Startseite > Embedded > Software > Sicher auch ohne Patches

Windows XP

Sicher auch ohne Patches

22. August 2013, 9:47 Uhr | Von Torsten Rössel

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Kontrollierte Kommunikation

Die Kontrolle und Filterung der Ethernet- und IP-Kommunikation ist Aufgabe von Firewalls. Eben solche lassen sich in Form industrieller Network Security Appliances kostengünstig und dezentral genau dort nachrüsten, wo sie aus den hier diskutierten Gründen benötigt werden. So steht etwa mit der mGuard-Technologie von Innominate gleich eine ganze Familie solcher Geräte in verschiedenen Bauformen zur Verfügung, die sich im Schaltschrank auf Hutschiene, in 19-Zoll-Schränken, extern an PCs mit Stromversorgung über USB oder als PCI-Karte gleich im PC-Gehäuse verbauen lassen (Bild 2). Der besondere Clou: Durch ihren patentierten Stealth Mode lassen sich die Geräte völlig transparent in ein bestehendes Netzwerk nachrüsten. Sie übernehmen dabei automatisch die MAC- und IP-Adressen ihres jeweiligen Schützlings, so dass weder zusätzliche Adressen für das Management der Geräte selbst vergeben noch sonst irgendwelche Änderungen an der Netzwerkkonfiguration vorgenommen werden müssen. Trotz dieses adresstechnisch transparenten Betriebs überwachen und filtern sie als „Stateful Packet Inspection Firewall“ anhand eines konfigurierbaren Regelwerks den Netzwerkverkehr von und zu den so geschützten Systemen, und dies dank bidirektionalem „Wire Speed“ ohne zum Flaschenhals für ein 100-Mbit/s-Ethernet-Netzwerk zu werden. Die mGuard Security Appliances können durch eine flexible Flash- und Rollout-Prozedur effizient installiert und sowohl einzeln über ein Web Interface als auch gemeinsam zentral über den mGuard Device Manager verwaltet werden.

Jobangebote+ passend zum Thema

MACNICA ATD EUROPE - Ihre berufliche Zukunft

MACNICA ATD Europe GmbH, Ingolstadt

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Namhafte Kunden, etwa aus der Automobilindustrie, haben mit diesem Schutzkonzept bereits seit Jahren gute Erfahrungen gemacht und viele der noch älteren produktionsnah eingesetzten Windows-Systeme von Windows 95 bis Windows 2000 geschützt und sicher in Betrieb gehalten. Auch den vielen Embedded-PCs, die aufgrund von Zertifizierungen, Garantieansprüchen oder Sorge vor Update-bedingten Störungen von vornherein und nicht erst nach Ende ihres Extended Support als nicht patchbar eingestuft werden, kann nach dem gleichen Prinzip zu mehr Sicherheit verholfen werden.

Bei Bedarf kann die Sicherheit mit weiteren auf den Geräten vorhandenen Mechanismen noch erhöht werden: etwa durch eine User Firewall zur gezielten Berechtigung einzelner Benutzer, durch VPN-Technologie zur Authentisierung und Verschlüsselung oder durch das mGuard CIFS Integrity Monitoring zur Überwachung von Windows-Dateisystemen auf unerwartete Veränderungen, welches eine industrietaugliche Alternative zu herkömmlicher Antivirus-Software darstellt. CIFS (Common Internet File System) bezeichnet dabei das von Windows genutzte File-Sharing-Verfahren inkl. des Server-Message-Blocks-Protokolls SMB.

Genügend Vorlaufzeit einplanen

Windows-XP-Systeme über den April 2014 hinaus sicher in Betrieb zu halten bleibt unabhängig von der Methode ein Projektvorhaben mit angemessenem Zeitbedarf für die Analyse von Alternativen, Entscheidung, Vorbereitung und Durchführung. Es ist daher Zeit zum Handeln. Und falls Sie es gleich vormerken wollen: Der Extended Support für Windows XP Embedded läuft übrigens noch bis Januar 2016.

Literatur
[1] Microsoft Support Lifecycle
[2] Microsoft Security Bulletins
[3] Microsoft Windows Malicious Software Removal Tool