Содержание статьи
Для ИТ‑директоров и специалистов по ИБ это важный рубеж: модель угроз изменится. Инфраструктура на устаревшей ОС всегда будет под подозрением на уязвимости. Пока ИТ‑отделы планируют и проводят долгосрочную миграцию, систему нужно жестко харденить и изолировать, чтобы снизить риск компрометации.
Архитектурные риски
Главная опасность ОС со статусом End of Life — постепенное накопление незакрытых уязвимостей, как 0-day, так и n-day. Любая критическая брешь в сетевом стеке, подсистеме криптографии или механизмах удаленного вызова процедур (RPC), найденная после января 2027 года, останется без патча, и злоумышленники смогут ее эксплуатировать. Помимо прямого риска компрометации, организации сталкиваются со следующими проблемами:
- нарушение требований регуляторов и стандартов соответствия;
- отказ в страховании: при оценке зрелости инфраструктуры и расчете рисков страховщики могут отказать в выплате или заметно поднять цену полиса, если инцидент произошел на хосте с ОС без поддержки;
- деградация смежного ПО и агентов защиты: разработчики EDR, XDR, систем резервного копирования и мониторинга перестают тестировать агенты на устаревших версиях ОС. В итоге средства защиты нельзя обновить, а телеметрия хоста выпадает из поля зрения.
В Windows Server 2016 нет многих современных механизмов защиты, которые появились в более поздних версиях — Windows Server 2022 и Windows Server 2025. Например, Windows Server Update Services (WSUS), которую годами использовали вместе с Windows Server 2016, пометили как устаревшую, а новые подходы к администрированию уже строятся вокруг Enterprise Access Model и Azure Arc.
Сокращаем поверхность атаки
Чем больше исполняемого кода в системе, тем хуже с безопасностью. Поэтому первый и самый эффективный шаг в харденинге серверов с Windows Server 2016 — выбрать вариант установки Server Core вместо Desktop Experience.
Когда в Windows включен полноценный графический интерфейс (GUI), системе приходится загружать в ядро подсистему win32k.. Исторически этот компонент графической подсистемы часто становился источником уязвимостей для локального повышения привилегий (LPE) и багов в обработке шрифтов. Эксплуатируя ошибки в win32k., атакующий с правами обычного пользователя может быстро получить права NT .
Переход на Server Core убирает из системы компоненты оболочки, браузеры, медиакодеки и графические утилиты. Благодаря этому сервер приходится реже перезагружать, а общая поверхность атаки уменьшается. Управлять такими серверами нужно только удаленно: через Windows Admin Center (WAC) или PowerShell Remoting (WinRM), заранее настроив слушатели HTTPS и доменные сертификаты.
Если перейти на Server Core не получается из‑за жестких требований легаси‑приложений, сокращай поверхность атаки: без жалости удаляй неиспользуемые роли и службы. По умолчанию Windows Server 2016 сохраняет совместимость со старыми протоколами, и это создает серьезные риски.
Учитывай, что многие меры харденинга — отключение устаревших протоколов, ограничение шифров, строгие политики аутентификации — могут конфликтовать с очень старым софтом, который зависит от этих механизмов. Каждое изменение настроек сначала тестируй в изолированной среде, максимально похожей на прод, и только потом выкатывай на рабочие серверы.
Обязательно отключи службу «Диспетчер печати» (Print Spooler) на всех серверах, кроме выделенных принт‑серверов. У нее есть RPC-интерфейсы с уязвимостями вроде PrintNightmare, которые позволяют удаленно выполнять код от имени SYSTEM.
# Полное отключение и остановка службы Print Spooler
Stop-Service -Name Spooler -Force -WarningAction SilentlyContinue
Set-Service -Name Spooler -StartupType Disabled
Советую полностью удалить из системы протокол SMBv1, уязвимый для атак через EternalBlue, и отключить службу WebClient, чтобы закрыть векторы атак через WebDAV.
Сетевая защита хоста
В модели Zero Trust («никому не доверяй») локальную сеть по умолчанию считаем уже скомпрометированной. Поэтому каждый сервер на Windows Server 2016 должен сам защищать свой сетевой периметр с помощью встроенного файрвола Windows Defender в режиме повышенной безопасности.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
