[English]ACROS Security bietet Administratoren von Systemen mit Windows 7 SP1 oder Windows Server 2008/R2 einen kostenlosen Probemonat für 0patch-Abonnements. Hier ein paar Informationen zu diesem Angebot und zu meinem Plänen für das Windows 7 Life-Extension-Projekt hier im Blog.
Das Windows 7 Life-Extension-Projekt
Mit dem Supportende von Windows 7 SP1 habe ich mir überlegt, so etwas wie ein ‘Windows 7 Life Extension’-Projekt, kurz W7LEP (Dinge brauchen klingenden Namen), hier im Blog aufzulegen. Sprich: Ich blogge über Möglichkeiten und Ansätze, um Windows 7 (und Windows Server 2008/R2) weiterhin abgesichert zu betreiben.
Meine Artikelreihe zum ESU-Programm von Microsoft zur Supportverlängerung von Windows 7 SP1 (und Windows Server 2008/R2) in Firmen ist ein Baustein dieses Projekts. Aber da sind Privatanwender mit Windows 7 Home außen vor. Die können aber vom 0patch-Ansatz profitieren.
Und nicht jeder Anwender wird eine ESU-Lizenz buchen wollen oder können. Mit diesem Beitrag möchte ich auch ein Versprechen einlösen, was ich hier gegeben habe. Ich möchte hier im Blog in loser Folge über einen alternativen Ansatz von 0patch zum Absichern von Windows gegen Sicherheitslücken schreiben.
Anmerkung: Die Abwägung, wer wo was nutzt, ob das im Business-Bereich gangbar ist etc. trifft jeder selbst – werde dazu noch gesondert was schreiben. Ich lege im Maschinenraum hier nur die Blaupause offen, nach der vorgegangen werden könnte.
Worum geht es genau?
Zum 14. Januar 2020 haben Windows 7 SP1 und Windows Server 2008/R2 ja das geplante Supportende erreicht. Unternehmenskunden können zwar das kostenpflichtige ESU-Programm buchen, um maximal bis 2023 Sicherheitsupdates zu bekommen. Aber das steht für Kleinstkunden nur für Windows 7 SP1 Professional, Ultimate und Enterprise zur Verfügung. Bei Windows Server 2008/R2 geht ESU m.W. nur mit Volumenlizenzen.
Zum Thema ESU-Supportverlängerung hatte ich hier im Blog ja einige Artikel, in denen ich das Thema aufbereitet habe (siehe Artikelende). Aber nicht jeder Administrator wird sich eine ESU-Lizenz gönnen bzw. bei einem Windows Server 2008/R2 sieht es eher mau aus, man bekommt als Kleinstunternehmen die ESU-Lizenz praktisch nicht.
Aber es gibt wohl eine Alternative, die ich bereits im Blog-Beitrag Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende beschrieben habe. Das Team von ACROS Security entwickelt bei 0patch sogenannte Micropatches, um Schwachstellen zu schließen. 0patch hat angekündigt, dass man nach dem Supportende von Windows 7/Server 2008 Sicherheitsfixes für Windows 7 SP1 und Windows Server 2008/R2 bereitstellen werde.
0patch plant dazu, die von Microsoft herausgegebenen ESU-Updates und Informationen zur Entwicklung eigenen Fixes heranzuziehen. Sobald ein Micropatch bereitsteht, wird dieser über den 0patch-Agenten an die betreffenden Maschinen verteilt.
Das ist der zweite Ansatz, den ich im Rahmen meines W7LE-Projekts herausgreifen und nach Möglichkeit verfolgen möchte. Weitere Ideen, die mir im Kopf herumgehen: Windows 7 selbst härten – und natürlich ein altes Thema ‚MinWin‘ als Basis für Mini-VMs zur Anwendungsvirtualisierung. Keine Ahnung, wie viel ich davon realisieren kann – Ideen habe ich viele, aber die Zeit.
Die 0patch-Modelle
Um die oben erwähnten Mikropatches von 0patch zu bekommen, wird einmal ein Benutzerkonto beim Anbieter benötigt. Dieser bietet dabei verschiedene Modelle für unterschiedliche Benutzergruppen an.
(0patch pricing plan)
Privatnutzer und non-Profit-Bildungseinrichtungen können das Gratisangebot wählen. Dort gibt es nur Micropatches für wirklich kritische Sicherheitslücken, die die gesamte Windows-Landschaft gefährden.
Geschäftskunden benötigten dagegen ein Abo für die Pro- oder Enterprise-Variante und bekommen dafür Micropatches für alle von Microsoft im ESU-Programm gefixten Schwachstellen. Das Pro-Abo ist mit 22,95 Euro + MwSt sehr viel günstiger als die ESU-Variante von Microsoft, die inzwischen Brutto um die 100 Euro liegt. Und für einen Windows Server bekommt man als Administrator womöglich an keine ESU-Lizenz.
Das Enterprise-Abonnement ermöglicht einen frühen Zugriff auf Funktionen zur zentralen Verwaltung ganzer Windows-Flotten und soll professionelle Funktionen bieten. Genaue Details könnt ihr bei Interesse auf der 0patch-Seite nachlesen.
Meine geplanten Aktivitäten in Sachen 0patch
Für Privatnutzer plane ich hier im Blog in unregelmäßigen Abständen, und wenn was kritischen ansteht, über 0patch und die Micropatches zu berichten. Parallel dazu habe ich mit dem CEO von ACROS Security klar gemacht, dass ich von 0patch zum Testen ein Pro – und (falls es für mich Sinn macht, hatte noch keine Zeit, das mit denen im Detail zu diskutieren) auch ein Enterprise-Abo – bekomme. Damit kann ich hier über deren Patch-Agenten und die eintreffenden Micropatches berichten.
Parallel dazu suche ich noch einen Administrator mit einem Windows Server 2008 R2-System, der Interesse an einem Pro-Abonnement für 2020 hat. Ich habe die Zusage von ACROS Security, dass die betreffende Person ein kostenloses Pro-Abonnement bekommt. Im Gegenzug erwarte ich, dass ich mit Rückmeldungen, was gut läuft, was zu verbessern wäre und was nicht funktioniert, versorgt werde. Bei Interesse schickt mir eine kurze Mail (E-Mail steht ja im Impressum des Blogs). Bitte antwortet aber nur, wenn ihr das auch wirklich durchziehen könnt.
Natürlich können alle Nutzer des 0patch-Agenten Kommentare und Feedback zu den Artikeln hier im Blog geben. Ich habe die Idee, das zu sammeln und offene Fragen sowie Probleme direkt mit dem 0patch-Team zu diskutieren. So profitieren alle davon und ich kann vielleicht einiges über meine Blog-Beiträge (er-)klären.
Zum Blog-Beitrag Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende haben sich bereits ganz interessante Benutzerkommentare ergeben. Parallel dazu habe ich hier schon einige Hinweise zum 0patch-Agenten im Blog-Beitrag 0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674 gegeben. Die Leute haben nämlich einen Fix für die IE 0-day-Schwachstelle herausgebracht, bevor Microsoft patcht.
Es gibt einen Probemonat bei 0patch
Und jetzt gibt es den Nachbrenner in Form eines Angebots. Der Anbieter 0patch möchte allen Administratoren im Business-Umfeld, die noch nicht wissen, ob die eventuell ESU-Lizenzen kaufen oder auf die 0patch-Mikropatches setzen wollen, die Entscheidung erleichtern.
Deciding between 0patch and Extended Security Updates for your Windows 7 and Server 2008 R2 computers? We’ll give you a one-month free trial for your entire Windows fleet so you can test us.
If you don’t like what you get, you can still go with ESU.
Email sales@0patch.com pic.twitter.com/nDTCAOFrHp
— 0patch (@0patch) January 29, 2020
Der Anbieter offeriert in obigem Tweet einen kostenlosen Probemonat, um die gesamte Windows-Flotte mit 0patch-Mikropatches abzusichern. Dazu genügt eine Mail an deren Vertrieb. Falls Administratoren hier unter den Lesern sind, die mit dem Gedanken spielen, 0patch-Pro statt ESU zu wählen, das könnte eine gute Gelegenheit sein, die ohne Kosten auf die Probe zu stellen.
Ähnliche Artikel:
Windows 7 kriegt Extended Support bis Januar 2023
Windows 7: Extended Security Updates buchbar ab April 2019
Microsoft weitet Windows 7 Extended-Support auf KMUs aus
Windows 7: Preise für Extended Security Updates bis 2023
Windows 7: Office 365 ProPlus Update-Verlängerung bis 2023
Windows 7 Extended Security Updates (ESU) Anforderungen
Start des Windows 7 Extended Security Update (ESU) Program
Windows 7: ESU-Supportverlängerung bestellbar, Preis und Bezugsquelle für KMUs
Windows 7: ESU-Lizenz kaufen und verwalten – Teil 1
Windows 7: ESU vorbereiten und Lizenz aktivieren – Teil 2
Windows 7: ESU-Aktivierung im Enterprise-Umfeld – Teil 3
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
So wie geschrieben gefällt mir der Artikel sehr gut (immer diese Abwägung mit den Verbraucherinformationen ;-)).
Was mir dazu einfällt: Was ist mit den KMUs mit SBS 2011? Gibt es für die ein spezielles Angebot oder „nur“ entsprechend 2008R2SP1? (insbesonders weil dort noch Exchange und Sharepoint obendrauf gepackt wird)
Es ging dir um Exchange und Sharepoint? Denn der zugrunde liegende Windows Server 2008 R2 SP1 würde ja abgedeckt? Und Exchange/Sharepoint 2010 sollten doch noch bis Oktober 2020 Patches bekommen? Oder habe ich was falsch verstanden?
Ich kann mal nachfragen.
Die Dinge kommen ins Rollen – ich habe von Mitja Kolsek gerade eine Rückmeldung bekommen. Auf Grund meiner Berichterstattung und der konkreten Nachfrage ist heute der Artikel Will Post-EOS Windows Server 2008 patches also apply to Small Business Server 2011? erschienen. Ist in Englisch, beantwortet aber einige Fragen.
Genau, das Gesamtkonstrukt mit Ex/SP inkl. den „Specials“. Vielen Dank für deinen Einsatz.
Wobei dann auch noch spannend wäre, ob die Microsoft-Support-Verlängerung auch für SBS käuflich ist (den gabs soweit ich weiß auch als VL) und vollumfänglich gilt oder auch da Ausnahmen für Ex/SP drinstehen.
Hab keinen SBS im Einsatz, bin nur neugierig :-)
interessant fuer den kmu-bereich duerfte auch die frage nach der rechtssicherheit sein, d.h. ob 0patch als stand-der-technik-konform bewertet wird oder ob hier moeglicherweise teure folgerisiken lauern.
TAGESSCHAU (13.01.2020):
„Unternehmen und Behörden gehen beim weiteren Einsatz von Windows-7-Rechnern nicht nur ein höheres Risiko ein, weil dies Cyberangriffe erleichtert. Sie verstoßen nach ESET-Einschätzungen auch gegen die europäische Datenschutz-Grundverordnung (DSGVO). Die EU-Richtlinie verlangt, bei der Verarbeitung sowie Nutzung personenbezogener Daten den ‚Stand der Technik‘ einzuhalten.“
Die Frage beantwortet bitte jeder selbst für seinen Bereich. Auf eine ESET-Einschätzung – deren Pressemitteilung wurde von DPA verteilt (lag mir über heise für meine Artikel vor) – würde ich mich persönlich nicht verlassen. Ich hatte ja hier im Blog auch das Prüfschema für Windows 10 der Deutschen Datenschutzkonferenz thematisiert – und deren Einschätzung ‚Windows 10 ist nicht DSGVO-konform einsetzbar‘ wiedergegeben.
Ansonsten sucht in obigem Text nach dem Wort ‚Blaupause‘ …
… am Ende des Tages bleibt euch nur noch Linux … ;-)
nichtsdestotrotz ist die frage fuer kmus relevant und angemessen.
Art. 32 (1) DSGVO:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…
…benutze 0patch momentan auch,
das problem ist, das das programm 5 patches findet (free version),
ich diese aber nicht „patchen/updaten“ kann!? (keine möglichkeit zu sagen: „patch it“)
das einzige was 0patch macht, er „patcht“ ohne nachfrage eine avira anwendung im hintergrund / mache ich was falsch oder übersehe ich etwas? (habe das alles schon zig mal durchgeschaut / bei den einstellungen etc.)
Ich habe den Agenten hier mitlaufen – abseits eines einmaligen Absturzes der Oberfläche und dem log-Thema: Die stellen, nach meiner Beobachtung, alle Patches, die passen können, aber von MS nicht per Update gefixt sind, bereit. Bei Bedarf wird dann der Patch angewandt. Wir hatten aber mal drüber einen Austausch – bin nur noch nicht dazu gekommen, die Fragen zu sammeln und an Mitja Kolsek zu schicken.
Ich denke, das ist der springende Punkt: „Bei Bedarf wird … der Patch angewandt.“ 0Patch ist ein anderer Ansatz als das klassische Updaten von Microsoft. Bei Microsoft gibt es ein einmaliges „Patch it“ (in lokal gespeicherten Dateien), bei 0Patch ist das Patchen prozessual und erfolgt im Arbeitsspeicher, je nach Bedarf:
„Im Gegensatz zu herkömmlichen Patches / Updates, die Sie manuell herunterladen und anwenden, werden 0patch-Micropatches automatisch heruntergeladen und angewendet. Sie werden im Arbeitsspeicher auf Prozesse angewendet, die auf Ihrem Computer ausgeführt werden. Während also ein traditioneller Patch nur einmal auf eine Datei angewendet wird, kann ein Micropatch hunderte Male auf verschiedene ausgeführte Prozesse angewendet werden.“ (https://0patch.zendesk.com/hc/en-us/articles/360011454640-How-do-I-install-apply-micropatches-when-they-re-downloaded-)
Hallo,
folgendes habe ich im Firefox Forum gefunden nachdem es mir nicht möglich war auf Version 73 upzudaten:
https://www.camp-firefox.de/forum/thema/130013-unvertr%C3%A4glichkeit-von-ff-73-und-0patch/
Da wird auch auf folgende Seite hingewiesen:
https://0patch.zendesk.com/hc/en-us/articles/360011227079-Mozilla-Firefox-73-can-crash-upon-launching-when-0patch-Agent-is-installed
Ich kriege jedesmal eine Fehlermeldung (das System kann den angegebenen Pfad nicht finden) wenn ich den Text in die Eingabeaufforderung stelle. Heißt das jetzt das 0Patch nicht mehr läuft? Ich habe die Pro Version gekauft.
Wenn ich mit der Maus über den Traybutton fahre kriege ich die Anzeige ‚Everything is ok‘.
@Robert
Das Firefox-Problem wurde mit dem Release von FF 73.0.1 gelöst. Günter hat darüber berichtet. – Der Workaround selbst bezog sich auf die Registry, die man entsprechend edieren musste, damit FF wieder läuft. Dafür verwendet man den Registrierungs-Editor (kann man übers Startmenü mit „regedit.exe“ aufrufen). Der Workaround hat sich aber zum Glück erledigt …