Makers van 0Patch beloven nog tot januari 2025 ondersteuning voor Windows 7

Het team achter 0Patch gaat nog tot zeker begin 2025 onofficiële securitypatches aanleveren voor Windows 7 en Windows 2008 R2. De patches komen ook beschikbaar voor oude versies van Office.

De makers van patchmakers 0patch schrijven in een blogpost dat ze nog tot in ieder geval januari 2025 securityupdates blijven leveren voor de besturingssystemen Windows 7 en Windows Server 2008 R2. Die patches komen ook beschikbaar voor Office 2010. 0Patch brengt patches uit voor 'kritieke kwetsbaarheden waarvan de kans het grootste is dat ze worden uitgebuit'. Gebruikers kunnen die patches installeren vanuit 0Patch's eigen softwarepakket. 0Patch maakt onofficiële veiligheidspatches voor kwetsbaarheden buiten Microsoft en andere vendors om.

De officiële gratis beveiligingsondersteuning voor Windows 7 en Server 2008 is sinds 2020 stopgezet. Wel biedt Microsoft nog het betaalde Extended Security Updates aan, maar dat stopt in 2025. 0Patch werkte altijd al parallel aan die officiële ESU-ondersteuning, maar na 2025 wordt het daarin de enige partij. Bovendien zijn 0Patch-updates goedkoper; ze kosten 24,95 euro per jaar per apparaat. Vorig jaar repareerde 0Patch 52 kwetsbaarheden in de besturingssystemen.

De makers zeggen de software tot in ieder geval de verwachte einddatum te ondersteunen, maar dat kan ook verlengd worden als daar behoefte aan is. Ook beloven de makers in de toekomst Windows Server 2012 te ondersteunen. Daarvan eindigt de officiële ondersteuning volgend jaar.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-10-2022 15:13
57 • submitter: TheVivaldi

13-10-2022 • 15:13

57

Submitter: TheVivaldi

Lees meer

Windows 7-updates met 0patch

18 feb 2023

Windows 7-updates met 0patch

Oude patches, maar tegen welke prijs?

73
0Patch belooft tot 2025 ondersteuning voor Edge-browser op oude Windows-versies
0Patch belooft tot 2025 ondersteuning voor Edge-browser op oude Windows-versies Nieuws van 7 januari 2023
Google stopt ondersteuning Chrome op Windows 7 en Windows 8.1 in februari 2023
Google stopt ondersteuning Chrome op Windows 7 en Windows 8.1 in februari 2023 Nieuws van 25 oktober 2022
Ongepatchte bug in Windows blijkt ook local privilege escalation te zijn
Ongepatchte bug in Windows blijkt ook local privilege escalation te zijn Nieuws van 30 november 2021
Microsoft dicht 111 kwetsbaarheden tijdens Patch Tuesday
Microsoft dicht 111 kwetsbaarheden tijdens Patch Tuesday Nieuws van 13 mei 2020
Meer producten en artikelen
Besturingssystemen Beveiliging en antivirus Microsoft Windows 7 Patches

Reacties (57)

-Moderatie-faq
57
57
35
7
0
16
Wijzig sortering

Sorteer op:

Weergave:
loewie1984 13 oktober 2022 15:20
Een leuk verdienmodel voor dit bedrijf maar je hebt er naar mijn mening verder niets aan, maar loopt wel alle risico's.
1. het risico dat niet alle kwetsbaarheden worden afgedekt door deze firma
2. het risico dat er een malafide payload door hun geüpload wordt of het bedrijf zelf getarget wordt juist omdat zij deze dienst aanbieden
3. omdat je een unsupported OS draait kun je fluiten naar support bij Microsoft in geval van ondersteuning

Dus wie houd wie nu voor de gek. Beheerders die dit gebruiken moet een schop onder hun kont krijgen. Upgraden is het devies!
Single Core @loewie198413 oktober 2022 19:05
Je hebt 12 jaar geleden een applicatie laten ontwikkelen voor 25m EUR. Ontwikkeltijd was 2 jaar. Deze applicatie is geweldig en word gebruikt in uw bedrijf. Het bedrijf in kwestie is ondertussen niet meer actief om welke reden dan ook. Deze is gemaakt om te draaien op windows 7, maar je kan niet updaten naar 10 of 11 omdat er bepaalde functionaliteit wegvalt of deze instabiel is. Kostprijs om een overig bedrijf hier op in te werken en aanpassingen te doen om het werkende / stabiel te krijgen zijn groot en hier is momenteel geen budget voor beschikbaar.

Hoewel ik volledig akkoord ben met upgraden, heeft dit bedrijf nu een moeilijke keuze te maken. Een hoop windows 7 VMs maken en deze enkel toegankelijk maken via VPN en geen directe internet verbinding of een whitelist zou een mogelijk optie kunnen zijn en veel goedkoper dan de applicatie aan te passen.

Dit is de situatie van veel bedrijven waardoor het niet altijd een simpele keuze is.
loewie1984 @Single Core13 oktober 2022 20:23
Ben ik het niet mee eens, regeren is vooruitzien. Heel veel IT managers blijven hangen in de bestaande situatie en nemen dit soort situaties als gegeven en stoppen dan ook elke poging om op dit gebied te innoveren.

Het begint met een duidelijk plan of roadmap. Zo zou je als bedrijf een strategie kunnen hanteren waarbij je als doel stelt dat je alle bedrijfsapplicaties voor het jaar 2030 afneemt op basis van een SAAS dienst, of dat deze draaien op een HTML5 platform, of dat deze multi-factor authenticatie ondersteunen op basis van 3rd party identity en access management providers zoals AzureAD dat bijvoorbeeld is.

Vervolgens ga je toewerken naar dit doel door de applicaties een voor een door te lichten en in gesprek te gaan met leveranciers over de ontwikkeling van hun software. Daar waar dat niet kan omdat er geen ondersteuning meer is of de leverancier niet meer bestaat is het een keuze van het bedrijf en tevens een risico wat gedragen moet worden door het executief management dat de applicatie een keer kan omvallen of het OS waar de applicatie op draait niet meer wordt ondersteund.

Dit hangt zo nauw samen met PDCA, het ISO27001 framework van risico's in kaart brengen (dit is er een) en kijken tegen welke kosten en baten je risico's kan elimineren nadat je ze hebt geclassificeerd en geprioriteerd. Dus niets doen of niets kunnen doen is geen argument. En ik mag hopen dat je je investeringen op het gebied van software economisch gezien sneller afschrijft dan 12 jaar. 12 jaar niets doen is niet innoveren, 12 jaar niets doen is bezuinigen!
Darkstriker @loewie198414 oktober 2022 00:52
Theoretisch allemaal mooi, maar de praktijk heeft de neiging om veel weerbarstiger te zijn. Bovendien heb je dik kans dat de persoon die er nu verantwoordelijke voor is niks te maken had met het tot stand komen van die softwaresituatie en hoewel er misschien ooit werd gepland de software te vervangen is dat lang niet altijd mogelijk of nodig.

Bovendien is het verspillen van ontwikkeltijd aan het vervangen van goed werkende software omdat het OS geen beveiligingsupdates meer krijgt net zo goed verspilling als alle andere vormen. Het is dezelfde weggooi-mentaliteit waar we ook als geheel als samenleving van af moeten komen. Eigenlijk moeten we een soort right-to-repair voor software krijgen.
SSH @loewie198413 oktober 2022 23:10
Het is niet altijd zo makkelijk. Soms is data niet uit een systeem te krijgen, terwijl er wel een bewaarplicht op van toepassing is. Als het systeem (de applicatie) geen support meer heeft, dan heb je gewoon pech. Dan komen grote software boeren met maatwerk migraties die tonnen moeten kosten...
ThanosReXXX @loewie198414 oktober 2022 12:13
Mooi op paier, maar veel en veel te simpel gedacht. Een heel eenvoudig voorbeeld is als je een specifieke applicatie of omgeving gebruikt, die of niet ondersteund wordt door nieuwere versies van Windows, of die al helemaal ge-customized is om op jouw huidige versie te werken.

Dan ligt het er dus maar net aan hoeveel tijd en geld je hebt om dit op te lossen, en of jouw werkwijze en bedrijfsprocessen dermate verbonden zijn met die programma's die niet compatibel met nieuwere Windows versies zijn, waardoor het sowieso nog maar de vraag is of je wel aanpassen kàn, want dat betekent potentieel een nog veel grotere investering van tijd en geld om de hele boel om te zetten.

Een ander simpel voorbeeld is gemeentes en/of overheidsinstanties. Ik heb zelf vroeger bij Compaq/HP gewerkt, en ik heb ik weet niet hoeveel mensen bij de overheid gesproken, die zowel qua software als hardware echt ver achter lagen op de versies die ze destijds eigenlijk allang hadden moeten gebruiken.

Wat ik maar bedoel te zeggen is dat het lang niet altijd zo eenvoudig is als dat je maar vooruit moet plannen, zodat je altijd makkelijk aan kunt passen.
TBK001 @loewie198413 oktober 2022 15:25
Jij was net iets eerder met een reactie dan ik was. Ik ben met je eens, systemen wil je up-to-date houden. Helaas zijn sommige zaken afhankelijk van leveranciers die niet even goed met alles omgaan. Er zijn ook genoeg situaties waarbij de leverancier niet meer bestaat maar het product (een productiestraat b.v.) nog steeds gebruikt wordt. Dit zou een mooie tussenoplossing kunnen zijn om apparaten toch te patchen. Wellicht niet zo volledig als een nieuwe Windows versie ondersteund door Microsoft, maar beter dan het alternatief van niets doen. Ik ben benieuwd naar de kwaliteit.
Remzi1993 @TBK00113 oktober 2022 15:31
Dan zo veel mogelijk bepaalde applicaties virtualiseren. Ik begrijp niet dat men dat tegenwoordig niet doet. De hardware is in de laatste 10 jaar zo krachtig geworden dat dit gewoonweg een oplossing is geworden voor programma's die heel oud zijn en nooit meer worden bijgewerkt voor wat voor redenen dan ook.
Navi @Remzi199313 oktober 2022 15:34
En als het OS in een VM draait heb je de patches opeens niet meer nodig?
Remzi1993 @Navi13 oktober 2022 15:44
Je kan ook op applicatie niveau virtualiseren. En bij virtualisatie zorgt je ervoor dat een host en cliënt relatie zo dicht mogelijk is getimmerd en ook bij een host en app relatie. Ik vind alles geen goede oplossing maar dit is wel het beste vanuit pragmatisch oogpunt, beter dan op een oude besturingssysteem zitten.

[Reactie gewijzigd door Remzi1993 op 23 juli 2024 21:35]

orvintax @Remzi199313 oktober 2022 15:50
Maar het draait dan nog steeds op het oude OS toch? Wat is dan het nut?
Remzi1993 @orvintax13 oktober 2022 15:56
Je verklein de attack vector en je beveiliging is iets beter omdat je nog een laag onder hebt en een scheiding. Het enige nut is beveiliging.
lenwar
@Remzi199313 oktober 2022 16:10
Ja, maar :)
Als de applicatie redelijkerwijs te virtualiseren is, is de kans ook groot dat die applicatie op een nieuwer OS draait.

Applicatievirtualisatie is in de basis een goed idee voor bedrijfscritische applicaties waar veel instances van moeten draaien, maar in bijvoorbeeld de situatie waar je een applicatie hebt die een specifieke machine aanstuurt (laten we zeggen een las-robot of dopjes-op-flessen-draaimachine), is de kans dat je dat daadwerkelijk kan virtualiseren al een stuk kleiner.

Althans. Dat is mijn persoonlijke ervaring met dergelijke applicaties (n=1). Waar je ook nog mee zit, is of de leverancier van de applicatie het kan en wil ondersteunen. Even los van hoe waarschijnlijk het is dat je lasrobotsoftware er ineens mee stopt, wil je wel ondersteuning hebben.
Scriptkid @Remzi199313 oktober 2022 16:22
ehmm je voegd een hele hoop toe en veranderd niks aan het origineel ,

hoe is je beveiliging dan ineens hoger door het OS en APP virtueel te draaien. 8)7 8)7 8)7
Remzi1993 @Scriptkid13 oktober 2022 16:44
Omdat door middel van virtualisatie geen toegang heeft tot de host en alleen specifieke toegang heeft die is ingesteld. Je moet dit namelijk zelf goed configureren en instellen. Je kan het helemaal locken en alleen rechten geven tot een specifieke mapje bijvoorbeeld om dingen of documenten op te slaan buiten de virtualisatie waarbij de app geen toegang tot andere mappen en resources heeft. Dus als bijvoorbeeld de app wordt geexploite en er een lek is kan dat nog steeds tegengehouden worden doordat het in een soort van gevangenis zit (prison security - net zoals bijvoorbeeld FTP op een server waarbij er alleen toegang is tot de HTML directory of SSH die helemaal gelocked is waarbij je ook alleen tot specifieke dingen kan komen en mappen).
Caayn @Remzi199313 oktober 2022 18:00
Wat jij beschrijft is prima in te richten zonder virtualisatie. Een applicatie hoort sowieso enkel toegang/rechten te hebben tot delen die nodig zijn voor de werking.

Daarnaast wat @lenwar hierboven ookal aanstipt :)
Scriptkid @Remzi199313 oktober 2022 23:10
je hebt het nu over een nieuwe feature om apps te virtualiseren,

99% kans dat iets dat niet op een recente versie van windows kan draaien uberhaubt support heeft om van een bare metal applicatie een virtual applicatie te worden.

Enige wat je kunt doen is een lift en shift naar vmware maar daar maak je het betreft security alleen maar erger mee door meer componenten toe te voegen.

en uiteindelijk heeft die legacy app toch netwerk nodig via zijn ouderwetse outdated versies van zijn netwerk protocol virtueel of niet
SadisticPanda @Remzi199313 oktober 2022 18:50
Samba/network zijn even toegankelijk van uit vm als vanop fysieke bak....
TBK001 @Remzi199313 oktober 2022 22:59
Dit is helaas bij productiemachines vaak niet mogelijk. Zonder teveel in detail te gaan. Specifieke aansturing / kaarten in computers. Maar waar wel ergens tegen een database aangepraat wordt die nodig is voor persoonlijke samenstelling e.d. Zeker als de fabrikant niet meer bestaat of product niet meer ondersteund (en dat komt vaak voor) zou dit een mooie manier zijn om dit up-to-date te houden.
SirBlade @TBK00113 oktober 2022 15:42
Ik ben benieuwd wat de verzekering of de arbeidsinspectie zal zeggen als een computer met een niet-ondersteund OS en 3rd party hacks schade, gewonden of erger veroorzaakt.
TheVivaldi @SirBlade13 oktober 2022 16:36
Wat zeggen ze als je met een oldtimer schade, gewonden of erger veroorzaakt? Ik zie niet in wat er anders is aan een oldtimer die allang niet meer door de fabrikant wordt ondersteund vs een niet-ondersteund OS.
SirBlade @TheVivaldi13 oktober 2022 17:07
Ik geloof niet dat er veel bedrijven zijn die oldtimers gebruiken behalve musea, filmproducenten en dergelijke, maar die zullen speciale verzekeringen hebben.
thanx @TBK00113 oktober 2022 16:49
Bij de overgang van Windows XP naar Vista is de USB-stack behoorlijk gewijzigd. Soms heeft hardware speciale beveiligingen (gelinkt aan HD hardwarematige kenmerken, andere fysieke Hardware kenmerken), soms wordt DRM ingezet, soms is maatwerk hardware (controllers) gebruikt. Lang niet altijd kan je applicatievirtualisatie toepassen.
Het is wel erg kort door de bocht om alles op slecht beheer of onkunde te schuiven. Ik denk eerlijk gezegd dat onkundige gebruikers ook niet met 0patch zullen werken. Als je bijvoorbeeld oude machines zo goed mogelijk wil beschermen en het is geen optie om ze te isoleren binnen het netwerk dan blijven er soms weinig alternatieven over.
Aganim @loewie198413 oktober 2022 15:37
Beheerders die dit gebruiken moet een schop onder hun kont krijgen.
Je bedoelt dat de leveranciers en managementlagen die hier verantwoordelijk zijn een schop onder hun kont moeten krijgen? Ik betwijfel of er veel beheerders vrijwillig met een niet meer ondersteunde Windowsversie blijven draaien.
bigbadbull @loewie198413 oktober 2022 15:51
Een leuk verdienmodel voor dit bedrijf maar je hebt er naar mijn mening verder niets aan, maar loopt wel alle risico's.
1. het risico dat niet alle kwetsbaarheden worden afgedekt door deze firma
vroeger was die firma MS, nu 0patch
2. het risico dat er een malafide payload door hun geüpload wordt of het bedrijf zelf getarget wordt juist omdat zij deze dienst aanbieden
ook dit risico liep je met MS, dus geen verschil
3. omdat je een unsupported OS draait kun je fluiten naar support bij Microsoft in geval van ondersteuning
Klopt als je nu nog Win7 draait heb je geen support van MS, of je nu de patches van 0Patch gebruikt of niet speelt hierbij geen rol.

Dus wie houd wie nu voor de gek. Beheerders die dit gebruiken moet een schop onder hun kont krijgen.
kort door de bocht, hoewel upgraden het devies is, is het soms zeer tegen de wil van de IT beheerders in dat dergelijke machines nog gebruikt worden, vooral als stuur PC of voor specifieke applicaties, waar er nog altijd geen deftige alternatieven zijn of de upgrade kosten van enkele miljoenen niet opwegen.
En dat je dan aan risico beperking doet, is nog steeds beter dan gewoon ongepatched laten.
Ik supporteer nog altijd software uit 1992 ! Ze zitten al aan poging 6 om het te vervangen, maar ze falen steeds om in de buurt te komen van "mijn Rolls Royce" (hun woorden). De machine waarop het draait is ondertussen gevirtualiseerd, maar het onderliggend OS is ook al straat oud zonder patches.
Helaas kunnen we niet upgraden naar nieuwere versies want zowel HP als IBM zijn specifieke source-codes kwijt om te kunnen upgraden. En ik werk er feitelijk niet meer, op wat occasioneel support na dan.
MiesvanderLippe @loewie198413 oktober 2022 15:23
Ik wens je veel succes met het upgraden van je staalfabriek en MRI :P
Datastream @MiesvanderLippe13 oktober 2022 15:26
Tja je moet dat soort shit ook nooit aan het internet hangen. Of eigenlijk aan wat voor netwerk dan ook.
batjes
@Datastream13 oktober 2022 15:39
Helemaal niet aan een netwerk hangen is ook niet altijd even makkelijk haalbaar. Je wil niet met floppies, CD's of USB sticks aan de haal gaan in stoffige productieomgevingen.
Datastream @batjes13 oktober 2022 15:48
Je kan wel een Red LAN opzetten met een locked down en hardened kiosk buiten de stoffige omgeving.
Verwijderd @batjes13 oktober 2022 19:04
Gewoon lan kabeltje, .et een laptop (ook zonder internet verbinding) een paar meter verderop kan prima. Zo heb ik nog een paar arcade kasten die nog zo draaien en ik op die manier "onderhoud"
MN-Power @Datastream13 oktober 2022 15:39
Security risks komen niet alleen over een netwerk(of internet). Één gebruiker die rechten weet te verkrijgen die hij niet hoort te hebben en het kan al fout gaan.
Datastream @MN-Power13 oktober 2022 15:47
Red LAN maakt het in ieder geval al onmogelijk voor een Xi of Putin om met je spul aan de haal te gaan zonder dat ze een mannetje erop af moeten sturen of een van de medewerkers omkopen/domme dingen laten doen.

Maar op dat punt is het altijd weer hetzelfde liedje: zwakste schakel is altijd de mens.
svennd @Datastream13 oktober 2022 20:39
Er is onlangs een MRI bijgekomen die volledig remote kan bedient worden zodat zorg personeel van thuis kan werken. :) dus hem niet aan het net hangen zal niet snel gebeuren.
firest0rm @loewie198413 oktober 2022 16:33
1. Dit risico loop je ook gewoon bij Microsoft.
2. Dit heeft zich voort gedaan bij Microsoft althans updates hebben er wel eens voor gezorgd dat systemen juist kwetsbaar werden of crashes veroorzaakt.
3. Die support word dan geleverd door 0patch.

Het enige wat hier gebeurd is dat een andere partij bij deze zaken/diensten de verantwoordelijkheid neemt.
Het is meer de vraag of je de partij 0Patch vertrouwt en ze hun werk goed doen je betaald er immers voor.

[Reactie gewijzigd door firest0rm op 23 juli 2024 21:35]

sdsnatcher73 @loewie198413 oktober 2022 19:26
Risico 1 en 2 heb je natuurlijk ook op nog supported OS’en met patches van Microsoft.
Douweegbertje @loewie198414 oktober 2022 02:10
Grappig dat je beheerders de schuld geeft. Dit is een organisatie c.q. 'c-suite' probleem hoor. Ik denk dat er heel veel beheerders staan te springen om te upgraden maar het allemaal niet kunnen/mogen/budget/prioriteit/blaat
Emielvb 14 oktober 2022 00:11
Heb van de week nog alle condensatoren van een 18 jaar oud moederbord vervangen.
Kon een dierenartsenpraktijk hun digitale röntgen weer gebruiken.
Die computer draaide Windows NT 4.0 server om alles aan te sturen.
Mooi moederbord hoor: AGP videokaart 2,5GB ram, SCSI schijven, floppy drive :)
satya @Emielvb14 oktober 2022 15:57
Mooie actie :)
GekkePrutser 13 oktober 2022 15:25
Hoe doen ze dit dan? Krijgen ze toegang tot de sourcecode van MS?

Of rommelen ze zelf een beetje aan met de gecompileerde binaries? Hoe doen ze dat dan met ondertekenen van de gepatchte binaries?

PS: "Aanrommelen" klinkt niet zo aardig maar laten we wel wezen dat het knutselen aan de gecompileerde output niet echt de beste methode is natuurlijk. Tenzij het component in .NET is gemaakt waarin je het echt clean kan decompileren. Maar voor zover ik weet is de meeste source van Windows zelf nog steeds C++.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 21:35]

vrow @GekkePrutser13 oktober 2022 16:09
Hun eigen website zegt:
"We are reinventing software patching.

0patch Agent, our mighty little patching machine, watches over all processes running on the computer. When any one of them is found to have a patch available, that patch is immediately applied to the process in memory without disturbing that process.

0patch Agent periodically asks our server whether it has any new patches to deliver, and downloads these patches so they’re ready to get applied to vulnerable processes. These patches are immediately available even if you install a vulnerable product on a computer that is not connected to the Internet at the time.

0patch does not replace executable files or modify them in any way. It corrects them only in memory, which can be done without relaunching them."
dasiro @vrow13 oktober 2022 19:05
klinkt alsof het een serieuze impact heeft op je performance en nog steeds een hoop simpele dingen niet kan tegen houden, waardoor je eerder een vals gevoel van veiligheid hebt
QaZ. @dasiro13 oktober 2022 20:12
Nee hoor,
Ik heb het ooit gedraaid op een pc en het grote verschil is dat ze patchen in memory, niet de originele dll's e.d.
Dit maakt dat de patches echt maar een paar KB groot zijn en je niet hoeft te rebooten.
Nadeel is uiteraard wel dat 0patch altijd actief is
svennd @dasiro13 oktober 2022 20:41
Dat klinkt eigenlijk hetzelfde als live patching in Linux. Execution zit -vrijwel- altijd in memory, dus waarom zou je daar ook niet gewoon patchen.
sdziscool @vrow13 oktober 2022 19:17
Dat is een hele accurate omschrijving van je gemiddelde malware :D
lenwar
@GekkePrutser13 oktober 2022 16:18
Ik heb ook een keer naar dit soort producten gekeken voor mijn werkgever. Ik weet niet meer welke leverancier het was, maar wat zij deden was als het ware een soort applicatie-firewall maken. Iedere transactie van en naar de software ging door die laag heen en mitigeerde bekende kwetsbaarheden.

Ofwel.
Stel je hebt een applicatie met een REST-API waar een bekende fout in zit die niet meer door de leverancier gemaakt gaat worden, dan komt er een soort generieke proxy voor, die de malafide REST-API-verzoeken wegfiltert of ombouwt tot een veilig verzoek naar de applicatie toe, of het antwoord wordt opgeschoond waardoor misbruik niet zinvol is.

Dit kan je op allerlei manier toepassen.
Het blijft in de praktijk een lapmiddel natuurlijk, maar het kan goedkoper zijn dan je applicatie volledig herschrijven naar een nieuw OS.

Voor ons was dit systeem niet voldoende en we zijn er niet mee in zee gegaan, maar in de basis vond ik het concept wel aardig als workaround/lapmiddel.
OruBLMsFrl @lenwar13 oktober 2022 18:11
Nog steeds populair zo een aanpak als extra laag in de verdediging, bijvoorbeeld op Azure en andere clouds vaak makkelijk te deployen is iets als het volgende:
https://azure.microsoft.c...web-application-firewall/
TBK001 13 oktober 2022 15:22
Dit vind ik wel een heel interessante, kende ik nog niet. Vooral voor veel productiebedrijven e.d. kan dit een mogelijkheid zijn systemen toch up-to-date te houden. Zijn er hier mensen die hier ervaring mee hebben? Wat is de kwaliteit van de updates? Wellicht een idee voor Tweakers hier een artikel over te schrijven? Ik zie in de hoek waar ik werk toepassingen genoeg als dit kwalitatief goed is.
Mantis @TBK00113 oktober 2022 16:14
Wij hebben het eerder al gebruikt bij overnames waar er enkele lijken uit de kast vallen en je zsm iets tijdelijk wil oplossen/verbeteren zonder grote wijzigingen door te voeren. Aangezien alles in memory gebeurt, kan er ook niets structureel kapot gaan door de software z'n werk te laten doen.
Soms komen ze sneller met een micro patch dan Microsoft of heeft MS meerdere patchrondes nodig om een probleem op te lossen. Het is zeker interessant om eens rond te neuzen op hun blog.

[Reactie gewijzigd door Mantis op 23 juli 2024 21:35]

grimlock 13 oktober 2022 15:51
Ik kan geen argument verzinnen waarom dit product bestaansrecht heeft. Het OS is al 15 jaar oud. Het kan toch niet zo zijn, dat welk product dan ook, een OS nodig heeft dat door een derde partij van patches voorzien moet worden om in productie te kunnen blijven.
lenwar
@grimlock13 oktober 2022 16:27
één argument: Een kostenpost.

Het blijven patchen van de applicatie kost 30.000 per jaar.
De aanschaf van een nieuwe applicatie geschikt Windows 11/AIX/Linux/whatever, kost 30 miljoen. (als de originele leverancier ermee is gestopt is dat heel aannemelijk).

Denk aan bijvoorbeeld een financiële instelling die oude producten heeft die al 20 jaar niet meer verkocht worden, maar wel een doorlooptijd hebben van 300(ja het bestaat echt en verbazingwekkend veel!!). Die producten werden bijvoorbeeld alleen maar door 15 financiële instellingen op de wereld aangeboden, en moeten nu van de ECB uiteraard gewoon onderhouden worden, want het zijn gewoon financiële contracten die moeten worden doorlopen en waar rapportages richting de belastingdiensten en centrale banken moet worden afgegeven.

Een makkelijker behapbaar voorbeeld van dit soort producten is bijvoorbeeld de volledig aflossingsvrije hypotheek. Het is niet mogelijk om die nog nieuw af te nemen, maar je kan ze nog wel hebben en ze zelfs (deels) onder een nieuwe woning schuiven op een één of andere manier. Even los van of dat een goed idee is natuurlijk. Die hypotheken blijven nog tientallen jaren in de systemen van de banken bestaan en ze kunnen er helemaal niks mee behalve afwachten tot ze zijn afgelopen en er ieder jaar op rapporteren naar de belastingdienst. (kort door de bocht)
Scriptkid @lenwar13 oktober 2022 23:20
Dan segregeer je dat netwerk en accepteer je het risk,

Door het netwerk af te splitsen van productie en to isoleren to alleen dat waar het nodig is heb je het issue niet en kun je werken aan een nieuwe API based versie ,

Ik weet dat er hier bijvoorbeeld in NL nog een 386 is in full support in een magazijn liggen maar die zijn ook puur voor 1 specifieke taak die niet geupdate kan worden maar dat is een gesloten control circuit.
lenwar
@Scriptkid14 oktober 2022 08:48
Dan segregeer je dat netwerk en accepteer je het risk
Uiteraard zijn er veel wegen naar Rome. En er is niet één generieke beste manier.

Je zit naast risicoacceptatie ook met een onder andere beheersbaarheid in je organisatie en regels van toezichthouders (mogelijk vinden zij segregatie niet goed genoeg? Ik noem maar een zijstraat. Allicht is het onzin, maar je snapt hem. Zo bemoeit de Maleisische Centrale Bank zich heel erg met hoe zaken inhoudelijk zijn geregeld binnen bedrijven en als jij als Nederlands bedrijf zaken wil doen voor Maleisische klanten, heb je je ook aan hun gebeld te houden. Of als je dagelijkse rapporten moet maken kan segregatie ook onpraktisch zijn)

Dat beperkt de mogelijkheden die je hebt heel erg.
Scriptkid @lenwar14 oktober 2022 09:39
klopt maar zo vaak hoor je dat virtualisatie de holy grail is en dat er daar geen enkel issue is want het is virtueel, En dat is natuurlijk juist niet zo en zeker met oude OS en apps is het gewoon niet mogelijk om het even als virtuele app te laten draaien.

Voorbeeld,

Hoe virtualiseer je de oude printer poort of Com poort ?

[Reactie gewijzigd door Scriptkid op 23 juli 2024 21:35]

lenwar
@Scriptkid14 oktober 2022 09:47
Net wat ik al zei. Er zijn vele wegen naar Rome voor ieder 'probleem' en er zijn zo veel factoren die meespelen dat er niets algemeens over te zeggen is.
Deze dienst van het 'virtueel patchen' om het zo maar te noemen, is één van de routes die in elk geval weinig aanpassing aan de applicatie zelf vereist en dat kan al wat waard zijn natuurlijk.
Emtrix 13 oktober 2022 16:09
Wel biedt Microsoft nog het betaalde Extended Security Updates aan, maar dat stopt in 2025.
Volgens mij klopt dat niet, ESU loopt voor Windows 7 tot 10 januari 2023. Tegelijkertijd gaat ook System Center Endpoint Protection (de MSFT antivirus oplossing) voor Windows 7 end of life. M.a.w. na 10 januari krijg je geen security patches en ook geen AV updates meer.. https://learn.microsoft.c...nded-security-updates-faq
nicolaasjan @Emtrix13 oktober 2022 19:52
https://winaero.com/micro...for-windows-7-until-2026/
Looks like the plans have changed. Reportedly, Microsoft intends to extend paid support for Windows 7 for another three years. The July updates KB5015861 and KB5015862 include appropriate bits for licenses and ESU keys to continue paid support for the system. If so, then Windows 7 will receive paid updates for more three years, i.e. until January 2026.
Zie ook file information for update KB5015861 (.csv) vanaf regel 11662.
gus25 13 oktober 2022 16:43
snap er niets van

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq