Windows XP Embedded - Sicherheit im Netzwerk

Bruzla

Lt. Commander
Dabei seit
Okt. 2013
Beiträge
2.021
Schönen guten Morgen zusammen,

bei uns wird gerade eine Maschine angeschafft, welche in Kombination mit einem Windows XP Embedded Rechner läuft.

Ich wollte mich mal erkundigen, ob jemand Erfahrungen damit hat, bzw. weiß, ob Windows XP Embedded in irgendeiner Form sicherer ist als das normale XP.

Hauptsächlich im Hinblick auf Ransomware.

Laut Hersteller haben viele Kunden nen Rechner einfach ins Produktivnetz gehängt, das wäre natürlich auch die einfachste Methode.

Falls es bei Windows XP Embedded auch Sicherheitsbedenken gibt, müsste ich halt ein separates Netz aufbauen für den Rechner.

Was denkt ihr dazu?
 

derlorenz

Lt. Commander
Dabei seit
März 2011
Beiträge
1.220

SavageSkull

Vice Admiral
Dabei seit
Mai 2010
Beiträge
7.068
Laut Hersteller haben viele Kunden nen Rechner einfach ins Produktivnetz gehängt, das wäre natürlich auch die einfachste Methode.
so ist das auch gedacht und nicht anders.
Maschinen werden nicht upgedatet, den Rattenschwanz den das hinterherzieht wenn plötzlich Visu oder Software-SPS nicht laufen, kann/will niemand tragen.
Maschinen sind in der Regel autarke Inseln, die bei Bedarf Informationen über einen Router nach außen geben.
 

onesworld

Commander
Dabei seit
Dez. 2018
Beiträge
2.183
Da das Produktivnetz vom Rest sowieso abgeschottet agiert, hängt man den Rechner da einfach rein, richtig. Es sei denn in deiner Firma vermischen sich die Netzwerke (produktiv/öffentlich). Dann habt ihr allerdings ganz andere Probleme und solltet als erste die Netzwerke strikt trennen.
 

Bruzla

Lt. Commander
Ersteller dieses Themas
Dabei seit
Okt. 2013
Beiträge
2.021
Ich meinte, wir haben bisher nur ein Netz, weil die neue Maschine der erste Fall ist, bei dem ein Windows XP mit Netzwerk benötigt wird.

Aber ich denke, dann müssen wir halt jetzt ein richtiges "Produktivnetz" aufbauen für den Fall.
 

DJKno

Rear Admiral
Dabei seit
Okt. 2005
Beiträge
6.008
Gerade bei Speziellen Produktionsrechnern ist XP leider noch immer oft vertreten.
Auch bei uns in der Firma laufen noch ein paar Anlagen auf XP.
Die Netze sind getrennt und die Geräte haben keinen Internetzugriff.
Viel mehr kann man nicht machen.
Da auf solchen PCs aber auch keiner den Browser o.ä. verwendet, sondern darauf lediglich Spezialsoftware läuft,
ist das Risiko sich etwas einzufangen deutlich geringer.
 

3faltigkeit

Cadet 4th Year
Dabei seit
Jan. 2017
Beiträge
107
Also ich kenne es so und würde es auch so empfehlen, dass man das Produktive Netzwerk separiert. Dort sollte auch der XP-Embedded Rechner mit rein. z.B. eigenes VLAN und das mit einer Firewall gesichert.

Bzw. Gibt es das auch, dass das Produktionsnetz komplett physikalisch parallel aufgebaut ist, also extra Switches etc., kommt aber wahrscheinlich etwas teurer. Kanna ber eventuell sowieso nötig sein, wenn die Maschinen andere z.B. Echtzeitprotokolle voraussetzen, dann kann es sein, dass man extra Industrial-Switches von Hirschmann oder Siemens braucht.
 

scooter010

Lt. Commander
Dabei seit
Sep. 2014
Beiträge
1.641
Maschinen sind in der Regel autarke Inseln, die bei Bedarf Informationen über einen Router nach außen geben.
Aber ich denke, dann müssen wir halt jetzt ein richtiges "Produktivnetz" aufbauen für den Fall.
@SavageSkull hat da schon recht. Nicht nur ein Produktiv-Netz, jede Maschine braucht ein eigenes, mittels router und firewall isoliertes subnet.
Denn selbst die gekauften Maschinen sind nicht uneingeschränkt vertrauenswürdig (produziert von amrikanischen Auftragsfertigern in chinesischen Produktionsstätten,...) und spätestens seit Stuxnet wissen wir, dass es gezielte Angriffe auf Industrieanlagen mit staatlicher Unterstützung gibt.
Lieber direkt jetzt das Netzwerk auf genau dieses Szenario auslegen.
Wenn ihr erst 10 Maschinen habt, die dann auch bereits daten mit dem Backoffice automatisch austauschen (Aufträge, Stückzahlen,...), kann man das nachträgliche Umsetzen der Isolierung knicken.
 

SavageSkull

Vice Admiral
Dabei seit
Mai 2010
Beiträge
7.068
Wenn ihr erst 10 Maschinen habt, die dann auch bereits daten mit dem Backoffice automatisch austauschen (Aufträge, Stückzahlen,...), kann man das nachträgliche Umsetzen der Isolierung knicken.
separiertes Maschinen Netzwerk, ggfls auf ein Prozessleitsystem auflaufen lassen und dann dort definiert über Router die benötigten Daten an SAP und Firmen Netz bringen.
 
Top