若繼續使用不再獲得官方修補程式、技術支持和安全更新的電腦作業系統及程式,要面對的保安風險將會愈來愈高。
微軟在去年11月公布今年內將終止支援一系列產品,包括Microsoft Office 2013、Windows Server 2012 及2012 R2 等(名單按此)。然而,根據第三方聯網裝置搜尋引擎Shodan的最新數據顯示,截至今年1月初,本港仍有約9萬7千部電腦使用著Windows Server 2012 及2012 R2版本。
香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)表示,企業及個人用戶若繼續運行已終止支援的程式及作業系統,將要面對以下風險:
- 由於已終止支援的程式及作業系統不再獲得任何修補程式、技術支持和安全更新,日後若出現新的保安漏洞,黑客或惡意軟件可以輕易地滲入,增加資料外洩的風險;
- 使用已終止支援的程式及作業系統可能會出現軟件兼容問題;及
- 因應個別行業的合規守則及系統保安政策要求,使用已終止支援的作業系統可能不被認證或合規問題。
因此,HKCERT呼籲有關產品用戶應盡快採取以下措施:
- 相關用戶應及早計劃並選用其他支援中的版本或作業系統 (如Microsoft Office LTSC 2021/ 365 及Windows Server 2022);
- 對於有計劃進行作業系統升級但無法在終止支援服務期限前完成的用戶,可考慮為適用的產品購買由微軟提供的擴充安全性更新 (ESU),以爭取額外的時間。以Windows Server 2012/R2為例,用戶選購相關ESU後,可於2026年10月13日之前仍然享受關鍵及重要安全性更新。
- 遷移到雲端虛擬機 (部分雲端供應商會於系統終止支援服務後提供三年的ESU);以及
- 若舊有應用程式(legacy application)不兼容支援中的作業系統版本或擴展安全更新服務所提供的修補程式,建議將有關系統置於隔離的網絡。系統管理員應盡力尋找一個與支援中的作業系統兼容的應用程式替代。
大家若想向HKCERT 報告與資訊保安相關的事故,例如惡意程式、網絡釣魚、阻斷服務攻擊等,可以透過網上表格:https://www.hkcert.org/zh/incident-reporting
這篇文章 資料平安:盡快升級今年不再獲支援的微軟產品 最早出現於 TechApple.com。