Suchen

Blog: XP-Modus mangelt es an Management-Funktionalität Virtuelle XP-Umgebung unter Windows 7 geht zu Lasten der OS-Sicherheit

Redakteur: Stephan Augsten

Mit dem XP-Kompatibilitätsmodus in Windows 7 will Microsoft seinen Kunden den Umstieg auf sein neues Betriebssystem versüßen. Doch welche Auswirkungen hat der XP-Modus eigentlich auf die IT-Sicherheit? Als Gast-Autor geht Richard Jacobs, Chief Technology Officer von Sophos, im Blog seines Unternehmens auf die Sicherheitsaspekte der virtuellen Windows-XP-Umgebung ein.

Firmen zum Thema

Macht Microsoft zugunsten des XP-Modus unter Windows 7 Abstriche beim Management der IT-Sicherheit? Bild: Sophos
Macht Microsoft zugunsten des XP-Modus unter Windows 7 Abstriche beim Management der IT-Sicherheit? Bild: Sophos
( Archiv: Vogel Business Media )

Zweifelsohne hat Microsoft in den vergangenen Jahren deutliche Fortschritte bei der OS-Sicherheit gemacht. So wurde ein interner Security Development Lifecycle eingeführt, der Ausgangspunkt für heiß diskutierte Techniken wie UAC (User Account Control, die Benutzerkonten-Steuerung) oder auch Kernel Patch Protection war.

Doch derartige Sicherheitserweiterungen allein sind noch lange kein Kaufkriterium, wie Microsoft mit Windows Vista schmerzlich erfahren musste. Vor allem gilt dies im Umfeld der Firmenkunden, die lieber am mehr oder minder ausgereiften Windows XP festhalten. Nicht zuletzt, um mögliche Kompatibilitätsprobleme auf Anwendungs- und Netzwerk-Ebene zu vermeiden.

Es war also ein existenzieller Schritt von Microsoft, einen Kompatibilitätsmodus für XP-Umgebungen in Windows 7 zu integrieren, um das OS an den Mann oder besser gesagt in die Unternehmen zu bringen. Den gewachsenen Sicherheitsansprüchen an Microsoft-Produkte wird die virtuelle Windows-XP-Umgebung aber nicht gerecht, behauptet Richard Jacobs, Chief Technology Officer von Sophos.

Ist Sicherheit nur eine Verkaufsstratgie?

„Der XP-Modus erinnert uns alle daran, dass Sicherheit bei Microsoft niemals an erster Stelle steht“, mahnt Jacobs. Anstatt jede IT-Security-Entwicklung als Fortschritt anzusehen, wolle Microsoft nur verhindern, dass Sicherheitsbedenken keine Absatzschwierigkeiten verursachen. So sinnvoll der Kompatibilitätsmodus auch sei, stelle er Unternehmen in Sachen Sicherheit dennoch Herausforderungen.

Das größte Problem der virtuellen Maschine (VM) für den XP-Modus sei das fehlende Management. Denn während das virtuelle XP als eigene OS-Instanz zwar wichtige Ordner und Geräte mit dem Windows-7-Host teilt, laufen Prozesse und zugesicherter Arbeitsspeicher beider Maschinen unabhängig voneinander.

Somit müssen Sicherheitseinstellungen, Security Software oder auch Patches eigens auf dem Gastsystem implemeniert werden – nicht eine Sicherheitsmaßnahme wird vererbt. Demzufolge muss der Administrator zwei Konfigurationen verwalten und unter Umständen zwei Personal-Firewalls und Antiviren-Produkte installieren.

Nur Unternehmen mit einer Virtual Desktop Infrastructure (VDI) könnten den damit verbundenen Aufwand bewältigen, meint Jacobs. Aus Kosten- und Komplexitätsgründen scheuen sich aber nach wie vor viele Unternehmen davor, den Einsatz von VMs auf dem Desktop zu ermöglichen.

Somit bleibt den Unternehmen laut Jacobs nur eine der folgenden Optionen:

1. An Windows XP festhalten.

2. Auf Windows 7 migrieren und wenn möglich den XP-Modus deaktivieren.

3. Auf Windows 7 migrieren und den XP-Kompatibilitätsmodus übernehmen: Hierbei müssen Unternehmen die Kosten im Auge behalten, denn jede VM muss wie ein physikalischer Rechner verwaltet werden – womit sich der Management-Aufwand verdoppelt. Jede VM muss der Domaine hinzugefügt, konfiguriert, abgesichert und gepatcht werden. Die Software-Installationen inbegriffen.

  • Stellt man den XP-Modus auf sämtlichen Windows-7-Rechner bereit, gilt es zu berücksichtigen, dass eine zweite Security-Software-Installation die Performance des Rechners belastet. Immerhin greift auch die virtuelle Instanz auf Arbeitsspeicher, CPU, Bandbreite und Hardware zu. Gleichzeitig müssen Unternehmen redundante Anwendungen und mögliche Lizenz-Probleme beachten.
  • Lässt sich nicht absehen, wie viele Firmen-Rechner eine virtuelle XP-Umgebung bereitstellen, muss man diese zusätzlich ausfindig machen. Unter Umständen lässt sich nicht von außerhalb feststellen, ob Anwender oder Vertragspartner den XP-Modus selbständig installieren. An dieser Stelle hilft nur eine NAC-Lösung (Network Access Control).

4. Auf Windows 7 migrieren und eine umfassende VDI implementieren.

5. Microsoft dazu auffordern, es besser zu machen: Sicherlich sei Microsoft kein Security-Hersteller – dennoch sei der XP-Modus nach derzeitigem Entwicklungsstand nicht zeitgemäß. Vielmehr könne er zum Hemmschuh für die Windows-7-Umstellung werden, da er Kosten und Komplexität steigere.

Ohne eingebautes VM-Management könne der XP-Modus laut Jacobs zu einem Security-Desaster führen. Selbst sicherheitsbewusste und kompetente Entiwckler bei Microsft „können die Dampfwalze Windows 7 nicht mehr bremsen“. Deshalb ruft Jacobs die Microsoft-Kunden dazu auf, der Software-Schmiede klarzumachen, dass die derzeitigen Abstriche beim Management oder große Investitionen in eine VDI nicht akzeptabel sind.

(ID:2040123)