Windows XP Embedded - Sicherheit im Netzwerk

[Bruzla]

Schönen guten Morgen zusammen,

bei uns wird gerade eine Maschine angeschafft, welche in Kombination mit einem Windows XP Embedded Rechner läuft.

Ich wollte mich mal erkundigen, ob jemand Erfahrungen damit hat, bzw. weiß, ob Windows XP Embedded in irgendeiner Form sicherer ist als das normale XP.

Hauptsächlich im Hinblick auf Ransomware.

Laut Hersteller haben viele Kunden nen Rechner einfach ins Produktivnetz gehängt, das wäre natürlich auch die einfachste Methode.

Falls es bei Windows XP Embedded auch Sicherheitsbedenken gibt, müsste ich halt ein separates Netz aufbauen für den Rechner.

Was denkt ihr dazu?

 

[derlorenz]

Moin moin,
sicher das Netz so gut es geht ab, wenn man nicht um so eine Büchse drumherum kommt.

Bsp: https://www.heise.de/newsticker/mel...tende-von-Embedded-POSReady-2009-4368252.html

 

[azereus]

Separat oder ohne+stick für was auch immer die maschine genutzt wird
Ein systemimage zu auslieferungszustand und den hersteller mal fragen wann er aktuelle software liefert

 

[SavageSkull]

Laut Hersteller haben viele Kunden nen Rechner einfach ins Produktivnetz gehängt, das wäre natürlich auch die einfachste Methode.

so ist das auch gedacht und nicht anders.
Maschinen werden nicht upgedatet, den Rattenschwanz den das hinterherzieht wenn plötzlich Visu oder Software-SPS nicht laufen, kann/will niemand tragen.
Maschinen sind in der Regel autarke Inseln, die bei Bedarf Informationen über einen Router nach außen geben.

 

[onesworld]

Da das Produktivnetz vom Rest sowieso abgeschottet agiert, hängt man den Rechner da einfach rein, richtig. Es sei denn in deiner Firma vermischen sich die Netzwerke (produktiv/öffentlich). Dann habt ihr allerdings ganz andere Probleme und solltet als erste die Netzwerke strikt trennen.

 

[Bruzla]

Ich meinte, wir haben bisher nur ein Netz, weil die neue Maschine der erste Fall ist, bei dem ein Windows XP mit Netzwerk benötigt wird.

Aber ich denke, dann müssen wir halt jetzt ein richtiges "Produktivnetz" aufbauen für den Fall.

 

[leipziger1979]

ob Windows XP Embedded in irgendeiner Form sicherer ist als das normale XP.

Sicherer ist es auf jeden Fall.
Für die Embedded gab es noch bis Anfang 2019 Windows Updates.

Ansonsten kannst das Firmennetzwerk mit Firewall ja so absichern das die XP Kiste nicht ins Internet kann.

 

[DJKno]

Gerade bei Speziellen Produktionsrechnern ist XP leider noch immer oft vertreten.
Auch bei uns in der Firma laufen noch ein paar Anlagen auf XP.
Die Netze sind getrennt und die Geräte haben keinen Internetzugriff.
Viel mehr kann man nicht machen.
Da auf solchen PCs aber auch keiner den Browser o.ä. verwendet, sondern darauf lediglich Spezialsoftware läuft,
ist das Risiko sich etwas einzufangen deutlich geringer.

 

[3faltigkeit]

Also ich kenne es so und würde es auch so empfehlen, dass man das Produktive Netzwerk separiert. Dort sollte auch der XP-Embedded Rechner mit rein. z.B. eigenes VLAN und das mit einer Firewall gesichert.

Bzw. Gibt es das auch, dass das Produktionsnetz komplett physikalisch parallel aufgebaut ist, also extra Switches etc., kommt aber wahrscheinlich etwas teurer. Kanna ber eventuell sowieso nötig sein, wenn die Maschinen andere z.B. Echtzeitprotokolle voraussetzen, dann kann es sein, dass man extra Industrial-Switches von Hirschmann oder Siemens braucht.

 

[scooter010]

Maschinen sind in der Regel autarke Inseln, die bei Bedarf Informationen über einen Router nach außen geben.

Aber ich denke, dann müssen wir halt jetzt ein richtiges "Produktivnetz" aufbauen für den Fall.

@SavageSkull hat da schon recht. Nicht nur ein Produktiv-Netz, jede Maschine braucht ein eigenes, mittels router und firewall isoliertes subnet.
Denn selbst die gekauften Maschinen sind nicht uneingeschränkt vertrauenswürdig (produziert von amrikanischen Auftragsfertigern in chinesischen Produktionsstätten,...) und spätestens seit Stuxnet wissen wir, dass es gezielte Angriffe auf Industrieanlagen mit staatlicher Unterstützung gibt.
Lieber direkt jetzt das Netzwerk auf genau dieses Szenario auslegen.
Wenn ihr erst 10 Maschinen habt, die dann auch bereits daten mit dem Backoffice automatisch austauschen (Aufträge, Stückzahlen,...), kann man das nachträgliche Umsetzen der Isolierung knicken.

 

[SavageSkull]

Wenn ihr erst 10 Maschinen habt, die dann auch bereits daten mit dem Backoffice automatisch austauschen (Aufträge, Stückzahlen,...), kann man das nachträgliche Umsetzen der Isolierung knicken.

separiertes Maschinen Netzwerk, ggfls auf ein Prozessleitsystem auflaufen lassen und dann dort definiert über Router die benötigten Daten an SAP und Firmen Netz bringen.