et cela commence par la vérification des dates de fin de support des logiciels de protection contre les logiciels malveillants, afin de s’assurer qu’ils continuent de fournir une protection efficace. Heureusement, nombre de ces logiciels sont supportés sous Windows XP bien au-delà de la fin du support de ce système d’exploitation par Microsoft. Ce dernier prévoit d’ailleurs de fournir des mises à jour de définitions virales pour Security Essentials jusqu’en juillet prochain. Vérifiez ces dates, installez les toutes dernières versions de ces produits, et passez à d’autres s’ils offrent une période de support plus étendue. Là, le coût s’avère moins important que l’efficacité. Ou alors, autant ne même pas se préoccuper de la sécurité des systèmes concernés.

Changer de navigateur Web est également recommandé, par le Cert US notamment. Firefox et Chrome sont supportés sous Windows XP. Google prévoit d’ailleurs de fournir des correctifs pour cette version de son navigateur au moins jusqu’en avril 2015.

Isoler les machines XP sur le réseau

De fait, le principal vecteur d’attaque pour les machines sous Windows XP restera Internet, avec par exemple des utilisateurs cliquant sur des liens conduisant à des charges malicieuses. L’une des façons – brutale mais efficace – de réduire ce risque – et celui de contagion - est de connecter les machines sous Windows XP à réseau différent d’où il n’est possible d’accéder qu’en partageant les fichiers nécessaires aux applications métiers, et pas à Internet.

Pour cela, une restructuration du réseau peut être nécessaire, tout en s’assurant que les PC sous Windows XP peuvent toujours accéder un ensemble limité de fichiers et que leurs applications continuent de fonctionner.

Déconnecter les systèmes embarqués

Débrancher du réseau les machines XP fonctionnant sur des systèmes embarqués ou contrôlant des équipements onéreux est probablement le plus prudent, si c’est possible, notamment dans le cas de systèmes de commande numérique industriels.

Si cet équipement sous XP contrôle une machine, n’y stockez pas de données, ne pas l’utilisez pas pour accéder au Web, et s’il est associé à votre domaine, déconnectez le. En somme : ne l’utilisez que comme un bête outil de contrôle d’interface matérielle. Il n’a pas de raison pour que la plupart de ces machines ait accès à Internet.

Si l’accès à Internet est toutefois requis, utilisez un programme de kiosque ou bien Deep Freeze pour verrouiller le poste de travail autant que possible. Utilisez alors des systèmes de surveillance du trafic réseau et les logs de pare-feu pour déterminer exactement les accès réseaux nécessaires au fonctionnement de la machine, et bloquez tout le reste. Mais si possible, débranchez simplement le câble réseau. Vous dormirez mieux la nuit.

La piste du VDI

La virtualisation – ou VDI – peut être une option à considérer pour les machines Windows XP dont il n’est pas possible de se débarrasser. Contrôler les actions des utilisateurs sur les machines XP est critique. Mais il faut également limiter autant que possible l’accès à ces machines.

Héberger des machines virtuelles XP sur un serveur central permet de contrôler les applications utilisées et les mises à jour, et de disposer d’une image de base saine à partir de laquelle restaurer à tout moment des machines virtuelles infectées.

Même des serveurs vieux de trois ou quatre ans peuvent héberger des machines virtuelles XP sans trop de peine. De nouveaux serveurs ne sont ainsi pas nécessaires, en particulier s’il s’agit seulement de gagner un peu de temps pour migrer.

Pour approfondir sur Protection du terminal et EDR

Close