Windows server 2008 R2 nog veilig?

Die vraag kan dus eigenlijk alleen door de organisatie beantwoord worden, of zij extended support hebben of niet.
Gezien het non-profit oogmerk gok ik op nee, maar afgezien daarvan is het gebruik van IE11 en een gedateerde antivirus op letterlijk elk systeem onveilig.

Ik mag hopen dat de gegevens niet op desbetreffende server staan maar gewoon mooi op een VPS of iets dergelijks bij een externe partij, zo niet is het niet de vraag of, maar wanneer het fout gaat.

Wij zetten dergelijk oude system niet meer in bij klanten, inderdaad te onveilig. Beter is snel upgraden naar minstens Server 2012, maar liever 2016 of zelfs 2019.

Uitgebreide support betreft voor dit OS (en eigenlijke alle andere producten van Microsoft) enkel dat er nog tot januari 2020 security updates worden uitgebracht. Dat hoef je niet apart af te nemen, dat is puur zoals Microsoft dat noemt. Na die datum komen er in principe geen security updates meer uit via Windows Update.

Die virusscanner is wel iets waar je je zorgen om moet maken, en de manier waarop de server benaderbaar is (rechtstreeks vanaf internet).

Zolang de server nog wordt bijgewerkt met de nog uit komende patches EN er geen RDP toegang is van buiten af is het redelijk veilig tot de uiteindelijke ewxtended support datum. Echter wel met de volgende kanttekeningen:

• Anti virus bijgewerkt
• Geen RDP/RDS toegang
• Meltdown/Spectre fixes op onderliggende hardware
• Een andere browser, bijvoorbeeld Chrome Enterprise of bij uitzondering Firefox

Ik weet niet hoe het contract er uit ziet met het externe bedrijf maar in theorie zou het zo maar kunnen zijn dat de verantwoordelijkheid is teruggelegd bij de stichting. Wat de bestuurders wel moeten beseffen dat wanneer er stront aan de knikker is, zij zelf aansprakelijk gesteld kunnen worden wegens nalatigheid.

Overigens zie ik bij heel veel bedrijven dat men Server 2008/2008R2 en Windows 7 er als een gek aan het uitwerken is. Ik weet niet waarom, maar ze willen allemaal voor Oktober 2019 klaar zijn (grote gemeene deler). Waarom voor Oktober weet ik niet.

Overigens, wanneer het een non-profit organisatie is dan krijgen ze heel veel korting op MS Software.

apollo13 schreef op woensdag 10 juli 2019 @ 16:56:
@Wim-Bart Goed dat je RDP meld. Er wordt dus regelmatig door de medewerkers vanuit huis gewerkt. Dat was mij geheel ontschoten.

RDP is echt nog een NO-GO op Server 2008(R2) zeker van buiten af.

Hoe dan ook wél zorgen dat dat ding uiterlijk 14 januari 2020 vervangen is.
Meteen een mooi moment even te inventariseren wat er nog meer EOL raakt.

Wim-Bart schreef op woensdag 10 juli 2019 @ 17:04:
[...]

RDP is echt nog een NO-GO op Server 2008(R2) zeker van buiten af.

Tenzij er een degelijke gateway tussen de server en het internet zit. Een Pulse Secure of F5 bijvoorbeeld.

Verwijderd schreef op woensdag 10 juli 2019 @ 17:45:
[...]

Tenzij er een degelijke gateway tussen de server en het internet zit. Een Pulse Secure of F5 bijvoorbeeld.

Zelfs dan heb ik het gevoel dat het niet veilig is. Er zijn altijd routes voor een hacker op machines met exploits.

Het bedrijf wat beheer doet, die doen dan bizar weinig. We hebben het hier over software uit de oudheid! Lekker makkelijk geld verdienen zo!

gast schreef op woensdag 10 juli 2019 @ 18:24:
Het bedrijf wat beheer doet, die doen dan bizar weinig. We hebben het hier over software uit de oudheid! Lekker makkelijk geld verdienen zo!

Of de non-profit heeft gewoon geen geld voor upgrades.
Ook geen onrealistische mogelijkheid.

Helaas is er na januari geen excuus meer, ik hoop dat de non-profit wel de nodige reserveringen heeft gemaakt. Grote kans dat er meer vervangen moet worden dan alleen 2008R2.

gast schreef op woensdag 10 juli 2019 @ 18:24:
Het bedrijf wat beheer doet, die doen dan bizar weinig. We hebben het hier over software uit de oudheid! Lekker makkelijk geld verdienen zo!

Net zo makkelijk te zeggen dat nonprofit geen cent te makken heeft en net zoals vele bedrijven de IT als last zien IPV investering. Leuk dat TS soort klokkenluider gaat spelen maar vaak genoeg meegemaakt dat de betreffende klant simpelweg niet nodig vind om te upgraden in het kader "Het werkt toch?"

Als IT beheerder heb je ook een bepaalde verantwoordelijkheid vind ik, bijvoorbeeld door vooraf actief mee te denken hoe je zon situatie kunt voorkomen - en daar dan ook stevig op te drukken. Maarja 🙃

Wij zijn allemaal niet bij de gesprekken geweest tussen de beheerder en de contactpersoon dus de beheerder kan heel goed zijn best hebben gedaan om te wijzen op het feit dat het OS oud is.

Zoveel aannames..

gast schreef op woensdag 10 juli 2019 @ 18:40:
Als IT beheerder heb je ook een bepaalde verantwoordelijkheid vind ik, bijvoorbeeld door vooraf actief mee te denken hoe je zon situatie kunt voorkomen - en daar dan ook stevig op te drukken. Maarja 🙃

Als IT beheerder heb je alleen zelden volledige budgetverantwoordelijkheid.
Je kunt stevig drukken, maar als het management zegt "geen geld" ben je klaar.

apollo13 schreef op woensdag 10 juli 2019 @ 19:28:
[...]
"Het werkt toch"... Dat was precies de reden waarom mij werd gevraagd, door de non-profit organisatie, om eens langs te komen. De laatste paar maanden hebben de medewerkers steeds vaker problemen bij het inloggen op de server. Zowel lokaal of als ze vanuit huis wilden werken. De infra beheerder wimpelde elke keer de klachten af met "het ligt aan jullie verbinding".

Hoe de organisatie er financieel voorstaat is mij niet bekend.

Misschien geen slecht idee eens voorzichtig te polsen of er uberhaupt budget is om dingen te fixen. Beetje naar als je nu uren en dagen investeert en het eindresultaat is dat ze €500 hebben om alles te fixen terwijl je €50.000 nodig hebt.

RDP open naar internet -> no go
Geen/verouderde virusscanner op server -> no go
Server 2008R2 na 14 januari 2020 -> no go

Zo snel mogelijk een professional naar laten kijken, en alles up-to-date laten maken.
Als de virusscanner al niet bijgewerkt is, hoe zit het dan met bijv. backup?

Of geef even aan welke non-profit organisatie het is, want op zo'n omgeving wil ik mijn persoonlijke data niet hebben staan. Zoals hierboven al aangegeven, het is niet de vraag OF het misgaat, maar wanneer. Zeker omdat het om bijzondere persoonsgegevens gaat(medische gegevens), gaan daar ook aardige boetes van de autoriteit persoonsgegevens uit voortvloeien.

Geen budget is wat mij betreft geen reden. Je hebt te maken met bijzondere persoonsgegevens, dus je bent wettelijk verplicht hier zorgvuldig mee om te gaan. Dat doen ze nu zeker niet...

[ Voor 12% gewijzigd door Schumaster op 11-07-2019 16:38 ]

Eens met hierboven. Als hierdoor een grote hoeveelheid gevoelige data op straat komt te liggen zal men ernstige nalatigheid ten laste worden gelegd, wat ontzettend in de papieren kan gaan lopen. Nieuw servertje is goedkoper.

E.g. https://www.dailybits.be/...-gdpr-boetes-rechtszaken/

Info: https://www.kvk.nl/advies...ecez9mKHE09BoCq4wQAvD_BwE

[ Voor 34% gewijzigd door Alfa Novanta op 11-07-2019 22:15 ]

Schumaster schreef op donderdag 11 juli 2019 @ 16:37:
RDP open naar internet -> no go
Geen/verouderde virusscanner op server -> no go
Server 2008R2 na 14 januari 2020 -> no go

Zo snel mogelijk een professional naar laten kijken, en alles up-to-date laten maken.
Als de virusscanner al niet bijgewerkt is, hoe zit het dan met bijv. backup?

Uit de openingspost begrijp ik dat @apollo13 die specialist is die ze hebben gevraagd er naar te kijken.

Maar inderdaad, dit ruikt naar veel meer dan alleen een 2008R2 server die straks EOL is. (Kan nu prima gebruikt worden, liefst wel ergens ver in het LAN maar 14 januari 2020 is het klaar. Daar MOET je nu actie op ondernemen anders ben je te laat.)

Of geef even aan welke non-profit organisatie het is, want op zo'n omgeving wil ik mijn persoonlijke data niet hebben staan. Zoals hierboven al aangegeven, het is niet de vraag OF het misgaat, maar wanneer. Zeker omdat het om bijzondere persoonsgegevens gaat(medische gegevens), gaan daar ook aardige boetes van de autoriteit persoonsgegevens uit voortvloeien.

Geen budget is wat mij betreft geen reden. Je hebt te maken met bijzondere persoonsgegevens, dus je bent wettelijk verplicht hier zorgvuldig mee om te gaan. Dat doen ze nu zeker niet...

Jup.

Ook met gewone persoonsgegevens ben je wettelijk verplicht hier zorgvuldig mee om te gaan. De eisen voor bijzondere persoonsgegevens zijn alleen wat zwaarder en de straffen (terecht) strenger.

Ik ben heel benieuwd naar het vervolg en ik hoop ook dat @apollo13 dat dit waarschijnlijk een goede reden is niet alleen naar die server te kijken, maar de hele ICT infra onder de loupe te nemen. Waar rook is, is stiekem toch vaak vuur.

Tijd voor een goede inventarisatieslag en een businesscase in 2020 eens flink de bezem er doorheen te halen. (Al kan het mogelijk wel wat aan de late kant zijn. 2020 is dichterbij dan je denkt.)

gast schreef op woensdag 10 juli 2019 @ 18:40:
Als IT beheerder heb je ook een bepaalde verantwoordelijkheid vind ik, bijvoorbeeld door vooraf actief mee te denken hoe je zon situatie kunt voorkomen - en daar dan ook stevig op te drukken. Maarja 🙃

'Maarja' wie weet doet dat bedrijf dat gewoon, maar werkt de directie niet mee. Dan kun je wel beter stoppen met de dienstverlening, maar dat is ook niet altijd zo makkelijk als even stoppen.

Wim-Bart schreef op woensdag 10 juli 2019 @ 18:18:
[...]


Zelfs dan heb ik het gevoel dat het niet veilig is. Er zijn altijd routes voor een hacker op machines met exploits.

Dat kan ook op 2012, 2016 of 2019. 2008 R2 is voor zover ik weet vrij veilig als je deze helemaal hebt bijgewerkt. Vulnerabilities zijn er altijd. Aan de hacker om er een exploit succesvol op uit te voeren.

Dat je binnenkort geen updates meer krijgt is wel een probleem en daarom is overstappen op een andere oplossing een verstandige zet.

[ Voor 4% gewijzigd door Verwijderd op 12-07-2019 10:36 ]

apollo13 schreef op vrijdag 12 juli 2019 @ 10:38:
@unezra Ik ben inderdaad die "specialist". Dankzij jullie kan ik volgende week de non-profit organisatie een lijstje met vragen geven die zij moeten gaan stellen. Wat volgens mij alvast geen vraag maar eis zou moeten zijn is een upgrade naar een server versie hoger dan 2008 en dat voor 2020-01-14. Actief de virusscanner monitoren of deze up to date is en dan ook houden.
Een heel belangrijke is ook de back-up strategie die de beheerder van hun netwerk infra hanteert. Dagelijksincrementeel>wekelijks>maandelijks.
Het hele DRP verhaal en het zou, denk ik, een goed plan zijn om een externe specialist in te huren om het geheel door te lichten. Mijn kennis is te beperkt.

En zit het met de clients, netwerkapparatuur en eventueel overige apparaten helemaal goed? IT gaat verder dan alleen een Windows servertje.

apollo13 schreef op vrijdag 12 juli 2019 @ 10:38:
@unezra Ik ben inderdaad die "specialist". Dankzij jullie kan ik volgende week de non-profit organisatie een lijstje met vragen geven die zij moeten gaan stellen. Wat volgens mij alvast geen vraag maar eis zou moeten zijn is een upgrade naar een server versie hoger dan 2008 en dat voor 2020-01-14. Actief de virusscanner monitoren of deze up to date is en dan ook houden.

Zoals @Verwijderd ook zegt, het gaat niet alleen om die server. Je moet naar het totale plaatje kijken. Daarom zou ik ook niet enkel een voorstel schrijven voor die server, maar een complete inventarisatie doen en dán met een totaalvoorstel en meerjarenplan komen.

Een heel belangrijke is ook de back-up strategie die de beheerder van hun netwerk infra hanteert. Dagelijks incrementeel>wekelijks>maandelijks.

Incremental backups zijn iets van de vorige eeuw. Ik zou daar serieus eens goed naar kijken.
Ook de manier waarop. Je wil bijvoorbeeld niet dat de tapes bij iemand thuis liggen. (Meegemaakt hier, een van de eerste dingen die ik heb veranderd. Ze worden nu wekelijks opgehaald door een gespecialiseerde opslagdienst.)

Het hele DRP verhaal en het zou, denk ik, een goed plan zijn om een externe specialist in te huren om het geheel door te lichten. Mijn kennis is te beperkt.
De kennis van de non-profit organisatie is 0. Er werken er zo ongeveer 6 á 8 mensen, die echte gebruikers zijn.

Goed om je eigen beperkingen te kennen. Het is totaal geen schande externe expertise in te huren. Wij doen dat doorlopend en ik schaam me allang niet meer dingen niet te weten. Je moet weten wanneer je het niet weet en dan expertise invliegen.

Ondertussen zit ik even hardop te denken of ik nog partijen ken, maar ik ben het afgelopen jaar vooral bezig met onderzoek naar outsourcing.

Heb je al een beeld van welke kennis je extern wil invliegen? Wil je de totale ICT door een andere partij laten overnemen / beheren of wil je juist zelf het beheer en advies blijven doen en enkel specialisten invliegen op specifieke gebieden? (Daar ken ik er wel een aantal van waar we met sommigen ook actief zaken doen of hebben gedaan. Allrounders ken ik er minder van, tenzij je het aan durft de complete ICT buiten de deur te plaatsen. Dan zijn er zeker partijen die ik je zou kunnen doorgeven als je daarin interesse hebt. Wel via PM uiteraard.)

Welke gateway bedoel je, de gateway van de netwerkrange, de gateway naar buiten op een router, een fysiek apparaat die deze naam draagt of een firewall? Ik zie nergens in jouw posts dat dit eerder is genoemd.

Het is onverantwoord om op dat spul te draaien. Het is niet dat het niet kan, of dat er geen lapmiddel is, maar het is gewoon niet verantwoord. Het probleem zit hem meestal in het niet kunnen duiden van het risico. De impact en kans op een impact voor een IT systeem zijn meestal vaag en ondoorzichtig en als de IT dienstverlener(s) die niet duidelijk kunnen maken is het wachten tot het verkeerd gaat.

apollo13 schreef op vrijdag 12 juli 2019 @ 15:36:
[...]

In dit geval de gateway tussen de thuiswerker (RDP) en de server.
Zie de reacties van @Wim-Bart en @Verwijderd

Je bedoelt de router of de firewall?

@apollo13 Jij zoekt in deze een Remote Desktop Gateway, een (losse) server die je tussen de RDP server en het internet zet. Daarvoor (dus tussen de RDG en het internet) moet nog een router/firewall staan!

[...]
Ik zal van de week als ik bij de non-profit organisatie ben eens gaan vragen of ze iets op papier hebben staan wat de zaak kan verduidelijken. Of is er een mogelijkheid dat dit makkelijk te achterhalen als ik eens op/in het netwerk ga rondsnuffelen. Iets simpels als een tracert?

Ik zou beiden adviseren. Documentatie geeft soms een completer beeld maar zelf-zien-dan-geloven is ook geen slechte insteek, wat dat betreft.

[ Voor 52% gewijzigd door Room42 op 12-07-2019 17:34 ]

Room42 schreef op vrijdag 12 juli 2019 @ 17:32:
[...]
Ik zou beiden adviseren. Documentatie geeft soms een completer beeld maar zelf-zien-dan-geloven is ook geen slechte insteek, wat dat betreft.

Sterker nog, je moet er vanuit gaan dat de documentatie per definite niet klopt en verouderd is.

Rustig inventariseren, documenteren, beetje nmappen door het netwerk, etc.

Aan de andere kant, ze hebben nu toch al een partij die het netwerk beheert. Die zou ook een plaatje moeten hebben. Het is mij niet helemaal duidelijk wie nu waarvoor verantwoordelijk is.

Baart me wel nog steeds zorgen dat het klinkt als een nogal vage situatie zonder documentatie, zonder mensen die verantwoordelijk zijn, met 8 personeelsleden én de verantwoordelijkheid voor bijzondere persoonsgegevens.

@apollo13 Heb je al gevraagd of er uberhaupt budget en interesse is om eens goed door de ICT infra heen te bezemen en dingen te fixen? Of is het voor hen een gevalletje "na mij de zondvloed"? In dat geval kun je ze misschien maar beter gewoon wijzen op de AVG, de gevaren en verder je handen er vanaf trekken.

apollo13 schreef op vrijdag 12 juli 2019 @ 18:15:
@unezra Als ik een gokje moet wagen is er aan de non-profit kant weinig documentatie te vinden wat betreft hun netwerk infra. Deze info moet dus komen van hun externe infra beheerder.
Je hebt gelijk dat het nogal vaag is allemaal, dat is ook wat mij de meeste zorgen baart.
Over het budget heb ik geen idee, maar ik zal wel aansturen op een externe audit van een neutraal persoon/organisatie/bedrijf.
Ikzelf doe dit geheel op vrijwillige basis. De non-profit organisatie doet uitstekend werk hier in de stad waar ik woon, het zou zonde zijn dat ze door bv een datalek hun werk moeten staken.
Vandaar dus dit topic.

Hmmm. Ik begrijp je gevoelens en betrokkenheid volkomen.

Zelf doe ik op dit moment niets zinvols met non-profits, maar ik heb er wel een totaal zwak voor. Dusdanig dat ik tot eerder dit jaar zélf een non-profit VPS aanbieder probeerde te runnen en vanuit die hoedanigheid mijn best heb gedaan diensten te bieden aan onder andere andere non-profits. (Die activiteiten heb ik helaas moeten staken. 2 grote klanten liepen door omstandigheden weg waardoor het begrotingstekort onverantwoord groot werd.)

Ik neig er naar dit breder te trekken dan alleen die 2008R2 server. De vraag is of je direct een externe partij moet inhuren. Die kost ook weer geld en de vraag is of zich dat meteen terugverdient. Daarbij, jij vrijwilligt daar, zij verdienen er geld aan. Niets mis mee, maar misschien ook niet nodig.

Hoewel ik een groot voorstander ben van publieke topics, kan ik me voorstellen dat je zonder toestemming van hen, niet een publiek topic op kunt zetten over hun totale infra.

Als je wil mag je me een PM sturen, ik ben wel benieuwd welke non-profit het gaat, in welke stad het is en welk doel ze hebben. Misschien dat ik eens in detail met je mee wil denken over hun omgeving. (Om vervolgens wellicht in een apart topic, waar mogelijk zaken te delen met de community.)