從7月中開始,使用Windows 2000作業系統將無法獲得微軟提供的安全更新。微軟表示,目前還有8%的企業用戶仍在使用Windows 2000 Server作業系統,如果轉換至Windows Server 2008作業系統,勢必要改寫應用程式,由於工程浩大,企業必須開始評估升級所帶來的效益,再決定是否升級。
十年前,微軟推出Windows 2000作業系統,不過,Windows 2000也成為許多電腦病毒的攻擊目標,如著名的紅色警戒(Code Red)與Nimda病毒,這10年間微軟透過不斷釋出安全更新來修正作業系統的安全漏洞。
但是,微軟即將於今年7月13日停止Windows 2000作業系統的延伸支援,停止延伸支援的意義,就是微軟不再提供Windows 2000作業系統的安全更新了,可能因此造成資訊安全的漏洞,您準備好要如何因應了嗎?
仍有8%的伺服器是安裝Windows 2000作業系統
Windows 2000的延伸支援即將於7月13日終止,之後,微軟就不再提供系統的安全更新,只會提供客製化的服務,針對部分企業需求,去開發出符合該企業所需求的安全更新
部分企業因作業系統不再更新而考慮升級
針對微軟不再支援Windows 2000 Server的安全更新,有些企業考量自身的環境,會因為微軟停止安全更新而升級作業系統;但部分企業卻認為必須重新檢視企業的運作環境,如果只是單純考慮資訊安全,而忽視升級所帶來的效益,那麼升級對於企業將不帶來任何效益
考量成本與帶來的效益,仍有企業堅持不願升級作業系統
如果執意升級,由於升級牽涉的面向太廣,在升級的過程中,只要有某一個部分發生問題,就會導致升級失敗,而延後整個升級的進度
市售伺服器多數不支援Windows 2000
根據IBM與HP所提供的資料,包含IBM與HP多數市售伺服器皆不支援Windows 2000 Server作業系統,目前市售伺服器除了支援Windows Server 2008 R2外,微軟作業系統最多只支援到Windows Server 2003
企業更需提早因應Windows Server 2003升級的挑戰
微軟預計在2015年7月14日終止Windows Server 2003的延伸支援,屆時,企業用戶同樣會再次遇到無法更新的問題
從資安評估作業系統升級必要性
資安專家認為,如果Windows 2000 Server伺服器真能完全與外在隔離,並能嚴格落實資安管控,那麼這些伺服器就不用因為安全更新而被迫升級
應用程式相容性是升級最大阻力
由於Windows 2000 Server與Windows Server 2008 R2採用不同的核心架構,升級作業系統部分應用程式可能需要全面改寫仍有8%的伺服器是安裝Windows 2000作業系統
7月13日時,微軟不只停止Windows 2000作業系統的延伸支援,甚至如Windows XP SP2與Windows Vista RTM作業系統都將結束延伸支援,不過,這兩個作業系統影響企業用戶較小,因為只要分別升級到Windows XP SP3與Vista SP1版本,就能持續獲得微軟的安全更新。
看大圖
但是,Windows 2000系列包含個人端的Windows 2000 Professional與伺服器端的Windows 2000 Server都已經推出最終的SP4版本,那麼使用Windows 2000作業系統的用戶,到了下半年就無法獲得微軟的安全更新。
根據微軟支援周期政策,Windows 2000已經在2005年6月30日結束主流支援,結束主流支援代表的是微軟不再接受客戶要求變更產品設計與功能,亦不再提供免費支援,不過,就算結束主流支援,微軟還是持續提供系統的安全更新,企業仍可透過Windows Update持續修補安全漏洞。但是,若是非關安全性的Hotfix支援服務,微軟僅提供給已採購延伸Hotfix支援合約的企業。
對於企業用戶影響較大的是延伸支援的終止。Windows 2000的延伸支援從2005年6月開始,歷時5年,即將於7月13日終止,延伸支援階段結束後,微軟就不再提供系統的安全更新,只會提供客製化的服務,針對部分企業需求,去開發出符合該企業所需求的安全更新,當然這種客製化的服務,售價都相當的昂貴。
根據微軟的資料,目前仍有8%的伺服器仍在使用Windows 2000 Server作業系統。微軟停止安全更新後,究竟對這些企業會有哪些影響?
臺灣微軟去年曾經針對購買Windows 2000 Server的企業用戶,寄出了一封電子郵件,告訴使用者Windows 2000 Server將於今年7月13日停止延伸支援,為了強化系統安全等因素,企業用戶可以考慮將作業系統升級至Windows Server 2008 R2。
臺灣微軟伺服器平臺事業群產品行銷經理蔡維彬表示,微軟停止延伸支援後,並不代表Windows 2000馬上就會被駭客攻破,但是,最害怕的是不能保證駭客一定不會攻擊,萬一Windows 2000又發生另一種新型態的攻擊手法,但是微軟卻不再提供更新,那麼系統被入侵的可能性將大為增加。
蔡維彬表示,微軟並不會強制要求企業用戶必須要更新作業系統,但是,企業必須考量當微軟停止安全更新後,企業是否能承擔這樣的資安風險,如果系統安全沒有疑慮,當然企業也可以選擇不用升級作業系統。「微軟只是做到告知的責任,企業必須考量自身的應用環境,再自行決定是否需要升級。」蔡維彬說。
由於作業系統升級,涉及到應用程式改寫、硬體的更新等,蔡維彬表示,企業最快也需半年的時間才能完成轉換,所以臺灣微軟才提早至去年告知用戶Windows 2000 Server將停止支援。但是,Windows 2000不只伺服器版本停止支援,個人版本的作業系統也一併停止支援,但是後者對企業影響較小。
蔡維彬表示,相較於伺服器版本,企業用戶的個人電腦目前使用Windows 2000的比例已經相當的小,再加上,部分企業的應用程式已經走向Web化,打破了作業系統與應用程式必須脣齒相依的關係,幾乎可以不用改寫應用程式,用戶端個人電腦就可直接升級至Windows XP或Windows 7,但是伺服器作業系統就不能如此,如果升級作業系統,伺服器上所有的應用程式可能都需要改寫,相對之下,升級Windows 2000 Server伺服器作業系統對於企業的挑戰較大。部分企業因作業系統不再更新而考慮升級
針對微軟不再支援Windows 2000 Server的安全更新,臺灣企業的看法呈現兩極化,有些企業考量自身的環境,會因為微軟停止安全更新而升級作業系統;但部分企業卻認為必須重新檢視企業的運作環境,如果只是單純考慮資訊安全,而忽視升級所帶來的效益,那麼升級對於企業將不帶來任何效益。
目前包含臺灣世曦工程與臺中榮民總醫院都因為微軟不再支援Windows 2000 Server而考慮升級作業系統。不過,對於這兩間企業來說,目前應用在Windows 2000 Server的應用程式重要性較低。
臺灣世曦工程目前約有8至9成的伺服器都是安裝Windows Server 2003作業系統,新版的Windows Server 2008則占約1成的比例,至於,Windows 2000 Server已經不到5%。
臺灣世曦工程顧問資訊系統部正工程師張智欽表示,因為多數重要系統都已經轉換至Windows Server 2003的平臺上,相對來說,目前還在Windows 2000 Server運作的應用程式重要性較低,如DNS伺服器與列印伺服器等,這些應用程式的相容性較高,可以直接升級最新版的Windows Server 2008 R2,也因此,會在微軟停止支援前,完成作業系統升級工作。
臺中榮總幾乎多數的x86伺服器都是安裝Windows 2000 Server,不過,臺中榮總核心系統是運作在大型主機上,而非核心工作則交給x86伺服器,如BB Call系統與掛號系統等。臺中榮民總醫院資訊室主任楊晴雯說:「基於資訊安全的考量,目前正打算將x86伺服器作業系統升級到Windows Server 2008。」
雖然x86伺服器並非是臺中榮總的運作核心,但臺中榮總目前還擁有一定數量的Windows 2000 Server伺服器,如果要完成所有Windows 2000伺服器的升級,需要花費相當長的時間,將有部分伺服器趕不及在微軟停止支援前完成作業系統的升級。
楊晴雯表示,由於預算有限,將會逐步汰換,不過,如果當微軟停止Windows 2000 Server的更新後,卻被駭客發現一個重要的漏洞,這個漏洞又非得升級作業系統才能解決,這個時候就會進行全面升級。他表示,目前Windows 2000 Server伺服器主要都是內網的應用,應用環境較單純,被攻擊的機率也會比較小,如果安全沒有疑慮,就可以逐步進行升級。考量成本與帶來的效益,仍有企業堅持不願升級作業系統
對於中磊電子、維力食品與臺灣大學來說,考量成本與升級所帶來的效益,目前並無計畫全面汰換Windows 2000 Server作業系統。
中磊電子目前絕大多數的應用環境都在Windows 2000 Server,中磊電子資訊管理處資訊長蔡政宏表示,這些系統的穩定性相當高,對於使用者來說,因為資訊安全而更新作業系統,在操作或流程上並不會帶來太大差異,考量價格效能比,根本不打算因此而升級作業系統。「不會只因為安全的單一因素而升級作業系統。」蔡政宏說。
他表示,如果只是因為作業系統的安全性而考量升級,必須付出應用程式的全面改寫、伺服器硬體的升級、資料庫系統的更新等代價,這些工作都必須花費大量人力與物力,如果執意升級,由於升級牽涉的面向太廣,在升級的過程中,只要有某一個部分發生問題,就會導致升級失敗,而延後整個升級的進度。「升級所導致的問題,嚴重性可能大過於Windows 2000 Server本身的資訊安全。」蔡政宏說。
正因為系統升級牽涉的面向相當多,蔡政宏認為,如果Windows 2000 Server系統運作正常,為何要升級呢?如果只為了資訊安全的議題,中磊電子目前在Windows 2000 Server的應用幾乎都在內部網路的環境中,可以透過內外防火牆提升資訊安全等級,此外,內網的使用者較少,所以面臨攻擊的機率也較低。「如果已經透過外部環境,強化資訊安全,所以並不會因為微軟停止支援而隨之起舞。」蔡政宏說。
但是,中磊電子並非完全堅持不升級作業系統,只要是升級作業系統帶來的效益高於付出的成本,那麼中磊電子就會願意升級。蔡政宏表示,目前已經將少數的Windows 2000 Server升級到Windows Server 2003,並非微軟停止延伸支援之故,而是因為資料庫系統升級到SQL Server 2005,這套資料庫系統只支援Windows Server 2003,於是,才會升級作業系統。
看大圖市售伺服器多數不支援Windows 2000
臺灣大學計算機及資訊網路中心則是考量到應用程式改寫不易,而不打算升級作業系統,該中心作業管理組張傑生表示,目前仍有少數Windows 2000 Server伺服器,但這些伺服器上的應用程式已經開發超過10年,當初開發這些應用程式的工程師,不是離職,就是淡忘當初開發的程式內容,應用程式勢必全面改寫,工程相當的浩大,就算微軟停止作業系統的延伸支援,目前還無計畫升級作業系統。
由於臺大只在Windows 2000 Server上執行少數非核心的應用系統,這些系統可允許不穩定的時間較多,所以相較於無法更新系統漏洞,臺灣大學更迫切的問題是硬體老舊。張傑生表示,這些伺服器使用已經超過10年,如果伺服器硬體發生問題,由於目前幾乎買不到支援Windows 2000的伺服器或零組件,可能會面臨無硬體可用的窘境,將影響到系統的可用性。
根據IBM與HP所提供的資料,包含IBM與HP多數市售伺服器皆不支援Windows 2000 Server作業系統,目前市售伺服器除了支援Windows Server 2008 R2外,微軟作業系統最多只支援到Windows Server 2003。
臺灣IBM System x產品經理曾文興表示,IBM約在2006年以後推出的伺服器就不支援Windows 2000 Server,如果使用者仍要在IBM新款伺服器上安裝舊款作業系統,可能會出現不支援部分零組件驅動程式的狀況。
HP產品行銷經理郭裕昇表示,HP從去年推出的ProLiant G6世代伺服器就已不支援Windows 2000作業系統,如果仍想要購買支援Windows 2000,目前HP仍保留少量的ProLiant G5,提供用戶購買。「ProLiant G5伺服器的庫存量相當少,要買到很不容易。」郭裕昇說。
至於用戶擔心伺服器故障沒有備品維修的問題,郭裕昇表示,購買HP的伺服器最多有5年的維修保固,HP會在這段期間內,保證企業用戶都能買到所有的零組件,不會發生斷貨的問題。
他進一步表示,只要HP沒有宣布停止伺服器零組件備品的供應,就算超過5年的保固合約,仍可透過加買維護合約來採購到零組件。不過,當HP宣布停止零組件的供應後就真的買不到零組件,系統的維運將會成為問題。
所以,多數伺服器廠商皆建議將Windows 2000 Server的環境移植至虛擬環境,這麼一來,透過虛擬層與硬體溝通,作業系統就不會出現硬體不相容的問題。目前包含飛捷科技、臺中榮總都已經將環境移植至虛擬化環境,而臺灣大學也有類似的計畫。
飛捷科技管理處資訊中心經理漳英科表示,目前仍有一套應用系統是在Windows 2000 Server的作業環境,但擔心硬體支援的問題,去年就將這個環境移植到虛擬化環境。
臺中榮總也是擔心硬體老舊問題,才將Windows 2000的應用移植至虛擬環境上,更希望藉此強化資源的整合。楊晴雯表示,過去一臺Windows 2000 Server伺服器約放置2至3個應用系統,只要一個應用發生問題時,連帶著也會影響到其他系統,透過虛擬化環境,可以讓每一個應用只放置一個環境,更能強化系統的穩定性。企業更需提早因應Windows Server 2003升級的挑戰
繼Windows 2000 Server,Windows Server 2003將成為微軟下一個終結的伺服器作業系統。微軟預計在2015年7月14日終止Windows Server 2003的延伸支援,屆時,企業用戶同樣會再次遇到無法更新的問題。
看大圖
根據微軟的資料,有超過5成的伺服器都是安裝Windows Server 2003,這些用戶都得面對升級挑戰。
雖然離2015年還有5年的時間,但是,已經有企業開始擔心升級的問題。以臺灣世曦工程來說,由於早已經將Windows 2000 Server升級到Windows Server 2003。張智欽表示,這兩個作業系統採用相同的核心,所以應用程式改寫幅度不大,但是新一代Windows Server 2008採用全新的核心,幾乎所有的程式都必需改寫,由於工程浩大,必須提早因應,所以,臺灣世曦工程從今年起就計畫開始逐步改寫應用程式,先為升級做好準備。
看大圖從資安評估作業系統升級必要性
微軟停止Windows 2000 Server的延伸支援後,部分企業用戶擔心微軟不再提供安全更新,而考慮全面升級至Windows Server 2008。但是,部份資安專家認為,並非所有企業應用系統都得升級,必須依照企業的環境、可承受的風險與帶來的效益,去評估升級的效益。熟悉作業系統安全的李倫銓說:「不要只因微軟停止更新而升級系統,必須先檢視自身的環境,此時,再做出升級的考量也不遲。」
微軟停止作業系統更新後,將增加資安風險
微軟停止安全更新,真的會影響企業的資訊安全嗎?某家企業的資訊長根本不會擔心微軟停止Windows 2000 Server延伸支援所造成的資訊安全漏洞,他認為,駭客喜歡攻擊微軟新推出的作業系統,反而對老舊作業系統更顯得興趣缺缺,對他來說,就算微軟停止更新,Windows 2000 Server的資訊安全也沒有太大的問題。對此,Symantec資深技術顧問莊添發有不同的看法,他說:「反而是停止更新的作業系統,資訊安全的漏洞更大。」
微軟每個月都會定期公布資訊安全公告,針對微軟產品的弱點提供安全性的修補程式,莊添發表示,微軟作業系統的部份架構或功能會延續到下一代,由於擁有相同的功能,可能在Windows Server 2000、2003或2008作業系統上都會出現同樣的漏洞,所以,駭客不會只針對部分作業系統進行攻擊,而是會針對系統的漏洞進行攻擊,如果每個Windows作業系統都有相同的漏洞,當然這些作業系統被攻擊的機率也相當。
如果微軟不提供作業系統的安全更新後,反而是這些老舊的作業系統更為危險。莊添發表示,如果微軟數個跨世代的Windows作業系統都擁有相同的漏洞,但微軟只針對新推出的作業系統提供安全更新,那麼,當微軟停止Windows 2000 Sever作業系統的安全更新後,當然這些作業系統被攻擊的機率就會增加。
看大圖
依系統重要性,訂出符合企業需求的升級策略
要如何避免被攻擊,首先就要知道駭客攻擊的手法,他們通常第一步會執行網路或主機的掃描,列出伺服器對外的連接埠和這些連接埠上會有哪些應用與服務,並透過掃描得知這些服務的漏洞後,就可以透過這些漏洞提升入侵者的權限,獲得系統控制權,再取得伺服器中的資料。
所以,如果還擁有Windows 2000 Server的企業,更需要重新檢視企業的IT架構。莊添發表示,依照駭客攻擊的手法,如果是越多人可以接觸到的系統,這些系統被攻擊的機率也會增加。
目前部分企業還擁有數量龐大的Windows 2000 Server伺服器,莊添發認為,必需要依照系統的重要性、可承受的風險與被攻擊的可能性進行升級的評估,一般來說,如果Windows 2000 Server伺服器執行對外服務應用就可以考慮升級。
因為這些對外伺服器,如網站伺服器等,對外連線使用者的數量較多,當然面對的風險也會提升。此外,對於部分公司來說,對外網站代表企業形象,如果被駭客攻擊,可能會影響公司的商譽。「企業用戶仍必須依照自身的狀況做出最後的判斷。」莊添發說。
如果將企業的應用分為對外應用、內網應用與封閉應用三種。莊添發與李倫銓皆認為,如果這三種應用都使用Windows 2000 Server作業系統,應該先升級對外應用的作業系統,然後逐步更新至內網應用,至於,封閉型的應用則必須依照實際的應用狀況再決定是否升級。
針對內網的應用,由於使用者的數量較少,如果企業還有建立對內與對外的防火牆機制,並針對每臺伺服器建立HIPS(Host Intrusion Prevent System)時,莊添發認為,這會減少Windows 2000 Server伺服器被攻擊的機率。
此外,如部分製造業的機臺仍在使用Windows 2000 Server作業系統,如果這些機臺都不會對外連線,而且從不更新機臺的作業系統,李倫銓認為,如果能確保這些電腦都不會對外聯結,那麼這些機臺的作業系統根本不用升級。
莊添發提醒企業用戶,雖然機臺都不會對外連線,但是內賊難防,如果萬一這些機臺的電腦與外部連結後,這些電腦幾乎沒有任何防禦能力,就像是木馬屠城一般,將可能會帶來嚴重性的後果。「如果能做到嚴格的內控機制,那麼機臺的電腦真的可以不用更新。」莊添發說。
內網應用真的不用升級嗎?
莊添發認為,就算這些內網都建立起防火牆與HIPS後,也不能代表100%不會受到駭客的攻擊,這個時候,就必須要評估這些內網系統對於企業的重要性。「Windows 2000是否升級就是一個風險考量,因為沒有100%不會被攻擊的電腦,只能降低被攻擊的機率。」莊添發說。
莊添發認為,如果這些內網的應用系統對於企業的重要性相當高,最好升級這些應用的Windows 2000伺服器。「系統的升級也是減少被攻擊的機率。」他說。
企業必須分類所有的應用系統,並評估系統的重要性與可承受的風險,評估過後,企業此時可考慮升級高風險應用的作業系統,並強化還未升級伺服器的防禦性。
莊添發認為,尚未升級的伺服器必須視企業狀況建立防火牆或HIPS機制。如果只有數臺伺服器的中小型企業,考慮成本效益,只要針對這些伺服器安裝HIPS與防毒軟體,就能降低被攻擊的機率。但是大型的企業,擁有數量龐大的伺服器群,考量成本的效益與整體的資訊安全,還是需要建立防火牆的機制,強化整體的資訊安全。應用程式相容性是升級最大阻力
如果企業經過評估後,確定要升級作業系統,首先企業會面臨到選擇升級至Windows Server 2003或2008 R2作業系統的抉擇。當決定作業系統的版本後,馬上會面臨應用程式相容性的問題,目前微軟已經提供部分升級工具降低企業用戶升級作業系統的阻力。
升級Windows Server 2003或2008?
對於臺中榮總、臺灣世曦工程與飛捷科技經過評估後,都考慮將Windows 2000 Server升級到微軟最新版本Windows Server 2008 R2作業系統,選擇新版本作業系統的原因在於延伸支援的期限較長。
根據微軟的資料,Windows Server 2003的延伸支援將於2015年7月14日終止,微軟定在2018年7月10日將終止Windows Server 2008(含R2)的延伸支援。
臺中榮民總醫院資訊室主任楊晴雯表示,如果隔幾年後又要面臨升級的問題,不如就一次升級到微軟最新版本的作業系統。「只要升級一次,就能確保未來數年不用升級作業系統,也減少資訊人力與資源的付出」楊晴雯說。
臺灣微軟也認為企業應該要選擇Windows Server 2008 R2,該公司伺服器平臺事業部產品行銷經理蔡維彬表示,除了支援時間較長外,由於採用全新的核心架構,相較Windows Server 2003提供更安全的運作環境,再加上,Windows Server 2003與2008售價相同,但增加了許多的功能,他建議企業選擇新版的作業系統。
由於目前Windows Server 2008 R2仍不是SP1版本,有些企業考量作業系統的穩定性,要等到微軟推出SP1版本後才考慮升級,蔡維彬表示,由於Windows Server 2008 R2並非全新版本,同樣採用Windows Server 2008的核心架構,穩定性的問題較少,企業現在就可以考慮直接升級。
其實,應用程式相容性對企業影響較大,楊晴雯表示,雖然臺中榮總考慮升級到Windows Server 2008作業系統,但是擔心應用程式相容性的問題,如果升級到Windows Server 2008後,發現應用程式相容性問題大,那麼就會降級使用與Windows 2000採用相同核心的Windows Server 2003作業系統。
蔡維彬表示,目前微軟已經停售Windows Server 2003作業系統,不過,購買Windows Server 2008 R2隨機版或是簽訂大量授權的企業用戶,只要在合約期限內,都可以降級使用Windows Server 2003。
應用程式的相容性問題大
對於想要升級作業系統的企業用戶,有些企業用戶為了解決應用程式相容性的問題,可能選擇先將Windows 2000 Server升級到Windows Server 2003 SP2,再升級到Windows Server 2008 R2作業系統。
微軟Windows Server 2008 R2白皮書指出,由於Windows Server 2008 R2僅有64位元的版本,因此不可能將Windows 2000 Server升級為Windows Server 2008 R2,即使透過Windows Server 2003升級也是如此。所以,微軟建議企業用戶「直接」在新的伺服器硬體上,完整安裝Windows Server 2008或R2,當然應用程式必須另外安裝,此時應用程式就會面臨相容性的考驗。
由於作業系統的架構變化大,部分在Windows 2000 Server上執行的應用程式可能無法直接在Windows Server 2008上執行,此時可能需要全面改寫應用程式。
為了加速應用程式改寫的速度,目前微軟推出了MAP(Microsoft Assessment and Planning)Toolkit。微軟表示,這是一套無代理程式的工具組,使用WMI(Windows Management Instrumentation)與遠端登入服務,透過網路就能完成電腦盤點的工作,可簡化移轉至Windows Server較新版本的專案規畫流程。
所以,一旦透過MAP工具找到Windows 2000 Server,管理人員就可執行規畫或測試各種在Windows 2000 Server中即將被移轉的硬體、驅動程式和軟體。
MAP其實就是一套資產管理軟體,可以協助企業用戶了解目前的IT運作環境。但是,企業用戶無法透過MAP了解Windows 2000 Server的應用程式是否相容於Windows Server 2008的環境,微軟還推出了應用程式相容性工具組(ACT)5.5版來協助企業用戶判斷應用程式是否相容於新版的Windows作業系統。
蔡維彬表示,由於應用程式轉移牽涉的面向相當廣泛,目前微軟並沒有一套工具組可以幫助企業用戶將應用程式轉換至新的Windows平臺,不過透過MAP等工具組,則可以提升企業在移轉作業上的效率。
熱門新聞
2025-12-12
2025-12-12
2025-12-12
2025-12-12
2025-12-12
2025-12-12