Windows 7 End of Life 14.1.2020

Ab dem 14.1.2020 sollten bis auf wenige begründete Ausnahmen keine Windows 7 Rechner mehr im CAU-Netz betrieben werden. Nach diesem Datum dauerhaft weiterbetriebene Windows 7 Rechner sollten effektiv vom Netzzugriff abgeschottet werden.
(Vgl. Rundschreiben der Kanzlerin der CAU vom 18.11.2019 an die Leitungen der Einrichtungen)

 

Inhaltsverzeichnis

 

Problem

Am 14. Januar 2020 beendete Microsoft den regulären Support für Windows 7. Der Hersteller wird für dieses Produkt keine (kostenfrei beziehbaren) Updates mehr herausgeben. Somit ist davon auszugehen, dass nun entdeckte Sicherheitslöcher in Windows 7 nicht mehr gestopft werden (Man beachte, dass die einschlägigen Datenbanken alleine für das vergangene Jahr 2019 250 neue Angreifbarkeiten von Windows 7 auflisteten). Es gibt nun keine Sicherheitspatches mehr. Obwohl man von den Antivirus-Herstellern in der Regel auch danach noch aktuelle Virensignaturen erhält, stellt das Support-Ende eine erhebliche Bedrohung der IT-Sicherheit der einzelnen Arbeitsplätze und des gesamten Campusnetzes dar. 

Hinweistext bei Rechnern mit Win7:

Nach dem 14.1.2020 im Universitätsnetz weiter betriebene (nicht isolierte) Windows 7 Rechner stellen ein erhebliches Risiko für das gesamte Campusnetz dar: Sie sind äußerst leicht angreifbar und bilden nach einem Angriff Ausgangspunkte für weitere Angriffe auf das Uninetz.

Handlungsbedarf

Einsetzer/Betreiber/Nutzer (insbes.) von Windows 7 müssen zeitnah einen Wechsel auf sicherere Softwareplattformen (z.B. Windows 10) bzw. Arbeitsumgebungen vollziehen.

Zur Unterstützung bei einem Wechsel von Windows 7 auf Windows 10 hat das RZ einen Laufzettel zur Win10 Umstellung erstellt.

Es kann einige wenige Konstellationen geben, in denen keine rasche Ablösung von Windows 7 möglich erscheint, z.B. in statischen Verknüpfungen von Experimentierhardware mit Windows 7. Derartige Konstellationen müssen zumindest vom allgemeinen Netz der CAU abgetrennt werden. Bei diesbezüglichem Unterstützungsbedarf steht z.B. die RZ-Netzgruppe zur Verfügung.

Varianten für die Ablösung von Windows 7

Hinsichtlich der Ablösung von Windows 7 gibt es zumindest die folgenden Varianten:

  • Aktualisierung des Betriebssystems auf dem vorhandenen PC, sofern die Systemvoraussetzungen das erlauben
  • Erneuerung der Arbeitsplatz-Hardware (PC), einhergehend mit einem Wechsel auf eine sichere Version eines Betriebssystems
    Beachten Sie bitte die teilweise deutlich erhöhen Lieferzeiten bei einigen Produkten der PC-/Notebook-Rahmenverträge der Universität und bestellen Sie rechtzeitig!
  • Soll am Arbeitsplatz weiterhin ein  üblicher PC zum Einsatz kommen (Alternative im nächsten Punkt), so stellt sich auch die Frage des Umstiegs auf ein anderes Betriebssystem, also der Abkehr von Windows z.B. zu einem Linux-artigen System (Bsp.: Ubuntu). Neben einigen anderen Fragen ist dabei zu berücksichtigen, ob die "verfügbare Beratungs-Umgebung" den dadurch entstehenden IT-Support-Bedarf decken kann. Im Laufe der Zeit hat sich in vielen Uni-Bereichen eine Windows-Dominanz entwickelt, die vom IT-Support gestützt werden musste und den Windows-Support vielerorts prävalent werden ließ. Zu beachten ist, dass auch Nicht-Windows-Betriebssysteme eine gewichtige End-of-Life-Thematik haben.
  • Wechsel auf ein betreuungsfreundlicheres und wartungsärmeres Konzept für IT-Arbeitsplätze, z.B. Umstieg auf die Nutzung von sog. Thin-Clients, die an zentrale Terminalserver angeschlossen sind.
     

Ist der/Ihr Arbeitsplatz-PC betroffen?

Auf Windows 7 PCs mit Privatanwenderversionen (Home, Ultimate,...) wird Ihnen beim Login nunmehr ein Hinweis auf das Support-Ende am 14.1.2020 angezeigt. Für Windows 7 Unternehmens-Versionen (Professional, Enterprise) scheint das (noch) nicht der Fall zu sein.
 
Prüfen Sie (ggfs.), ob Sie Windows 7 einsetzen. Dazu gibt es verschiedene Vorgehensweiseen. Beispielhaft sei die Handreichung von Heise online erwähnt:
 
 

Eignet sich der vorhandene Windows 7-Arbeitsplatz-PC für eine Aktualisierung?

Prüfen Sie, ob Ihre aktuelle Computerhardware für den Einsatz eines (zukunfts-)sichereren Betriebssystems geeignet ist. Dazu müssen die Systemanforderungen des angepeilten Betriebssystems herangezogen werden. Will man bei Microsoft Windows bleiben, so wird man früher oder später nicht um Windows 10 herumkommen. Die reguläre Microsoft-Unterstützung von Windows 8.1. ist bereits 2018 ausgelaufen, der "erweiterte" Support (aber mit reduziertem Support-Umfang) läuft noch bis Januar 2023. Vollen Microsoft-Support gibt es nur für aktuelle Versionen von Windows 10. Deshalb sollten Sie bei Vororientierung in Richtung Windows das Produkt Microsoft Windows 10 anvisieren.
 
Die Systemanforderungen für den Einsatz von Windows 10 findet man z.B. direkt bei Microsoft:
 
Hierbei handelt es sich jedoch um Mindest-anforderungen, die keinen flüssigen Einsatz in typischen Szenarien garantieren. Zum Vergleich: Viele IT-Admins raten derzeit zu einer Standardausstattung mit einer Intel i3-CPU, 8 GB Hauptspeicher und einer 256GB SSD als Festplattenspeicher.
 
Oft wird die Frage nach Eignung für eine Windows 10-Umstellung auch auf Basis des Gerätealters gestellt. Obwohl man hier keine allgemeingültige Antwort geben kann, lässt sich aus vorliegenden Umstellungsberichten eine weichere Grenze bei 5 Jahren und eine harte Grenze bei mehr als 7 Jahren festlegen. Beim Erreichen dieser Altersgrenzen gibt es teilweise erhebliche Probleme mit dem Einsatz von Hard- und Softwarekomponenten (Bsp.: Stichwort "Treiber"). Zu den möglichen und sinnvollen Maßnahmen zur Ertüchtigung von vorbestehender Hardware hört man aus Admin-Kreisen häufig den Umstieg auf das Speichermedium SSD als Ersatz für drehende Festplatten.
 
 

Lizenzrechtliches

Zur Nutzung von neueren Windowsversionen benötigen Sie eine Lizenz. Diese steht als Upgradeversion über den (Beitritt der CAU zum) Microsoft-Bundesvertrag für bezugsberechtigte CAU-Einrichtungen ohne weitere Kosten zur Verfügung. Die Anwendbarkeit auf einem PC erfordert jedoch eine dort vorvorhandene Basislizenz, die üblicherweise beim Neuerwerb eines PCs/Notebooks mitbeschafft wird. Ebenfalls möglich ist ein Lizenzerwerb direkt im Zusammenhang mit einer neuen Computerhardware, über den Hardware-Rahmenvertrag der CAU zur Computerbeschaffung.

Informationen dazu finden Sie unter:

 Microsoft Lizenzen
 Informationen zum Hardware-Rahmenvertrag schleswig-holsteinischer Hochschulen
Beachten Sie bitte die teilweise deutlich erhöhen Lieferzeiten bei einigen Produkten der PC-/Notebook-Rahmenverträge der Universität und bestellen Sie rechtzeitig!

Die wiederkehrende End-of-Life-Falle: Beschreibung und ein Ausweg

Software generell und Betriebssysteme wie Windows 7 speziell unterliegen einem Lebenszyklus ("Lifecycle"), der sich über eine Zeitspanne begrenzter Aktivität erstreckt. Am Ende dieses Lifecycle(s) erreicht die Software den End-of-Life- Zustand (EoL), in dem der Hersteller oder die Hersteller-Community keine Veränderungen, Verbesserungen, Patches, Sicherheitsupdates mehr bereitstellt. Eine allgemeine Beschreibung des Lebenszyklus von Windows findet man bei Microsoft.

Ein Weiterbetrieb der Software nach dem EoL-Zeitpunkt führt in der Regel zur Gefährdung der IT-Sicherheit der einsetzenden Organisation, da nachträglich gefundene Sicherheitslücken nicht mehr gestopft werden.

Am 14.1.2020 erreichte also Windows 7 den EoL-Zustand. Zuvor ist das z.B. auch schon mit Windows XP und Vista geschehen. Möglicherweise ist nicht jeder/jedem klar, dass es auch schon Windows 10-Versionen gibt, die "EoL gegangen sind". So sind Windows 10 Pro 1709 und Windows 10 Enterprise/Education 1607 im April 2019 ausgelaufen. Für Windows 10 werden fortlaufend (geplant jeweils Frühjahr und Herbst) Funktionsupdates herausgebracht, die für die Enterprise/Education-Versionen von Herbst-Updates einen Servicezeitraum von 30 Monaten haben sollen. Daneben gibt es auch sog. LTSB/LTSC-Versionen von Windows 10, die 10 Jahre lang Support erhalten. Allerdings soll Microsoft vom LTSB/LTSC-Einsatz in "normalen Arbeitsumgebungen" abraten (vgl Artikel von G.Born).

Es dürfte offensichtlich sein, dass sich die EoL-Problematik nicht auf Microsoft Windows beschränkt, sondern allgemeinerer Natur ist. Auch Apple-Betriebssysteme und die Linux(e) haben ihre EoL-Thematik.

Für viele Einsatzszenarien kann man die eigene Betroffenheit von der EoL-Falle durch Umstellung auf ein alternatives Konzept für die Arbeitsplatz-IT fast gänzlich eliminieren. Herkömmliche stationäre PCs ("Fat Clients"), die für typische Büroarbeiten eingesetzt werden lassen sich durch dünne "Thin-Clients" (TCs) ersetzen, die über das Rechnernetz an "dicke" (Terminal-)Server (TS) angeschlossen sind, auf denen die eigentliche Arbeit erledigt wird. Spezielle Software auf den TS sorgt dafür, dass die gleichzeitig auf dem Server arbeitenden Benutzer sauber voneinnander getrennt arbeiten können. Die TCs bestehen aus sehr wenig Hardware, ihre Aufgabe besteht lediglich in der Abwicklung der Ein-/Ausgabe mit dem Benutzer und dem Anbinden von mobilen Speichermedien (sofern aus IT-Sicherheitsgründen akzeptabel). Um die Pflege der verwendeten Software, insbes. auch um die EoL-Thematik kümmern sich die Betreiber der TS im Allgemeinen, im Falle der CAU das RZ.

An der CAU werden bereits seit langer Zeit TC/TS-Konfigurationen eingesetzt, so dass hier entsprechende Erfahrungen und grundlegende Infrastrukturen vorhanden sind. Die direkte Nachfrage aus den Einrichtungen war bisher eher verhalten, so dass daraus noch kein entsprechend buchbarer RZ-Dienst entwickelt wurde. Da es sich bei der TC/TS-Arbeitsweise jedoch um eine z.B. hinsichtlich der Dimensionen effektive Nutzung der CAU-IT und IT-Sicherheit äußerst attraktive Lösung für die Universität handelt, begrüßt das RZ entsprechende Anfragen von den CAU-Einrichtungen und erwägt eine passende Erweiterung des Dienstekatalogs. Wenden Sei sich bei Interesse gerne an pcsupport@rz.uni-kiel.de

Weitere Informationen, Tools usw.

Allgemeine Presse

 

IT-Fachpresse, Heise-Verlag (Teilweise kostenpflichtig)

 

Microsoft:

 

Tools

 

Sonstiges

 

Ansprechpartner/Kontakt/Unterstützung

 

Im Regelfall sollten Sie sich an die IT-Ansprechpartner Ihres Bereichs/Ihrer Einrichtung wenden.
Kontakt im RZ: Steht Ihnen kein dezentraler IT-Ansprechpartner zur Verfügung, können Sie sich auch an den  Helpdesks des Rechenzentrums wenden,  der im Rahmen der verfügbaren Ressourcen versuchen wird, Sie bei einem Wechsel zu unterstützen.
 

Credits

Für konstruktive Kommentare, Zusätze, Korrekturen, Hinweise geht ein Dank an: F.Albrecht/UV-IT.