12 янва­ря 2027 года в Microsoft офи­циаль­но прек­ратят рас­ширен­ную под­дер­жку Windows Server 2016. Редак­ции Datacenter, Standard и Essentials перей­дут в ста­тус End of Life (EOL): для них боль­ше не будут выпус­кать регуляр­ные обновле­ния безопас­ности и бес­плат­ные исправ­ления, а тех­поддер­жка закон­чится.

Для ИТ‑дирек­торов и спе­циалис­тов по ИБ это важ­ный рубеж: модель угроз изме­нит­ся. Инфраструк­тура на уста­рев­шей ОС всег­да будет под подоз­рени­ем на уяз­вимос­ти. Пока ИТ‑отде­лы пла­ниру­ют и про­водят дол­госроч­ную миг­рацию, сис­тему нуж­но жес­тко хар­денить и изо­лиро­вать, что­бы сни­зить риск ком­про­мета­ции.

 

Архитектурные риски

Глав­ная опас­ность ОС со ста­тусом End of Life — пос­тепен­ное накоп­ление незак­рытых уяз­вимос­тей, как 0-day, так и n-day. Любая кри­тичес­кая брешь в сетевом сте­ке, под­систе­ме крип­тогра­фии или механиз­мах уда­лен­ного вызова про­цедур (RPC), най­ден­ная пос­ле янва­ря 2027 года, оста­нет­ся без пат­ча, и зло­умыш­ленни­ки смо­гут ее экс­плу­ати­ровать. Помимо пря­мого рис­ка ком­про­мета­ции, орга­низа­ции стал­кива­ются со сле­дующи­ми проб­лемами:

  • на­руше­ние тре­бова­ний регуля­торов и стан­дартов соот­ветс­твия;
  • от­каз в стра­хова­нии: при оцен­ке зре­лос­ти инфраструк­туры и рас­чете рис­ков стра­хов­щики могут отка­зать в вып­лате или замет­но под­нять цену полиса, если инци­дент про­изо­шел на хос­те с ОС без под­дер­жки;
  • дег­радация смеж­ного ПО и аген­тов защиты: раз­работ­чики EDR, XDR, сис­тем резер­вно­го копиро­вания и монито­рин­га перес­тают тес­тировать аген­ты на уста­рев­ших вер­сиях ОС. В ито­ге средс­тва защиты нель­зя обно­вить, а телемет­рия хос­та выпада­ет из поля зре­ния.

В Windows Server 2016 нет мно­гих сов­ремен­ных механиз­мов защиты, которые появи­лись в более поз­дних вер­сиях — Windows Server 2022 и Windows Server 2025. Нап­ример, Windows Server Update Services (WSUS), которую годами исполь­зовали вмес­те с Windows Server 2016, помети­ли как уста­рев­шую, а новые под­ходы к адми­нис­три­рова­нию уже стро­ятся вок­руг Enterprise Access Model и Azure Arc.

 

Сокращаем поверхность атаки

Чем боль­ше исполня­емо­го кода в сис­теме, тем хуже с безопас­ностью. Поэто­му пер­вый и самый эффектив­ный шаг в хар­денин­ге сер­веров с Windows Server 2016 — выб­рать вари­ант уста­нов­ки Server Core вмес­то Desktop Experience.

Ког­да в Windows вклю­чен пол­ноцен­ный гра­фичес­кий интерфейс (GUI), сис­теме при­ходит­ся заг­ружать в ядро под­систе­му win32k.sys. Исто­ричес­ки этот ком­понент гра­фичес­кой под­систе­мы час­то ста­новил­ся источни­ком уяз­вимос­тей для локаль­ного повыше­ния при­виле­гий (LPE) и багов в обра­бот­ке шриф­тов. Экс­плу­ати­руя ошиб­ки в win32k.sys, ата­кующий с пра­вами обыч­ного поль­зовате­ля может быс­тро получить пра­ва NT AUTHORITY\SYSTEM.

Пе­реход на Server Core уби­рает из сис­темы ком­понен­ты обо­лоч­ки, бра­узе­ры, меди­ако­деки и гра­фичес­кие ути­литы. Бла­года­ря это­му сер­вер при­ходит­ся реже перезаг­ружать, а общая повер­хность ата­ки умень­шает­ся. Управлять такими сер­верами нуж­но толь­ко уда­лен­но: через Windows Admin Center (WAC) или PowerShell Remoting (WinRM), заранее нас­тро­ив слу­шате­ли HTTPS и домен­ные сер­тифика­ты.

Ес­ли перей­ти на Server Core не получа­ется из‑за жес­тких тре­бова­ний легаси‑при­ложе­ний, сок­ращай повер­хность ата­ки: без жалос­ти уда­ляй неис­поль­зуемые роли и служ­бы. По умол­чанию Windows Server 2016 сох­раня­ет сов­мести­мость со ста­рыми про­токо­лами, и это соз­дает серь­езные рис­ки.

Учи­тывай, что мно­гие меры хар­денин­га — отклю­чение уста­рев­ших про­токо­лов, огра­ниче­ние шиф­ров, стро­гие полити­ки аутен­тифика­ции — могут кон­флик­товать с очень ста­рым соф­том, который зависит от этих механиз­мов. Каж­дое изме­нение нас­тро­ек сна­чала тес­тируй в изо­лиро­ван­ной сре­де, мак­сималь­но похожей на прод, и толь­ко потом выкаты­вай на рабочие сер­веры.

Обя­затель­но отклю­чи служ­бу «Дис­петчер печати» (Print Spooler) на всех сер­верах, кро­ме выделен­ных принт‑сер­веров. У нее есть RPC-интерфей­сы с уяз­вимос­тями вро­де PrintNightmare, которые поз­воля­ют уда­лен­но выпол­нять код от име­ни SYSTEM.

# Полное отключение и остановка службы Print Spooler
Stop-Service -Name Spooler -Force -WarningAction SilentlyContinue
Set-Service -Name Spooler -StartupType Disabled

Со­ветую пол­ностью уда­лить из сис­темы про­токол SMBv1, уяз­вимый для атак через EternalBlue, и отклю­чить служ­бу WebClient, что­бы зак­рыть век­торы атак через WebDAV.

 

Сетевая защита хоста

В модели Zero Trust («никому не доверяй») локаль­ную сеть по умол­чанию счи­таем уже ском­про­мети­рован­ной. Поэто­му каж­дый сер­вер на Windows Server 2016 дол­жен сам защищать свой сетевой периметр с помощью встро­енно­го фай­рво­ла Windows Defender в режиме повышен­ной безопас­ности.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии