Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Koniec wsparcia dla Windows XP – co robić?

01 marca 2014, 16:53 | Teksty | komentarzy 40

W artykule:

  • przedstawiam problemy, na jakie możemy się natknąć po zakończeniu oficjalnego wsparcia dla Windows XP przez Microsoft
    (8. kwietnia 2014 r.),
  • pokazuję strategie podejścia do problemu: pozostanie przy Windows XP / migracja do Windows 7 / 8 lub Linux,
  • dla każdej ze strategii wymieniam kilka zalet oraz wad.

8. kwietnia 2014 roku Microsoft kończy wsparcie dla Windows XP. Z praktycznego punktu widzenia oznacza to brak nowych aktualizacji bezpieczeństwa oraz prawdopodobnie lawinowy wzrost ataków na XP.

Poza atakami celowanymi o wiele łatwiejsze życie będą mieli twórcy wszelakiego malware’u, tym bardziej że producenci popularnego oprogramowania takiego jak: java, flash, adobe reader, skype nie będą mieli motywacji do zapewnienia aktualizacji na niewspierany system operacyjny.

Błędy samego systemu oraz kumulacja podatności w kilku rodzajach popularnego oprogramowania uczyni zapewne Windowsa XP dziurawym niczym ser szwajcarski. Oby podobnego scenariusza nie przeszła nasza infrastruktura IT…

 gameover

 

Co ciekawe, na świecie, mimo spadkowego trendu, cały czas około 25% systemów operacyjnych stanowi Windows XP (w Polsce sytuacja wygląda zresztą bardzo podobnie):

xpstats

Za statcounter.com

W dalszej części tekstu podam kilka strategii poradzenia sobie z problemem braku wsparcia dla Windowsa XP. Pamiętajmy przy okazji, że każda organizacja ma swoje własne potrzeby związane z działaniem PC-tów, więc ciężko w tym przypadku o jedną uniwersalną rekomendację.

Zacznijmy od pierwszej możliwości:

 

Pozostanie przy Windows XP

W pierwszej fazie po zakończeniu wsparcia będzie to prawdopodobnie najpopularniejsza opcja. W krótkim okresie jest najtańsza, jednak docelowo może okazać się najdroższą (bezproblemowe rozpowszechnianie się wirusów / malware w naszej sieci / narażenie na ataki kierowane / związane z tymi zagrożeniami przestoje w działaniu systemów).

1. Motywacja do realizacji tego scenariusza

Czasem decyzja o pozostaniu przy Windows XP może być w pewnym okresie jedyną możliwą, np. ze względu na:

  • korzystanie z aplikacji, które nie działają na systemach wyższych (w szczególności: korzystanie z aplikacji webowych, które wymagają Internet Explorera w wersji 6),
  • korzystanie ze specyficznego sprzętu, który nie posiada sterowników w systemach wyższych lub który jest poniżej wymagań minimalnych dla Windows 7/8,
  • brak funduszy na aktualizację – zarówno jeśli chodzi o kwestie licencyjne, jak i osoby, które będą zajmowały się migracją (z drugiej strony potencjalne problemy mogą wymagać wygospodarowania jeszcze większego budżetu… polecam tekst o analizie ryzyka IT).

2. Zagrożenia

W tym przypadku zagrożenia łatwo sobie wyobrazić, a są nimi:

  • pozostawienie w naszej infrastrukturze sporej liczby niezałatanych luk krytycznych w bezpieczeństwie (implikacją tego punktu jest łatwa możliwość propagacji wirusów – czy też ogólnie – malware’u),
  • brak aktualizacji do Internet Explorera (łatwość propagacji malware przy 'zwykłym’ korzystaniu z webu przez użytkowników),
  • prawdopodobny brak aktualizacji bezpieczeństwa do popularnego oprogramowania – flash / adobe reader / java itd.,
  • problemy z wymogami prawnymi czy regulacjami (patrz np. PCI-DSS) / audytem wewnętrznym / zewnętrznym.

3. Zalecane działania prewencyjne

Mimo braku aktualizacji nie jesteśmy całkiem bezbronni. Możliwe działania to:

  • zapewnienie bieżącej aktualizacji oprogramowania anty-malware (wielu producentów antywirusów przez ograniczony czas zapewne będzie wspierać niewspieranego Windows XP – patrz np. informacja z trendmicro, podobne działania zapowiedział też sam Microsoft – aktualizacje dla anty-malware do lipca 2015),
  • używanie wspieranej przez producenta przeglądarki internetowej (przykładowo – Chrome dla XP ma wsparcie przynajmniej do kwietnia 2015 roku),
  • rozważenie wykupienia extra wsparcia z Microsoft (łaty na krytyczne błędy bezpieczeństwa), nawet po 8. kwietnia 2014 – kosztuje to w Microsofcie około $200 za pierwszy rok / per PC (w kolejnych latach rośnie aż do $1000 USD / rok / maszyna),
  • rozważenie „nieoficjalnego” supportu do XP – tego typu usługę oferuje kilka firm, jak choćby: bit9 czy Arkoon (proponująca extended XP – lekki system klasy Host IDS, specjalnie dostosowany do starego Windows XP. Co ciekawe, poza samym systemem operacyjnym Arkoon chwali się również możliwością ochrony starych wersji javy, flasha czy adobe readera.),
  • przeniesienie systemów z Windowsem XP do osobnej odseparowanej podsieci (ograniczenie działania malware, ataków kierowanych – choć uwaga tutaj na dostęp fizyczny – tzn. malware przeniesiony np. na USB),
  • rozważenie mechanizmu Software Restriction Policy – w trybie whitelisting – czyli wskazanie raptem kilku aplikacji, które mogą być uruchamiane w systemie,
  • monitoring sieci z Windowsami XP – pod względem występowania w niej ataków / malware – proponuję na początek zaznajomić się np. z pakietem Security Onion,
  • niektórzy proponują również rozważenie przeniesienia aplikacji z XP na Windows Server 2003 R2, dla którego wsparcie kończy się w lipcu 2015; w przypadku krytycznych aplikacji może to nam kupić trochę czasu i okazać się tańsze niż Custom Support z Microsoft.

 

Migracja do Windows 7

Siódemka – w przeciwieństwie do Windows 8 – jest generalnie lubiana: wydajna, nowoczesna, podobna wizualnie do poprzednich wersji systemów – bez udziwnień (typu Metro UI czy wg obecnej nomenklatury: „Microsoft design language”). Co więcej, posiada wspierany przez Microsoft tryb virtualizacyjny XP Mode, choć i tutaj producent okienek nie zaleca używania tego trybu po zakończeniu supportu dla XP. Windows 7 zadziała też na większej liczbie procesorów niż Windows 8 – jeśli porównamy wymagania sprzętowe dla Windows 7 oraz Windows 8, to okaże się, że ósemka wymaga procesora z funkcjonalnościami PAE, NX oraz SSE2.

Wbrew pozorom – przy spełnieniu minimalnych wymagań sprzętowych (1+GB RAM, 1+ GHZ CPU)- Windows 7 często nie jest wolniejszy niż XP – wręcz przeciwnie. Warto jednak wspomnieć, że oficjalnie dla XP zaleca się raptem 128 MB RAM oraz zaledwie 300MHz-owy procesor – przy takich minimalnych parametrach sprzętu Windows 7 po prostu nie ruszy. Wszystko też zależy od tego, ile dodatkowego oprogramowania chcemy instalować na migrowanym systemie.

Migracja może oczywiście przebiegać na co najmniej dwa sposoby: na tym samym sprzęcie lub przy użyciu sprzętu zupełnie nowego (biorąc pod uwagę potencjalne problemy z migracją – używany sprzęt z licencją OEM może okazać się często optymalnym rozwiązaniem).

1. Zagrożenia:

  • stare aplikacje mogą nie działać poprawnie (choć są tu możliwe różne rozwiązania: zobacz np. dyskusję na temat uruchomienia DBASE III na Windows 7 64bit czy rozwiązanie VMWare ThinApp, które jednak ze względu na wysoką cenę raczej znajdzie nabywców wśród dużych firm. Możliwe jest też po prostu użycie wirtualizacji typu VMWare Workstation – przynajmniej po ew. infekcji malware będzie można prosto przywrócić system do stanu 'zero’),
  • potencjalny brak sterowników do starszego sprzętu (drukarki, skanery itp.),
  • brak IE6 (czy ogólnie – starszych wersji Internet Explorera) – część aplikacji webowych wymaga do obsługi konkretnej wersji IE,
  • posiadany przez nas sprzęt nie będzie wystarczający do uruchomienia Windows 7,
  • deklarowane obecnie wsparcie tylko do 2020 roku.

Dla ułatwienia Microsoft publikuje oprogramowanie ułatwiające wykrycie ew. problemów sprzętowych oraz softwareowych podczas aktualizacji systemu do Windows 7 (po polsku oprogramowanie to zostało nieco pokracznie nazwane: Doradca uaktualnienia systemu Windows 7). Na stronach Microsoftu znajdziemy również opisaną procedurę migracji z XP do Windows 7.

 

Migracja do Windows 8

Scenariusz wygląda podobnie jak z Windows 7, przy czym musimy pamiętać o:

ss

Nowy interface użytkownika w Windows 8, delikatnie mówiąc, nie spotkał się z ciepłym przyjęciem użytkowników.

W przypadku Windowsa 8 Pro można pokusić się również o darmowy downgrade do Windows 7 – jednak warto pamiętać choćby o sprawdzeniu, czy producent naszego komputera udostępnia sterowniki do Windows 7 (!).

Sam Microsoft oczywiście zaleca migrację do Windows 8, wskazując choćby dość szczegółowe strategie  oraz procedury migracji ze starszych systemów, wsparcie do 2023 roku, a także wskazując pewne dodatkowe funkcjonalności bezpieczeństwa obecne tylko po aktualizacji do najnowszych okienek:

ie10vsxp

Porównanie funkcjonalności bezpieczeństwa IE na Windows XP z odpowiednikiem na Windows 8.

Można jednak odnieść wrażenie, że Microsoft nie dysponuje zbyt przekonującymi argumentami, żeby zachęcić do migracji na Windows 8 (versus pozostanie przy siódemce). W dokumencie porównawczym pokazują się takie banały jak choćby wskazanie „Możliwości obsługi za pomocą myszy i klawiatury” (Ufff, dobrze wiedzieć! ;-)) jako jedna z trzech zasadniczych rzeczy łączących Windows 7 i 8.

compa2

 

Migracja do systemu Linux

Dość drastyczną – choć w niektórych firmach opłacalną – opcją jest migracja na system Linux. Standardowymi wadami są tutaj:

  • brak możliwości uruchamiania wielu aplikacji dostępnych tylko dla Windows (w tym brak Microsoft Office, choć istnieją alternatywy jak np. LibreOffice),
  • potencjalne problemy ze sterownikami,
  • brak znajomości interfejsu przez użytkowników biznesowych – choć patrz niżej,
  • problemy z centralnym zarządzaniem z poziomu domeny windowsowej.

Pytaniem zawsze pozostaje konkretna dystrybucja Linuksa, która mogłaby zastąpić XP-ka. Tutaj często polecanym wyborem jest Linux Mint 13 (Long Term Support) ze wsparciem do kwietnia 2017. Opinie użytkowników również bywają pozytywne (choć nie należy też popadać w przesadę – poniżej cytat ze wspomnianego wyżej artykułu).

I have already made this move from XP to Linux in 2008. I got used to Linux in one week and never came back to Windows. Besides the article here has a very good point – Linux Mint is very user friendly, easy to install and easy to use. And what’s more important: this Linux Mint 13 MATE has been the most stably OS i have used ever.

lm13

 

Podsumowanie

Administratorzy sieci Windowsowych z XP na pokładzie nie będą mieli w tym roku łatwego życia. Mam nadzieję, że artykuł pomoże w podjęciu optymalnej decyzji o migracji, a przynajmniej pozwoli znaleźć metodę na bezpieczne dotrzymanie do przenosin.

Jeśli macie własne przemyślenia / doświadczenia w temacie – zachęcam do dyskusji.

Michał Sajdak [michal.sajdak<at>securitum.pl]

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Odpowiedz
    • Spoko, spoko. Ci z XP nie będą jeszcze tacy mocno niepołatani ;) Ktoś ostatnio pisał w komentarzach że używa Worda 97 – miejmy nadzieję że nie na Windows 98 ;-)

      Odpowiedz
      • Ok, poddaję się ;)

        Odpowiedz
      • Sek

        Hmm, jakoś na moim Win98 wirusów nie mam i żyję.

        Odpowiedz
        • bl4de
          Odpowiedz
          • Albo jakiś dosemu na linuksie – tego jeszcze mniej ;)

  2. józek

    Nie rozumiem tylko, jak udała się Microsoftowi taka oto sztuka:
    – prawie wszystkie aplikacje, tworzone pod Windows 95/98 nie działają na Windows XP i Windows 7
    – aplikacje tworzone pod Windows XP często nie działają na Windows 7 i na odwrót (a już różnica między X86 czy X64 to w ogóle nie ruszy)
    – praktycznie każda aplikacja pisana pod Windows XP, Windows 7 czy Windows 95/98, nie ważne czy pod X64 czy X86, działa na Windows 8 i to nawet bez Trybu Zgodności
    – wszystkie aplikacje pisane pod Windows 95/98, Windows XP, bardzo dużo aplikacji pod Windows 7 oraz część aplikacji pod Windows 8, nie działa na Windows 8.1

    MICROSHIT HOW?!

    PS.
    Powiedzcie bl4de’owi, że od kiedy przestał się pojawiać na IRCu moje internetowe życie towarzyskie straciło blask :(

    ;P

    Odpowiedz
    • bl4de

      @józek

      Wybacz mi :D

      Wyjątkowo pracowity tydzień miałem. Jak coś – to jestem.

      Odpowiedz
      • józek

        No niby jesteś, ale odpisywać to już nie ma komu ;)

        Odpowiedz
      • bl4de – może jeszcze jakieś namiary zarzucisz na kanał ircowy? :)

        Odpowiedz
        • józek

          ooo przecież wiele razy Wam podawał, na facebooku nawet podobno: sendak.freenode.net #sekurak

          Odpowiedz
          • józek – widzisz, na fejsbooku mamy zdecydowanie mniej fanów niż nawet na RSS+mail. A co dopiero jeśli chodzi o odwiedzających ;)

        • bl4de

          Bardzo chętnie:

          serwer: irc.freenode.net
          kanał: #sekurak

          :)

          Odpowiedz
          • Ogłoście to gdzieś, co? :)

          • Będzie jakieś info pewnie w osobnym poście czy coś. A jakby się dobrze kręciło to i na stałe w jakimś boxie po prawej na przykład.

  3. MateuszM

    „brak znajomości interfejsu przez użytkowników biznesowych” – akurat ta wada może tak samo dotyczyć przesiadki z XP na Windows 8. Piszę to na podstawie obserwacji i komentarzy ludzi mniej uzdolnionych w dziedzinie IT – czyli właśnie użytkowników biznesowych. Równie dobrze można przesadzić kogoś na Mac OS czy FreeBSD i nie będzie bardziej zagubiony niż po przejściu na Win 8.

    Odpowiedz
    • Jak najbardziej. Nawet w przypadku Win8 może to być większy problem niż z Linuksem, który może być ze środowiskiem graficznym podobnym do XP.

      Odpowiedz
  4. Amadeuszx

    Ja pisałem o office97 :-) win 98 już nie mamy…
    To, że 7 jest równie szybkie jak xp to nieprawda w pracy mam xp w domu 7 i szybkość działania systemu przy 2GB ramu i otwartych choćby kilku okienkach przeglądarki jest masakryczna w przypadku 7 głównie ze względu na intensywne korzystanie z pliku wymiany, choć same aplikacje chodzą z podobną wydajnością.

    Jak przez te 13lat ulepszania, łatania xp nadal są dziury?

    Odpowiedz
    • Amadeuszx: no właśnie, na 7 zależy ile masz dodatkowych appek zainstalowanych w OS / ile żrą ram-u. Zobacz np.: http://www.pcmag.com/article2/0,2817,2355703,00.asp Czasem XP potrafi być szybszy ale czasem też wolniejszy.

      Co do 13 lat – masa kodu Windowsów jest taka sama – czy to XP/Vista/7/8 – więc jakiś bug w 8-ce – reverse engineering patcha i masz gotowego buga / exploita na XP.

      Odpowiedz
      • Amadeuszx

        Wg tego tekstu to 7 totalnie roznosi XP w obsłudze JavaScriptu a w pozostałych różnice nie są duże.

        Najbardziej do przesiadki z XP mobilizuje brak sterowników dla nowego sprzętu. A największy problem mają firmy istniejące długo na rynku, małe i od początku oparte na jednym programie księgowym/magazynowym/itp… Ale jak to mówi przysłowie: nawet papier toaletowy wie, że, aby żyć trzeba się rozwijać :-)

        Odpowiedz
        • Z tymi starymi programami księgowymi to racja (patrz też odwołanie w tekście do DBASE III). Ale niektórzy z powodzeniem jadą na Win 7/8 i na emulatorze DOS-a.

          Odpowiedz
  5. blinkin

    Można by jeszcze wspomnieć o migracji do … Visty.
    Nie wiem czy pamiętacie ale przez długi czas można było kupić nowe kompy z licencją na Vistę oraz downgradem do XP (co prawie wszyscy robili). Teraz możnaby wrócić do Visty prawie bez kosztów dodatkowych.

    Odpowiedz
    • Nalepka

      Tylko chyba jest problem z kluczami produktu. Nalepki licencyjne Visty były tak wykonane by po maksymalnie roku używania laptopa klucz ścierał się (nalepki od XP są czytelne po 10 latach). Gdy zrobiłeś downgrade do XP to działał on na innym kluczu, który nie pasuje już do Visty :-). Jednak pomyśleli o wszystkim.

      Odpowiedz
      • sandalarz

        hehehe śmiali się jak spisywałem seriale windowsów do excela.
        BTW. coraz gorsze te naklejki. Jak kupuje laptopa i dokupuje system to naklejke daje pod baterią bo za chwile niema co z niej zbierać

        Odpowiedz
  6. rs2000

    Kupiłem juz dawno org win XP. Szanujaca sie firma powinna raczej wymienic bezplatnie system na nowy. Ci zas już podaja date końca wsparcia dla Win8.

    Odpowiedz
  7. Amadeuszx

    A może by tak MS upublicznił kod źródłowy XP, żeby społeczność fanów tego systemu mogła sama łaty wydawać :-)
    Skoro Vista, 7, 8 są takie rewolucyjne i tak bardzo bezpieczniejsze niż XP to nic złego im się nie stanie, prawda?

    Odpowiedz
  8. Kriss

    Microsoft powinien zorganizować promocję na Win8.1 – dla użytkowników XP. Cena 515 zł nie zachęca do przesiadki.

    Odpowiedz
  9. Niezorientowana

    A ja mam pytanie takie – a jak sie przeniose na viste???? da to cos? moj komp to scaleo600 wiec szalu nie ma ale dziala ok na XP – i co teraz??

    Odpowiedz
    • bl4de

      Jak już koniecznie musisz pozostać przy Windows – olej Vistę i przejdź od razu na 7-kę.

      Odpowiedz
  10. Beata

    A ja nie chcę nic zmieniać dlaczego ktoś mnie do tego zmusza.Chcę zostać przy starym systemie .Nienawidzę ich za to

    Odpowiedz
    • No dla *masy* użytkowników XP-ka jest to bardzo niefajna sprawa. Choć do zmiany nikt nie zmusza ;-) W sensie aktualizacja jest dobrowolna ;-)

      Odpowiedz
  11. Beata

    Tak ,masz racje ,ale…. nie muszę zmieniać choć ze wszystkich stron jestem powiadamiana ,że mój system już nie będzie działa tak jak należy ,w szczególności nie będzie odporny na nowe wirusy ponieważ firma ,która go stworzyła teraz celowo się na niego wypięła ,by ci ,którym ten system pasuje i wcale nie czuja potrzebę zmiany go na nowszy (co wcale nie znaczy lepszy)musieli go zmienić. Jedyne.Jedyne co w tej chwili zrobiłam to zapłaciłam 29 zł za jakąś lepszą wersje avasta miesiąc temu zamówiłam po promocyjnej cenie ,ale nie wykupiłam a teraz zapłaciłam i mam nadzieję ,że będę jeszcze jakiś czas chroniona.Lecz zgodnie z przewidywaniami i manipulacjami Microsoftu muszę zacząć myśleć o wymianie systemu na 7 ,którą kupiłam z licencją kilka lat temu ale z premedytacją nie zainstalowałam bo wolę to co mam .Przeinstalowanie systemu będzie dla mnie nie tylko kosztowne ale i bardzo kłopotliwe ,bo nie mogę stracić nic z tego co mam w tej chwili na kompie.ma ktoś pomysł jak to zrobić.

    Odpowiedz
    • Polecam uzywać do tego chrome (jest wsparcie dla XP jeszcze przez rok). Docelowo najlepiej spróbuj przejść na Linuksa. A jak nie da rady – to trzeba się przyzwyczaić do zapłacenia kilku stów Microsoftowi raz na parę lat…

      Odpowiedz
  12. Beata

    tak naprawdę nie chodzi mi o kilka stów bo 7 mam z licencją bardziej martwi mnie to ,że wymiana systemu łaczy się ze skasowaniem całego kompa (znaczy przeniesieniem go gdze indziej i potem z powrotem instalacja wszystkiego o dnowa ) dobrze mysle ??

    Odpowiedz
  13. pisso6

    To już jest koniec…
    Możemy iść .

    Odpowiedz
  14. Beata

    a tak przy okazji może nie na temat ale myślę ,ze możecie pomóc.Avast wyprodukował jakis certyfikat ssl to jest plik mail shield zapisałam go .avast każe mi go zimportowac do klienta outlook.Nie wiem jak to zrobic może ktoś krok po kroku ,nie moge nigdzie znaleźć jak to zrobic ,pewnie dwa proste kliki .poczty mi nie puszcza .Dzięki

    Odpowiedz
  15. Hubert

    Powiem tak: sam siedzę na Debianie Jessie z KDE.Windows XP był i jest bardzo fajny,ale linuxa nie zastąpi.Po kilku miesiącach się zapycha.Robi się rozlazły-zwłaszcza po poprawkach.Poprawki w większości zamiast przyspieszyć system,bardzo go zwalniają.I to nie tylko Windows XP.Mówię tu o nowych produktach MS.Mac nie mam bo drogi jest bardzo.Widziałem jednak maszynę w akcji.Dobry system.Co do aplikacji do Windows.Są,owszem.Dużo gier,dużo softu: płatnego,bezpłatnego.Ale system jest bardzo słaby jeśli chodzi o zagrożenia Internetowe.Dodatkowo ta fragmentacja rejestru,fragmentacja dysku-czyni go jeszcze wolniejszym.Poprawki sa rzadko wydawane-z tego co wiem,to jest to wtorek każdego miesiąca.Jeden dzień w miesiącu gdzie pojawiają się poprawki!W linuxie jakim by nie był każda dziura łatana jest expresowo.i co najważniejsze: skutecznie.Kiedy w Windows jedna poprawka potrafi zdestabilizować system,w linuxie tego nie ma.Nie ma programów inwigilujących takich jak PRISM,czy innego typu formy szpiegowania,wirusów,i innego syfu z Internetu.Tęsknie za XP,bo w sumie podobała mi sie tamta filozofia systemu.I schemat Luna był ładny:).Ale linux wygrywa,bo ten system ma duszę i nie narzuci swojej woli użytkownikowi jak systemy MS.Da sie ujarzmić,a ujarzmiony odpowiednio odpłaca sie niezawodnościa przez kilka dobrych lat.Windows po roku zwalnia,mimo,że są osoby które wiele na dysku nie mają bo nie potrzebują.Zwalnia po prostu,sam z niczego.Linux nie-nawet po 10 latach działa tak samo jak świeżo po instalacji.Mam tylko do niektórych firm żal,że pieniądze przysłaniają niektóre dobre cele.Linux to standard,bezpieczeństwo,dojrzałość.Windows to system wciskany na siłę tam gdzie się tylko da.Reklamowany,dzieci uczą sie tylko jednego systemu operacyjnego do użytku.Stagnacja nauczania jest niepokojąca.

    Odpowiedz

Odpowiedz