Welche Möglichkeiten der Nutzung von Windows gibt es nach dem offiziellen Support-Ende?

Allgemeine Hinweise

Es ist grundsätzlich möglich, Produkte weiter zu nutzen, welche nicht mehr vom Hersteller

gepflegt werden, wenn folgende Grundregeln beachtet werden:

  1. Die alltägliche Arbeit am System erfolgt mit einem Normalnutzerkonto und NICHT mit einem administrativen Konto.
                             
  2. Das Starten beliebiger Programme ist unterbunden.
                         
  3. Beliebiger eingehender und ausgehender Netzwerkverkehr ist unterbunden.
                            
  4. Für die Arbeit im Internet werden mit Updates versorgte Programme benutzt.

Dies verlangt jedoch umfangreiche Anpassungen der Systemkonfiguration, bei denen Aufwand und Nutzen in den meisten Fällen in keinem sinnvollen Verhältnis stehen.

Auf dieser Seite finden Sie Hinweise, wie Sie betroffene Betriebssysteme für den Weiterbetrieb nach deren Support-Ende konfigurieren können.

Windows XP

Voraussetzungen:

Beispieleinsatz als Remotedesktop-Terminal

  • Ausführen folgender administrativer Kommandozeilen zur Isolation vom Internet und Beschränken des Netzwerkverkehrs auf ausgehenden RDP-Protokollverkehr:

    REM Block all traffic
    ipseccmd.exe -f 0+*:: -n BLOCK -r Block -w REG -p IPFilter

    REM Allow DNS and RDP traffic only
    ipseccmd.exe -f 0:+*:53:UDP 0:+*:3389:TCP -n PASS -r Trusted -w REG -p IPFilter

    REM Activate Policy
    ipseccmd.exe -p IPFilter -w REG -x

    Anschließend kann per Remotedesktop-Programm mstsc.exe auf beliebige Remotedesktop-Server zugegriffen werden.

Beispieleinsatz als lokales vom Internet vollständig isoliertes Windows-System mit Zugriff auf privaten Subnetzbereich, z.B. 192.168.0.0/16

  • Ausführen folgender administrativer Kommandozeilen zur Isolation vom Internet und Beschränken des Netzwerkverkehrs auf einen privaten Subnetzbereich, z.B. 192.168.0.0/16:

    REM Block all traffic
    ipseccmd.exe -f 0+*:: -n BLOCK -r Block -w REG -p IPFilter

    REM Allow 192.168.0.0 subnet traffic only
    ipseccmd.exe -f 0:+192.168.0.0/255.255.0.0:: -n PASS -r Trusted -w REG -p IPFilter

    REM Activate Policy
    ipseccmd.exe -p IPFilter -w REG -x

    Anschließend kann innerhalb des zugelassenen Subnetzbereiches ohne Einschränkungen gearbeitet werden.

Windows 7

Voraussetzungen:

 

Beispieleinsatz als Remotedesktop-Terminal

  • Ausführen folgender administrativer Kommandozeilen zur Isolation vom Internet und Beschränken des Netzwerkverkehrs auf ausgehenden RDP-Protokollverkehr:

    REM Block all traffic
    netsh.exe advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound 

    REM Allow DNS and RDP traffic only
    netsh.exe advfirewall firewall add rule name="ConfigFW(35) - DNS Traffic Port 53 (TCP-Out)" dir=out action=allow remoteip=ANY remoteport=53 protocol=TCP
    netsh.exe advfirewall firewall add rule name="ConfigFW(35) - DNS Traffic Port 53 (UDP-Out)" dir=out action=allow remoteip=ANY remoteport=53 protocol=UDP
    netsh.exe advfirewall firewall add rule name="ConfigFW(35) - RDP Traffic Port 3389 (TCP-Out)" dir=out action=allow remoteip=ANY remoteport=3389 protocol=TCP

    Anschließend kann per Remotedesktop-Programm mstsc.exe auf beliebige Remotedesktop-Server zugegriffen werden.

Beispieleinsatz als lokales vom Internet vollständig isoliertes Windows-System mit Zugriff auf privaten Subnetzbereich, z.B. 192.168.0.0/16

  • Ausführen folgender administrativer Kommandozeilen zur Isolation vom Internet und Beschränken des Netzwerkverkehrs auf einen privaten Subnetzbereich, z.B. 192.168.0.0/16:

    netsh.exe advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound 
    netsh.exe advfirewall firewall set rule name="all" new remoteip=192.168.0.0/16


    Anschließend kann innerhalb des zugelassenen Subnetzbereiches ohne Einschränkungen gearbeitet werden.