[English]Am 14. Oktober 2025 erhält Microsoft Windows 10 22H2 letztmalig Sicherheitsupdates und fällt dann aus dem Support. Aber es gibt Optionen, das Betriebssystem zumindest abzusichern. Abseits von diesem Sachverhalt erreichen weitere Microsoft Produkte wie die Universal Apps, OneNote für Windows 10, Microsoft Office 2016 und 2019, sowie Exchange Server 2016 und 2019. Nachfolgend ein kurzer Blick auf diesen Sachverhalt.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Supportende (End of Life, EOL) bedeutet, dass die Produkte zwar weiter funktionieren, aber keine Unterstützung oder Sicherheitsupdates von Microsoft mehr bekommen.
Windows 10-Supportende
Das Supportende von Windows 10 22H2 zum 14. Oktober 2025 dürfte den meisten Leuten noch am wenigsten Kopfschmerzen bereiten. Wenn es nach dem Gusto von Microsoft geht, werfen die Leute den alten PC weg und kaufen einen schönen neuen Copilot+PC mit Windows 11 sowie AI-Funktionen (siehe meinen Beitrag Microsoft: 2025 wird das Jahr der Windows 11 PC-Aktualisierungen). Gut, neuere Systeme ließen sich kostenlos auf Windows 11 24H2 (samt dessen Bugs) aktualisieren. Und etwas erfahrene Nutzer kriegen Windows 11 auch auf älterer, nicht mehr unterstützter Hardware, zum Laufen.
Schöne neue Microsoft-Welt, mit einigen Kratzern. Der Lockruf von Windows 11 scheint nicht so dolle zu sein, denn im Beitrag Betriebssystem/Windows Verteilung (Ende Mai 2025); Windows 11 schwächelt zeigt sich an den Statcounter-Zahlen, dass der Windows 11-Anteil in den letzten Monaten stagniert.
Windows-Marktanteil 5.2025
Windows 10 ist immer noch das Arbeitspferd auf Desktop-Systemen und dürfte dies auch in den kommenden Monaten noch bleiben, ist mein Fazit. Rein technisch ist das auch kein Problem – Windows 10 ist stabil und fehlende "Frickel-Updates" – von Microsoft als Feature Updates bezeichnet, dürften manchem Zeitgenossen entgegen kommen. Endlich wird Windows 10 von Microsoft nicht mehr kaputt geupdated, ist der mehrfach gehörte Spruch.
ESU-Support von Microsoft
Weiterhin können Windows 10-Nutzer ganz offiziell gegen Bares auch nach dem 14. Oktober 2025 Sicherheitsupdates per Windows Update beziehen. Das Zauberwort heißt ESU-Updates (ESU steht für Extended Security Updates).
Für Privatnutzer soll das ein Jahr für schlappe 30 Euro möglich sein. Ich hatte das im Beitrag Windows 10: Überraschung, es gibt ESU-Supportverlängerung; auch für Privatanwender sowie im Beitrag Microsoft will 30 US-$ für 1 Jahr Windows 10-Supportverlängerung angesprochen. Aktuell ist aber noch nicht bekannt, wann dieses Programm startet.
Firmenanwender können den ESU-Support für Windows 10 22H2 Enterprise sogar für drei volle Jahre beziehen, bevor es keine Sicherheitsupdates mehr gibt. Das Ganze startet mit 61 US-Dollar im ersten Jahr, allerdings verdoppelt sich der Preis für die ESU-Lizenz aber jedes Jahr, wie ich im Beitrag Windows 10: Preise für Extended Security Updates bekannt gegeben bereits erläutert habe.
Laut Microsofts Support-Beiträgen sollen Unternehmen seit Oktober 2024 bereits ESU-Lizenzen für das erste Jahr kaufen können. Ich habe gerade mal im Techcommunity-Blog im Artikel When to use Windows 10 Extended Security Updates nachgeschaut, wo dieser Termin steht, obwohl der Artikel im April 2025 letztmalig aktualisiert wurde. Der Artikel beleuchtet die Möglichkeiten von Windows 10-Nutzern nach Oktober 2025 und soll darüber aufklären, wann man Extended Security Updates verwenden soll (es gibt auch kostenlose Verlängerungsoptionen in der Microsoft Cloud mit virtualisiertem Windows 10). Bei einer Windows 11 Lizenz auf einer Windows 365-Instanz sollen auch die ESU-Updates für den lokalen Host dabei sein (siehe auch, Stichpunkt: "lokale Windows 10 Endpunkte, die eine Verbindung mit Microsoft 365 herstellen und Anspruch auf ESU").
Bezüglich des Verkaufsstarts der ESU-Lizenzen ab Oktober 2024 scheint es aber eine Dokumentations-Ente aus Redmond zu sein. In der Patchmanagement.org-Mailing-Liste fallen mir immer wieder Posts auf, wo Administratoren händeringend Quellen für ESU-Lizenzen suchen und nicht fündig werden. Der Vertrieb soll über CSPs (Cloud Solutions Provider), die auch sonst für den Lizenzvertrieb zuständig sind, erfolgen. Ich vermute, dass es erst kurz vor Oktober 2025 mit dem Anbieten der ESU-Lizenzen los geht.
Dass es eventuell einen inoffiziellen ESU-Hack geben könnte, der dafür sorgt, dass Windows 10-Systeme ESU-Updates auch ohne ESU-Lizenz bekommen, lasse ich hier mal unter den Tisch fallen – das sind noch ungelegte Eier.
Tipp: Nutzt 0patch für fünf Jahre Absicherung
Mein Ratschlag für alle Privatanwender – und ggf. auch kleine Freiberufler, Handwerker und Einzelkämpfer, die ihre Windows 10-Systeme mit Software nach dem Oktober 2025 sicher weiter verwenden wollen, lautet: Schaut euch die Lösung 0patch von ACROS Security an. Ich hatte im Blog-Beitrag Windows 10: 0patch sorgt für 5 Jahre Zusatzsupport bereits erwähnt, dass das Team um Mitja Kolsek eine Windows 10-Unterstützung für weitere fünf Jahre plant. Er hat im Mai 2025 diesen Artikel zum Thema publiziert.
Zum Hintergrund: Kolsek analysiert mit seinem Team die für Windows 10 21H2 Enterprise LTSC erhältlichen Sicherheitsupdates auf geschlossene Schwachstellen. Dann entwickelt er einen sogenannten Micropatch, den er über die 0patch-Agenten in den Arbeitsspeicher lädt. Damit werden Sicherheitslücken in Windows 10 geschlossen.
Mit 0patch erhalten Benutzer Sicherheits-"Micropatches" für kritische, wahrscheinlich auszunutzende Sicherheitslücken, die nach dem 14. Oktober 2025 entdeckt werden. Diese Patches sind sehr klein, in der Regel nur ein paar CPU-Befehle (daher der Name), und werden auf laufende Prozesse im Speicher angewendet, ohne ein einziges Byte der Original-Binärdateien von Microsoft zu verändern (Siehe Wie 0patch funktioniert, oder in meinem Blog-Beitrag hier).
Die Preise für diese Absicherung, die es auch für Home-User gibt, sind dabei sehr moderat. Private Nutzer können sogar eine kostenlose Free-Version von 0patch installieren, bekommen dann aber nur Micropatches für als gravierend eingestufte Schwachstellen. Wer sicher sein möchte, alle Micropatches für Windows 10 über den 0patch-Agenten zu bekommen, bucht ein kostenpflichtiges Paket.
Der aktuelle Jahrespreis für 0patch PRO beträgt 24,95 EUR + MwSt. pro Computer, und für 0patch Enterprise 34,95 EUR + MwSt. pro Computer. Aktive Abonnements behalten diese Preise für zwei weitere Jahre im Falle von Preisänderungen.
Meine persönliche Einschätzung: Ich werde aller Voraussicht nach eines dieser Pakete (wohl Pro) buchen, denn ich habe unter Windows 7 mit dieser Lösung auf einem privaten PC gute Erfahrungen gemacht. Ob eine IT-Abteilung das Risiko eingeht, diese Lösung für Inhouse-Kunden oder externe Kunden zu verteilen, muss individuell entschieden werden.
Ein Problem wird irgendwann sein, dass die Software-Unterstützung für Windows 10 22H2 ausläuft (Browser, Banking-Software etc.), so dass der Betrieb keinen Sinn mehr macht. Aber das dürfte nicht vor 2028 oder 2029 der Fall sein.
Was ist mit LTSC-Varianten?
Es besteht die Möglichkeit in Firmen, auf die sogenannten LTSC-Varianten von Windows 10 zu setzen, die bis 2019 in der Enterprise-Variante 10 Jahre Support bekommen – aber ab Windows 10 21H2 Enterprise LTSC auf fünf Jahre Support gestutzt wurden. Nur bei den IoT-SKUs blieb der 10-Jahres-Support bestehen.
Hier im Blog-Beitrag gehe ich nicht auf die Möglichkeit ein, Windows 10 21H2 Enterprise LTSC oder Windows 10 2019 IoT Enterprise LTSC sowie Windows 10 2021 IoT Enterprise LTSC einzusetzen. Diese Betriebssystemvarianten lassen sich wie Windows 10 22H2 verwenden und erhalten noch bis 2029 respektive Januar 2032 Sicherheits-Updates.
Man kann ggf. Gebrauchtlizenzen dieser SKUs erwerben, um bestehende Systeme zu aktualisieren und sicher betreiben zu können. Aktuell bin ich dran, mit einer Quelle zu klären, dass dies für Firmen rechtskonform abgewickelt werden kann. Die Übertragung von Gebrauchtlizenzen ist kein Thema und Windows 10 21H2 Enterprise LTSC dürfte bei entsprechender Basis-Lizenz (Windows 10 Pro) auch Lizenz-technisch unbedenklich sein.
Nur bei Windows 10 IoT Enterprise LTSC versucht Microsoft die Einsatzmöglichkeiten für Erstkäufer juristisch durch Verwendungsklauseln zu beschneiden. Da habe ich eine potentielle Quelle gebeten, das juristisch klären zu lassen – CSPs, die Lizenzen verkaufen, haben bei Anfragen abgewunken, um sich keinen Ärger mit Microsoft einzuhandeln.
Aus für weitere Microsoft-Software
Neben Windows 10 befinden sich weitere Microsoft-Produkte im "Auslaufmodus" bzw. sind abgekündigt. Hier eine summarische Auflistung:
- Microsoft Office 2016 und 2019 erreichen am 14. Oktober 2025 ihr End-of-Life und bekommen weder Sicherheits-Updates noch Support mehr.
- Das Gleiche gilt für Microsoft Project und Microsoft Visio, wie Martin Geuß hier anmerkt. Dort findet sich auch der Hinweis, dass die UWP-Apps für Excel, Word & Co. ebenfalls im Oktober 2025 abgekündigt sind.
- Verwirrung gab es bei Microsoft 365-Apps, die unter Windows 10 betrieben werden. Ursprünglich sollte der Support auslaufen (siehe MS-Marketing-FUD: Windows 11 ist für kurze Zeit gratis; Support für Microsoft 365 App endet im Oktober 2025 für Windows 10, aber Microsoft liefert Sicherheitsupdates für Anwendungen wie Excel, Word & Co. (siehe Support für Microsoft 365 für Windows 10 ESU-Systeme um 3 Jahre verlängert).
- Zum 14. Oktober 2025 endet auch der Support für Microsoft Exchange Server 2016 und Microsoft Exchange Server 2019 (siehe Exchange Server 2016 / 2019 erreichen im Oktober 2025 ihr EOL). Administratoren von Exchange 2016 wurde von Microsoft geraten, auf Exchange 2019 zu aktualisieren (siehe Hinweise Microsofts zur "Dekommissionierung" von Microsoft Exchange 2016). Für diese Exchange-Version wird ein "Inplace Upgrade" (wohl per CU) angeboten werden, der das Produkt auf Exchange Server SE anhebt.
Weiterhin kommt für Windows 10 Nutzer der OneNote-App im Oktober 2025 das Aus, wie ich im Beitrag OneNote-App für Windows 10: Einschränkungen ab Juni; Supportende im Oktober 2025 berichtete.
Ähnliche Artikel:
Windows 10: Überraschung, es gibt ESU-Supportverlängerung; auch für Privatanwender
Windows 10: Preise für Extended Security Updates bekannt gegeben
Microsoft will 30 US-$ für 1 Jahr Windows 10-Supportverlängerung
Windows 10: 0patch sorgt für 5 Jahre Zusatzsupport
Microsoft will 30 US-$ für 1 Jahr Windows 10-Supportverlängerung
MS-Marketing-FUD: Windows 11 ist für kurze Zeit gratis; Support für Microsoft 365 App endet im Oktober 2025 für Windows 10
OneNote-App für Windows 10: Einschränkungen ab Juni; Supportende im Oktober 2025
MS-Marketing-FUD: Windows 11 ist für kurze Zeit gratis; Support für Microsoft 365 App endet im Oktober 2025 für Windows 10
MVP: 2013 – 2016
Ich bin vor ein paar Monaten in Rente gegangen und nun nicht mehr auf Windows angewiesen.
Deshalb – Win10 EOL – habe ich nun den Umzug auf Linux vollzogen.
Meine Hardware funktioniert alles. System läuft vernünftig. Bin zufrieden.
Moin,
nach Installation einer Windows 10 LTSC 2019 Version stellte F-Secure den Dienst ein. Besser gesagt ließ die Installation mit dem Hinweis das System sei veraltet nicht mehr zu.
Ein Schelm wer Böses dabei denkt…
Interessant – ich nutze F-Secure nicht, diese Windows 10 SKU hat den Defender an Bord, der bis EOL unterstützt werden wird. Was F-Secure zu diesem Schritt bewogen hat, weiß ich nicht – die sehen möglicherweise ihre Felle weg schwimmen und fokussieren auf Windows 11.
Dein Firmenbetriebssystem benötigt 'WithSecure (Formerly F-Secure Business)' und geht ab etwa 50€/Jahr für 5 Lizenzen los.
Das wird nicht der letzte Anbieter sein, der fadenscheinig die Plattform verlässt. Kann man von Seiten Microsoft auch forcieren, z.B. spekulativ: Wer noch altes unterstützt wird bei neuem in allen Supportkanälen links liegen gelassen.
Wieso fadenscheinig?
Die Platform wird von der Software seit mindestens 2 Jahren nicht mehr unterstützt, was auch ganz klar und offen aus den Systemanforderungen hervorgeht! Ich habe mir sogar die Mühe gemacht das dem Betriebssystem entsprechende Produkt rauszusuchen und in einem Beitrag darauf hinzuweisen, der direkt über deinem und kurz unter dem des OP steht! Aber Hauptsache erstmal Verschwörungstheorien verbreiten…
Wenn eine Software auf einer Plattform seit Jahr und Tag funktioniert, geht es die Software erstmal wenig an, was der Plattform Anbieter macht. Es gibt keinen Grund, eine Software künstlich zu beschränken bzw. einzustellen, nur weil der Plattform Anbieter andere Pläne hat. Das ständige Wettrennen um irgendwelchen Updates hat man den Leuten offenbar aber erfolgreich eingeimpft, damit der Rubel weiter rollt.
Der Grossteil aller Nutzer könnte vermutlich problemlos weiterhin mit Windows XP oder Windows 7 und dem damaligen Office und sonstigem Software Umfeld problemlos arbeiten, wenn man alleine nur mit dem Beheben von Sicherheitslücken und Programmierfehlern die Dinge einfach weitergepflegt hätte.
Dann macht man aber kein Geschäft und v.a. kein Neugeschäft und könnte auch keine Fremdabhägigkeiten mit Abos und Clouds und neuen PCs verkaufen. daher wirft man alle Nase lang was ganz neues tolles in die Menge. Aber das ist vermutlich nur eine Verschwörungstheorie…
Der Satz "nach Installation einer Windows 10 LTSC 2019 Version" bedeutet also neuerdings nichtmehr, dass die "Platform verlassen" wurde!?
Klar, man könnte auch locker noch Windows 95, OS/2, Dos 5.0, Unix und 50 Linux Distributionen unterstützen. Muss man halt alles entwickeln, anpassen und regelmäßig testen was zusätzlichen Aufwand bedeutet und entsprechend Geld kostet! Wer bezahlt das dann?
Hier geht es nur darum zuzugeben, dass man sich ohne Ahnung und ohne sich dann wenigstens richtig zu informieren mit Frickelsoftware ein veraltetetes und genau deshalb von einer Anwendungssoftware nicht mehr unterstütztes und für die eigenen Einsatzzwecke absolut ungeeignetes Betriebssytem installiert hat, welches nurnoch von der, für genau solche Zwecke verfügbaren Firmenausgabe der entsprechenden Software unterstützt wird und die aus oben genannten Gründen teurer ist als die Standardversion.
Wurde jetzt zum 4. Mal erklärt! Lass am besten deine Finger von IT-Kram! Wäre wahrscheinlich besser für alle beteiligten!
Ich habe hier schon mehrmals darauf hingewiesen das Windows 10 LTSC Versionen im Bezug auf die Nutzung von Drittprogrammen problematisch sind.
Windows 10 LTSC 2019 basiert auf Windows 10 1809 und wenn ein Hersteller sich entschließt diese Windows Version nicht mehr zu unterstützen verweigern hart codierte Setupprogramme die Installation. Dazu gesellt sich noch die NetFramework Falle, die bei Windows 10 LTSC 2019 maximal bis Version 4.8 möglich ist. Ist die Systemvorraussetzung 4.8.1 ist man auch hier raus.
F Secure unterstützt Win 10 1809 nicht mehr, Mindestvoraussetzung ist Windows 10 Version 21H2 64Bit.
LTSC Versionen sind nicht für Büro/Privat PCs mit Office & Co. vorgesehen, sondern für Anlage- und Steuerungs PCs auf denen sich die Software nicht ständig ändert sondern die Software über Jahre im Kern gleich bleibt.
Hallo,
ich nutze F-Secure privat und WithSecure dienstlich!
Beachte, das LTSC professional ist und du somit wahrscheinlich auf die Business-Variante vom F-Secure wechseln müsstest –> WithSecure (hat sich als Business-Zweig von F-Secure gelöst)
Im Artikel wird der Eindruck vermittelt, sobald etwas EOL ist, es gefährlich sei und unverzüglich aus dem Verkehr zu bringen wäre. Ja, stimmt, es gibt da jedoch ein großes "Aber":
Wird eine alte Software mit mitigierenden Maßnahmen z.B. durch Offlinesetzung vom Internet getrennt und vom Rest des lokalen Netzes z.B. in ein VLAN isoliert, kann es problemfrei weiter betrieben werden. Das passiert tagtäglich in Unternehmen. Das ist genau der fucking Job eines jeden mit "Admin" im Job-Title!
Ein Admin muss sicherstellen, dass die Schnittstellen, z.B. ein HTTP oder SMB-Zugriff gefiltert über kontrollierte Schnittstellen erfolgt. Für SMB mache ich das z.B. mit einem schlanken und kleinen Linux-Samba-Gateway, der per rsync oder robocopy gezielt nur die benötigten Dateiformate z.B. mit Industrieanlagen abgleicht. Von mir kontrolliert und eng monitored. Oder aber mit einer kompakten, selbsgeschriebene REST API, die Zustände oder Dateien abfragt und den Status in JSON formatiert an die übrige Welt weitergibt. Ein Skelton als Windows Systemdienst habe ich für jeden nutzbar unlängst bei Codeberg abgelegt (https://codeberg.org/tomas-jakobs/rest-api-skeleton).
Das Ende des Supports eines Systems oder einer Software ist also kein Weltuntergang! Die Risiken sind für viele Jahre weiterhin steuer- und mitigierbar. Die Möglichkeiten sind vielfältig und endlos und auch problemlos durch jede Zertifizierung ob 27001 oder TISAX durchzubringen. Bis halt irgendwann die Hardware oder andere Dinge wie abgelaufene Certs einen Betrieb unmöglich machen. So lief z.B. ein Windows NT4 Rechner noch bis 2021 erfolgreich und ohne Probleme als Visu einer Industrieanlage (https://blog.jakobs.systems/blog/20211121-industrie-nt-4/)
Am Ende kommt es halt immer auf das konkrete Szenario und den Einzelfall an.
Der ganze FUD (Fear, Uncertainty and Doubt https://en.wikipedia.org/wiki/Fear,_uncertainty,_and_doubt) von Herstellern ist seit Jahrzehnten bekannt und wird leider von der Berichterstattung immer wieder unkritisch wiedergekäut.
Zum letzten Satz: Komm mal runter – der private Anwender wird die von dir skizzierten Winkelzüge nicht mitmachen, bekommt in obigem Text aber Lösungen, wie er Windows 10 weiter sicher betreiben kann. Und Administratoren in Unternehmen werden den von Microsoft mit ESU vorgezeichneten Weg gehen oder auf LTSC-Varianten wechseln, um aus der Haftung raus zu sein. Die Isolation dürfte daher für spezielle Umgebungen eine Möglichkeit darstellen – von daher sind die Verlinkungen für interessierte Leser sicher nicht schlecht.
Ich kann dazu nur sagen: Meine Nachbarin hat ein altes Notebook. Die ist seit Jahren immer noch mit Windows 7 im Internet unterwegs und hat sich noch nie Schadsoftware eingefangen. Glück gehabt, könnte man sagen! Aber tatsächlich wird viel mit der Angst (FUD) der Leute gespielt.
Wer GNU/Linux ist ohnehin problemfreier Unterwegs und braucht nicht mal Schlangenöl.
> und hat sich noch nie Schadsoftware eingefangen.
Es ist ja nicht so, dass sich Schadsoftware nach jedem Systemstart mit "Hallo da bin ich!" meldet.
Ich bin seit über 45 Jahren im Geschäft und hab mir auch noch nie Malware eingefangen… nicht jeder klickt auf jeden Shice der einem so reinflattert! Erst denken dann klicken ;-P
Malware setzt vor allem auf eines: Dummheit!
Und trotzdem sind auch mir schon Daten abhanden gekommen… nein nicht von meinen Systemen, sondern von den Systemen von Drecksfirmen die ihre Systeme nicht im Griff hatten!
#hust Sony; #hust Adobe; #Hust LastFM…
Sicherheit steht und fällt mit dem User! Nicht mit dem OS, nicht mit der Sofware, nicht mit nem Patch… wenn Dumpfbäckchen vorm Rechner sitzt schützt auch kein aktuelles Win11 oder Linux oder MacOS.
Will natürlich keiner hören…würde ja Eigenverantwortung nach sich ziehen.
Ich stelle hier mal wieder die Frage, die ich schon mehrmals gestellt habe, und auf die ich noch nie eine Antwort bekommen habe:
Vorausgesetzt, (a) die Programme, die auf 's Internet zugreifen, sind aktuell, und (b) ich installiere mir die Malware nicht aktiv selbst: Welche Möglichkeit hat sie dann, auf mein System zu kommen? Theoretisch? Und gibt es konkrete Beispiele aus der Vergangenheit?
Es gibt gar keine Möglichkeit aus dem Internet auf interne Rechner (private IP) zu kommen, weil – meist eine Fritz!Box – alles blockt. Theortisch kann natürlich auch ein Rechner PPPoE-DSL aufbauen, wäre aber dann direkt ans Internet geklemmt und hätte eine offizielle IP. Da müssen dann schon die Dienste unangreifbar konfiguriert und aktuell sein. Der Angreifer muss immer Schadsoftware – einen "Brückenkopf" – auf einen internen Rechner bekommen, die dann ins Internet "telefoniert". Das kann natürlich auch der (nicht aktuelle) verwendete Browser sein, der eine kompromittierte Seite aufruft – dann erst spielt das verwendete OS eine Rolle. Ich behaupte: Ein Windows, das nicht "surft", braucht keine Updates.
> Es gibt gar keine Möglichkeit aus dem Internet auf interne Rechner (private IP) zu kommen,
Das ist falsch! Oder wie meinst Du eine klassiche Backdoor funktioniert oder Fernsteuerung a la Teamviewer?
> Ich behaupte: Ein Windows, das nicht "surft", braucht keine Updates.
Ich korrigiere: Ein Windows ohne Internetzugriff. Doch auch hier schaffst Du ein leichtes Ziel zur weiteren lateralen Fortbewegung im Netzwerk. Deswegen gehören isolieren und segmentieren zusammen.
Es gibt da draussen "Malware" welche kein Zutun des Users braucht… Driveby & Co. Da reicht es aus das dein Rechner Internetzugang hat und dein Browser die "verseuchte" Seite ansurft…
Nur diese Art von Malware macht im gesamten keine 1% aus,
99% der Malware braucht den Braindumb User der das Tor weit öffnet!
Wer nachdenkt bevor er handelt und sich nicht auf dubiosen Seiten rumdrückt… bei Mails und Messenger erst Hirn einschaltet und nicht jeden Shice von irgendwoher runterlädt, der fängt sich nichts ein!
OS Lücken können erst Greifen wenn der Angreifer aufs System kommt… was aus dem Internet wenn man nicht das Tor öffnet nicht passiert!
Das Tor öffnen passiert halt wenn man in der Mail auf allen Rotz klickt der reinflattert, alles installiert was man irgendwoher ohne zu denken runtergeladen hat… Hirn einschalten hilft! (vorrausgesetzt man hat eins)
Die 1% Malware die den User nicht benötigt ist kompliziert, da braucht es schon nen fähigen Hacker und der vegeudet solche "Türen" nicht für unbedeutende Nobodys, den benutzt und aufgedeckt ist diese verbrannt…
Und Geheimdienste mit ihren Möglichkeiten interessieren sich nicht für dich! Wenn doch dann mit gewichtigem Grund.
Übrig bleibt dann noch "Malware in Firmware ab Werk"… kommt aber auch eher in billigster "Ali Express" Lieferungen vor als bei seriösen Händlern… und wieder ist es der GeizistGeil Primate ;-P
Nen 100% Schutz gibt es nicht, aber wer sein Hirn nutzt kann 99% sicher aussschließen!
Firmen hats du es da schwerer, die kriegen nunmal Bewerbungen rein die sie sich auch ansehen sollten… nur muss das nicht ungeschützt geschehen… es ist nicht notwendig das das ungeprüft und direkt beim Sachbearbeiter landet.
Dann bleibt da auch nur der interne Toröffner!
> Ich stelle hier mal wieder die Frage, die ich schon mehrmals gestellt habe, und auf die ich noch nie eine Antwort bekommen habe
1. 0days erweitert durch die Möglichkeit, dass diese bewusst zurückgehalten wurden (z.B. Eternal Blue)
2. Backdoors/Hardcoded Zugänge in proprietärer Software. Bester Vertreter dieses Kategorie wäre wohl Cisco.
3. Undokumentierte, intransparente und Dir unbekannte Funktionen und Designentscheidungen in proprietärer Software. Bestes Beispiel der vergangenen Wochen: Credential Caching für Anmeldungen via RDP bei Microsoft selbst wenn Passwort, 2FA längst geändert wurden.
3b. Untermenge aus 2. und 3: Wenn der Hersteller beginnt, bekannte Konzepte oder Funktionen zu verändern (zu seinem Vorteil und Deinem Nachteil). Diese gelangen durch die regelmäßig ausgeführten Updates in Dein System.
4. Supplychain-Angriffe durch externe Dienstleister, denen Zugriff auf Ressourcen einer Entität gewährt wurden.
4b. Untermenge von Supply-Chain Angriffen: Softwarekomponenten oder Libs, die plötzlich bösartig werden und andere Dinge tun, als beabsichtigt.
Gehört aber alles in die Kategorie „ich hole mir die Malware selbst aktiv (unwissentlich natürlich) auf den Rechner", und ist unabhängig davon, ob das Betriebssystem noch Updates bekommt. Oder?
@Bernd Bachmann: Prinzipiell sind die aufgezählten Gefahren 1 bis 4b unabhängig davon, ob das BS noch Updates bekommt oder nicht.
Aber allen Fällen werden die Sicherheitslücken durch den BS-Hersteller (soweit sie in seinen Verantwortungsbereich fallen) – hoffentlich und meistens – gepatcht, sobald die Lücken oder Backdoors oder Supply-Chain-Angriffe in der Öffentlichkeit bekannt werden.
In diesen Fällen stehst Du bei einem nicht mehr gewarteten BS ohne Schutz da. Der BS-Hersteller könnte sich fixen, tut es aber für Dein nicht supportetes Win10 nicht mehr.
Frage zu 0patch: deren software funktioniert doch nur im user mode, oder?
Also können die gerade die gefährlichsten windows kernel exploits nicht patchen.
Oder haben die ein weg gefunden den Kernel Patch Guard von windows aus zu hebeln?
Ist etwas schwer rauszufinden, sieht aber weiterhin danach aus bzw. die schreiben, dass es (nur) indirekt gehen würde.
[ https://support.0patch.com/hc/en-us/articles/360011047979-Can-you-micropatch-all-types-of-vulnerabilities ]
Wenn ich das Recht in Erinnerung habe fängt jeder 0Patch eh nur einen einzelnen gefundenen Angriffsvektor bei einer Sicherheitslücke ab – ist also mehr ein Workaround als eine tatsächliche Behebung. Die Info ist aber schon einige Jahre alt und wirklich Ahnung von dem Thema habe ich nicht!
Abgesehen davon sieht die Patchübersicht für mich danach aus, als ob die angeblich brauchbare kostenlose Version einige schwere Lücken nicht mit versorgt.
[ https://0patch.com/patches.html ]
PS Wie kommt man eigentlich darauf, gerade diesen Namen zu verwenden? Ich habe den Charakter als recht negativ in Erinnerung! :)
Ach und danke für die Weiterentwicklung von Sandboxie – auch, wenn mein letzter Einsatz davon noch vor deiner Zeit war! Gibt es zwischenzeitlich eigentlich wieder ein Modul/Addon mit dem man für Menschen lesbar nachvollziehen kann was eine Software und da insbesondere ein Installationsprogramm genau macht?
Name: 0day -> 0patch
Der Name 0patch wird als Zero-Patch ausgesprochen – kann für 0-day Fixes stehen, aber auch dafür, dass nichts an den Dateien gepatcht wird, sondern die Schwachstellen zur Laufzeit durch einen Codefix, den ein Agent in den Arbeitsspeicher lädt, abgeschwächt werden.
Danke für den/die Hinweis/e!
Jetzt bin ich allerdings auf einer mehrfachen Metaebene verwirrt, weil der Zusammenhang teilweise seltsam schien!
Ich weiß nämlich nicht genau auf welchen Teil meines Kommentars Bezug genommen wurde!
Wenn es um die Funktionsweise geht: Nochmals danke, dass wusste ich nicht, wobei ich mir das eigentlich hätte denken können bzw. sogar müssen, wobei die Erklärung, dass es sich nicht um Patche handelt den Menüpunkt "Patches" irgendwie frech erscheinen lässt.
Wenn es aber auf den Namen abzielt: Das war eigentlich explizit auf das Pseudonym "David Xanatos" bezogen. ;)
Mit dem Buster Sandbox Analyzer: https://bsa.isoftware.nl/ kann man recht genau herausfinden was ein installer so macht.
Wobei was auch ausreicht ist meist sich in dem root folder der box um zu schauen, die registry kann man auch mounten dann sieht man nur alles was geändert wurde wenn man es von host aus und nicht aus der box selber macht.
Wieso der Nickname, ich muss sagen der past irgendwie zu mir, und der character war in der Serie auch immer explizit eher "grau" gehalten, so richtig böse Dinge hat er nie wirklich gemacht, und da ich den nick name für ein eMule mod damals mir zugelegt hatte, passte das um so besser.
Danke!
Windows ESU startet am 1. November 2025 in das erste Jahr. Zu dem Zeitpunkt ist mit dem Kauf der entsprechenden Lizenzen zu rechnen.
https://www.software-express.de/hersteller/microsoft/windows-10-extended-security-updates-esu/
Schöne Feiertage
Danke, beim letzten Gespräch vor ca. 1 Monat (oder waren es schon 2?) mit einem Mitarbeiter von Software Express (ging um etwas anderes) stand das imho so noch nicht fest bzw. wurde so nicht erwähnt.
FYI:
Die Meldung ist Stand 4. April, also schon über 2 Monate alt, der 1. November ein Samstag, was ausgehend vom darauf folgenden Werktag (Montag, 3. November) zu nur 8 Tagen Vorlaufzeit bis zum vorraussichtlichen ersten abgedeckten Patchday am Dienstag, 11. November führen würde und mir persönlich etwas kurzfristig vorkommt!
Mag sein – ich hatte nur am Rand mit meinem Kontakt über ESU-Lizenzen gesprochen (mich interessierte eher Win 10 IoT) und es hieß zum ESU "werden wir auch anbieten, ist aber nicht mehr so interessant, da quasi jeder CSP das machen wird" – bei Windows 7 waren die noch die Einzigen, die mir bekannt waren.
Bei Windows 7 erinnere ich mich, dass ESU etwas holprig ablief – ich hatte zwei Jahre ESU von denen – aber letztendlich hat es geklappt.
Eventuell kann man noch einen Blick in Richtung Server 2022 (Essentials) riskieren, der im Kern von Windows 10 21H2 abstammt. Er hat azudem die TLS 1.3-Protokolle an Bord, die es bei Windows 10 nicht mehr gibt. Der normale Support läuft bis Oktober 2026, Exended Updates bis 2031.
Um die 440 Euro ausgeben und das nur, weil man nicht auf Windows 11 wechseln will oder was man, falls doch, alternativ auch in entsprechend kompatible Hardware stecken könnte!?
Gut, ich hatte auf dem Geschäftsnotebook vor Jahren auch mal Server 2008R2 installiert, weil das mit Windows kompatibel war aber zusätzlich noch Hyper-V hatte…
Nö, wahrscheinlich ist das ein Hinweis, dass man mit diversen Bypass-Tools diese Server-Updates auch für das ausrangierte 10er-Windows verwenden könnte. Wie es ja schon mit älteren Windosen praktiziert wird…
Datev zwingt leider auch alle auf Windows 11. Das es ESU-Lizenzen gibt, ist denen egal. Okey, Iot-Versionen supporten die grundsätzlich nicht, obwohl ich da auch nicht weiß warum.
Wir ziehen viele auf IoT 2021 LTSC um, damit diese noch Ruhe haben. Nur datev macht da ein Strich durch die Rechnung…..
Da frage ich mich doch ernsthaft, wie viel Zuwendung bekommt Datev für die Werbung für Windows 11 von Microsoft.
Ich/Wir sind mit unseren Systemen zu gut 85 % zu Linux gewechselt, das erfordert zwar ein wenig Mehraufwand unser Personal für Linux zu Schulen, aber es lohnt sich.
Andersrum wird wohl ein Schuh daraus. Mit Beibehaltung Windows 10 Unterstützung gibt es vielleicht einfach gar keine Zuwendung mehr von Microsoft, auf keiner Support-Ebene?
Ich werde das ESU schon irgendwo 4free her bekommen. MShit Office gibt es in der Familie nicht mehr. Können sich den Dreck sonst wo …. Und warum sollte man für 30% KI Code irgend etwas bezahlen?
Vielen Dank für die ausführliche Auflistung. Microsoft macht es dem Normalnutzer wirklich nicht einfach, sich in dem Namensdschungel zurechtzufinden.
Allerdings sollten sich die beschriebenen Methoden IMO auch nicht an Normalnutzer richten. Man sollte sich schon im Klaren darüber sein zu welchem Zweck man ein veraltetes System, wenn auch weiterhin aber eher spärlicher ggü. den aktuellen Versionen mit Sicherheitspatches versorgt, mit(!) Online-Zugang weiter betreibt. Der extended Support kommt insbesondere Privatnutzern schnell teurer als ein Lizenz-Upgrade auf Windows 11 (oftmals kostenfrei bei vorhandener Windows 10-Lizenz). Aus Verdrossenheit auf Windows 10 zu beharren ist keine gute Idee, denn neben dem ganzen KI-Sch*** bietet Windows 11 einige nicht zu verachtende Neuerungen zugunsten der IT-Sicherheit und (wenn richtig konfiguriert auch) zum Datenschutz. Bei Windows 10 zu bleiben, um den KI-(Anti-)Features auszukommen wäre ein Argument, ließe sich Windows 10 ohne Eingriffe datenschutzfreundlich nutzen. Da aber im Grunde genommen dieselben Anpassungen vonnöten sind wie bei Windows 11 und diese (bisher) auch unter Windows 11 eine KI-freie Nutzung ermöglichen, ist dies auch kein Vorteil pro Windows 10. Erweiterte Supportzeiträume sollten eher betrachtet werden als Tool für Admins (egal ob privat oder in Firmen) die etwas mehr Zeit benötigen, um einen Wechsel auf neue Systeme sinnvoll vollziehen zu können.
Leider ist es auch nicht mehr so, dass nur die Rechner von unvorsichtigen Nutzern mit Malware befallen werden. Es braucht insbesondere in Webbrowsern und E-Mail-Programmen oftmals kein aktives Zutun der Nutzer mehr, um sog. 0-Klick-Exploits auszuführen. Auch vertrauenswürdige Websites können unbemerkt Schadcode z.B. über die kaum mehr kontrollierbaren Werbeanzeigen laden. Da Webbrowser mit vollständig deaktiviertem JavaScript kaum nutzbar sind ist man nie zu 100% ausgenommen und hier kommen die letzten Sicherheitsfeatures wie Sandboxing und weitere Prozessisolierung(en) etc. zum tragen. Dies nur als ein Beispiel zur Veranschaulichung. Im Falle von Windows 11 gibt es ebenfalls beachtenswerte Neuerungen, darunter:
https://www.windowspro.de/wolfgang-sommergut/migration-windows-11-wichtigsten-neuen-security-funktionen
Egal ob Windows 10 oder 11; es ist also derselbe Arbeitsaufwand. Wenn man es datenschutzfreundlicher betreiben will wäre eine Möglichkeit zumindest(!):
1) Das Erstellen eines schlankeren ISO z.B. über UUP dump:
https://www.deskmodder.de/wiki/index.php?title=Windows_11_oder_10_ISO_selbst_erstellen_Anleitung#Eine_aktuelle_ISO_mit_allen_Updates_selbst_herunterladen
2) Installation mit lokalem Konto (oobe\bypassnro):
https://www.deskmodder.de/wiki/index.php?title=Windows_11_mit_einem_lokalen_oder_Microsoft_Konto_installieren#Windows_11_Home_oder_Pro_ohne_Internet_und_lokalem_Konto_installieren
3) Edge Removal (zuletzt getestet mit Windows 11 24H2 Version 26100.4202 – bleibt updatefähig):
https://github.com/AveYo/fox/blob/1736479899cfc436f0840b916428ce1dd9e7f994/Edge_Removal.bat
4) Deaktivierung von (Anti-)Features wie per GPO mit z.B.:
https://www.oo-software.com/de/shutup10
5) Management des Netzwerkverkehrs per erweiterter Firewall wie z.B.:
https://github.com/henrypp/simplewall
6) Monitoring von Änderungen nach größeren, insbesondere Kumulativen Windows Updates.
Keinen Bock darauf? => Linux (bspw. https://linuxmint.com/ und nach der Installation die Firewall aktivieren) + ONLYOFFICE Desktop Editors (wenn man bessere Kompatibilität zu den M$-Office-Dateiformaten benötigt als es derzeit LibreOffice bietet).
Peace
Wieso? Vielleicht weil einige ältere Rechner kein Upgrade auf Windows 11 24H2 und neuer mehr erlauben (unumgänglicher SSE4.2 CPU-Zwang). Wobei insbesondere in diesen Fällen ein Umzug auf eine aktuelle Linux-Distribution zu empfehlen wäre…!
Als etwas versierterer Privatnutzer würde ich noch den https://dnsforge.de/dns-query "Normal" DoH-Server direkt in Windows hinterlegen (wenn kein Pi-hole oder ähnliches genutzt wird). Dieser beinhält unter anderem die Telemetrie-Blockierlisten:
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt
[Redundanz zu einer Funktion der simplewall Firewall]
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.winoffice.txt
[stets aktualisiert]
Siehe "DoH-Support im Betriebssystem":
https://www.windowspro.de/wolfgang-sommergut/dns-abfragen-ueber-https-doh-absichern-windows-10-11
====
Wer Edge bereits erfolgreich entfernt und dabei vergessen hat, sich einen anderen Browser zu installieren erhält beispielsweise Brave aus offizieller Quelle über winget (Befehl im Terminal / Eingabeaufforderung ausführen):
winget install –id=Brave.Brave -e
Einstellungsempfehlungen; den Bedürfnissen nach anpassen:
https://www.kuketz-blog.de/einstellungen/#brave-desktop
Ups, da hat wohl die automatische Formatierung zugeschlagen bei –id=
Es bedarf vor id= zweier Minuszeichen, sonst wird der winget Befehl nicht erkannt! Also "- -" aber eben zusammengeschrieben. xD
"Nur bei Windows 10 IoT Enterprise LTSC versucht Microsoft die Einsatzmöglichkeiten für Erstkäufer juristisch durch Verwendungsklauseln zu beschneiden. Da habe ich eine potentielle Quelle gebeten, das juristisch klären zu lassen"
– Wie ist das denn ausgegangen? Ich habe aus den Lizenzbedingungen nur herausgelesen das das Produkt IOT die Basis dafür ist das es Herstellern ( im Sinne von Kiosk Anlagen, Industrieanlagen usw) ermöglicht eigene Lizenzbedingungen mit fester eingeschänkter Verwendung zu definieren. Wenn wir sind wenn wir die IOT Version installieren allerdings qausi selber der Hersteller.
Ein hässliches Problem sehe ich auch darin das nur den OEM Versionen gestattet ist auf ein neues Gerät installiert zu werden, ( https://learn.microsoft.com/de-de/windows/iot/iot-enterprise/commercialization/licensing) nicht jedoch Volumenlizenzen. Wie soll das denn in Industrieanlagen funktionieren…
noch offen