Windows Server 2003 終止支援後升級與資安防護之道

Windows Server 2003即將於2015年7月14日終止支援（End of Support，EOS）。依據以往經驗，伺服器升級評估與移轉需要費時至少六個月至一年不等，如不盡快升級作業系統，屆時伺服器管理者將面臨下列三個問題：
1. 資訊安全的風險增高
2. 管理成本提高。
3. 法規(ISO27001)風險及通過認證難度增加。

本報告說明使用Windows Server 2003為重要資訊服務之作業系統時，當Windows Server 2003 終止支援因應之道及升級策略，以確保應有之資安防護。

Windows Server 2003如何升級
微軟官方提供Windows  Server 2003升級建議步驟，依序為：
1. 資產確認與盤點：
想確認組織內部Windows Server 2003的伺服器數量，微軟提供工具協助盤點軟硬體資產， MAP（Microsoft Assessment and Planning Toolkit），可由組織內部網路盤點Windows Server。
2. 升級先後順序評估：
企業可依據各種類型軟體，判斷程式的重要性，優先升級重要性高者。
3. 選擇升級作業系統：
Windows Server 2003可直接本機升級至Windows Server 2008。若要從Windows Server 2003升級至Windows Server 2012，需先將Windows Server 2003升級至Windows Server 2008，再升級至Windows Server 2012。
Windows Server 2003和Windows Server 2012兩個版本推出時間相隔近10年，若直接升級至Windows Server 2012 R2，需重新安裝系統。
4. 應用程式相容測試：
為確保原使用之軟體可於新版作業系統使用，需進行軟體相容性測試以確認應用程式之相容性。
Microsoft提供相容性檢測工具（Microsoft Platform Ready Test Tool，MPR Test Tool），可檢測應用程式相容性。也可以建立一個Windows Server 2012或Windows Server 2008相容性測試環境，確認應用程式相容性都沒問題後，即可完成應用程式的移轉。

如何查看Windows Server版本與Patch更新
查看伺服器運作之Windows Server版本可依下列方式操作：
開啟開始選單列→搜尋”cmd”開啟命令提示字元→輸入”winver”指令，即可查看，流程可參考圖一（為Windows Server 2008 Standard SP2）。

圖一 查看伺服器版本

查看主機本身是否仍有微軟最新的更新檔案釋出，手動的方式可以按下列方式進行操作：開啟開始選單列→選取”Windows Update”→點選”檢查更新”→選取”安裝更新”，可參考圖二範例，圖二藍色框框內文字可以查看更新的內容。

圖二 確認最新的更新檔案

在更新的設定上，建議採取系統自身建議的”自動安裝更新”，流程請在Windows Update的介面選取”變更設定”→自動安裝更新即可。可參考圖三。

圖三 自動安裝更新設定

如果想確定自己本身的主機已經安裝了哪些更新，或想確保主機的更新狀態成功與否，可點選選單上的”檢視更新紀錄”，在這裡可以查看到更新是否成功，另外可以點選藍色框框部分進行日期的排序以得知目前最新完成的更新日期。相關範例請參考圖四。

圖四 檢視更新紀錄

如果對於安全性更新的漏洞有相關疑問或想了解更多，可以參考網站資訊：https://technet.microsoft.com/zh-TW/library/security/ ，查找相關的漏洞修補訊息，內容包含了相對應的更新檔案編碼（參見圖五編號1）與此更新仍支援的作業系統清單，不受此風險影響的作業系統不會出現在清單列上，如果已經EOS終止支援的作業系統也不會出現在名單列上（請見圖五編號2）。

圖五 檢視更新漏洞細節

Windows Server 2003升級前的防禦措施
若於停止支援後繼續使用Windows Server 2003作業系統，將有諸多資安相關風險，未能如期在終止支援前完成伺服器的移轉與升級，則建議此期間採取如下的防範措施如下，唯下列方法僅能降低資安風險，仍建議系統管理者儘快完成轉移：

1. 安裝防毒軟體：
於作業系統安裝適當的防毒軟體，並定期更新病毒碼，管理者需定期掃描伺服器，圖六、圖七為Microsoft所提供的免費防毒軟體Security Essentials示意圖。

圖六 免費防毒軟體Security Essentials

圖七 Security Essentials操作畫面

2. 設定Windows防火牆，關閉不需要或不使用的通訊埠：

圖八 關閉通訊埠操作畫面

圖九 操作防火牆畫面

3. 密碼強度：
使用者在密碼設定的部份，可以加強密碼的強度設定以提高身份驗證的門檻，請到「控制台」中的「使用者帳號」中設定密碼。
4. 惡意程式移除工具：
掃描惡意程式，可使用作業系統提供之掃描惡意程式工具，操作方式由開始選單列的執行功能中輸入mrt（詳參圖十至圖十二），也可下載Process Explorer (http://technet.microsoft.com/enus/sysinternals/bb896653)進行檢測，如電腦裡有經過打包加工的惡意程式則該程式會呈現紫色(非淡紫)需特別注意。

圖十 Windows「執行」按鈕位置

圖十一 執行mrt指令

圖十二 掃描惡意程式

參考資料
1. Microsoft Taiwan 台灣微軟部落格
http://blogs.technet.com/b/microsoft_taiwan/archive/2014/07/17/windows-server-2003-end-of-support.aspx
2. http://www.ithome.com.tw/news/92982
3. http://www.ithome.com.tw/node/83249
4. http://news.networkmagazine.com.tw/news/2013/04/15/49056/
5. http://www.im.taichung.gov.tw/public/data/115020/451615502771.pdf
6. ISO27001 基礎介紹
7. http://www.im.taichung.gov.tw/public/data/115020/451615502771.pdf

本文轉載自臺灣大學計資中心北區學術資訊安全維運中心