Конец поддержки Windows 7 и Server 2008: что делать бизнесу?
В 2020 году Microsoft завершила поддержку двух популярных продуктов – Windows 7 и Windows Server 2008 R2. Однако в тысячах компаний все еще работают персональные компьютеры и серверы под управлением этих операционных систем. К чему может привести дальнейшая эксплуатация устаревшего ПО и что делать руководителю, дабы избежать рисков?
Почему завершение поддержки — это важно?
Microsoft больше не присылает пользователям Windows 7 и Server 2008 R2 автоматических обновлений системы, в том числе исправлений свежеобнаруженных уязвимостей. Для каждого, кто несет ответственность за состояние корпоративной ИТ-инфраструктуры, что означает три серьезные проблемы.
Проблема 1. Компьютеры и серверы будут уязвимы для атак вирусов-шифровальщиков
WannaCry и NotPetya — лишь самые известные из шифровальщиков, эпидемия которых за последние несколько лет охватила миллионы компьютеров, в том числе и в нашей стране. Как результат – в российских компаниях такой вирус чаще всего шифрует базу «1С» и файловые хранилища (обычно вместе с локальными резервными копиями). Без обновлений от такаих угроз не защищен ни один бизнес – будь в нем хоть пять ПК, хоть тысяча. Данные атаки носят массовый характер, а зараженные файлы могут «улететь» по цепочке клиентам и партнерам.
Просто заплатить вымогателям за расшифровку не вариант — гарантий анонимные злоумышленники никаких не дают. И обычные антивирусы от таких угроз не спасают, ведь зловреды постоянно изменяются. Правда, помочь могут специализированные средства информационной безопасности. Уязвимости обнаруживаются регулярно: официальная поддержка Windows 7 завершилась 14 января, а 17 января уже обнаружилась новая уязвимость.
Итак, «просто ничего не делать» при отсутствии поддержки операционных систем нельзя.
Проблема 2. Совместимость с ПО
Заменить операционные системы на всех компьютерах — непростой процесс даже для небольшой компании. Дело в том, что версии Windows совместимы с определенными версиями прикладного ПО, например Adobe, Corel, «1C» и т. д. Но после прекращения поддержки Windows 7 далеко не все новые версии стороннего ПО могут быть установлены на устаревшую ОС.
Проблема 3. Совместимость с «железом»
Поставить «семерку» на самое современное «железо» не получится – новые версии процессоров Intel и AMD не поддерживают Windows 7.
То же самое справедливо и для серверного оборудования. Можно приобрести новый сервер за полмиллиона рублей, но воспользоваться ранее купленной лицензией Windows Server 2008 R2 тоже не получится – ПО и «железо» просто не распознают друг друга. Конечно же, виртуализация была, есть и будет, но она не позволяет решить проблемы с безопасностью (см. проблему 1).
Что же делать, если у меня Windows 7 или Server 2008?
Есть несколько вариантов развития событий – какой из них выбрать, зависит от особенностей бизнеса. В первую очередь, необходимо провести аудит инфраструктуры. Он состоит из трех этапов:
- Сбор данных
Чтобы автоматизировать данный этап, Microsoft предлагает бесплатный программный пакет Assessment and Planning Toolkit (MAP). Он покажет, какие версии Windows и Windows Server и в каком количестве используются в инфраструктуре.
Более того, этот же инструмент продемонстрирует, какие именно пакеты обновлений были установлены. И, увы, очень часто обнаруживается, что на многих рабочих местах они не установлены вовсе. Иными словами, огромный набор уязвимостей, обнаруженных за 10 лет, доступен любому злоумышленнику.
- Установка обновлений
Независимо от того, решите вы в дальнейшем перейти на Windows 10 или остаться на «семерке» (такой вариант я опишу ниже), следует установить все обновления. Дело в том, что киберпреступники прекрасно осведомлены о завершении поддержки, а значит, в этом году рабочие станции и серверы под управлением устаревших версий Windows и Windows Server будут в зоне их пристального внимания. Если обновления не устанавливались, то площадь уязвимости вашей инфраструктуры огромна и решать эту проблему нужно быстро.
В небольшой компании достаточно просто физически дойти до каждого ПК и вручную обновить ОС. Если же рабочих станций больше 20-30, то можно использовать еще одну бесплатную службу – WSUS (Windows Server Update Services). Правда, чтобы настроить ее, понадобятся лицензии на Windows Server и определенные навыки: можно прокачать их самостоятельно либо привлечь технологического партнера (недорого).
- Подсчет бюджета
На данном этапе необходимо просчитать, во что обойдется для вашего бизнеса каждый из вариантов действий. А их, как и всего остального в этой статье, тоже три.
Путь 1. Перейти на Windows 10
Наиболее очевидная опция — заменить устаревшие «семерки» на «десятки», проинсталлировав новую версию, как и раньше, в своей инфраструктуре. Причем у Microsoft имеется предложение по переходу (оно называется Windows 10 Upgrade), в рамках которого можно сэкономить около 2 тыс. рублей на каждой лицензии – то есть порядка 16% от стоимости.
Во время сбора данных необходимо убедиться, что все рабочие станции и серверы достаточно производительны, чтобы на них можно было установить новую версию ОС. Если все окей, приобретаем лицензии и начинаем процесс перехода. В маленькой компании можно обойтись дедовским методом: загрузить образ Windows на флешку и ногами обойти все рабочие станции. Для среднего же и крупного бизнеса переход нужно проводить в нерабочее время. Порядок следующий: сначала создается образ Windows с основными программными пакетами (Office, Adobe Acrobat и т. д.), а затем его централизованно отправляют на необходимое количество ПК, находящихся в сети. Если должной квалификации нет, здесь также может помочь технологический партнер.
Путь 2. Платить за обновления безопасности
Однако в случае обнаружения крупных уязвимостей патчи все-таки выпускаются: например, во время эпидемии WannaCry корпорация разослала обновление для устаревших версий бесплатно. Но в 2018 году Microsoft сделала заявление, что все апдейты для Windows 7 и Windows Server 2008 R2 будут платными. (Понять ее можно: разработка обновлений — дорогостоящий процесс.)
Экономически данный вариант не слишком выгоден и подходит только в качестве временной меры. Например, в текущем году за каждое устройство с Windows 7 придется выложить не менее четырех с лишним тысяч рублей. В 2021-м цена вырастет как минимум вдвое. Из-за нерегулярности обновлений устройствам под управлением устаревших ОС лучше всего ограничить выход в Интернет. Однако такой вариант позволит сделать переход на новые версии более плавным – ведь новое «железо» будет приобретаться с новой версией ОС.
Путь 3. Перейти в виртуальную среду Microsoft Azure
Данный вариант возможен сейчас для Windows Server и SQL Server. Если нет возможности сразу и приобрести новые лицензии, и обновить под них аппаратное обеспечение, можно перенести капитальные затраты (CAPEX) на операционные (OPEX). Таким образом, мы, по сути, берем лицензии Windows Server 2008 R2 или SQL Server 2008 R2 в аренду в Microsoft Azure и получаем обновления безопасности бесплатно в течение трех лет, пока действует подписка. В виртуальную среду можно перенести сопутствующие нагрузки, то есть сервисы, с которыми работает компания (например, сервер «1С» или систему документооборота).
Но в таком случае обязательно понадобится помощь партнера: очень важно не просто корректно перенести данные, но и сделать так, чтобы сервисы простаивали как можно меньше времени.
Опубликовано 19.03.2020