Информационное сообщение Федеральной службы по техническому и экспортному контролю от 28.10.2025 № б/н «О применении операционной системы Microsoft Windows 10 и серверного программного обеспечения Microsoft Exchange Server 2016, Microsoft Exchange Server 2019 в связи с прекращением их технической поддержки»
Ссылки
Обзоры документа
Аналитический центр УЦСБ
ФСТЭК России опубликовала информационное сообщение «О применении операционной системы (далее – ОС) Microsoft Windows 10 и серверного ПО Microsoft Exchange Server 2016, Microsoft Exchange Server 2019 в связи с прекращением их технической поддержки».
С 14 октября 2025 года компания Microsoft официально прекратила техническую поддержку и выпуск обновлений для ОС Windows 10 и серверных продуктов Exchange Server 2016 и Exchange Server 2019, в том числе обновлений, направленных на устранение ошибок и уязвимостей.
Microsoft выпустила финальные публичные обновления безопасности для Exchange Server 2016 и 2019. Новые обновления безопасности для этих версий будут получать только те клиенты, которые приобрели программу расширенного обновления безопасности Extended Security Update (ESU).
ФСТЭК России акцентирует внимание на двух ключевых рисках:
- непосредственная угроза ИБ: прекращение выпуска обновлений в сочетании с неизбежным обнаружением новых уязвимостей создаёт прямую возможность для кибератак (системы, работающие на неподдерживаемом ПО, становятся уязвимыми целями);
- повышенное внимание злоумышленников: прогнозируется, что хакерские группировки активизируют поиск и разработку эксплойтов для указанных версий, так как их эксплуатация со временем будет становиться все более вероятной.
ФСТЭК России рекомендует органам государственной власти, субъектам КИИ и организациям, использующим в своих ИС указанное ПО, в короткие сроки спланировать и осуществить переход:
- на российские ОС или сертифицированные версии;
- на почтовые серверы, имеющие действующую техническую поддержку.
В случае невозможности перехода ФСТЭК России установила компенсирующие меры, направленные на нейтрализацию угроз безопасности информации:
- установить все актуальные обязательные обновления для ОС и серверного ПО Microsoft в соответствии с методиками:
- ограничить с помощью межсетевых экранов (далее – МЭ) уровень периметра внешнего доступа к автоматизированным рабочим местам (далее – АРМ) с ОС Windows 10 и серверному ПО Microsoft Exchange, а при отсутствии такой возможности, применять в обязательном порядке меры по сегментированию ИС, защите периметра ИС и ее сегментов, в том числе с использованием:
- МЭ;
- средств антивирусной защиты;
- систем обнаружения вторжений;
- DLP-систем;
- средств однонаправленной передачи данных;
- организовать постоянный мониторинг общедоступных источников на предмет появления сведений о новых уязвимостях в ОС и серверном ПО Microsoft, а также принимать меры по нейтрализации выявленных уязвимостей;
- регламентировать порядок работы ответственных структурных подразделений в случае выявления уязвимостей в соответствии с методикой по организации процесса управления уязвимостями в органе (организации), утвержденной ФСТЭК России 17.05.2023;
- обеспечить регулярное резервное копирование информации, баз данных, настроек конфигурации, ПО АРМ с ОС Windows 10 и серверного оборудования с ПО Microsoft;
- проводить периодическое сканирование АРМ с ОС Windows 10 и серверного оборудования с ПО Microsoft, на предмет наличия уязвимостей с использованием средств контроля (анализа) защищенности информации, а также контроль целостности компонентов ОС;
- обеспечить применение дополнительных сертифицированных средств защиты информации (далее – СрЗИ), реализующих (дублирующих) функции по безопасности информации ОС.
Текст документа
Быстрый просмотр сохранённой копии