很多公司依然在用 Windows Server 2003——即便微軟不再支持該操作系統。

如果你還在用 Windows Server 2003，那你就已經面臨嚴重的被黑風險了。原因是本月早些時候放出的一個互聯網更新，在 Windows Server 2003 機器上畫了個鮮明的靶子。

間諜工具包含很多基于Windows的漏洞利用程序，或者黑客程序，針對用于文件共享的Windows服務器消息塊(SMB)協議。這些漏洞利用程序可以遠程觸發操作系統執行代碼，也就可以用于安裝其他惡意軟件。

我都能教會我媽媽使用這些漏洞利用程序，它們一點都不復雜。

　　——Rendition Infosec 創始人杰克·威廉姆斯

專家敦促受影響公司升級到最新的Windows系統，新系統才可以提供安全補丁解決這些威脅。但是有些公司，尤其是制造業和醫療健康行業的公司，因為依賴不能運行在現代操作系統上的遺留軟件，而無法獲取安全補丁。

升級的代價通常高到離譜。而且，機器運行得好好的，而控制不得不通過 Windows Server 2003 進行。

設備搜索引擎Shodan的結果顯示，公開暴露在互聯網上的 Windows Server 2003 機器可能超過50萬臺。還有更多脆弱機器運行在公司防火墻內。于是，對這些得不到安全補丁的機器，可以按照下列建議來鞏固安全。

1. 網絡分隔與監視

受老舊Windows服務器拖累的公司也可以防護自身。威廉姆斯建議，不僅僅將這些服務器置于防火墻之后，還要使用網絡分隔戰術。

這包括限制對最關鍵服務器的訪問，以及確保只有系統管理員可以控制這些服務器。

由此，即便黑客真的穿透了防火墻，他們也只能接觸到相對較小的公司網絡區域。

而且，網絡分隔花不了多少錢就能辦到。企業互聯網路由器通常就包含訪問控制功能，可以限制哪些機器能訪問哪些資源。

公司還應該考慮監視脆弱服務器，或者至少監視那些承載著關鍵信息的服務器。任何流經它們的異常數據流量活動，都可能是被入侵的跡象。

2. 衡量風險

想要將惡意活動隔離在脆弱系統之外，應用白名單也是可以利用起來的。

白名單的運行機制，是只允許可信應用在計算機上執行。這與反病毒產品的方法正好相反，反病毒產品基本上是基于已知指征，用黑名單屏蔽掉惡意程序。

公司還可以為存儲在機器中的任意敏感數據創建備份。最近幾年興起的一種惡意威脅，就是勒索軟件。它們會感染計算機，加密里面的所有數據，勒索受害者，稱不支付贖金就別想解密數據。

不過，即便有了這種種安全防護措施，保護脆弱的遺留 Windows Server 系統的最佳解決方案，依然是升級到更新版本。

盡管短期看開銷很大，這筆投資可以幫助公司避免掉災難性的數據泄露。公司企業應該計算一下哪邊代價更大：“購買升級的開銷，還是一旦被黑，公司品牌及其客戶遭受的傷害？”