Ministerie waarschuwt bedrijven voor einde support Windows 8.1 en Server 2012

Het Nederlandse ministerie van Economische Zaken waarschuwt bedrijven voor het einde van de ondersteuning voor Windows 8.1 en Server 2012. Het ministerie adviseert gebruikers van deze besturingssystemen om naar een versie van Windows over te stappen die nog ondersteund wordt.

Het ministerie stipt aan dat Microsoft vanaf 10 januari 2023 stopt met de ondersteuning voor Windows 8.1. Hierdoor zullen er geen software-updates meer verschijnen die kwetsbaarheden of bugs verhelpen. Voor Windows Server 2012 (R2) geldt dezelfde waarschuwing, al stopt de ondersteuning voor deze software op 10 oktober 2023. Het ministerie merkt op dat het upgraden van Windows Server-software meer voeten in de aarde heeft in vergelijking met een besturingssysteem voor computers. Zo wordt er gewaarschuwd voor een langere doorlooptijd en de vereiste van een migratiepad.

Op 10 januari 2023 eindigt de verlengde ondersteuning voor Windows 8.1, waarna er geen beveiligingsupdates voor de software meer verschijnen. Ook de Office-apps van Microsoft 365 krijgen na het verstrijken van de end-of-lifedatum geen updates meer als gebruikers deze op Windows 8.1 draaien. De reguliere ondersteuning voor dit besturingssysteem was al stopgezet op 9 januari 2018. Microsoft waarschuwt gebruikers van Windows 8.1 sinds juli van dit jaar dat de ondersteuning voor het besturingssysteem in januari 2023 eindigt. Er komt geen betaald Extended Security Update-programma voor Windows 8.1; bij Windows Server 2012 is dat wel het geval.

Reacties (124)

bommel 29 december 2022 15:11

Applicaties blijven altijd het probleem bij Windows migraties, zeker met de steeds beter wordende security in Windows zijn er helaas ook een aantal applicaties die niet meer werken op Windows 10/11 cq WS2016/2019/2022.

Er zijn wel tools beschikbaar die kunnen helpen met Application Compatibility zoals End-of-Support Migration Program for Windows Server of Cloudhouse Alchemy.

w4rguy @bommel • 29 december 2022 15:15

Daar zou je in je system lifecycle rekening mee moeten houden, toch? Je kan geen enkele applicatie bouwen en verwachten dat die over 10 jaar nog op dezelfde manier werkt. Net als dat je auto na 'X' jaar ook is afgeschreven. Je zult moeten kijken naar vervanging.

scsirob @w4rguy • 29 december 2022 15:45

Toch doet Microsoft het niet slecht met backward compatibility. Ik schrijf software die in het NT4.0 tijdperk geboren is, en waarvan de low-level APIs al jaren geleden deprecated zijn. Maar het blijft werken.

FlaffTweakr @scsirob • 29 december 2022 16:54

Schrijf je ook in parallel de software voor een nieuwe versie of is er gewoonweg geen overstap gepland?

scsirob @FlaffTweakr • 29 december 2022 22:07

In mijn geval is het vrij specialistische software die SCSI pass-through direct naar hardware doet. De manier om devices te vinden, ook als er geen Windows driver voor geladen is, is gebaseerd op QueryDosDevice(). Inderdaad, dat zijn MS-DOS Device namen

Er zijn SetupDi...() alternatieven met de nodige beperkingen, waar ik wel wat mee gespeeld heb, maar de oude call doet het ook nog in Windows 10 en Server 2022. Dat betekent dat ik nog jaaaaren geen noodzaak heb om dat aan te passen.

sus @scsirob • 30 december 2022 10:04

En wat als ze die API in een komende update verwijderen? Dat kan komende maand al zijn ipv “nog jaren geen noodzaak”.

scsirob @sus • 30 december 2022 13:18

Terechte opmerking. Het voordeel van werken met vrij specialistische software is dat je ook vrij specialistische eisen aan de rest van het systeem kunt stellen, inclusief O/S en hardware.

Dus geen updates zonder testen vooraf. Blijkt het na de volgende update niet meer te werken dan dus geen updates meer op het productiesysteem. Als dat vanwege security niet meer te handhaven is dan is het tijd om de up-to-date Linux variant van de software op een vers systeem te installeren.

LOTG @scsirob • 29 december 2022 23:51

Ja maa depreciation betekent tijd om een alternatief te zoeken (waar vaak naar verwezen wordt) en niet we blijven het gebruiken omdat het makkelijk is.
En dan paniek als het niet meer werkt en MS het niet meer fikst.

field33P @FlaffTweakr • 29 december 2022 17:58

Meestal is doormodderen goedkoper en makkelijker tot Microsoft ofwel het schrappen van een functie aankondigt of de ongedocumenteerde functie stopt met werken bij een update (en als het populair is kan je dat lang blijven doen)

Blokker_1999

Besturingssystemen
Microsoft Windows Server
Microsoft Windows
Microsoft Windows 8.1 NL
Microsoft
Microsoft Windows 8

@scsirob • 29 december 2022 16:03

En toch merk je ook dat zelfs bij MS er stilaan de rek uit is. Er zijn wel degelijk APIs aan het verdwijnen in Windows, en het zou gaan tijd worden ook imho.

bommel @scsirob • 29 december 2022 17:32

Klopt, breaking changes zijn er niet vaak. Zelfs niet in de NtXXX api's (waar je denk ik op doelt?).
Wel is het zo dat er tegenwoordig veel meer API's gedocumenteerd zijn waardoor het minder noodzakelijk is terug te grijpen op low level API's.

bommel @w4rguy • 29 december 2022 15:22

Idealiter zou je inderdaad herschrijven naar een moderne architectuur maar de realiteit is vaak dat herschrijven niet gebeurt. Kost een hoop geld en levert functioneel vaak weinig op als de bedrijfsprocessen niet verandert zijn. Ook ontbreekt vaak de kennis, hoe werkt de applicatie precies en/of hoe is deze ingericht (het gaat vaak ook om COTS)?

karma4 @bommel • 29 december 2022 16:49

Bij COTS moet je het LCM traject zog steeds zelf doen.
IS er veel in huis gehaald en raar aan elkaar geknupt dan is het beste parallel iets op te zetten en die knoop door te hakken. Helaas zit er vaak nog zo'n lastig draadeindje dat weerbarstig is.

Zeror

@bommel • 29 december 2022 16:49

Wat denk je van koppigheid van managers etc..
"We hebben altijd al deze app gebruikt dus waarom veranderen!?...."

bzzzt @Zeror • 29 december 2022 16:56

Vaak dezelfde managers die wel iedere 3 jaar een nieuwe leasebak moeten omdat de oude anders te onbetrouwbaar wordt...

Marve79 @bzzzt • 29 december 2022 18:11

Dat is normaal want dan moeten ze gekeurd worden en komen er kosten. Maar die gaan gewoon naar de tweedehands markt dus geen probleem.

MrMonkE @bzzzt • 30 december 2022 12:29

Voor betrouwbaarheid een nieuwe leasebak nemen dat heb ik echt nog nooit iemand horen zeggen.
En als hij na zijn 3 jaar contract geen nieuwe bak neemt moet hij lopen omdat zijn lease contract afloopt.
Hangt ook samen met hoe lang het leasebedrijf bepaalde modellen wil leasen ivm restwaarde en onderhoudskosten.

psdata @w4rguy • 29 december 2022 15:25

Klinkt leuk de vergelijking met een auto.
Maar die auto blijft gewoon rijden (mits hij iedere keer door de APK komt)
Dan word het gewoon een oldtimer

En ja: je moet er wellicht rekening mee houden maar houd je leverancier van je software er ook rekening mee. Iedereen kent z'n gevallen dat software niet meer werkt op een nieuw OS (of niet meer te instaleren valt)
En ja 2: Iedereen haalt z'n trucken doos open om wel te realiseren maar soms houd het gewoon op, en moet je je applicatie door laten draaien op een oude PC + "OS"

[Reactie gewijzigd door psdata op 23 juli 2024 08:02]

F_J_K Forummoderator @psdata • 29 december 2022 15:31

Onjuist. De oude auto wordt niet meer toegelaten in de milieuzones (vertaling: PC niet meer laten verbinden met internet). En klassieke auto’s kunnen niet zomaar omgaan met moderne loodvrije benzine.

Als je zo nodig iets moet met Windows 8: doe het airgapped. Geen netwerkverbinding. En ga vijf jaar geleden begonnen zijn met zoeken naar vervangende software. De hardware gaat geen 50 jaar meer mee. De software gaat geen 50 jaar meer mee. Je leeft nog 50 jaar. Je moet dus op een gegeven moment overstappen. Dan is nu kijken naar alternatieven niet lastiger dan later gaan kijken naar alternatieven - als migreren ook moeilijker is geworden.

Xfade @F_J_K • 29 december 2022 16:43

Ook dat is onjuist omdat er zat oude auto's zijn die wel toegelaten worden in milieu zones. Ook zijn er oude auto's die benzinesysteem conversie hebben gehad.
Dat kan niet met Windows.

Drunken_Bear @Xfade • 29 december 2022 17:04

Dit is precies waarom je PC's niet met auto's moet vergelijken. Appels met peren.

YangWenli @Drunken_Bear • 29 december 2022 18:25

Nou autos worden steeds meer PCs. Straks krijgt je Tesla ook geen updates meer.

Illegal_Alien @YangWenli • 30 december 2022 08:25

Koop dan ook een normale auto

Unstable Element @F_J_K • 29 december 2022 19:09

Er is genoeg hardware ouder als 50 jaar die nog mee gaat.
Niet alles bestaat uit servers en desktops.
Er zijn ook genoeg systemen die nodeloze kosten hebben bij een upgrade van windows.
Klein voorbeeld, Aerotech maakt (o.a.) lineaire motoren. Een aantal van hun controllers worden aangestuurd via Firewire en ondersteunen maximaal windows XP.
Mocht je je windows willen upgraden, moet je nieuwe controllers kopen en nieuwe stages.
Ik ga niet voor het upgraden van 1 windows XP computer ruim 500k uitgeven aan nieuwe hardware.

raro007 @F_J_K • 29 december 2022 15:46

Nieuwe auto's worden soms ook niet toe gelaten en dat is niet omdat de auto niet onderhouden word, maar meer regelgeving.
Bijvoorbeeld als Nederlandse regering zegt er mag geen Windows meer maar Linux wel dan licht het niet echt niet aan windows.

TheVivaldi @psdata • 29 december 2022 16:58

Een computer kan toch ook een oldtimer worden? Of zou je bijv. een Amiga 500 geen oldtimer noemen?

LOTG @psdata • 30 december 2022 00:09

Software blijft ook gewoon werken, maar dat vergt net als bij een auto onderhoud. En soms moeten onderdelen vervangen worden.

En soms worden er eisen gesteld waar een auto aan moet voldoen die er niet waren toen hij gebouwd werd.
Je oldtimer is misschien ook niet compatible met de E10, of zelfs loodvrije benzine. Dus ja hij werkt zo lang hij past op plekken waar bepaalde eisen en omstandigheden voorhanden zijn.

Software heeft een life cycle, en daar moet je gewoon rekening mee houden. Updates, end of life en compatibility zijn factoren waar je van te voren op plant. Dat software misschien niet op een nieuwe of ander OS draait is iets wat je kon weten, want dat is iets dat je van te voren afspreekt met een leverancier. Als die geen harde garantie geeft is het nee, en dus houd je rekening er mee dat je moet migreren als je het OS gaat vervangen. En dat weet je ook want MS verteld je dat ook.

En software op een legacy os en systeem laten door draaien is het gevolg van niet vooruit kijken en uitstellen. En dat dan nog blijven doen tot de hardware faalt en er geen werkende oplossing meer van gemaakt kan worden. Ja kapitalen uit geven om antiek te kopen voor je lappendeken.

DickvanMaurik @w4rguy • 29 december 2022 15:27

Net als dat je auto na 'X' jaar ook is afgeschreven. Je zult moeten kijken naar vervanging.

Maar mijn auto kan ik wel 15+ jaar blijven rijden zonder enige problemen. Onderdelen blijven beschikbaar (bij Mercedes, BMW & Volvo het geval) en de autos blijven werken ondanks dat ze 15+ jaar oud zijn. Gebruiken van oudere autos kan dus zonder dat er iets mis is.

Het gebruiken van een EOL Windows of Windows Server heeft veel meer gevolgen zoals security problemen. Voor een simpele gebruiker is er weinig verschil tussen W8.1 en W10 bijv. dus die verwachten dat applicaties gewoon blijven werken, maar helaas is dit niet het geval.

De afschrijving van een auto is compleet anders als de afschrijving van applicaties, autos kunnen wel 30+ jaar meegaan (mits goed onderhouden etc.) maar applicaties gaan zelden zo lang mee.

Blokker_1999

Besturingssystemen
Microsoft Windows Server
Microsoft Windows
Microsoft Windows 8.1 NL
Microsoft
Microsoft Windows 8

@DickvanMaurik • 29 december 2022 16:02

Dat auto's blijven werken klopt natuurlijk niet altijd. Als die elke dag als werkpaard wordt gebruikt haalt die de 10 jaar niet eens. Als het onderhoud niet goed genoeg gebeurd zal je ook niet snel 15 jaar halen. Je moet er continue in blijven investeren en zuinig mee omspringen. En dat is met je computer niet anders.

Ja, je kan in essentie een oud OS nog gebruiken, als het echt nodig is. Maar dan moet je er ook wel de tijd en moeite in steken om het goed te doen, en dat kost ook geld.

Wij hebben ook nog ergens een VM draaien met Server 2003 in een geisoleerd netwerkje met goede toegangscontrole ertussen. Dat kost ons ook tijd en geld om op te zetten, wat we dan weer doorrekenen aan de klanten die ervoor zorgen dat we dat systeem in de lucht moeten houden omdat zij met verouderde software blijven werken.

Robin4 @DickvanMaurik • 29 december 2022 16:43

Weinig verschil tussen w8.1 en windows 10..

Op het oog misschien weinig verschil.. Maar kwa drivers al helemaal niet.

W8.1 is meer gebaseerd op windows 7 dan op windows 10..

Drivers van windows 7 / 8.1 werken veel al niet op windows 10..

En zo geld dat ook met sommige software en games.

sprankel @DickvanMaurik • 29 december 2022 18:53

Een auto van 15 jaar terug gebruikt ook computers maar die komen uit de OT wereld welke air-gapped draaien zonder communicatie met andere OT systemen, al moet daar ook meteen worden bijverteld dat dit serieus aan het veranderen is.

Als jij een IT systeem hebt welke air-gapped draait en geen enkele communicatie met een ander IT systeem moet doen, mits jij de hardware onderhoud en wisselstukken hebt, dan gaat die ook zonder probleem 15 jaar mee en langer.

Het verschil zit hem niet in een applicatie vs een auto, het verschil zit hem in netwerk connectiviteit & uitwisseling van data, zolang jij op je privé eiland zit kan jij gewoon je ding blijven doen, als je met de wereld wilt spreken moet je up to date blijven met de wereld.

Even terug naar die auto van 15 jaar terug, ja die doet het wel maar als daar navigatie inzit, veel geluk om daar nog up to date kaartinformatie voor te krijgen. Live traffic op die navigatie kan ook wel eens een issue worden. Bluetooth carkits is ook maar de vraag of het nog werkt met een nieuwe telefoon en hoe lang nog. Of mogelijks zit er nog een vaste telefoon in, die werken ook al lang niet meer. Alarmsysteem met 2G, tjah, 2G gaat eruit. FM radio, meer en meer wilt men naar DAB en FM eruit.

Dan kan je wel zeggen de core functionaliteit van de auto blijft werken, de auto blijft rijden en ja dat is waar maar onderliggend gaat het om hetzelfde probleem, van het moment jij iets in die auto steekt dat moet communiceren met iets wat niet in die auto vast gemonteerd zit hang je zoals in de voorbeelden die ik net al aangehaald heb.

Dan zal de vraag voor de auto van morgen zijn, autonoom rijden level 2/3/4/5, is dat een core functie van een auto? Want zo ja, dan hang je ook voor de core functionaliteit want die vereisen altijd wel ergens netwerk en/of informatie, ook die 4G module gaat niet voor eeuwig blijven werken en veel geluk om binnen 20 jaar nog kaartinformatie te krijgen.

[Reactie gewijzigd door sprankel op 23 juli 2024 08:02]

LOTG @DickvanMaurik • 30 december 2022 00:24

Ja maar je zegt net zelf dat om zo oud te worden onderhoud nodig is en je onderdelen moet vervangen.
Dat betekent dus dat je er tijd, geld en energie in moet steken om dat te bewerkstelligen. Maar voor software verwacht je dat de zelfde onderdelen blijven werken?

En hoeveel auto's hebben gewoon een bekend probleem dat de fabrikant nooit meer oplost?

En hoe vaak word er niet een oplossing bedacht voor iets door anderen?

Een auto die zonder problemen 15 word is echt niet de normaalste zaak van de wereld. Ook niet bij de door jou genoemde merken. Zat modellen die je er tot aan de haren en met een oplegger heen moet slepen.

jeroen3 @w4rguy • 29 december 2022 16:31

Ja, maar je vergeet dat veel bedrijven een zelf in elkaar geknutselde auto hebben waarvan de ontwerper al lang weer weg is. En nieuwe ontwerpen kost te veel en duurt te lang. Dus deze moet het gewoon nog even blijven doen anders komen we nergens meer.

PhilipsFan @w4rguy • 29 december 2022 18:31

Dat gebeurt bijna nooit. De meeste (ook grotere) bedrijven die maatwerksoftware laten maken, houden absoluut geen rekening met upgrades van het besturingssysteem waar dat op draait. Er wordt ontwikkeld voor het exacte besturingssysteem zoals dat op dat moment bestaat. Veel van die maatwerkcowboys houden zich ook niet aan de voorschriften van Microsoft, waardoor die applicaties vaak bij een volgende Windows-versie al niet meer werken. Dan moet het bedrijf kiezen: laten we de maatwerkoplossing aanpassen (=duur!) of stellen we de Windows-upgrade nog even uit (=niet duur, maar wel potentieel gevaarlijk). Het behoeft vast geen toelichting welke van de 2 meestal wordt gekozen...

Hell, ik heb tot voor kort nog wel (interne web)applicaties gezien die het alleen op IE6 deden. De moeite die men dan neemt om die applicatie in de lucht te houden, tot virtualisatie van oude Windows-pc's aan toe. Alles om maar niet die maatwerktroep te hoeven aanpassen. Ondergetekende heeft het betreffende bedrijf destijds (15 jaar geleden!) al geadviseerd om niet specifiek voor IE6 te ontwikkelen, maar een (toen al bestaande) standaard als HTML5 te gebruiken. Maar een bomvette manager gaat natuurlijk niet luisteren naar een ingehuurd softwareontwikkelaartje. En nu zitten ze met de gebakken peren. Ik ben geen betweterig type, maar toen had ik wel zoiets van... TOLD YOU SO

Bruin Poeper @w4rguy • 29 december 2022 15:28

Daar zou je in je system lifecycle rekening mee moeten houden, toch? Je kan geen enkele applicatie bouwen en verwachten dat die over 10 jaar nog op dezelfde manier werkt. Net als dat je auto na 'X' jaar ook is afgeschreven. Je zult moeten kijken naar vervanging.

En wat denk je dan van de CVketel, de koelkast, de klimaatinstallatie, bruggen en sluizen, wegmarkeersystemen, camera's, machines, en allerlei andere zaken die eigen hardware hebben en waarmee Windows moet samenwerken?
Moeten we die steeds elke paar jaar vervangen omdat een Windowsversie er niet meer mee kan omgaan???

killercow @Bruin Poeper • 29 december 2022 15:56

Nee, die zooi moet je niet op een consumer OS draaien, of uberhaupt zo dicht tegen een grafisch OS aan bouwen.
Ontwikkel knappe api's, en gebruik knap ontwikkelde api's. De frontend, backend en laagjes er tussen zijn dan aanpasbaar zonder dat je alles over boord hoeft te gooien als er ergens een deel aangepast moet worden.

De linux kernel api is al een jaar of 20 prima stabiel, en de windows kernel api's die er toe doen ook. De grafische omgevingen veranderen elke paar jaar, want mode, schermgrootes en van alles en nog wat, maar dat is dan maar een klein deel van je applicatie, en daar is een goede reden voor om ze aan te passen. Namelijk, iedereen krijgt een groter scherm, of een tablet, of een spraakcomputer.

Rolfie

@killercow • 29 december 2022 16:08

API klinkt leuk, maar zal toch moeten communiceren met de buitenwereld.

En als je API bugs bevat, of via onveilige software wordt aangeboden, heb je nog steeds een probleem.

killercow @Rolfie • 29 december 2022 17:28

correct, maar dan hoef je maar 1 kant te vervangen, tenzij je een ander ontwerp van de api nodig hebt om het op te lossen.

w4rguy @Bruin Poeper • 29 december 2022 15:47

Het antwoord daarop is: ja!

Het is niet dat de Windows versie er niet mee om kan gaan. Het is dat de Windows versie er niet mee om wil gaan. Veel OS'en ondersteunen veelal oude technieken, om backwards compatible te kunnen zijn. Maar op een gegeven moment zijn die technieken zo oud en kwetsbaar, dan moet je als OS ook verder. Dan betekent dat dus dat die applicaties niet meer werken - omdat er veiligere alternatieven voor komen.

Maar laten we eerlijk zijn; wie wil er nu nog een applicatie die WDigest gebruikt? Niemand, toch?

Zo is het ook met die bruggen en sluizen. Die worden ook periodiek onderhouden. Doe dat nou ook met de aansturing.

De truc is vooral dat je je op voorhand moet instellen dat je een beheerapplicatie gaat bouwen die langer gaat leven dan het OS wordt ondersteund. Kies dan voor een architectuur die daar mee om kan gaan.

Blokker_1999

Besturingssystemen
Microsoft Windows Server
Microsoft Windows
Microsoft Windows 8.1 NL
Microsoft
Microsoft Windows 8

@w4rguy • 29 december 2022 16:06

Als er 1 OS is dat neerwaartse compatibiliteit hoog in het vaandel draagt, dan is het Windows wel. Het zijn zij die net proberen die compatibilitieti zo lang mogelijk te waarborgen. Zowel macOS als Linux slagen er vaak niet in om 10 jaar oude software te draaien, terwijl je op Windows heel wat software van 25 jaar terug kunt draaien zonder dat je ook maar 1 enkele aanpassing aan het OS moet doen.

latka @Blokker_1999 • 29 december 2022 17:00

Linux als kernel is een slecht voorbeeld: system calls daarin zijn heilig en oude software werkt gewoon op nieuwe kernels. Het wordt een ander verhaal met desktop applicaties die van gtk/qt afhankelijk zijn. Major version zijn daar vaak niet compatible.

Guru Evi @Blokker_1999 • 29 december 2022 17:06

Linux kan wel degelijk met tientallen jaren oude software overweg.

Meestal is het probleem in de libraries die moeten gehercompileerd worden, maar je kunt nog steeds oa Python2 en Java6 in standaard ondersteunde distros vinden.

Het probleem is meestal niet dat het niet kan maar dat het moeilijker wordt om een custom distro te maken die vb op een oude libc gebaseerd is, niet onmogelijk, maar veel werk en als je niet gezind bent om 50k uit te geven om up te graden ben je zeker niet gezind om 100k uit te geven aan een SysAdmin die dit wel kan.

Het probleem in Windows die erbij komt: je kunt de standaard libraries zelf niet hercompileren (vb .NET1) dus zit je vast aan wat Microsoft vaststelt dat zij willen ondersteunen.

[Reactie gewijzigd door Guru Evi op 23 juli 2024 08:02]

Vyo @Blokker_1999 • 30 december 2022 10:45

100% true. De paar zeldzame gevallen dat ik een variatie op "deze versie van Windows is niet ondersteund" als melding krijg, was het één variabele in het installatie-bestand aanpassen met Orca en het werkte verder zonder issues.

Bruin Poeper @w4rguy • 30 december 2022 14:04

Zo is het ook met die bruggen en sluizen. Die worden ook periodiek onderhouden. Doe dat nou ook met de aansturing.

Je hebt ('kennelijk') geen flauw benul wat dat kost.
Die aansturing is doorgaans nauw verweven met mechanische hardware. Dat is nagenoeg onvervangbaar, zal iig zéér prijzige operatie worden. Vaak zal je de hele machine moeten vervangen.
Een productiemachine in een metaalbedrijf bijvoorbeeld kost tonnen tot meerdere miljoenen.

[Reactie gewijzigd door Bruin Poeper op 23 juli 2024 08:02]

synoniem @Bruin Poeper • 29 december 2022 16:08

Een beetje technische installatie moet minimaal 15 jaar meegaan dus het is uitermate onverstandig om daar Windows voor te gebruiken. Is er geen andere mogelijkheid zorgt dan dat de installatie airgapped is of achter een moderne firewall zit. Een firewall elk vijf jaar vervangen is meestal goedkoper dan de achterliggende installatie moderniseren.

sprankel @synoniem • 29 december 2022 19:47

Een Siemens PLC steken (onderliggend Linux), zeggen het draait niet Windows, installatie moet vervolgens minimaal 15 jaar draaien waarbij we niet achterliggend ook maar iets aan de PLC gaan moderniseren.

Daar ga ik mee akkoord op voorwaarde dat die installatie volledig air-gapped is maar wie bouwt er nog air-gapped installaties? Niemand. En wat is het antwoord dan, steek een firewall en alles is opgelost. Als je niet aan security wilt doen waarom doe je dan nog moeite met een Firewall?

De reden waarom jij een Firewall steekt is omdat jij weet dat die Siemens PLC tegenwoordig gewoon aan het netwerk hangt. En aan dat netwerk hangen operator clients met SCADA, in dit geval WinCC en op welk OS draaien die dan? Inderdaad, Windows machines. Op die windows machines kom je dan een of andere VPN/RDP/Teamviewer tegen want de leverancier vind het o zo handig om remote die technische installatie op te volgen en te programmeren. Dan moet je ook nog data uit die technische installatie krijgen voor analyse en monitoring, of je het nu doet via OPC, OPC UA, MQTT of iets anders, allemaal connecties met de (IT/IoT) buitenwereld.

Dan hebben we het nog niet gehad over hoe die Siemens PLC met zijn I/O communiceert, Profinet, Modbus, IsoOnTCP, CAT, ga maar door. Maar eens goed gekeken naar hoe die tegenwoordig verbinden? Allemaal IPv4 met een RJ45 connector. Als dat allemaal air-gapped is zoals vroeger, niet meteen een probleem maar we willen integratie, smart grids, connected factories kortom industry 4.0. Ik heb letterlijk meegemaakt dat de buur (fabriek) een gat door de muur boort, er een netwerkkabel doorsteekt waar modbus over moet gaan want ja, die moest live informatie van onze sturing hebben, of ik hem even wilde inpluggen was de vraag dan.

En hoe zit het dan met security? Als jij in die wereld zit, hoeveel bedrijven ken jij die de firmware van een dedicated PLC updaten? Of die updates installeren op hun operator/SCADA clients?

Niemand, het zit achter een firewall en daar moet je het maar mee doen. Tot je een packaged unit komt zetten bij mij in het bedrijf welke onder Seveso valt, NIS 2 wetgeving zit achter ons, verzekering begint audits te doen en ik kan je verzekeren, die gaan alles behalve akkoord met het firewall verhaal. Dus zijn er 40 verschillende leveranciers formeel aangesproken die van die klein beetje losse technische installaties hebben gezet in het verleden met de vraag, hoe ga je de security garanderen van die installatie. 2! van de 40 hebben geantwoord, de 38 andere doen alsof hun neus bloed. De verzekering maakt het eenvoudig, ofwel gaat die leverancier een deftig security beleid doen ofwel zet je hem op de zwarte lijst, indien je dat niet wilt doen trekken we de verzekering in en zonder verzekering geen bedrijf.

Kan je zeggen, ja maar jij bent Seveso, een gewone fabriek gaat daar geen last van hebben, dan zou ik de NIS 2 nog eens nalezen. Het is eerder men gaat eerst achter de meest kritieke bedrijven maar eenmaal men daar klaar is, dan hangt de rest er ook aan.

Bovenstaand is geschreven ervan uitgaand dat we het over gewone sturing hebben, als je over Safety PLC's begint te spreken dan zijn die ofwel echt air-gapped ofwel heb je een (zo goed als) waterdicht security beleid inclusief een security analyse zowel voor, als tijdens, als na een Hazop (wat ik nog nergens gezien heb, mogelijks wel ok in de nucleaire sector?) ofwel is je Safety niet meer conform de ISO normering.

synoniem @sprankel • 29 december 2022 20:06

Het kan altijd beter natuurlijk maar bijvoorbeeld een PLC mag niet rechtstreeks aan het netwerk laat staan internet hangen. Nu zijn het meestal ook geen grote hoeveelheden data dus een op ARM gebaseerd boardje met twee netwerkpoorten als firewall voldoet dan. SCADA alleen tussen twee firewalls met beveiligde verbinding. Zerotrust maar dan nog een graadje erger. Dat kost geld en inspanning van ter zake kundige mensen dus nog meer geld. Ik vind het daarom prima dat de NIS 2 wetgeving achter onze vitale infrastructuur aan zit.

sprankel @synoniem • 29 december 2022 21:30

Even los dat enkel firewalls als enigste maatregel niet meer geaccepteerd word, een ARM bordje met 2 netwerkpoorten word als firewall ook niet meer geaccepteerd (het merendeel van industriele firewalls op de markt vallen onder dit type)

Immers die doen niet meer dan zeggen IP A 10.10.0.100 mag aan IP B 10.11.0.100 maar verder gaan die basis firewalls niet.

Als je naar een high-end firewall gaat, dan gaat die de traffic inspecteren en kan je zeggen IP A mag aan IP B maar enkel voor applicatie IsoOnTcp read maar niet write. Als je dan pakweg een RDP probeert te doen bots je op de firewall. Techniek valt onder deep packet inspection.

Maar als je aan deep packet inspection doet, wat doe je dan met SSL verkeer? Dat is encrypted, een voorbeeld daarvan is OPC-UA of een VPN verbinding, de firewall kan daar niets mee want die zit enkel versleutelde data . Dat wilt zeggen dat de firewall ook in staat moet zijn om encrypted verkeer open te breken.

Vervolgens moet die firewall zijn packet inspection ook gebruiken om dat verkeer te scannen op malware/virussen/trojans enzovoort.

Als je daar bent, waar ik nu ben, dan is het nog niet afdoende. Men wil garantie dat als persoon Jan zijn computer door de firewall gaat met een RDP connectie richting een PLC, dat het effectief persoon Jan is die achter de computer zit en niet Sofie. Dat wilt zeggen dat de firewall een identiteitscontrole moet kunnen doen op persoon, dat wilt zeggen dat Jan een active directory account moet hebben (of vergelijkbaar) en dat wilt zeggen dat de firewall moet integreren in een domein (of vergelijkbaar).

Als jij een ARM bordje met 2 netwerkpoorten kent die dat kan hoor ik het graag maar wij zijn al lang van de industriële firewalls afgestapt en overgeschakeld naar de high end firewalls uit de IT wereld.
Voor industriele netwerken, de switchen die Siemens als marktleider op de markt zet als de standaard voor Profinet zijn tevens niet afdoende, toen Siemens onze eisen hoorde zeiden ze dat enkel Cisco dat momenteel aanbied in hun industrial ethernet series. (wat we al wisten maar ik viel van mijn stoel dat Siemens ons vlakaf naar een concurrent verwees)

Dat is nog een ander probleem, al die "security proof" toestellen die aangeboden worden binnen die wereld zijn niet meer dan een pleister op een wonde die zwaar aan het etteren is.

En ja die PLC mag niet rechtstreeks aan het netwerk/internet hangen maar als een leverancier er vanop afstand aan moet kunnen, als daar data uit moet komen, als die moet communiceren met vanalles en nog wat dan hangt die links of rechts toch echt aan het internet waarbij je toch terug komt op een volledig security beleid. Dat die niet 1 op 1 direct aan het internet mag hangen lijkt logisch maar ik zie genoeg leveranciers afkomen met een 3/4G modem zodat ze rechstreeks kunnen inloggen op hun PLC.

Kort gezegd, net zoals je in IT niet ergens een toestel kan zetten dat je security regelt kan je niet in de OT ergens een ARM bordje zetten met 2 netwerkpoorten die het wel zal regelen de komende 15 jaar. Het verhaal we bouwen een installatie en we kijken er 15 jaar niet meer naar, dat verhaal is over & uit.

karma4 @synoniem • 29 december 2022 16:52

De praktijk is anders kijk eens naar tv's, zonder windows en naar en paar jaar doen die het nit meer zoals ooit beloofd was. Met embedded Windows systemen zie je juist verrasend jarenlange stabiltieit, ATM's.

bzzzt @karma4 • 29 december 2022 16:59

Dat kan prima, maar dan bouw je een apparaat op rond een embedded versie van Windows die jarenlang support krijgt in plaats van de 'normale' versie. Dat laatste gebeurt helaas nog veel te vaak.

latka @karma4 • 29 december 2022 17:01

Die draaien los van het internet en worden veel minder vaak geupdate

psychicist @Bruin Poeper • 29 december 2022 17:57

Dat hoeven we zeker niet te doen, mits de software beschikbaar is als broncode of eventueel via omwegen als broncode beschikbaar komt. Ik zou sowieso geen hardware aanschaffen die alleen met Windows software aan te sturen is.

mjl @w4rguy • 29 december 2022 16:06

I’m princiepe heb je gelijk maar als enthousiaste gebruikers een leuke applicatie vinden en daar dan (met allemaal goede bedoelingen) allerhande custom coding aan toe voegen en API calls gebruiken die bij een nieuwe versie obsoleet worden zit je opeens met een legacy probleem. Over naar de nieuwe versie kan niet want de eigen gemaakte workflows kunnen niet mee, geen tijd voor refactoring want we moeten door en we zijn al onderbezet, naar een nieuwe versie van de software en de huidige versie wordt niet ondersteund op een recente Windows versie… voila een conflict met de business want de applicatie is gaandeweg een integraal onderdeel geworden van het werkproces

maar goed, gelukkig zijn dat wel de uitzonderingen. Reguliere tools worden gewoon goed onderhouden.

bytemaster460 @w4rguy • 29 december 2022 16:11

Probleem is dat veel applicaties aan veel grotere systemen hangen die miljoenen kunnen kosten en nog lang niet zijn afgeschreven zijn als een Windowsversie EOL is. Je bent overgeleverd aan de leverancier.

Cergorach @w4rguy • 29 december 2022 16:19

Daar zou je in je system lifecycle rekening mee moeten houden, toch?

In theorie ja, maar hoeveel bedrijven houden al rekening met system lifecycle? En ik bedoel dan niet een deel, maar voor alles. Wat ik zo vaak voorbij zie komen is dat er toch altijd weer wat boven water komt waarvan de IT of een deel van de IT niets af wist, omdat het software pakketje met PCtje ooit een keer is aangeschaft via een ander budgetje, buiten het weten van IT (deel) om...

Of nog leuker, allerlei verschillende IT afdelingen die zo allemaal hun eigen ding doen, met eigen budget...

jpsch @w4rguy • 29 december 2022 17:02

Auto blijft tot nu toe gewoon werken. Al rijd je een t-ford.

CivLord

@jpsch • 30 december 2022 09:16

Ik betwijfel of een T-Ford op benzine loopt die je nu bij de benzinepomp kan halen.

jpsch @CivLord • 30 december 2022 09:41

T-ford kan op ethanol rijden. Denk niet dat 'ie moeite heeft met de huidige benzine.

edit: lood werd pas in 1921 aan benzine toegevoegd, dus dat moet ook het probleem niet zijn

[Reactie gewijzigd door jpsch op 23 juli 2024 08:02]

Corsa_GSi @w4rguy • 30 december 2022 09:00

Je auto mag dan financieel gezien afgeschreven zijn na X jaar, maar technisch kan die gewoon (bij normaal onderhoud) 3x X jaar mee.

Ik rijd zelf een Astra F uit 1997, financieel afgeschreven na 3 jaar natuurlijk, maar inmiddels ook al bijna 26 jaar oud en technisch in top conditie.

Lethalis @w4rguy • 30 december 2022 17:59

Ik werk nog regelmatig aan software die 20 jaar geleden geboren is

Natuurlijk met de nodige aanpassingen hier en daar, maar de basis is nog steeds een .NET Windows Forms applicatie waarvan delen uit VB6 geporteerd zijn.

Met SQL Server als database.

w4rguy @Lethalis • 30 december 2022 21:36

en wanneer was je laatste security test?

Lethalis @w4rguy • 31 december 2022 09:01

Soms, als ik in een goede bui ben, vervang ik wat queries door nieuwe met SQL parameters

Maar super veilig is het allemaal niet nee. Daar staat tegenover dat je het pakket alleen lokaal kan gebruiken. Kortom, als je het op afstand wil gebruiken zul je altijd via een VPN en / of RDP sessie moeten werken.

In de praktijk is het grootste security probleem dat mensen teveel rechten krijgen op de Windows server en af en toe tóch een bijlage openen die je beter niet kunt openen.

Sindsdien hameren we er op dat klanten goede backups maken.... paar jaar geleden kreeg ik wel een halve zenuwinzinking omdat aardig wat klanten RDP naar buiten toe open hadden staan en ze vrij snel allemaal een cryptolocker hadden.

Maar goed, dit was allemaal te voorkomen geweest door beter systeembeheer (alleen VPN toestaan, mensen minder rechten geven, regelmatig updates installeren, geen Windows Server 2012 meer gebruiken, goede backups hebben etc).

Dat onze software niet aan allerlei eisen voldoet, is dan nog het kleinste probleem. Het wordt een ander verhaal als we een webversie gaan bouwen...

Overigens is de situatie bij veel klanten wel verbeterd de afgelopen tijd door al die besmettingen en ook omdat we ze wat beter bang kunnen maken door gewoon te vertellen wat er bij klant X of Y is gebeurd.

PS Ik wil de software wel graag verbeteren, maar ruim een half miljoen regels code aanpassen met 2 man gaat geen groot succes worden. Dus ik verbeter simpelweg de dingen waar ik toch al aan moet werken.

[Reactie gewijzigd door Lethalis op 23 juli 2024 08:02]

beerse @bommel • 29 december 2022 18:31

Het grootste probleem met applicaties is wel dat die applicaties op een ander moment en op een andere manier worden bijgewerkt dan het besturingssysteem waar ze op draaien.

Hier in huis hebben we nog een msOffice 2010 licentie, die heb ik onlangs op een windows 11 systeem geïnstalleerd. msWord en msExcel werken zonder problemen. Alleen na de laatste update/upgrade van W11 moest de installatie van die antieke msOffice even worden ge-refresht omdat er iets met de fonts en templates aan de hand was.

Zolang software niet op de grenzen van het besturingssysteem werkt is de belofte van compatibiliteit die zowel de software leveranciers als ook microsoft die altijd biedt nog altijd uit gekomen en blijkt het beter te werken dan de pessimisten verwachten en vooral beter dan dat de marketing afdeling wenst...

Software die wel op W8 draait maar niet op W10 wil meewerken heeft onder W8 ook al issues gehad. En ook met de introductie van W11 belooft microsoft heel veel compatibiliteit met vorige versies. Het is dat ze de interface nu wat erger om zeep geholpen hebben dan de vorige keren dat de oude software niet op de gewenste plekken in het buroblad op duikt... En daar is zeker wel wat aan te doen, als je de kennis maar wilt opbouwen.

Voor de server 2012 kant: Als je nu nog met W2012 systemen draait en die niet wilt bijwerken van wege de software die daar draait: Ook die software kan/mag na een paar jaar wel worden bijgewerkt. Als je er zakelijk in zit, werk dan alles een keer bij. Misschien ook nieuwe hardware... Als je nu ook nog software draait die niet op nieuwere windows server versies werkt, dan hoef je ook windows niet bij te werken.

[Reactie gewijzigd door beerse op 23 juli 2024 08:02]

Delade 29 december 2022 15:28

Sinds wanneer waarschuwt de overheid ons over welke software we moeten uitfaseren? Is dit al langer zo? Ik heb dit nog nooit gehoord en sta er echt wel even van te kijken..

fm77 @Delade • 29 december 2022 15:30

Zie de bron: https://www.digitaltrustcenter.nl/
Dit is van de overheid. En dat doen ze zeker wel vaker. Ook met andere veiligheidsissues.

Delade @fm77 • 29 december 2022 15:32

Ahja. Ik zie het.

Grappig die grote leus op hun homepage over de security.txt die ze vervolgens niet zelf gebruiken

"Not Found
The requested URL "https://www.digitaltrustcenter.nl/security.txt" was not found on this server."

DnJealt @Delade • 29 december 2022 15:52

Tja, als je niet weet waar je moet zoeken ga je uiteraard een 404 krijgen

https://www.digitaltrustcenter.nl/.well-known/security.txt

Blokker_1999

Besturingssystemen
Microsoft Windows Server
Microsoft Windows
Microsoft Windows 8.1 NL
Microsoft
Microsoft Windows 8

@DnJealt • 29 december 2022 16:39

Ze kunnen het beter .not-so-well-known noemen

xxxneoxxx @Delade • 29 december 2022 15:53

Oh jawel hoor.

https://www.ncsc.nl/.well-known/security.txt

DB LucF @Delade • 29 december 2022 15:56

Dat doen ze dus wel.
https://www.digitaltrustcenter.nl/.well-known/security.txt

killercow @Delade • 29 december 2022 15:59

Hij hoort dan ook in de .well-known map.
https://www.digitaltrustcenter.nl/.well-known/security.txt

De specificatie is al een tijd terug aangepast.

wildhagen

Microsoft Windows Server
Besturingssystemen
Microsoft Windows
Microsoft

@Delade • 29 december 2022 15:32

Dat is onderdeel van het Digital Trust Center (DTC), wat een onderdeel is van het Ministerie van Economische Zaken & Klimaat.

Het einde van de support levert ook kwetsbaarheden op die niet meer gepatched worden. Het DTC waarschuwt daar dus ook voor: nieuws: Digital Trust Center waarschuwde 5200 keer bedrijven voor kwetsbaarheden

Tweakers heeft hier al eens een artikel over geschreven: review: Zo waarschuwt de overheid het bedrijfsleven voor kwetsbaarheden

[Reactie gewijzigd door wildhagen op 23 juli 2024 08:02]

batjes

Besturingssystemen
Microsoft Windows
Microsoft Windows 8
Microsoft

@Delade • 29 december 2022 15:34

Dat deed de overheid ook bij het einde van de support van Windows 7. Alleen niet zo publiekelijk. Onze overheid is de laatste jaren hier een stukje pro-actiever mee geworden en dat is fijn.

CAPSLOCK2000

Besturingssystemen
Microsoft Windows

29 december 2022 15:55

2012 lijkt lang geleden maar als je niet oplet vliegt de tijd.

Mijn dringend advies is om altijd de nieuwste OS-versie te draaien. Dat betekent dus dat je ongeveer eens per 2 jaar een major upgrade doet. Hoe vaker je upgrade hoe makkelijker het is. Hoe groter het gat dat moet worden overbrugd hoe groter de kans op vervelende problemen.

Dat lijkt misschien erg vaak voor software die 10 jaar ondersteuning krijgt maar dat is het niet. In praktijk gaan dingen namelijk niet altijd zoals het hoort. Als je 9 jaar wacht met upgraden en pas in het 10e jaar begint dan heb je geen ruimte meer voor fouten en mislukte projecten.

Dat is natuurlijk een extreem voorbeeld, maar met veel minder kom je er niet. Stel dat je eens in de 4 jaar een upgrade doet (en er dus eentje skipt). Als dat goed gaat prima, maar stel dat het niet goed gaat. Dan moet je op zoek naar een oplossing en dat kan een tijdje duren. Dan is je systeem al weer vijf jaar oud. Windows krijgt misschien wel zo lang ondersteuning maar applicatiesoftware vaak niet.

Ook als de leverancier wel nog ondersteuning biedt is het maar de vraag hoe goed die nog is, na vijf jaar is de kennis daar ook weggezakt en het personeel vervangen door een nieuwe generatie. Trouwens niet alleen bij de leverancier maar ook binnen je eigen organisatie.

Je moet dan een migratie gaan doen vanaf een leverancier die geen motivatie heeft om je te helpen en je eigen personeel heeft de kennis ook niet meer of nooit gehad.

Ondertussen draait de rest van de wereld verder en wordt je probleem steeds groter omdat je vast komt te zitten door afhankelijkheden op oude of nieuwe versies. Zeker in een omgeving waarin meerdere applicaties samenwerken kan een enkele oude applicaties de upgrades van andere applicaties dwars zitten. Dan wil applicatie X dat je database versie 4 draait terwijl applicatie Y niet meer dan 3 snapt, dus kun je applicatie X ook niet upgraden.

Echt interessant wordt het als je een bewaarplicht hebt. Veel organisaties moeten gegevens een tijd lang bewaren, bv omdat de belastindienst dat wil. Dan heb je het al snel over 5 jaar of meer. Bewaren alleen is niet genoeg, je moet er ook bij kunnen. Soms is het genoeg om de rauwe data op te slaan maar meestal heb je ook de oude sofware nodig om die data te kunnen inzien. De software moet dus nog eens 5 (of 10) jaar mee. Als je software op dat moment al minimaal 5 jaar oud is dan wordt dat krap. En dat is dan zo'n beetje het meest gunstige scenario.

Vaak hoor ik dan de suggestie om de server (of de VM) dan maar uit te zetten en offline te bewaren. Men gaat er van uit dat je zo'n ding 5 jaar later weer aan kan zetten en alles werkt. In praktijk krijg je dan eerst een pop-up dat je licentie is verlopen, dat er updates geinstalleerd moeten worden en blijkt dat je network is veranderd waardoor je ip-adressen en firewall-regels niet meer werken. Daarbij zijn alle wachtwoorden, accounts en certificaten verlopen, als de wachtwoorden van toen uberhaupt nog bekend zijn. Documentatie is niet meer te vinden of is verwarrend omdat het over een andere versie gaat.

Dan heb ik het er nog niet eens over gehad dat de support op 10 jaar oude software over het algemeen nog al tegenvalt, wat de leverancier verder ook belooft, economisch gezien is dat gewoon niet te doen.

Sterker nog, wacht niet met nieuwe versies testen tot dat de software officieel wordt uitgebracht. Maak gebruik van test-versies als die er zijn, de leverancier biedt die niet voor niets aan. Door vooraf te testen kun je direct beginnen met upgraden als de software "af" is en heb je (ongeveer) 2 jaar om dat af te ronden. Als je wacht tot de software officieel wordt uitgebracht begin je pas maanden later aan je evaluatie en dat gaat af van de 2 jaar die je hebt tot de volgende major upgrade. Extra voordeel van testen is dat je problemen in de software kan laten oplossen als het nog makelijk is. Na de release wordt het veel moeilijker om veranderingen door te voeren.

Dus, installeer altijd zo snel mogelijk* de nieuwste versie. Ga er van uit dat je alles wat je hebt iedere 2 jaar een grote upgrade geeft. Het overslaan van upgrades spaart nauwelijks tijd maar verbergt problemen op het moment dat ze nog makkelijk op te lossen zijn.

* soms is het niet mogelijk of kan het niet snel, dat is prima.. als je nog 8 jaar over hebt om het probleem op te lossen.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 08:02]

kdekker @CAPSLOCK2000 • 29 december 2022 17:51

Voor desktops hebben heel veel bedrijven Windows 8 overgeslagen. Dus in 1x van Windows 7 naar 10. Dat leverde dan wel weer problemen op, als je software schrijft voor klanten die zelf al wel op Windows 10 zitten, maar de eigen IT organisatie niet. Dit gezegd hebbende: het gebeurt soms dat een major versie overgeslagen wordt.

Voor Windows Server ligt het een tikkie ingewikkelder: Microsoft heeft vaak een beperkt upgrade scenario (meestal 1 versie). En tussendoor zijn de licentievoorwaarden volgens mij ook aangpast (mbt core count), waardoor - als je pech had - naar een nadere variant (niet meer Standard) editie van Windows Server moest.

Daarbij: hardware gaat vaak ca 3-5 jaar mee. De Windows Server cycli lopen of liepen niet altijd gelijk. Idealiter doe je helemaal geen major OS (in place) upgrade, maar stap je op nieuwe hardware zo hoog mogelijk in. Maar dat kan alleen als je eigen software of extern ingekochte toolkit, zoals versiebeheersysteem, daarmee overweg kan + de binaries die van de nieuwe server af komen rollen (C/C++ i.c.m. Visual Studio) ook op (nog gesupporte) oudere Windows versies draaien. Dat is vaak wel zo, maar (was) niet altijd (zo). Die mix van (doorgaans) 3 releases moeten supporten (voor klanten) was weleens een lastige uitdaging, i.c.m. de eigen IT (als die achter liep). Zelfs bij een softwareontwikkelbedrijf is de eigen IT meer gericht op 'de rest van het niet-development-team' personeel (administratief/sales) en moest je maar zien hoe het development team alle ballen in de lucht hield.

Maar wat je vaak ziet is: een auto krijgt onderhoud, een software pakket of bijbehorden hardware niet, of te weinig. Want duur. En dus een mega klap op een (meestal) ongelukkig moment.

CAPSLOCK2000

Besturingssystemen
Microsoft Windows

@kdekker • 29 december 2022 20:40

Voor desktops hebben heel veel bedrijven Windows 8 overgeslagen. Dus in 1x van Windows 7 naar 10. Dat leverde dan wel weer problemen op, als je software schrijft voor klanten die zelf al wel op Windows 10 zitten, maar de eigen IT organisatie niet. Dit gezegd hebbende: het gebeurt soms dat een major versie overgeslagen wordt.

MS gaat steeds sneller, Windows 10 verwacht ook dat je regelmatig upgrade en ondersteunt de subreleases van Windows 10 maar een jaar of 2. Versie 21H1 zou je eigenlijk al niet meer moeten gebruiken, dat is ook maar 2 jaar.

Daarbij: hardware gaat vaak ca 3-5 jaar mee. De Windows Server cycli lopen of liepen niet altijd gelijk. Idealiter doe je helemaal geen major OS (in place) upgrade, maar stap je op nieuwe hardware zo hoog mogelijk in.

Virtualisatie heeft dat wel flink veranderd.

Maar dat kan alleen als je eigen software of extern ingekochte toolkit, zoals versiebeheersysteem, daarmee overweg kan + de binaries die van de nieuwe server af komen rollen (C/C++ i.c.m. Visual Studio) ook op (nog gesupporte) oudere Windows versies draaien. Dat is vaak wel zo, maar (was) niet altijd (zo). Die mix van (doorgaans) 3 releases moeten supporten (voor klanten) was weleens een lastige uitdaging, i.c.m. de eigen IT (als die achter liep).

Goed punt, om oude software te ondersteunen heb je ook een 'supply chain' nodig die dat ook kan. De kosten komen uiteindelijk bij de klant terecht.

Zelfs bij een softwareontwikkelbedrijf is de eigen IT meer gericht op 'de rest van het niet-development-team' personeel (administratief/sales) en moest je maar zien hoe het development team alle ballen in de lucht hield.

Ik roep wel eens dat ieder bedrijf tegenwoordig een IT-bedrijf is.
Meestal bedoel ik daarmee dat veel organisaties niet beseffen hoezeer ze afhankelijk zijn van IT voor alles wat ze doen en de meeste problemen waar ze mee worstelen zijn IT-gerelateerd. Een fors deel van de beroepsbevolking werkt de hele dag met een computer, internet, telefoons, etc.. Goede IT kan je maken of breken.
Helaas zijn er ook een hoop IT-bedrijven die het nog niet helemaal snappen.

Rolfie

@CAPSLOCK2000 • 29 december 2022 16:14

Mee eens.

Maar met beheerscontracten van 2-5 jaar, kan dit wel lastig worden. Waarom upgraden als dit niet noodzakelijk is?

Moet je natuurlijk wel op tijd beginnen met je upgrade, maar een voordeel is dan vaak, dan je dit kan combineren met een hardware replacement of een leverancier / contract veranderingen en je er dus dedicated project resources op kan zetten.

CAPSLOCK2000

Besturingssystemen
Microsoft Windows

@Rolfie • 29 december 2022 17:12

Maar met beheerscontracten van 2-5 jaar, kan dit wel lastig worden. Waarom upgraden als dit niet noodzakelijk is?

IMHO is het wel noodzakelijk en hoort dit soort onderhoud deel te zijn van je contract.

Maar eigenlijk is het geen probleem. Als je contract 5 jaar duurt dan moet je voor het einde van het 5e jaar iets nieuws hebben geregeld en je moet er rekening mee houden dat het niet in één keer goed gaat of dat je de oude versie ook nog een tijdje moet blijven gebruiken.
Als je 1 jaar uittrekt voor de migratie, 1 jaar extra om mislukte migraties op te vangen en dan nog een jaar extra om de oude software nog wat langer door te laten draaien heb je nog maar 2 jaar "pure productie" over.
Nu zijn 3 jaar voor migratie en uitloop misschien wat veel maar je hebt ook aan het begin van het project tijd nodig om de (dan nog nieuwe) software in gebruik te nemen.

Daar komt ook nog bij dat die software op dat moment waarschijnlijk ook niet gloednieuw is, tenzij je, zoals ik suggereerde, jezelf hebt voorbereid met het testen van beta-versies. Aan het eind van je 5-jarige contract kan de applicatie waar het om gaat dus zomaar 7 jaar oud zijn.

Moet je natuurlijk wel op tijd beginnen met je upgrade, maar een voordeel is dan vaak, dan je dit kan combineren met een hardware replacement of een leverancier / contract veranderingen en je er dus dedicated project resources op kan zetten.

Zoals ik hierboven laat zien heb je om 2 jaar een applicatie te draaien meer dan 2 jaar ondersteuning nodig omdat je zowel aan het begin als aan het einde migratietijd nodig hebt. Het ogenschijnlijk verschil tussen "5 jaar ondersteuning" en "iedere 2 jaar een upgrade" is er eigenlijk niet.

Uiteraard verschilt het allemaal erg per applicatie en systeem en organisatie. Die 2 jaar zijn geen natuurwet.
Mijn belangrijkste boodschap is dat je zo snel mogelijk moet beginnen met upgraden en geen releases moet overslaan. Wat je al helemaal niet moet doen is wachten tot het einde van de ondersteunde periode voor je aan de upgrade begint. Lange ondersteuning moet je zien als extra zekerheid bij tegenslagen, niet als alternatief voor upgraden. Net zoals een motorhelm er niet is om ongelukken te voorkomen maar om de gevolgen van een ongeluk te beperken.

HKLM_

Microsoft Windows

29 december 2022 15:14

De windows server 2012 ondersteuning zou eerst ook op 10 januari 2023 stoppen maar Microsoft heeft dat opgerekt tot oktober 2023.

Bedrijven die momenteel nog niet bezig zijn met hun upgrade / migratie pad zitten echt kei hard te slapen aangezien dit al jaren bekend is.

MischaBoender @HKLM_ • 29 december 2022 15:17

Ach, met ESU is het nog op te rekken tot 2026, waarom die haast?

HKLM_

Microsoft Windows

@MischaBoender • 29 december 2022 15:23

Enterprises betalen dat waarschijnlijk zo inderdaad, maar de grote groep MKB trekt niet zo snel de portemonnee voor ESU…

Die lopen vaak al te zeuren dat hun 10 jaar oude OS EOL gaat en ze moeten upgraden.

PageFault @HKLM_ • 29 december 2022 15:26

Ach, zolang je Windows Server 2008 R2 ook nog bij klanten tegen komt.....

nelizmastr @PageFault • 29 december 2022 15:39

Als je daar als IT'er niets over zegt dan blijft het er ook draaien

Heel vaak is niet upgraden één van drie zaken
- Luie IT partij die niet proactief upgradet "het werkt dus boeiend"
- Vereiste applicatiecompatibiliteit - virtualiseren en isoleren is dan de beste optie
- Hand op de knip (met name MKB). Als IT partij afscheid van nemen en focussen op klanten die wel willen betalen.

Cergorach @PageFault • 29 december 2022 16:32

Ach, zo kwam je een aantal jaar geleden ook nog Windows Server 2003 tegen, jaren na de EOL datum. En vaak is het zo als @nelizmastr aangeeft. Een klant klopt bij je aan omdat ze af willen van hun huidige partij (of vice versa) en dan kom je allerlei verrassingen tegen, zoals extreem oude installaties. Als zo een klant dan al begint te steigeren bij je harde eis dat een dergelijke server direct vervangen dient te worden (en je goed uitlegt waarom), dan weet je vaak al snel wat voor type klant dat is en dat dit niet jou klant gaat worden...

Afgesloten visualiseren is iets wat we hebben gedaan in het verleden omdat er inderdaad oude meuk op zat die je niet 1-2-3 vervangt. Maar dan zou ik altijd adviseren om daar een harde einddatum aan te plakken zodat ze x periode hebben om een nieuwe applicatie te kiezen en y periode om de gekozen applicatie te implementeren en daarnaartoe te migreren. Daarnaast, flink geld voor vragen, want vaak zijn dat van die buitenbeentjes die zeer lastig te automatiseren zijn omdat de software waar jij mee werkt het vaak ook al als EOL behandeld en dus vaak handwerk wordt (als het al bereikbaar is voor je beheersoftware ivm. 'afgesloten'). Daarnaast, nooit garanties op geven, want als MS dat al niet meer doet, dan kan jij dat ook niet meer...

CivLord

@Cergorach • 30 december 2022 09:40

Als IT-er heb je soms erg makkelijk praten: upgraden of opzouten.
Als bedrijf kunnen beide erg lastig en erg duur zijn.

Stel je hebt een computergestuurde freesmachine van een paar ton. De laatste versie van het stuurprogramma van de inmiddels failliete leverancier werkt enkel nog op een Windowsversie die inmiddels X jaar EOL is. De freesmachine zelf werkt perfect en heeft nog een economische levensduur van tien of vijftien jaar. Moet die freesmachine dan maar op de schroothoop? En hoe wordt de freesmachine vervangen? De meeste MKB-bedrijven hebben niet een paar ton op de rekening staan, dus moeten ze naar de bank. Wanneer je bij de bank vertelt dat je een lening wilt hebben om je freesmachine te vervangen die economisch nog niet is afgeschreven en waarvan je ook nog een lening aan het afbetalen bent, zullen ze je hard in je gezicht uitlachen.

En er zijn ook genoeg leveranciers die voor elke nieuwe versie van de besturingssoftware rustig € 25.000 of meer vragen. Dat is ook niet altijd economisch haalbaar voor een bedrijf.

Cergorach @CivLord • 30 december 2022 10:19

Als IT-er heb je soms erg makkelijk praten: upgraden of opzouten.

Ja.

Maar inderdaad ik heb zo een voorbeeld mogen meemaken met peperdure laser snijders die nog op XP draaide. Echter adviezen voor aparte netwerken, loskoppelen van het netwerk, etc. werden ook niet geaccepteerd of als 'lastig' bevonden (of later alsnog effe vlot aangesloten op het internet.)

De vraag is dan niet of het fout gaat, maar wanneer het fout gaat en hoeveel schade dat berokkend met een kostenpost die je effectief weggooit, want je probleem is daarmee nog steeds niet opgelost. Want dergelijke problemen gaan gegarandeerd ver buiten je supportcontract vallen, dus vaak duur uurtje factuurtje en afhankelijk van het issue, kan dat aardig oplopen. Nog maar niet te spreken over de tijd dat het hele zootje stilligt, contracten die niet (tijdig) worden afgerond en eventueel schade aan machines/materiaal.

Het probleem is dat een MKB bedrijf ook gewoon een onderneming is die risico loopt, per definitie. Deze maken keuzes qua kosten waar risico aan zit, zoals een failliete leverancier en geen ondersteuning meer op het gekochte product. Maar door die wens op EOL IT support door een IT leverancier schuif je daarmee effectief je eigen verantwoordelijkheid af naar een ander. Als men die extra kosten voor een Tormach, Haas, CNCswiss, etc. neer had gelegd dan had je nu niet een issue gehad... Hetzelfde issue wat we hier ook in de IT hebben: Pay peanuts, get monkeys! ;-)

Ik was toen der tijd niet goed op de hoogte van zaken rond dergelijke aansturing, maar vanuit interesse van 3Dprinting daar wel iets meer inzicht in gekregen. En natuurlijk zijn er bedrijven die €25k rekenen voor xyz, er zijn ook bedrijven die €50k rekenen voor exact hetzelfde... Er zijn veel goedkopere alternatieven, afhankelijk van je hardware, maar als je die kennis niet in huis heb, zal je die moeten inhuren en afhankelijk van die specifieke kennis en waar je zoekt naar die kennis.

Ik ben bv. zelf aan het kijken om een 3D printfarm te bouwen en daar kies ik ook niet voor de goedkopere proprietary 3D printers, maar duurdere (zowel in kosten, bouwen en R&D) waarbij ik niet afhankelijk wordt van 1 leverancier...

CivLord

@Cergorach • 30 december 2022 10:42

Soms is het verschil tussen een duurder gerenommeerd bedrijf en een goedkopere optie het verschil tussen een machine niet en net wel kunnen aanschaffen en dus het verschil tussen door blijven modderen met antieke, afgeschreven apparatuur (of zelfs het sluiten van het bedrijf) en een goede concurrentiepositie hebben met moderne apparatuur. En ook gerenommeerde bedrijven zijn niet immuun voor faillissement, of voor een overname waarna de nieuwe eigenaar de support drastisch vermindert.

Cergorach @CivLord • 30 december 2022 12:05

Soms is het verschil tussen een duurder gerenommeerd bedrijf en een goedkopere optie het verschil tussen een machine niet en net wel kunnen aanschaffen en dus het verschil tussen door blijven modderen met antieke, afgeschreven apparatuur (of zelfs het sluiten van het bedrijf) en een goede concurrentiepositie hebben met moderne apparatuur.

Ik begrijp het ook absoluut! Maar de realisatie moet er zijn dat men een groter bedrijfsrisico aangaat. Gezien de hoeveelheid MKB welke failliet gaan nemen er echter teveel mensen/bedrijven een te groot risico en doen er teveel mee aan de 'race to the bottom' door te goedkoop materieel, diensten, personeel, etc. te gebruiken om zo maar een zo laag mogelijke prijs te kunnen hanteren.

En ook gerenommeerde bedrijven zijn niet immuun voor faillissement, of voor een overname waarna de nieuwe eigenaar de support drastisch vermindert.

Die risico's zijn er natuurlijk absoluut, maar die zijn wel een heel stuk kleiner. Het issue waar ik echter op aanstuurde is dat je niet zo makkelijk de risico's kan afschuiven op anderen ITers of IT bedrijven, die danken er dan ook vrij makkelijk voor. Want als een IT bedrijf een bepaald professioneel niveau bereikt gaat het ook kijken naar de 'kwaliteit' van de klanten en ik kan je vertellen dat over het algemeen de 'kwaliteit' van de klanten die zulke constructies hanteren niet als 'hoge kwaliteit' wordt ervaren. Er zijn natuurlijk uitzonderingen, maar die zijn zeldzaam. En met 'kwaliteit' bedoel ik de verhouding opbrengsten vs kosten vs 'gelazer' (over facturen, kosten, onverwachte incidenten, etc.).

Er zijn IT toko's die zich specialiseren in dergelijke situaties/oplossingen, maar die zijn best zeldzaam en daar betaal je vaak ook voor. Of het zijn bedrijfjes die elke klant aanpakken die ze kunnen krijgen en daar moet je als klant ook heel voorzichtig mee zijn. Waarom pakken ze jou wel aan als klant? Is het een startende onderneming? Of hanteren ze dezelfde inkoop policy als jij, waarbij ze voor de goedkoopste optie gaan? En/of heb je dan een heel groot probleem als je ze wel nodig hebt? Vaak kan je dat als niet-IT toko niet beoordelen, zeker niet van te voren. Een dure IT toko kan complete bagger zijn en een goedkope kan super goed zijn (voor het geld), maar de goedkope super goede zijn zeldzaam en vaak blijven die niet supergoedkoop... En ook hier ben je gebonden aan blijft die IT toko bestaan, wordt die niet overgenomen, etc. Over de afgelopen 20+ jaar ben ik heel veel slechte IT bedrijven tegen gekomen en maar relatief weinig echt goede. En de goede IT bedrijven overleven vaak niet een overname of een groei spurt...

Het issue bij IT bedrijven is namelijk dat als het goed gaat met de IT, je moeilijk aan goed IT personeel kan komen om uit te breiden. En als het slecht gaat met de IT, je wel makkelijk aan goed IT personeel kan komen, maar je dan vaak het geld er niet voor hebt. Wat dus betekend dat je zoveel mogelijk uit je bestaande goede personeel wil halen, waardoor je zoveel mogelijk 'rendement' uit je klanten wil halen: zo weinig mogelijk tijd in hoeven steken (door automatiseren) en zoveel mogelijk opbrengsten. En dat komt over het algemeen niet vanuit kleine bedrijfjes die het al niet zo breed hebben en allemaal 'uitzonderingen' zijn op de standaard inrichting en dus meer tijd/kennis vereisen.

Ook een ITer of IT bedrijf kan gewoon NEE zeggen...

themadone @HKLM_ • 29 december 2022 16:03

Of hebben een waardeloze it manager gehad de afgelopen jaren zoals een van mijn klanten. Nu met grote haast alles ombouwen, maar ondertussen hangt alle belangrijke project data heerlijk in SharePoint 2010 op een 2008r2 server

Maar als het meezit halen we het allemaal net op tijd, het zijn alleen de ERP en bedrijfsspecifieke applicaties die moeilijker te migreren zijn. De standaard file, print, mail en domain spulletjes zijn op zich zo gedaan.

Helaas heeft de overheid bakken met maatwerk applicaties en ouwe meuk. Dus ja, die zullen de extended support wel gaan afnemen verwacht ik.

angerfist-yentl 29 december 2022 15:15

Het was dat mijn R9 390x stuk ging en de nieuwe 570 geen windows 8.1 drivers hadden anders had ik windows 8.1 ook nog gewoon gebruikt. vind dat je wat meer eigen baas bent over je OS bij 8.1 en niet zoals bij Windows 10 dat je instellingen elke keer weer mag toepassen.

Bijvoorbeeld ik sorteer graag dingen op "gewijzigd op" maar elke keer verdwijnt die uit het menu en mag je die handmatig weer toevoegen aan de korte lijst met opties. (na elke reboot is het gewoon weer raak) het liefste zou ik terug gaan naar iets als windows 7 ik mis die tijd dat je gewoon minder afhankelijk bent van externe invloeden.

pennenlikker 29 december 2022 15:54

Heb laatst een aantal servers geupgradet van 2012 naar 2019, moet zeggen dat dit redelijk pijnloos ging zolang het geen domain controller is en je applicaties er geschikt voor zijn. Dit was vroeger wel anders.

Liquidbit 29 december 2022 17:16

Ik zal een keer zegen ... een oplossing is Customized Open Source OS's, zoals Linux.

Nooit besturing systemen uit prive bedrijven en zeker nooit van de lobby's.

ACoolDude

@Liquidbit • 29 december 2022 18:21

Er zijn een paar serieuze projecten geweest bij overheidsinstellingen in Duitsland om volledig over te stappen naar open-source maar die zijn, ondanks een lange adem en veel doorzettingsvermogen ("wij vinden dat het echt zou moeten kunnen werken") toch stopgezet.

Dus ja het kan echt wel, zeker particulier imho, maar grootschalig lijkt toch een brug te ver? Heeft iemand op die schaal andere ervaringen?

NLxDoDge 29 december 2022 15:17

Ik zit juist te klagen dat ik op mijn werkt nog geen Windows 11 kan krijgen, dat is dan de andere kant van het verhaal $_/-\o_$

Dutchredgaming @NLxDoDge • 29 december 2022 15:48

Omdat er nieuwe PC's aangeschaft moeten worden met TPM 2.0 chip.
Daarom stellen veel werkgevers het uit tot 2025.
Voor VDI wachten dat de cloud providers of virtualisatie software vTPM (2.0) ondersteunen voor Windows 11.

Cergorach @Dutchredgaming • 29 december 2022 16:42

Het is niet alleen de TPM 2.0 chip, het is ook dat een IT afdeling het moet gaan ondersteunen en als nu alles W10 is, wil je niet opeens er een OS bij hebben wat je nog niet heb getest als dat niet absoluut noodzakelijk is. Niet alleen qua gebruikte applicaties, maar ook zeker qua beheer flows. Aangezien er aan het 'begin' van Windows release ook nog heel wat veranderingen plaatsvinden binnen het OS, met alle rompslomp van dien, stel ik ook vaker voor dat de W11 uitrol ook pas later op de rol komt. Het issue is echter dat je op een gegeven moment alleen nog maar hardware kan krijgen welke W11 ondersteund en dat moet je wel goed in de gaten houden, want je wil alles getest hebben voordat er grote bestellingen van dat soort apparatuur moeten worden gedaan... En ik geloof dat dit afgelopen jaar relevant is geworden...

Anoniem: 1028301 @NLxDoDge • 29 december 2022 15:26

Ik zit juist te klagen dat ik op mijn werkt nog geen Windows 11 kan krijgen, dat is dan de andere kant van het verhaal $_/-\o_$

Neem aan dat je nu Windows 10 gebruikt, wat heeft Windows 11 wat Windows 10 niet heeft?

wvkreg @Anoniem: 1028301 • 29 december 2022 15:45

Startknop in midden, modern apps

Damic @Anoniem: 1028301 • 29 december 2022 15:34

Meer miserie

Damic @Meiklokje • 29 december 2022 21:13

We hebben over productie pc's (volgens mij) en daar wil je iets stabiel hebben en vermits Microsoft nog zoveel aan't sleutelen is aan W11 kun je beter even daar nog van wegblijven.

pennywiser @Damic • 31 december 2022 13:19

Dit is zo'n onzin, het draait hier op alles vanaf 2e gen prima..

nelizmastr @Meiklokje • 29 december 2022 18:01

Die tablet van jou heeft echter geen officiële Win11 support, dus mag je die workaround bij elke major update elk jaar herhalen. Ja het draait, maar wel met haken en ogen, dat is voor een computer die zakelijk gebruikt wordt een nono, voor je privé zal het iedereen aan de "derrière oxideren"

nelizmastr @Meiklokje • 29 december 2022 21:20

Ik verdedig Microsoft helemaal niet, ik verkondig simpelweg wat zij ondersteunen. Feitelijk breek jij met de EULA en heb je dus helemaal geen geldige licentie meer om Windows te mogen gebruiken

Als je niet van de wegwerpcultuur bent, dan zet je er een open source systeem op.

moonlander 29 december 2022 15:10

En die waarschuwing is voor hun zelf denk ik?

net zoiets als dit: https://nos.nl/nieuwsuur/...nergielabel-voor-kantoren

m_snel @moonlander • 29 december 2022 16:10

Z’n label is helemaal niet nodig, laten ze eerst maar eens gewoon de verwarming uitzetten en het licht in panden die modern zijn, maar waar alle verdiepingen leeg zijn.
Daar is alleen verwarming en licht voor de schoonmaakster die geen werk heeft en haar tijd besteed op Fb.

jpsch 29 december 2022 17:05

Overheid hoeft zelf niet gewaarschuwd te worden?

Op dit item kan niet meer gereageerd worden.

Ministerie waarschuwt bedrijven voor einde support Windows 8.1 en Server 2012

Lees meer

Reacties (124)

Sorteer op:

Weergave: