Login Consultants
Risico beperkende maatregelen bij Windows XP na 8 april 2014 White paper
Risico beperkende maatregelen bij Windows XP na 8 april 2014
Leeswijzer Dit document geeft een beeld van de maatregelen die een organisatie kan nemen indien na 8 april 2014 Windows XP nog steeds in gebruik is als besturingssysteem op de werkplekken. Login Consultants blijft klanten dringend adviseren om zo snel mogelijk te migreren naar Windows 7 of 8. Noch dit document, noch Login Consultants wil bedrijven aanmoedigen om Windows XP te blijven gebruiken na 8 april 2014. Het document beschrijft de eventuele maatregelen die genomen kunnen worden om de tijd te overbruggen indien de migratie naar een nieuw Windows platform voor die datum (nog) niet voltooid of haalbaar is. Welke maatregel het beste past hangt af van de specifieke klantsituatie en kan mogelijk ook bestaan uit een combinatie van verschillende aanpassingen uit dit document. De voorgestelde maatregelen komen voort uit de jarenlange en rijke ervaring van onze specialisten bij de klant.
Wat houdt “Windows XP - End of Support” in? Na 8 april 2014 stopt de technische ondersteuning voor Windows XP en stoppen ook de automatische updates die de pc helpen beschermen. Een versie van Windows die niet meer wordt ondersteund, krijgt geen software-updates meer via Windows Update. Dit zijn onder meer beveiligingsupdates die uw computer kunnen beschermen tegen virussen, spyware en andere schadelijke software, waarmee anderen uw persoonlijke gegevens kunnen stelen. Windows Update installeert daarnaast de meeste recente software-updates om de betrouwbaarheid van Windows te verbeteren, waaronder nieuwe stuurprogramma's voor uw hardware. Als u Windows XP blijft gebruiken, zal de pc kwetsbaar worden voor beveiligingsrisico's en virussen. Bij een nieuwe ontdekking van een zwakheid in het huidige Windows besturingssysteem (zoals Windows 7/8), kan men er vanuit gaan dat deze zwakheden geregeld ook in Windows XP zitten. Microsoft zorgt alleen dat voor Windows 7 en 8 deze fouten worden gerepareerd. Nieuwe laptops en desktops die worden aangeschaft kunnen mogelijk problemen hebben om de juiste drivers te laden omdat deze Windows XP drivers niet meer gemaakt worden. Maar…. Windows XP blijft na 8 april 2014 wel gewoon werken; het is niet zo dat de computer niet meer opstart of niet meer bruikbaar wordt.
Algemene richtlijnen bij gebruik na 8 april 2014 Om een computer met Windows XP ook na april 2014 veilig te kunnen gebruiken, is het belangrijk om verbindingen met de buitenwereld tot een minimum te beperken. Idealiter betekent dit dat deze computer geen verbinding heeft met het internet, niet verbonden is met het kantoornetwerk en dat er geen externe media zoals USB-sticks in worden geplaatst. Is het toch nodig de computer met het kantoornetwerk of het internet te verbinden, gebruik deze verbinding dan alleen voor de strikt noodzakelijke handelingen.
Installeer updates voor geïnstalleerde software als deze beschikbaar zijn. Windows Update werkt nog wel, maar er komen geen nieuwe updates bij.
Schakel alle niet-noodzakelijke netwerkservices op de computer uit.
Monitor de netwerkverbinding actief met een IDS of IPS (Intrusion Detection/Prevention System).
Is het gebruik van externe media zoals USB-sticks noodzakelijk, formatteer deze dan voor gebruik op een vertrouwde (andere) computer.
Versie 14 januari 2014
1
Risico beperkende maatregelen bij Windows XP na 8 april 2014
Scan gebruikte externe media ook regelmatig, bijvoorbeeld voor elk gebruik, op virussen met een vertrouwde (andere) computer.
De risico beperkende maatregelen De volgende extra maatregelen kunnen de risico’s van het gebruik van Windows XP verlagen:
deelname aan het Custom Support program;
installeren van Google Chrome;
afnemen van administratieve rechten op het werkstation;
activeren van de Windows Firewall;
mandatory profile gebruiken in plaats van local of roaming profile;
virusscanner gebruiken met malware detectie;
inzetten van extra beveiliging binnen de User Environment Management tool;
applicatie sandboxing;
Software Restriction Policies aanzetten;
DEP activeren op Windows XP;
pagefile leegmaken bij shutdown;
hosts en LMHOSTS files bewaken;
inzetten van de Microsoft Enhanced Mitigation Experience Toolkit.
Deelname aan het Custom Support program De meest eenvoudige oplossing voor het verminderen van de risico’s is het deelnemen aan het Microsoft Custom Support program. Dit is een relatief duur supportcontract, zeker voor grotere organisaties, omdat er een bedrag per werkstation betaald moet worden voor het verkrijgen van fixes en updates. De kosten voor het eerste jaar liggen rond de 200 dollar per Windows XP werkstation. Zo’n contract kan via de accountmanager van Microsoft worden afgesloten.
Risicobeperking:
Goed
Kosten:
Hoog
Realisatie:
Snel
Impact op IT:
Laag
Installeren van Google Chrome De meeste bedreigingen voor Windows XP zijn gericht op Internet Explorer. Door Internet Explorer niet meer te gebruiken, maar Google Chrome, worden deze kwetsbaarheden omzeilt. Google heeft aangegeven Chrome voorlopig nog te blijven ondersteunen op Windows XP waardoor nieuw ontdekte kwetsbaarheden in Chrome opgelost gaan worden. Het is dan wel van belang het gebruik van Internet Explorer te blokkeren of alleen toe te staan naar een specifieke intranet site indien er nog een business applicatie is die alleen op de oude versie van Internet Explorer werkt.
Versie 14 januari 2014
2
Risico beperkende maatregelen bij Windows XP na 8 april 2014
Risicobeperking:
Hoog
Kosten:
Laag
Realisatie:
Snel
Impact op IT:
Laag
Afnemen van administratieve rechten op het werkstation Door de reguliere gebruiker van het Windows XP werkstation de administratieve rechten (local admin) af te nemen, reduceert het risico dat kwaadwillende software wordt geïnstalleerd op de machine. Deze maatregel helpt niet indien er software wordt geïnstalleerd door gebruik te maken van een ‘gat’ in de beveiliging.
Risicobeperking:
Gemiddeld
Kosten:
Laag
Realisatie:
Snel
Impact op IT:
Laag (Het gaat alleen om applicaties die administratieve rechten nodig
hebben om te gebruiken)
Activeren van de Windows Firewall Door het activeren (of aanscherpen) van de lokale firewall op Windows XP kan worden ingesteld dat andere werkstations (vaak in een specifiek subnet) geen contact kunnen leggen met elkaar. Hiermee wordt voorkomen dat malware of virussen zich verder kunnen verspreiden naar andere Windows XP werkstations in het lokale netwerk. Ook kan netwerkverkeer uit andere subnets geblokkeerd worden om andere besmette componenten geen kans te geven gebruik te maken van een zwakheid van Windows XP. Het activeren van de Windows Firewall kan op afstand gebeuren middels policies, maar dit dient goed getest te worden in verband met de werking van bedrijfsapplicaties die op het werkstation draaien.
Risicobeperking:
Gemiddeld
Kosten:
Laag
Realisatie:
Gemiddeld
Impact op IT:
Gemiddeld (Hoog bij een complex netwerk of een grote diversiteit aan
applicaties)
Mandatory profile gebruiken in plaats van local of roaming profile Eén van de manieren waarop malware zich kan nestelen, is door zich te installeren in het profiel van de gebruiker. Met roaming profiles verhuist het kwaadwillende programma steeds met de gebruiker mee naar alle werkstations waarop deze aanlogt. Voor het installeren van malware in een profiel zijn geen administratieve rechten nodig, omdat de gebruiker volledige rechten heeft op deze bestanden. Bij een local profile blijft de mogelijkheid tot nestelen van malware nog steeds bestaan. Alleen blijft de infectie beperkt tot het lokale werkstation. Een mandatory profile is een read-only profiel waarbij de wijzigingen die de gebruiker (of de malware) maakt, verloren gaan bij het afmelden. Om gebruikersinstellingen ook bij gebruik van een mandatory profile te kunnen vasthouden, wordt vaak tegelijk een profielvirtualisatietool geïmplementeerd.
Versie 14 januari 2014
3
Risico beperkende maatregelen bij Windows XP na 8 april 2014
Risicobeperking:
Gemiddeld
Kosten:
Gemiddeld
Realisatie:
Gemiddeld
Impact op IT:
Hoog
Virusscanner gebruiken met malware detectie De meeste virusscanners van grote merken hebben naast de virusdetectie ook modules die malware detecteren. Na 8 april 2014 blijven deze virusscanners ook updates ontvangen voor nieuwe virussen en malware. Sommige leveranciers zoals Symantec Endpoint Protection gaan nog een stap verder door ook te beschermen tegen onbekende bedreigingen door bepaald gedrag als verdacht aan te merken.
Risicobeperking:
Hoog
Kosten:
Gemiddeld (Hoog indien het product op dit moment niet is aangeschaft)
Realisatie:
Gemiddeld
Impact op IT:
Gemiddeld
Inzetten van extra beveiliging binnen User Environment management tool Wanneer er al gebruik gemaakt wordt van bijvoorbeeld AppSense of RES Powerfuse, kan er met additionele software uit de suite extra beveiliging worden toegepast op applicatie- en/of OS-niveau. Bij AppSense kan gebruik worden gemaakt van Application Manager en bij Powerfuse heet deze module AppGuard.
Risicobeperking:
Gemiddeld
Kosten:
Gemiddeld (Hoog indien het product op dit moment niet is aangeschaft)
Realisatie:
Complex
Impact op IT:
Hoog
Applicatie sandboxing Door applicaties te sandboxen, worden applicaties van elkaar gescheiden en kunnen ze elkaar niet meer beïnvloeden of infecteren. Omdat met sandboxing de applicatie instellingen apart worden opgeslagen, kan deze goed samen gebruikt worden met de inzet van een mandatory profile. Het sandboxen van applicaties is het virtualiseren van de applicatie en is tijdsintensief.
Risicobeperking:
Gemiddeld
Kosten:
Hoog
Realisatie:
Gemiddeld
Impact op IT:
Hoog
Software Restriction Policies aanzetten Beheerders kunnen software restrictiebeleid gebruiken om software uit te voeren. Met een software restrictiebeleid kan een beheerder voorkomen dat ongewenste programma’s worden uitgevoerd. Het
Versie 14 januari 2014
4
Risico beperkende maatregelen bij Windows XP na 8 april 2014
is een redelijk intensieve inspanning om alle processen die mogen draaien te verzamelen en op te nemen in een policy. Tevens kan het onderhoud op deze lijst ook wat werk genereren. Deze maatregel is, wanneer goed uitgevoerd, een effectief middel om ongewenste programma’s buiten de deur te houden.
Risicobeperking:
Hoog
Kosten:
Laag
Realisatie:
Gemiddeld
Impact op IT:
Hoog
DEP activeren op Windows XP Preventie van gegevensuitvoering (DEP) is een beveiligingsonderdeel dat computerschade als gevolg van virussen en andere aanvallen kan helpen voorkomen. Windows kan worden aangevallen door schadelijke programma's die proberen programmacode uit te voeren vanaf systeemgeheugenlocaties die voor Windows en andere toegestane programma's zijn gereserveerd. Deze type aanvallen kunnen uw programma's en bestanden beschadigen. Met DEP wordt de computer beter beveiligd door te controleren of de programma's op veilige wijze gebruik maken van het systeemgeheugen. Als wordt geconstateerd dat een programma op de computer het geheugen op incorrecte wijze gebruikt, wordt dit programma gesloten en wordt de gebruiker op de hoogte gebracht.
Risicobeperking:
Gemiddeld
Kosten:
Laag
Realisatie:
Simpel
Impact op IT:
Gemiddeld
Pagefile leegmaken bij shutdown De pagefile van Windows XP is het verlengde van het geheugen van het werkstation. Het bevat delen van het geheugen van de gebruiker die deze tijdens zijn sessie gebruikt. Door manipulatie van de pagefile kunnen ongewenste stukjes programmacode ongemerkt worden uitgevoerd. Door de pagefile bij het afsluiten van het systeem steeds schoon te maken, verminderd de kans op nesteling van een ongewenst programma in dit bestand. Door deze maatregel duurt het afsluiten van het systeem iets langer dan de gebruiker gewend is.
Risicobeperking:
Laag
Kosten:
Laag
Realisatie:
Simpel
Impact op IT:
Laag
Hosts en LMHOSTS files bewaken De hosts en LMHosts file op een Windows machine wordt vaak gebruikt om netwerkverkeer te manipuleren of ongemerkt om te leiden. Normaal staan deze bestanden op read-only maar gebruikers kunnen zelf dit attribuut vaak wijzigen zodat het overschreven kan worden. Door de schrijfrechten op
Versie 14 januari 2014
5
Risico beperkende maatregelen bij Windows XP na 8 april 2014
NTFS-niveau te ontnemen voor iedereen (zelfs SYSTEM) kan voorkomen worden dat deze bestanden gehackt worden. Het monitoren op wijzigingen van de bestanden kan ook een effectieve maatregel zijn om onrechtmatigheden te detecteren.
Risicobeperking:
Gemiddeld
Kosten:
Laag
Realisatie:
Simpel
Impact op IT:
Laag
Inzetten van de Microsoft Enhanced Mitigation Experience Toolkit De Enhanced Mitigation Experience Toolkit (EMET) is een hulpprogramma om misbruik van beveiligingsproblemen in software te voorkomen. Dit doel wordt bereikt door het gebruik van risico beperkende beveiligingstechnologieën. Deze technologieën vormen beschermende obstakels die moeten worden overwonnen om misbruik te kunnen maken van beveiligingsproblemen in software. Deze risico beperkende beveiligingstechnologieën bieden geen garantie tegen misbruik van beveiligingsproblemen. Ze maken misbruik echter wel zo lastig mogelijk. Het
risico
bestaat
dat
toepassingen
niet
compatibel
zijn
met
de
risico
beperkende
beveiligingstechnologieën waarvan EMET gebruikmaakt. Sommige toepassingen zijn afhankelijk van het gedrag dat door deze technologieën wordt geblokkeerd. Het is daarom belangrijk EMET grondig op alle doelcomputers met testscenario's te testen voordat EMET in een productieomgeving geïmplementeerd wordt.
Risicobeperking:
Hoog
Kosten:
Laag
Realisatie:
Gemiddeld
Impact op IT:
Gemiddeld
Wilt u meer weten over welke risico beperkende maatregelen het beste in uw organisatie genomen kunnen worden, neem dan contact met ons op:
Login Consultants Nederland BV Telefoon: +31 20 342 02 80 Email:
[email protected]
Versie 14 januari 2014
6
