有效保护企业IT资源需要修复漏洞、备份和良好的网络保护。修复漏洞就像正确饮食一样，需要不断努力，有时候需要权衡。通常情况下，企业需要对部署补丁进行权衡，而软件开发人员也需要权衡修复什么以及什么时候应该完成。

前不久，在考虑修复Windows XP来解决Shadow Brokers公布的漏洞时，微软也不得不做出权衡。该软件巨头在今年早些时候在Equation Group漏洞利用被用于重大勒索软件攻击后，推出针对旧操作系统的补丁，包括Windows XP、Windows Vista和Windows Server 2003。

在这篇文章中，我们将探讨微软开发这些Windows XP补丁的权衡以及企业的不同响应。

Windows XP修复：需权衡

国家级攻击工具和漏洞利用很少能被普通罪犯利用，但随着Shadow Brokers发布漏洞利用，这种风险分析也发生变化。

需要注意的是，第三方安全研究人员已经发现这种攻击。即使只发布有关漏洞的最少细节信息，其他安全研究人员也可能发现美国国家安全局（NSA）发现的漏洞。

Shadow Brokers销售来自NSA的漏洞利用，这不是微软或其他任何软件供应商在开发其支持生命周期策略时所能预料到的。

一旦漏洞被公开，我们就应该假定它会被攻击者利用。微软必须仔细权衡开发补丁的好处和成本，在这种特定情况下，该漏洞包含可能被广泛使用的远程代码执行漏洞。这可能是驱使微软为其较旧的不受支持的操作系统发布补丁的原因。但是，发布Windows XP补丁可能会延长企业对这些不受支持操作系统的使用，并给用户一种错误的安全感。

企业的响应

企业的第一步是利用现在可用于Windows XP/2003的新漏洞利用数据更新其风险分析。这可帮助他们确定其更换Windows XP/2003的计划是否符合其企业风险承受水平，并确保他们正在运行其供应商支持的软件。否则，他们可能需要投入更多资源来替换Windows XP/2003系统。

下一步是推送补丁到所有仍然联网的Windows XP/2003系统，考虑到风险问题，这可与第一步同时进行。对于必须在其网络使用Windows XP/2003系统的企业，他们可能需要部署其他补充性控制来解决这些风险，但这也会增加维护这些系统的运营成本。

这些新补丁可能不会鼓励客户继续使用Windows XP/2003，因为通过部署这些补丁并不能完全解决风险。有些系统可能还无法部署补丁，面临巨大风险。

那些必须继续使用不受支持系统的企业可能希望将这些系统从网络移除，或者至少将它们放在隔离网络中，只允许对绝对必要的系统提供受限的外部访问。这将会增加支持成本并降低这些系统的功能；然而，这可能会促使企业替换这些系统。

有些企业可能需要使用由运行Windows XP/2003的计算机控制的设备或系统，这些企业应强制要求供应商支持来自原始供应商的当前操作系统。如果企业不对供应商提出这一要求，他们可能会继续陷入这样的困境。

结论

软件开发人员希望限制其软件的版本数量以减少很多其他的成本，同时确保资源可用于开发新版本。微软也不例外，在向客户发布Windows XP补丁之前他们也仔细权衡了这些问题。

企业还希望最大限度降低成本，可能会延迟推出新系统来管理这些成本，但如果运营成本大幅增加，受攻击风险增加，那么这可能会使企业加快部署新系统的步伐。企业应该借助微软的资源来确保其系统得到充分保护。