M 4.424 Sicherer Einsatz älterer Software unter Windows 7
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT
Nicht jede Software, die für Windows-Systeme geschrieben wurde, ist mit Windows 7 kompatibel. Um sie dennoch nutzen zu können, stehen drei Werkzeuge zur Verfügung:
- Kompatibilitätsmodus für einzelne ausführbare Dateien
- Application Compatibility Toolkit (ACT)
- Windows XP-Modus
Soll zu Windows 7 inkompatible Software eingesetzt werden, ist es sehr wichtig, dass nicht zugunsten der Lauffähigkeit der Software die Sicherheit des gesamten Systems gelockert wird. Es sollten deshalb nur diejenigen Einstellungen angepasst werden, die tatsächlich benötigt werden, damit die ältere Software lauffähig ist. Um die notwendigen Einstellungen herauszufinden und zu dokumentieren, ist eine isolierte Testumgebung zu verwenden. Die Testumgebung muss mindestens aus einem Windows 7-Rechner und gegebenenfalls einem Windows XP-Rechner bestehen. Die damit betraute Person sollte in der Anpassung und Bereitstellung von Windows 7-Clients geschult sein.
Vorab sollten jedoch die Supportvereinbarungen des Herstellers der Software geprüft werden. Wenn der Windows 7-Support für Software verweigert wird, selbst wenn sie im Kompatibilitätsmodus von Windows 7 lauffähig wäre, kann die Software im VirtualPC XP-Modus (nachfolgend XP-Modus genannt) getestet werden. Der XP-Modus ist ab Windows 7 Professional als kostenloses Zusatzpaket erhältlich. Er wird durch die Software VirtualPC realisiert, die einen Client und ein virtuelles Festplatten-Abbild mit einer lizenzierten Windows-XP-Installation abbildet.
Der XP-Modus kann auch dann benutzt werden, wenn die Software trotz der weiter unten beschriebenen Anpassungen nicht unter Windows 7 lauffähig ist. Wenn möglich, sollte die Software jedoch direkt unter Windows 7 betrieben oder in der bestehenden Windows XP-Umgebung belassen werden. Die Virtualisierungs-Software ermöglicht neue Angriffsvektoren und enthält keine Werkzeuge zu Verwaltung, Schutz und Überwachung. Die vorgefertigte Windows-XP-Installation erfordert eine eigene Risikobetrachtung im Zusammenhang mit der verwendeten Software sowie die entsprechende Umsetzung von B 3.209 Client unter Windows XP .
In der Testumgebung ist zu ermitteln, ob die Software innerhalb einer Benutzersitzung ohne Administratorberechtigung und mit aktivierter Benutzerkontensteuerung (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ) lauffähig ist. Soll ältere Hardware weiterverwendet werden, müssen deren Treiber getestet werden. Die Tests sollten die Lauffähigkeit der Software und Treiber, die Installationsmöglichkeiten und, falls vorhanden, die Aktualisierungsmechanismen umfassen.
Programmkompatibilitäts-Assistent (PCA)
Wenn ältere Software auf dem Windows 7-Rechner ausgeführt werden soll, ist als Erstes der Programmkompatibilitäts-Assistent (PCA) zu starten (unter Systemsteuerung | Alle Systemsteuerungselemente | Problembehandlung | Programme). Dieser Assistent bezieht Informationen und sogenannte Kompatibilitätsfixes aus der System Compatibility Database und wendet individuelle Kompatibilitätsmodi auf Programmdateien an, die der System Compatibility Database bereits bekannt sind. Unbekannte Programmdateien kann der Administrator analysieren lassen und danach einem der zur Auswahl stehenden vordefinierten Kompatibilitätsmodi zuordnen. Die System Compatibility Database wird durch die Windows Update-Funktion mit neuen Informationen und Fixes versorgt. Die Aktualisierung der Informationen und Kompatibilitätsfixes kann sicherheitsrelevant sein und sollte daher immer mit durchgeführt werden.
Damit die Analyse und die Fixes des PCA funktionieren, müssen die PCA-Funktionen zugelassen sein. Dies ist standardmäßig der Fall und kann in den administrativen Vorlagen im Gruppenrichtlinien-Snap-in eingestellt werden: Computerkonfiguration | Windows-Komponenten | Anwendungskompatibilität. Speziell für die Analyse wird folgende Einstellung benötigt: Computerkonfiguration | System | Problembehandlung und Diagnose | Szenarioausführungsebene konfigurieren | Erkennung, Problembehandlung.
Application Compatibility Toolkit (ACT)
Falls der PCA nicht ausreicht, muss die Software zusammen mit dem Application Compatibility Toolkit (ACT) auf dem Windows XP-Testrechner installiert werden. Das ACT ist bei vorhandener Windows-Lizenz als kostenloses Zusatzpaket erhältlich und enthält Assistenten und Werkzeuge. Mit den Assistenten kann der Administrator das System analysieren lassen, während die Software gestartet ist. Neben den Assistenten sollte auch das Tool Standard User Analyser genutzt werden. Es erlaubt die interaktive Analyse mittels einer grafischen Oberfläche.
Die Analyseergebnisse der getesteten Software zeigen an, welche Systemzugriffe zu Fehlern auf einem Windows 7-Rechner führen würden. Zur Fehlerbehebung gibt es nun zwei Vorgehensweisen:
- Die passenden Einstellungen können auf Basis der Analyseergebnisse auf dem Windows 7-Testrechner vorgenommen werden oder
- die System Compatibility Database des Windows 7-Testrechners wird mit Hilfe des Kommandozeilenbefehls sdbinst und des Tools Compatibility Administrator aus dem ACT erweitert.
Viele Fehler lassen sich durch die zuerst genannte Vorgehensweise beheben. Beispielsweise können Berechtigungen gesetzt, Installationspfade und Arbeitsverzeichnisse geändert, UAC-Manifeste erstellt, Systemprivilegien und Systemberechtigungen angepasst und zusätzliche Benutzerkonten mit erhöhten Berechtigungen verwendet werden.
Berechtigungen an Systemordnern und Systemschlüsseln in der Registrierdatenbank dürfen keinesfalls geändert werden. Berechtigungen im Programmordner sollten nur sehr gezielt geändert und müssen auf Verträglichkeit mit dem Windows Ressourcen-Schutz (WRP) und den Sicherheitszonen von Windows 7 getestet werden. Des Weiteren sollten keine Berechtigungen an den Ordnern und Registrierschlüsseln geändert werden, die von der UAC-Virtualisierung betroffen sind (siehe M 4.338 Einsatz von Windows Vista und Windows 7 File und Registry Virtualization ) oder die vom WoW64-Emulationsmodus umgeleitet werden (betrifft nur die 64 Bit-Versionen von Windows).
Für die zweite Vorgehensweise ist der Compatibility Administrator notwendig. Dieses Werkzeug enthält eine Reihe mitgelieferter Kompatibilitätsfixes. Die genaue Vorgehensweise ist der Herstellerdokumentation zu entnehmen, zum Beispiel unter http://technet.microsoft.com/de-de/library/dd835539.aspx. Aktualisierte Kompatibilitätsfixes werden von Microsoft zur Verfügung gestellt oder können auch individuell programmiert werden.
Falls bestimmte manuelle Anpassungen der Sicherheitsrichtlinie für Windows 7 widersprechen, sollten der Einsatz des Compatibility Administrator-Tools beziehungsweise des VirtualPC XP-Modus getestet werden. Im Zweifelsfall müssen Ausnahmeregelungen überlegt und dokumentiert oder andere Möglichkeiten der Isolierung der inkompatiblen Software betrachtet werden.
Die Kompatibilitätsanpassungen müssen für jede Software dokumentiert werden. Folgende Tabelle zeigt ein Beispiel:analysierter Fehler | Schweregrad | Anpassung | Kompat.-Fix |
---|---|---|---|
verweigert Start wegen falscher Windows-Version | hoch | - | Kompatibilitätsmodus des PCA |
.ini-Datei kann nicht geschrieben werden | hoch | Anpassung der UAC-Virtualisierung durch den PCA | - |
Programm-Modul "Faktura" startet nicht | wird nicht gebraucht | - | - |
VirtualPC XP-Modus
Falls PCA und ACT nicht ausreichen, kann der XP-Modus auf dem Windows 7-Testrechner installiert werden. Anschließend wird die inkompatible Software innerhalb des virtuellen Windows XP-Systems installiert. Im Windows 7-Startmenü erscheint unter Microsoft VirtualPC | Windows XP Mode Anwendungen automatisch ein Startsymbol für die Software, wenn sie im XP-Modus für alle Nutzer installiert wurde. Wird die Software gestartet, führt der XP-Modus das Programm in einer virtuellen Windows XP-Umgebung im Hintergrund aus und blendet das Programmfenster in die Windows 7-Oberfläche ein. Alternativ kann der Benutzer auch ein komplettes Windows XP-Fenster anzeigen lassen, indem er Windows XP-Mode auswählt. Einmal gestartet, bleibt die virtuelle Windows XP-Umgebung geladen, bis Windows 7 heruntergefahren wird. Die Verbindung zum virtuellen System wird durch den Remotedesktop-Dienst hergestellt, der auch die Zwischenablage, Soundausgabe, Druckertreiber, Smartcards etc. verbindet. Die Netzkommunikation und der Zugriff auf Datenträger und Anschlüsse erfolgen durch die Software VirtualPC im Hintergrund. Geräte ohne USB oder seriellen Anschluss können nicht verwendet werden.
In der Testumgebung sollten Software und Treiber auf ihre Verträglichkeit hinsichtlich der Netzkommunikation, Hardwareunterstützung, des Datenträgerzugriffs und der Remotedesktop-Unterstützung geprüft werden. Installations- und Aktualisierungsmechanismen sind ebenfalls zu prüfen. Weiterhin ist die Startzeit und Ausführungsgeschwindigkeit der Software zu testen sowie die Verfügbarkeit der sonstigen Windows-Anwendungen. Besonderes sorgfältig ist eine geeignete Ausschalt-Methode für den XP-Modus zu wählen und zu testen. Durch unsauberes Herunterfahren des XP-Modus können die Software-Installation oder die Daten der laufenden Sitzung beschädigt werden.
Falls eine Datensicherungslösung für den Windows 7-Client eingesetzt wird, muss diese Lösung mit VirtualPC getestet werden und Änderungen an der virtuellen Instanz sichern können.
Nachdem der XP-Modus auf dem Rechner installiert ist, können die Einstellungen für die virtuelle Umgebung aufgerufen werden unter Startmenü | Microsoft VirtualPC | Symbol für Windows Virtual PC | im Kontextmenü von Windows XP-Mode den Eintrag Einstellungen auswählen.
Einschränkungen für den XP-Modus
Beim Einsatz von VirtualPC sind die Bausteine B 3.304 Virtualisierung und B 3.209 Client unter Windows XP anzuwenden. Darüber hinaus gelten weiterhin die Windows 7-Maßnahmen, sofern zutreffend, zum Beispiel die Verwendung komplexer Kennwörter, das Absichern der Netzkommunikation oder der Einsatz von BitLocker.
Der XP-Modus muss so weit wie möglich vom übergeordneten Windows 7-System isoliert werden. Hierzu sind folgende Grundsätze zu beachten:
- Der XP-Modus sollte im produktiven Betrieb nicht als alternatives Desktopsystem verwendet werden. Benutzer sollten keine Komponenten oder Software des XP-Systems verwenden, die nicht zum Anwendungsszenario der älteren Software gehören.
- Datenisolation: Keine Nutzerdaten im virtuellen Windows XP-System halten.
- Netzisolation: Keine uneingeschränkte Netzkommunikation des virtuellen Windows XP-Systems zulassen.
Für den ersten Punkt sollte ein Nutzungsverbot für nicht freigegebene virtualisierte Software ausgesprochen werden und gegebenenfalls M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung für das virtuelle Windows XP-System in Betracht gezogen werden.
Um Nutzerdaten zu speichern, sollten die in VirtualPC eingebundenen Laufwerke des Host-Rechners benutzt werden. Die Laufwerke des virtuellen Betriebssystems sollten nicht benutzt werden. Falls die Software schützenswerte Sitzungsdaten und Protokolldateien erzeugt, müssen diese täglich außerhalb des virtuellen Windows XP-Systems gesichert werden, zum Beispiel durch ein Shutdown-Skript im Windows XP-System oder mit Hilfe einer VirtualPC-kompatiblen Datensicherungssoftware.
Aufgrund der Netzisolation darf kein Direktzugriff auf die Netzadapter des Rechners eingestellt werden (unter Windows XP-Mode | Einstellungen | Netzwerk). Nur die Zugriffsarten Nicht verbunden, Internes Netzwerk und Gemeinsam genutztes Netzwerk (NAT) sind zulässig. Weiterhin sollten in der Windows-Firewall eine eingehende und eine ausgehende Regel für die Programmdatei %SystemRoot%\System32\vpc.exe erstellt werden, die den Netzwerkverkehr blockieren. Zu den Regeln sind Ausnahmen zu konfigurieren, um die Kommunikation für die benötigten Anwendungen innerhalb des virtuellen XP-Systems gezielt freizuschalten.
Bereitstellen der Kompatibilitätseinstellungen auf produktiven Clients
Die Testergebnisse sollten dokumentiert und in ein Bereitstellungskonzept für den Einsatz älterer Software überführt werden. (siehe auch M 2.324 Einführung von Windows XP, Vista und Windows 7 planen ).
Verwenden der Herstellerdokumentation
Die Herstellerdokumentation zu PCA und ACT ist über die Microsoft Technet-Distribution oder im Internet verfügbar unter:
http://technet.microsoft.com/de-de/library/dd835539.aspx
In der Dokumentation der Testergebnisse sollten die entsprechenden Teile der Herstellerdokumentation enthalten sein.
Prüffragen:
- Wurden Gewährleistung und Herstellersupport für den Einsatz von Altanwendungen unter Windows 7 geklärt?
- Wurden die vorgenommenen Kompatibilitätsanpassungen von Altanwendungen an Windows 7 vollständig dokumentiert?
- Wird der XP-Modus vom übergeordneten Windows 7-System isoliert?
- Werden unter Windows 7 die Daten der im XP-Modus laufenden Anwendung außerhalb des virtuellen XP-Systems gesichert?