在组织中拥有这些不受支持且易受攻击的机器并不少见。执行风险评估以确定任何漏洞的影响非常重要。

高级别风险评估

威胁：

• 互联网连接意味着远程威胁是一个问题
• 本地网络连接意味着网络内的威胁（或已获得网络访问权限的远程威胁）是一个问题
• 对机器的本地物理访问意味着任何可以与机器交互的人都可能成为问题

影响：

• 网络连接意味着该机器可用于攻击网络的其余部分。
• 任何访问都意味着机器上的任何敏感数据都存在风险（如果上面有敏感数据，例如制造设计）
• 任何访问都意味着配置或机器设置可能被恶意（且危险地）更改

缓解措施：

• 减少或消除网络连接
• 减少或消除未经授权的人员对机器的物理访问

您的具体案例

在不了解贵公司对机器的更具体要求的情况下：

如果您需要 Internet 访问（并且它确实不能被其他措施取代），那么您需要尽可能地将其与网络的其余部分切断，并且只允许它仅接收来自制造商的连接并阻止其建立连接出去。您的外围和内部防火墙在这里发挥作用，以设计一个新的网络。您还希望能够监控机器上发生的任何异常并从中恢复。

我在类似情况下所做的是将机器变成虚拟机（VM），并使用VM工具进行快照，还原等，并使用管理程序来控制访问，网络和监控。然而，虚拟化机器并不总是可行的。

考虑可能的威胁。攻击者如何获得对系统的访问权限？

• 攻击者可以监控互联网连接并阻止更新或插入虚假更新。
  => 为了防止修改（恶意）更新，可以对更新进行加密签名。
• 网络中的计算机可能被感染并试图感染 XP 机器。
  => 尝试断开它与本地网络的连接，或者以只能与更新服务器通信的方式为系统设置防火墙。
• 员工可以使用浏览器快速查找内容，不会造成任何伤害。
  => 如果防火墙（阻止与更新服务器以外的所有设备的连接）不可用，您仍然可以通过卸载（或使不可访问）诸如浏览器之类的东西并禁止用户安装这些东西来防止路过的恶意软件。
• 等等。

这里可以使用两层解决方案

1. 安装外围防火墙，切断更新不需要的所有协议（注意零日漏洞，例如 XP 的 SMB 协议漏洞），防火墙至少应该能够进行深度数据包检查。安装防火墙防病毒软件（它将下载到安全的地方，扫描它，然后发布给终端计算机）
2. 部署一个最新的、防御良好的系统作为更新的暂存区——这个想法是您将首先在该机器上下载补丁，然后在扫描后将其分发到 XP 机器。

您将需要联系更新供应商并收集信息，例如他们使用哪个端口\协议\文件扩展名\签名能够成功验证\仅允许他们的流量。

瞧，你很高兴。