Bundesamt für Sicherheit in der Informationstechnik

M 4.424 Sicherer Einsatz älterer Software ab Windows 7

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Nicht jede Software, die für Windows-Systeme geschrieben wurde, ist mit Clients ab Windows 7 kompatibel. Um sie dennoch nutzen zu können, stehen drei Werkzeuge zur Verfügung:

  • Kompatibilitätsmodus für einzelne ausführbare Dateien
  • Application Compatibility Toolkit (ACT)
  • Windows XP-Modus (nur für Windows 7 und seit dem 8. April 2014 nicht mehr vom Support abgedeckt)

Soll zur aktuellen Windows-Versioninkompatible Software eingesetzt werden, ist es sehr wichtig, dass nicht zugunsten der Lauffähigkeit der Software die Sicherheit des gesamten Systems gelockert wird. Es sollten deshalb nur diejenigen Einstellungen angepasst werden, die tatsächlich benötigt werden, damit die ältere Software lauffähig ist. Um die notwendigen Einstellungen herauszufinden und zu dokumentieren, ist eine isolierte Testumgebung zu verwenden. Die Testumgebung muss mindestens aus einem -Client-System für jede einzusetzende Windows-Version bestehen. Die damit betraute Person sollte in der Anpassung und Bereitstellung von Windows-Clients geschult sein.

Vorab sollten jedoch die Supportvereinbarungen des Herstellers der Software geprüft werden. Wenn der Support der Software für die eingesetzte Windows-Version verweigert wird, selbst wenn sie im Kompatibilitätsmodus von Windows 7 lauffähig wäre, kann die Software gegebenenfalls auch in einer Virtualisierungs-Umgebung mit lizensierter Windows-XP-Installation ausgeführt werden.

Unter Windows 7 kann hierfür die Software im VirtualPC XP-Modus (nachfolgend XP-Modus genannt) getestet werden. Der XP-Modus ist für Windows 7 ab Version Professional als kostenloses Zusatzpaket erhältlich und stellt eine virtuelle Maschine mit Windows-XP zur Verfügung. Dabei ist zu beachten, dass Microsoft für Windows XP seit April 2014 keinen Support und damit auch keine Sicherheitsupdates mehr liefert. Dies gilt entsprechend auch für den XP-Modus in Windows 7, weshalb ein Einsatz möglichst vermieden werden sollte. Ist der Einsatz aus betrieblichen Gründung unverzichtbar, müssen flankierende Maßnahmen zum Schutz des Systems ergriffen werden.

Der XP-Modus ist nicht Bestandteil von Windows 8. Stattdessen gibt es in der Pro-Version die Virtualisierungstechnik Hyper-V. Eine alternative Virtualisierungsumgebung kann ebenfalls genutzt werden.

Eine virtuelle Maschine kann auch dann benutzt werden, wenn die Software trotz der weiter unten beschriebenen Anpassungen nicht unter der eingesetzten Windows-Version lauffähig ist. Wenn möglich, sollte die Software jedoch direkt auf den Clients mit der üblichen Windows-Umgebung betrieben werden. Die Virtualisierungs-Software ermöglicht neue Angriffsvektoren, und der XP-Modus enthält keine Werkzeuge zu Verwaltung, Schutz und Überwachung. Die vorgefertigte Windows-XP-Installation erfordert eine eigene Risikobetrachtung im Zusammenhang mit dem fehlenden Hersteller-Support und der verwendeten Software sowie die entsprechende Umsetzung von B 3.209 Client unter Windows XP .

In der Testumgebung ist zu ermitteln, ob die Software innerhalb einer Benutzersitzung ohne Administratorberechtigung und mit aktivierter Benutzerkontensteuerung (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ) lauffähig ist. Soll ältere Hardware weiterverwendet werden, müssen deren Treiber getestet werden. Die Tests sollten die Lauffähigkeit der Software und Treiber, die Installationsmöglichkeiten und, falls vorhanden, die Aktualisierungsmechanismen umfassen.

Programmkompatibilitäts-Assistent (PCA)

Wenn ältere Software auf dem Windows-Client ausgeführt werden soll, ist als Erstes der Programmkompatibilitäts-Assistent (PCA) zu starten (unter Systemsteuerung | Alle Systemsteuerungselemente | Problembehandlung | Programme). Dieser Assistent bezieht Informationen und sogenannte Kompatibilitätsfixes aus der System Compatibility Database und wendet individuelle Kompatibilitätsmodi auf Programmdateien an, die der System Compatibility Database bereits bekannt sind. Unbekannte Programmdateien kann der Administrator analysieren lassen und danach einem der zur Auswahl stehenden vordefinierten Kompatibilitätsmodi zuordnen. Die System Compatibility Database wird durch die Windows Update-Funktion mit neuen Informationen und Fixes versorgt. Die Aktualisierung der Informationen und Kompatibilitätsfixes kann sicherheitsrelevant sein und sollte daher immer mit durchgeführt werden.

Damit die Analyse und die Fixes des PCA funktionieren, müssen die PCA-Funktionen zugelassen sein. Dies ist standardmäßig der Fall und kann in den administrativen Vorlagen im Gruppenrichtlinien-Snap-in eingestellt werden: Computerkonfiguration | Windows-Komponenten | Anwendungskompatibilität. Speziell für die Analyse wird folgende Einstellung benötigt: Computerkonfiguration | System | Problembehandlung und Diagnose | Szenarioausführungsebene konfigurieren | Erkennung, Problembehandlung.

Application Compatibility Toolkit (ACT)

Falls der PCA nicht ausreicht, muss die Software zusammen mit dem Application Compatibility Toolkit (ACT) auf dem Windows XP-Testrechner installiert werden. Das ACT ist bei vorhandener Windows-Lizenz als kostenloses Zusatzpaket erhältlich und enthält Assistenten und Werkzeuge. Mit den Assistenten kann der Administrator das System analysieren lassen, während die Software gestartet ist. Neben den Assistenten sollte auch das Tool Standard User Analyser genutzt werden. Es erlaubt die interaktive Analyse mittels einer grafischen Oberfläche.

Die Analyseergebnisse der getesteten Software zeigen an, welche Systemzugriffe zu Fehlern führen würden. Zur Fehlerbehebung gibt es nun zwei Vorgehensweisen:

  • Die passenden Einstellungen können auf Basis der Analyseergebnisse auf dem Test-Client vorgenommen werden oder
  • die System Compatibility Database des Test-Clients wird mit Hilfe des Kommandozeilenbefehls sdbinst und des Tools Compatibility Administrator aus dem ACT erweitert.

Viele Fehler lassen sich durch die zuerst genannte Vorgehensweise beheben. Beispielsweise können Berechtigungen gesetzt, Installationspfade und Arbeitsverzeichnisse geändert, UAC -Manifeste erstellt, Systemprivilegien und Systemberechtigungen angepasst und zusätzliche Benutzerkonten mit erhöhten Berechtigungen verwendet werden.

Berechtigungen an Systemordnern und Systemschlüsseln in der Registrierdatenbank dürfen keinesfalls geändert werden. Berechtigungen im Programmordner sollten nur sehr gezielt geändert und müssen auf Verträglichkeit mit dem Windows Ressourcen-Schutz (WRP) und den Sicherheitszonen getestet werden. Des Weiteren sollten keine Berechtigungen an den Ordnern und Registrierschlüsseln geändert werden, die von der UAC -Virtualisierung betroffen sind (siehe M 4.338 Einsatz von File und Registry Virtualization bei Clients ab Windows Vista ) oder die vom WoW64-Emulationsmodus umgeleitet werden (betrifft nur die 64 Bit-Versionen von Windows).

Für die zweite Vorgehensweise ist der Compatibility Administrator notwendig. Dieses Werkzeug enthält eine Reihe mitgelieferter Kompatibilitätsfixes. Die genaue Vorgehensweise ist der Herstellerdokumentation zu entnehmen, zum Beispiel unter http://technet.microsoft. com /de-de/library/dd835539.aspx. Aktualisierte Kompatibilitätsfixes werden von Microsoft zur Verfügung gestellt oder können auch individuell programmiert werden.

Falls bestimmte manuelle Anpassungen der Sicherheitsrichtlinie für Windows-Clients widersprechen, sollten der Einsatz des Compatibility Administrator-Tools beziehungsweise des VirtualPC XP-Modus getestet werden. Im Zweifelsfall müssen Ausnahmeregelungen überlegt und dokumentiert oder andere Möglichkeiten der Isolierung der inkompatiblen Software betrachtet werden.

Die Kompatibilitätsanpassungen müssen für jede Software dokumentiert werden. Folgende Tabelle zeigt ein Beispiel:

analysierter Fehler Schweregrad Anpassung Kompat.-Fix
verweigerter Start wegen falscher Windows-Version hoch - Kompatibilitätsmodus des PCA
.ini Datei kann nicht geschrieben werden hoch Anpassung der UAC -Virtualisierung durch den PCA -
Programm-Modul "Faktura" startet nicht wird nicht gebraucht - -

Der VirtualPC XP-Modus ist nicht mehr Bestandteil von Windows 8. Weiterhin wurde der Support für Windows XP und den XP-Modus von Microsoft eingestellt. Sollte sich der Einsatz von Windows-XP in einer virtualisierten Umgebung nicht vermeiden lassen, so sollten diese möglichst vom restlichen System abgeschottet werden und ein Netzwerkzugriff vermieden werden.

VirtualPC XP-Modus

Falls PCA und ACT nicht ausreichen, kann der XP-Modus auf dem Windows 7-Testrechner installiert werden. Anschließend wird die inkompatible Software innerhalb des virtuellen Windows XP-Systems installiert. Im Windows 7-Startmenü erscheint unter Microsoft VirtualPC | Windows XP Mode Anwendungen automatisch ein Startsymbol für die Software, wenn sie im XP-Modus für alle Nutzer installiert wurde. Wird die Software gestartet, führt der XP-Modus das Programm in einer virtuellen Windows XP-Umgebung im Hintergrund aus und blendet das Programmfenster in die Windows 7-Oberfläche ein. Alternativ kann der Benutzer auch ein komplettes Windows XP-Fenster anzeigen lassen, indem er Windows XP-Mode auswählt. Einmal gestartet, bleibt die virtuelle Windows XP-Umgebung geladen, bis Windows 7 heruntergefahren wird. Die Verbindung zum virtuellen System wird durch den Remotedesktop-Dienst hergestellt, der auch die Zwischenablage, Soundausgabe, Druckertreiber, Smartcards etc. verbindet. Die Netzkommunikation und der Zugriff auf Datenträger und Anschlüsse erfolgen durch die Software VirtualPC im Hintergrund. Geräte ohne USB oder seriellen Anschluss können nicht verwendet werden.

In der Testumgebung sollten Software und Treiber auf ihre Verträglichkeit hinsichtlich der Netzkommunikation, Hardwareunterstützung, des Datenträgerzugriffs und der Remotedesktop-Unterstützung geprüft werden. Installations- und Aktualisierungsmechanismen sind ebenfalls zu prüfen. Weiterhin ist die Startzeit und Ausführungsgeschwindigkeit der Software zu testen sowie die Verfügbarkeit der sonstigen Windows-Anwendungen. Besonderes sorgfältig ist eine geeignete Ausschalt-Methode für den XP-Modus zu wählen und zu testen. Durch unsauberes Herunterfahren des XP-Modus können die Software-Installation oder die Daten der laufenden Sitzung beschädigt werden.

Falls eine Datensicherungslösung für den Windows 7-Client eingesetzt wird, muss diese Lösung mit VirtualPC getestet werden und Änderungen an der virtuellen Instanz sichern können.

Nachdem der XP-Modus auf dem Rechner installiert ist, können die Einstellungen für die virtuelle Umgebung aufgerufen werden unter Startmenü | Microsoft VirtualPC | Symbol für Windows Virtual PC | im Kontextmenü von Windows XP-Mode den Eintrag Einstellungen auswählen.

Einschränkungen für den XP-Modus

Beim Einsatz von VirtualPC sind die Bausteine B 3.304 Virtualisierung und B 3.209 Client unter Windows XP anzuwenden. Darüber hinaus gelten weiterhin die Maßnahmen für Clients der eingesetzten Windows-Version, sofern zutreffend, zum Beispiel die Verwendung komplexer Kennwörter, das Absichern der Netzkommunikation oder der Einsatz von BitLocker.

Der XP-Modus muss so weit wie möglich vom übergeordneten Windows-System isoliert werden. Hierzu sind folgende Grundsätze zu beachten:

  • Der XP-Modus sollte im produktiven Betrieb nicht als alternatives Desktopsystem verwendet werden. Benutzer sollten keine Komponenten oder Software des XP-Systems verwenden, die nicht zum Anwendungsszenario der älteren Software gehören.
  • Datenisolation: Keine Nutzerdaten im virtuellen Windows XP-System halten.
  • Netzisolation: Keine uneingeschränkte Netzkommunikation des virtuellen Windows XP-Systems zulassen.

Für den ersten Punkt sollte ein Nutzungsverbot für nicht freigegebene virtualisierte Software ausgesprochen werden und gegebenenfalls M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung für das virtuelle Windows XP-System in Betracht gezogen werden.

Um Nutzerdaten zu speichern, sollten die in VirtualPC eingebundenen Laufwerke des Host-Rechners benutzt werden. Die Laufwerke des virtuellen Betriebssystems sollten nicht benutzt werden. Falls die Software schützenswerte Sitzungsdaten und Protokolldateien erzeugt, müssen diese täglich außerhalb des virtuellen Windows XP-Systems gesichert werden, zum Beispiel durch ein Shutdown-Skript im Windows XP-System oder mit Hilfe einer VirtualPC-kompatiblen Datensicherungssoftware.

Aufgrund der Netzisolation darf kein Direktzugriff auf die Netzadapter des Rechners eingestellt werden (unter Windows XP-Mode | Einstellungen | Netzwerk). Nur die Zugriffsarten Nicht verbunden, Internes Netzwerk und Gemeinsam genutztes Netzwerk ( NAT ) sind zulässig. Weiterhin sollten in der Windows-Firewall eine eingehende und eine ausgehende Regel für die Programmdatei %SystemRoot%\System32\vpc.exe erstellt werden, die den Netzwerkverkehr blockieren. Zu den Regeln sind Ausnahmen zu konfigurieren, um die Kommunikation für die benötigten Anwendungen innerhalb des virtuellen XP-Systems gezielt freizuschalten.

Bereitstellen der Kompatibilitätseinstellungen auf produktiven Clients

Die Testergebnisse sollten dokumentiert und in ein Bereitstellungskonzept für den Einsatz älterer Software überführt werden. (siehe auch M 2.324 Einführung von Windows auf Clients ab Windows XP planen ).

Verwenden der Herstellerdokumentation

Die Herstellerdokumentation zu PCA und ACT ist über die Microsoft Technet-Distribution oder im Internet verfügbar unter:

http://technet.microsoft. com /de-de/library/dd835539.aspx

In der Dokumentation der Testergebnisse sollten die entsprechenden Teile der Herstellerdokumentation enthalten sein.

Prüffragen:

  • Wurden Gewährleistung und Herstellersupport für den Einsatz von Altanwendungen auf Clients ab Windows 7 geklärt?

  • Wurden die vorgenommenen Kompatibilitätsanpassungen von Altanwendungen an Clients ab Windows 7 vollständig dokumentiert?

  • Wird bei der Verwendung des XP-Modus unter Windows 7 das virtualisierte Windows XP vom übergeordneten Client-System isoliert? Sind geeignete Maßnahmen getroffen, um das Windows-XP-System trotz fehlender Sicherheitsupdates des Herstellers vor Angriffen zu schützen?

  • Werden unter Clients ab Windows 7 die Daten der im XP-Modus bzw. in der Virtualisierungssoftware laufenden Anwendung außerhalb der virtuellen Umgebung gesichert?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK