Zo isoleer je een Windows 7-machine op je netwerk

Het pensioen van Windows 7 begint nu echt in zicht te komen. De migratie loopt achter op dat van Windows XP destijds, dus het ziet er naar uit dat in januari nog menig machine Windows 7 zal hebben. Zo isoleer je deze pc's na de vervaldatum.

Klanten kunnen Extended Security Updates (ESU) aanschaffen om nog wel beveiligingspatches te ontvangen na januari 2020, tot en met januari 2023. Je kunt straks ook Windows Azure virtual desktop nemen en dan krijg je ESU gratis om de transitie naar Windows 10 te ondersteunen.

Niet alle organisaties zullen een van deze opties willen gebruiken (zoals bij mij het geval is) en er zijn redenen om Windows 7 te behouden voor bepaalde oudere LoB-applicaties. In mijn situatie moeten we oudere versies van gespecialiseerde programma's worden ondersteund, te weten oudere software om historische berekeningen uit te voeren.

We willen natuurlijk het hele netwerk niet willen blootstellen aan de risico's die Windows 7 begin volgend jaar met zich meebrengt als ondersteuning officieel is afgelopen. Hoe kun je deze potentieel kwetsbare en risicovolle Windows 7-systemen scheiden zodat ze geen risico opleveren voor de rest van het netwerk? Je hebt daarvoor een heleboel opties:

1. Zorg ervoor dat deze machines niet meer kunnen browsen. Gebruik het proxy-trucje uit het Windows XP-tijdperk om ervoor te zorgen dat deze machines niet op het web terechtkomen. Schakel de proxy-instellingen in (Internetopties > Verbindingen > LAN-instellingen) en zet een vinkje bij Proxyserver niet gebruiken voor lokale adressen. Vul bij Adres <code>127.0.0.1</code> in en <code>80</code> bij Poort. Je kunt ook via een Group Policy deze blokkade instellen voor bepaalde gebruikers.

2. Isoleer de machine op een (virtueel) netwerk die het internet niet kan benaderen.

3. Virtualiseer de benodigde Windows 7-machine en verklein de scope ervan, zodat ie alleen gebruikt wordt in scenario's waar hij echt nodig is. Je moet de machine licentiëren met software assurance om hem op een VM te kunnen plaatsen.

4. Een oude methode die nog steeds werkt voor Windows 7-machines is de Enhanced Mitigation Experience Toolkit (EMET). De software wordt al enige jaren niet meer ondersteund maar je kunt hem gebruiken op oudere systemen om populaire programma's beter te beveiligen tegen misbruik.

5. Gebruik geen administrator-rechten op Windows 7-machines en stel slechts beperkte rechten in. Als je issues hebt om de benodigde applicatie te draaien zonder administrator-rechten, gebruik dan LUA Buglight om te zien welke registersleutels of bestandslocaties hogere rechten vereisen.

6. Schakel Autorun uit door de registersleutel onder <code>Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer</code> aan te passen. Waarde ff betekent dat Autorun volledig is uitgeschakeld.

7. Kijk naar je Data Execution Prevention Protection (DEP) onder Systeem > Geavanceerd > Prestaties > Instellingen en het tabblad Preventie van gegevensuitvoering (DEP).

8. Zorg ervoor dat je de recentste versie van Office gebruikt.

9. Open geen e-mails op Windows 7 (en volg al helemaal geen links).

10. Installeer alle laatste updates van de Patch Tuesday in januari 2020, de laatste serie beveiligingsupdates voor het besturingssysteem. Scan handmatig naar updates en kijk welke je in het verleden hebt overgeslagen.

Deze stappen beschermen je niet tegen alle ongepatchte kwetsbaarheden, dus het is van cruciaal belang dat je de risico's die je neemt met het draaien van een niet meer ondersteunde versie van Windows goed beseft. Als het nodig is om een oud OS te draaien, is het beste advies om deze te scheiden van het productienetwerk en het zo snel als mogelijk inplannen van het uitfaseren van deze systemen.

Related:

Copyright © 2019 IDG Communications, Inc.

  
Shop Tech Products at Amazon