Support Windows 2012R2 Server loopt ten einde..

De risico's zul je zelf in kaart moeten brengen en zijn ook afhankelijk van de workloads / applicatie(s) die nu op de server draaien.
Enkel een webapplicatie die via https communiceert op poort 443? Welke webserver? Systeem verder geheel firewalled en geïsoleerd van overige netwerk? Server domain joined, ja of nee? Of is de server vanuit het interne netwerk compleet benaderbaar, alle poorten open, etc?

De meeste exploits worden tegenwoordig uitgebuit vanaf het LAN omdat veel bedrijven hun interne netwerk teveel vertrouwen.
Maar nogmaals, je zult zelf de risico's in kaart moeten brengen.

Is er kans op misbruik van een 0 day exploit die iemand nog op de plank heeft liggen voor server 2012 R2 die pas actief misbruikt gaat worden na end of support?

Heb je wel eens een kat zien liggen wachten bij een plek waar veel vogeltjes langskomen?

Ando schreef op maandag 3 juli 2023 @ 15:47:
De support van Windows 2012R2 Server loopt ten einde. Is er iets zinnigs te zeggen over de risico's die je loopt als je t/m Q2-2024 een Windows 2012R2 on premise server in de lucht houdt, beveiligd met ESET 2FA en ESET Protect?

Welke risico's verwacht je zelf? Jij kent je omgeving zelf het beste. Hebben we het hier over een systeem die rechtstreeks aan het internet hangt, of is deze via (micro)segementering gescheiden van de rest van het netwerk?

Een inplace-update is een kostbare en niet risico-loze optie voor een half jaar.

Eset protect is ook kostbaar... Dat is het hele punt met beveiliging, het kost allemaal geld en is gedoe en als het goed is heb je het nooit nodig. Op die ene keer na, en dan ben je blij dat je het wel geregeld hebt.

Verlengde support van Microsoft is niet mogelijk op de configuratie.

Waarom niet?

Ik ben wel benieuwd wat de risico's nu precies zijn en waarom er niet eerder is ingegrepen? Mainstream support is immers in 2018 al verlopen.

Zolang connectiviteit van het internet direct naar de server niet per se nodig is, kun je firewall technisch alles dichtbouwen behalve de specifieke poorten voor de applicatie.

Maar ja, het enige juiste antwoord is: je bent te laat, je lifecycle management deugt niet etc.

Aangenomen dat het een virtuele machine is, trek een kopie, dump die in een afgeschermd netwerkje, doe daar een in-place upgrade op en test of alles nog werkt.

Werkt dat, full backup trekken van de productie machine, upgraden, testen, profit.

Microsoft heeft lang geleden aangekondigd dat deze support stopt. Je kan ervan uitgaan dat mensen die de laatste tijd kwetsbaarheden hebben ontdekt, gewoon een tijdje wachten totdat de ondersteung is gestopt. Dan zit je met je lekke server waar je geen updates meer voor krijgt. Met een beetje geluk wordt er dan een enkele patch uitgebracht uit coulance. Vanuit risicoperspectief zou ik dat echter geen acceptabel risico vinden.

Nog even los van de technische aandachtspunten, veel aal genoemd: wat doet de server inhoudelijk? Als er persoonsgegevens op staan, heb je sowieso een (AVG-) compliancy issue ook als er niets fout gaat. Des te meer als er wel een datalek gaat komen na bewust niet de benodigde maatregelen te hebben genomen.

Risico: heb je niet een groter probleem als het op een ongepland moment alsnog uitvalt?

Naar de vraag kijkend is er ook geen testomgeving? Anders is het proberen minder risicovol.

Ando schreef op maandag 3 juli 2023 @ 15:47:
De support van Windows 2012R2 Server loopt ten einde. Is er iets zinnigs te zeggen over de risico's die je loopt als je t/m Q2-2024 een Windows 2012R2 on premise server in de lucht houdt, beveiligd met ESET 2FA en ESET Protect?

Een inplace-update is een kostbare en niet risico-loze optie voor een half jaar.

Verlengde support van Microsoft is niet mogelijk op de configuratie.

Kan iemand een zinnig antwoord geven?

weet je wat kostbaar is? dan je in november dit jaar als 2012R2 uit de support is gehacked wordt (je kan er op wachten, de exploits zullen vast klaar staan wachtend tot de stekker uit 2012R2 gaat om de volgende dag paniek te zaaien)

dát is pas kostbaar, niet een upgrade doen met even een paar uur downtime en een nieuwe licentie.

Ik neem aan dat het een virtuele server is? Maak een snapshot en doe een inplace upgrade. Gaat het fout, snapshot terug. Hoe moeilijk kan het zijn.

Ook eens met @Zwelgje hierboven, wat as je 's ochtends op je werk komt met een mooi randsomware schermpje overal......

Ando schreef op dinsdag 5 december 2023 @ 20:01:
De Terminal Server wordt opnieuw opgebouwd, daarvan is een inplace upgrade naar 2019 niet te doen. Vanaf de fileserver worden diverse taken verplaatst waarna de update wel mogelijk is.

Een in-place upgrade zou in theorie wél te doen moeten zijn van een Terminal Server van 2012 R2 naar 2019. je dient enkel niet te vergeten je licenses aan te passen van 2012 rds cal's naar 2019 rds cal's. desalnietemin is het altijd beter om vanaf een schone 2019 install te beginnen.

Xelefim schreef op woensdag 6 december 2023 @ 09:44:
[...]


Een in-place upgrade zou in theorie wél te doen moeten zijn van een Terminal Server van 2012 R2 naar 2019. je dient enkel niet te vergeten je licenses aan te passen van 2012 rds cal's naar 2019 rds cal's. desalnietemin is het altijd beter om vanaf een schone 2019 install te beginnen.

RDS servers zijn doorgaans inderdaad vrij eenvoudig. Sowieso de meeste standaard rollen zijn prima te upgraden, m.u.v. domain controllers en Exchange bakken (vooral de compatibiliteitsmatrix in het oog houden).

Onlangs nog een rds bak van 2012R2 rechstreeks naar 2022 gekregen. Alleen de CAL’s omgezet en verder niks bijzonders.