Windows 7 support stopt: gevolgen en oplossingen

Windows 7 wordt nog steeds veel gebruikt, maar Microsoft houdt vast aan zijn tijdsplanning: op 14 januari 2020 eindigt de ondersteuning ervoor. Voor je het weet is het zover. Maar wat betekent het concreet dat de Windows 7 support stopt en waar moet je op letten? We gaan in op de belangrijkste vragen en geven oplossingen.

Als Microsoft de ondersteuning voor een Windows-versie beëindigt, zijn de reacties steeds weer anders. Toen dat in 2014 gebeurde voor Windows XP, was er enorm veel ophef. Bij het geplande einde aan de ondersteuning was Windows 7 toen al algemeen geaccepteerd als volwaardige opvolger. Toch wilden en konden veel gebruikers nog geen afscheid nemen van Windows XP. Ze waren er fan van of konden vanwege incompatibiliteiten niet overstappen. Het einde van de support voor Windows Vista riep echter nauwelijks reacties op, omdat dat door bijna niemand meer werd gebruikt.

In januari 2020, wanneer Microsoft de support voor Windows 7 stopzet, zal er wel weer veel theater zijn en wordt het drama nog een graadje erger. Het marktaandeel van Windows 7 zal dat van Windows XP ten tijde van het support-einde namelijk flink overtreffen. Bovendien is Windows 10 nog lang niet door iedereen geaccepteerd als opvolger. Er zijn ook nog behoorlijk veel Windows 7-gebruikers die het aanbod om Windows 10 gratis te krijgen volledig hebben genegeerd en Windows 7 zullen blijven gebruiken tot ze echt niet meer anders kunnen of alle waarschuwingen in de wind slaan en gewoon door blijven werken met de oude Windows-versie.

Maar wat moet je nu doen? Overstappen naar Windows 10 of hopen dat je Windows 7-pc niet besmet zal raken? In dit artikel bekijken we wat het einde van die ondersteuning eigenlijk inhoudt en welke gevolgen dat heeft.

Het stopzetten van de ondersteuning heeft eigenlijk vooral één belangrijke consequentie: op 14 januari 2020 krijg je voor de laatste keer gratis veiligheidsupdates voor Windows 7, daarna is dat afgelopen. Veiligheidsgaten die na dat tijdstip ontdekt worden, zullen dus niet meer worden gedicht. En die zullen er zeker komen.

Van de circa 1000 beveiligingslekken in Windows 7 die in de centrale database ‘CVE Detail’ zijn opgenomen sinds die Windows-versie uitkwam, zijn er 229 pas gevonden in 2017. In 2018 waren het er nog eens 161. Van de in totaal 269 erg gevaarlijke beveiligingslekken, waarbij het ophalen en uitvoeren van wille­keurige code mogelijk was (code-execution), werden er zelfs 47 pas in 2017 en 35 in 2018 ontdekt. In 2019 zijn het er op het moment van schrijven al weer 11.

Nog erger is dat veel code uit Windows 7 ook in de opvolgers Windows 8(.1) en 10 verwerkt is. Dat is natuurlijk gebruikelijk omdat Windows niet helemaal opnieuw, maar steeds verder wordt ontwikkeld. Maar als men veiligheidsgaten in de nieuwste versie ontdekt, zitten die vaak ook in oudere versies.

De update-orgieën van Windows 7 zijn legendarisch, maar na 14 januari 2020 zullen Windows 7-gebruikers ze toch missen.

Daar komt bij dat Microsoft normaliter min of meer gedetailleerde informatie publiceert over de gaten op het moment dat ze gedicht worden. Dat geeft aanvallers aanknopingspunten om snel en doelgericht gaten in Windows 7 te vinden.

Microsoft zal de broncode van Windows 7 echter ook na het beëindigen van de support niet vrijgeven, dus niemand kan en zal het op zich nemen om nieuwe gaten te dichten. Extra beveiligings­software kan er geen volledige bescherming tegen bieden: een virusscanner en firewall en dergelijke kunnen het risico alleen beperken. Een van de kenmerken van veiligheidsgaten is juist dat je er systemen mee kunt aanvallen en beveiligingsmechanismen kunt omzeilen.

Dat het gevaar van niet-gedichte veiligheidsgaten reëel is, hebben aanvallers in het verleden al bewezen. In 2017 infecteerden de crypto-trojans WannaCry en Petya via de EternalBlue-exploit bijvoorbeeld ongepatchte pc’s. Dat gebeurde via internet en zonder gebruikersinteractie.

De exploit maakte gebruik van een kritisch lek in de SMB-implementatie van Windows, waarbij het op grote schaal schade wist te veroorzaken. En dat gebeurde niet alleen bij thuisgebruikers (doorgaans zonder back-ups) maar ook bij bedrijven. Bij autofabrikanten stonden bijvoorbeeld de loopbanden stil en in parkeergarages van Q-Park werkten de parkeerautomaten niet meer.

De gevolgen van ontbrekende updates kunnen desastreus zijn: de crypto-trojan WannaCry benutte een securitylek voor het besmetten.

De malware verspreidde zich daarbij als een worm: zodra een systeem eenmaal was geïnfecteerd, ging het actief op zoek naar nieuwe slachtoffers. Andere Windows-systemen die op hetzelfde lokale netwerk zaten werden ook besmet als die niet gepatcht waren.

Het is op dit moment nog niet duidelijk hoe betrouwbaar de crypto-infrastructuur van Windows 7 blijft als de support beëindigd wordt. Die is wel het fundament voor allerlei processen in het besturingssysteem die met versleuteling te maken hebben. De invloed van de crypto-API begint er al mee dat Windows daarmee een beveiligde verbinding maakt met Micro­softs servers.

Maar ook toepassingen als Google Chrome vertrouwen bijvoorbeeld Windows bij het valideren van certificaten. Wanneer in de crypto-API een lek wordt ontdekt en Microsoft dat niet dicht (de vraag is niet of, maar wanneer dat gebeurt), dan loopt daardoor niet alleen het besturingssysteem op je computer fundamenteel gevaar, maar ook al je persoonlijke data bij online aankopen.

Omdat er vaak onduidelijkheid is over wat het einde van de ondersteuning inhoudt, noemen we hier nog eens speciaal wat het níet inhoudt. Om te beginnen blijft Windows 7 gewoon verder draaien en volledig functioneel, tenminste zolang de installatie niet door malware of andere aanvallen platgelegd wordt. Maar ook in dat geval zou je het weer opnieuw kunnen installeren.

Windows 7 zal ook zeker niet opeens gratis worden, waardoor iedereen het na januari 2020 zomaar zou mogen gebruiken. Microsoft behoudt alle rechten op de software. Tot slot verandert er ook niets aan de activatie. Na een herinstallatie of bepaalde wijzigingen in de hardware moet je de software nog steeds opnieuw activeren. De bijbehorende servers zal Microsoft niet uitschakelen.

Zelfs aan de support vanuit Microsoft verandert op sommige punten niets. Als het gaat om het repareren van niet-­kritieke bugs komt dat doordat Microsoft dat voor Windows 7 al sinds 2015 niet meer doet. Ook alle hulp die Microsoft voor ‘zelf­studie’ aanbiedt (zoals de artikelen in de Knowledge-Base en de fora) kun je na januari 2020 nog gebruiken. Maar dat vergroot niet de veiligheid van je Windows-7-installatie.

Microsoft roept al jaren dat 14 januari 2020 keihard vaststaat, en je hoeft ook niet te verwachten dat die datum verandert. Toch zijn er twee uitzonderingen gedefinieerd waarin de support verlengd kan worden, al zullen privégebruikers daar niets aan hebben.

De eerste uitzondering: als de op 14 januari gepubliceerde update per ongeluk een nieuw lek veroorzaakt, zal dat worden gedicht (maar verder niets). Daarna is het dan ook echt afgelopen met de gratis updates.

De tweede uitzondering geldt voor iedereen die bereid is te betalen voor verdere ondersteuning door Microsoft. Maar daar zijn wel voorwaarden aan verbonden. Je moet een volumelicentie-overeenkomst hebben met Microsoft (normaliter alleen voor overheden, bedrijven en instellingen). Met een voorgeïnstalleerde Windows-versie of een zelfbouw-pc val je buiten de boot.

Verder kan de support ook tegen betaling met maximaal drie jaar verlengd worden. De exacte kosten zijn niet bekend, maar het is duidelijk dat ze per apparaat gelden en zo hoog zullen zijn dat klanten eerder zullen willen overstappen op Windows 10. Bovendien zal het bedrag ook jaarlijks stijgen.

Klanten met een Software-Assurance-overeenkomst kunnen nog wel korting krijgen. Microsoft noemt die betaalde supportverlenging ‘Extended Security Updates’ (ESU). Die is ook beperkt tot de edities Windows 7 Professional en Enterprise. Dat betekent dat de Home-edities geen verlengde support kunnen krijgen, maar ook Windows 7 Ultimate niet, hoewel die functioneel volledig identiek is aan Enterprise. Maar Ultimate was altijd bestemd voor privégebruikers, en die krijgen geen verlenging.

Misschien hoop je nog dat de updates die Microsoft na 2020 tegen betaling levert, op de een of andere manier toch beschikbaar komen voor iedereen. Of dat Microsoft daar zelfs juridisch toe gedwongen kan worden. Vergeet het maar: alle garantie- en serviceverplichtingen zijn 10 jaar na het uitbrengen van Windows 7 wel verlopen en je kunt het bedrijf niet aanklagen. Sowieso moet je met je klachten bij de verkopende partij zijn, en dat is voor consumenten normaliter niet Microsoft, maar de winkelier waar je de pc met voorgeïnstalleerde Windows of de licentie hebt gekocht.

Ook op andere manieren zul je nauwelijks updates kunnen bemachtigen, dat werkte eerder ook niet. Je kon Windows XP wel via een registerhack overhalen om enkele updates te downloaden, maar die waren bestemd voor speciale bank- en kassa­systemen genaamd ‘Windows Embedded POSReady 2009’ (POS staat voor ‘Point of Sale’). Die updates waren niet getest op desktopsystemen en voor een specifiek toepassingsgebied bestemd.

Zelfs als de updates al bepaalde veiligheidsgaten dichtten, bleven er nog vele andere over. Bovendien riskeer je met niet geteste updates de stabiliteit van je systeem. Als dergelijke hacks ook voor Windows 7 bekend worden, kun je er beter ver bij vandaan blijven, want ze bieden alleen schijnzekerheid.

Wanneer in 2020 de ondersteuning voor Windows 7 stopt, geldt dat ook voor de bijbehorende versie van Internet Explorer. De browser krijgt alleen updates als hij draait onder een nieuwere Windows-versie, niet onder Windows 7.

Wanneer Microsoft de ondersteuning voor Windows 7 stopt, zal ook Internet ­Explorer op Windows 7 geen updates meer krijgen, net zoals veel andere software en hardware.

Maar het zal meer hardware en software treffen, want veel fabrikanten zullen de gelegenheid benutten om Windows 7 niet meer te ondersteunen en dat af te schuiven op Microsoft.
Microsoft stopt overigens niet bij de browser: nieuwere Office-versies werken niet op Windows 7 en oudere versies krijgen van Microsoft ook geen veiligheidsupdates meer. Omdat voor aanvallen vaak geïnfecteerde Office-bestanden gebruikt worden, kan dat al snel fataal worden. Natuurlijk zijn er alternatieven zoals LibreOffice, die voor thuisgebruik zeker voldoen. Maar wie zowel Windows 7 als Microsoft Office na januari 2020 nog wil gebruiken, heeft een probleem.

Ook op andere gebieden moet je misschien op zoek naar alternatieven. Virusscanners zijn sowieso geen vervanging voor veiligheidsupdates, maar veel producenten zullen de ondersteuning voor hun producten onder Windows 7 binnenkort ook stop zetten. Dat was in ieder geval zo bij Windows XP: er bestaan weliswaar hier en daar nog steeds virusscanners van bijvoorbeeld Norton (Symantec) of Avast waarbij in de systeemeisen ook nog Windows XP SP3 wordt genoemd, maar voor producten van Avira, Kaspersky en Microsoft zelfs is XP al lang te oud.

Dat Windows 7 niet de toekomst heeft, merk je trouwens ook zonder het aanstaande einde aan de support. Zo heeft bijvoorbeeld Adobe de systeemeisen voor realtime videobewerking in Premiere Pro en After Effects en voor 3D-composities met Adobe Dimension al opgeschroefd naar Windows 10. Ook voor de CorelDraw Graphics Suite 2018 is het vereiste besturingssysteem Windows 10.

Als je Netflix wilt kijken op Windows, krijg je bij Windows 7 maximaal full-hd. Voor 4K en HDR is Windows 10 vereist, omdat de bijbehorende kopieerbeveiliging Play Ready 3.0 en Edge gebruikt. Ook DirectX 12 is er niet voor Windows 7.

Zelfs het installeren van Windows 7 wordt steeds lastiger. Niet omdat Windows 7 dat zelf verhindert, maar omdat er drivers ontbreken in de installatiemedia (bijvoorbeeld voor USB 3.x). Bovendien ondersteunen ze vaak geen Secure Boot en kunnen ze alleen met wat tweaken gestart worden in de UEFI-modus.

En dan negeren we nog even het feit dat veel moderne pc’s helemaal geen optisch station meer hebben voor de installatie-dvd van Windows. En zelfs als het installeren zou lukken, doemen meteen de volgende problemen op. Zelfs als er nog Windows 7-stuurprogramma’s te vinden zijn voor moderne hardware, gaat het steeds vaker om verouderde versies die niet alle functionaliteit bieden. Grafische kaarten of geïntegreerde graphics tonen dan bijvoorbeeld wel beelden, maar de energiebesparingsfuncties ontbreken.

Als gratis overstappen op Windows 10 nog lukt, vermijd je al deze problemen.

Om nog een misverstand uit de weg te ruimen: veiligheidsupdates zijn natuurlijk erg belangrijk, want elk gedicht veiligheidslek is een open deur minder voor aanvallers, maar dat wil nog niet zeggen dat ze ook voldoen als enige veiligheidsmaatregel die je er tegen moet nemen.

Vooral bij een standaard Windows-installatie is dat zeker niet het geval. Het begint er al mee dat een gebruiker die om wat voor reden dan ook (of dat nu onwetendheid, gemakzucht, of gefopt door een phishing-mail is …) een kwaadwillende toepassing of geïnfecteerd document wil openen, daarbij op geen enkele manier door Windows wordt afgeremd. Ontbrekende updates maken een aanval in zo’n geval alleen makkelijker.

Bovendien heeft Windows in de standaardconfiguratie een wijd geopende toegangspoort: malware kan zich probleemloos in het systeem nestelen zonder daarvoor administratorrechten of een beveiligingslek nodig te hebben. Anders gezegd: veiligheidsupdates doen het raam dicht, maar standaard blijft de deur wijd openstaan. We hebben dat in bijvoorbeeld c’t 10/2017 uitgebreid behandeld en een tool besproken die de deur wel verder dicht doet.

Ook je browser biedt aanvalsmogelijkheden. Back-ups zijn natuurlijk ook belangrijk, en je beste redmiddel bij crypto-trojans. Bekijk bijvoorbeeld deze test van back-upprogramma’s voor Windows.

Of je al die moeite wilt doen om veilig te zijn, moet je zelf bepalen. Als je je niet druk wilt maken over de veiligheid van je data, kun je natuurlijk achterover leunen en hopen dat het allemaal overwaait. Maar dan moet je niet zeuren als je bestanden worden gegijzeld, je persoonlijke bestanden verloren gaan, iemand uit jouw naam een contract opzegt of een vreemde met je creditcard gaat shoppen.

Als je geen Russische roulette wilt spelen met je persoonlijke gegevens, moet je dat proberen te voorkomen. En dan zijn veiligheidsupdates onmisbaar. Het gaat er niet om dat je sommige aanvalsroutes blokkeert, maar zo mogelijk alle gaten dicht.

Tot slot nog de vraag wie er nu precies last gaat hebben van het beëindigen van de ondersteuning voor Windows 7. Een aantal lezers van c’t zullen er wellicht mee te maken krijgen, ook al gebruiken ze zelf geen Windows 7 meer. Systeembeheerders zullen zich moeten bekommeren om de Windows 7-installaties die in hun organisatie of bedrijf nog in gebruik zijn. Daarbij speelt niet alleen waar, maar ook wie een rol: als het management geen afstand wil doen van het oude vertrouwde systeem, kan dat problemen opleveren. Je kunt hooguit de bezwaren daartegen op papier vastleggen.

Ook bij familieleden, vrienden en anderen waar je meestal de pc-problemen mag oplossen, zul je op onbegrip stuiten als ze afstand moeten doen van het oude systeem dat het toch nog prima doet. Geef in dat geval aan dat je ze anders niet meer kunt helpen. Als Microsoft geen support meer biedt, waarom zou jij dat dan wel doen?

Misschien kan de gedachte je troosten dat je niet alleen bent. Het is niet met zekerheid te zeggen hoeveel Windows 7-installaties er nog wereldwijd in gebruik zijn. De getallen daarover lopen nogal uiteen. De trend is in elk geval wel overal hetzelfde: Windows 7 staat nog op ongeveer de helft van alle Windows-installaties op desktops en notebooks. Windows 10 begint nu pas marktleider te worden. Andere versies spelen geen rol van betekenis. Windows 8.1 en XP (!) zitten nog op circa 5 procent, andere versies hebben geen significant marktaandeel.

Het doel om alle gebruikers van Windows 7 te laten overstappen naar Windows 10 is volgens de eigen cijfers van Microsoft nog lang niet gehaald. Oorspronkelijk schatte men in dat Windows 10 halverwege 2018 op een miljard apparaten zou draaien, maar dat waren er eind 2018 pas 700 miljoen. Maandelijks komen daar volgens Microsoft zo’n 10 miljoen apparaten bij. Als je dit doortrekt, kom je erop uit dat bij het beëindigen van de ondersteuning van Windows 7, er waarschijnlijk nog een half miljard apparaten met het systeem draait.

De enige hoop voor de grote groep getroffen gebruikers is dat Microsoft misschien van gedachten verandert en de support voor iedereen gratis verlengt. Maar dat is hoogst onwaarschijnlijk: Microsoft is niet meer zo geïnteresseerd in privégebruikers. Gebruikers van de Home-editie van Windows 10 zijn bijvoorbeeld al min of meer gedegradeerd tot betalende bètatesters. Toen de huidige Microsoft-topman Satya Nadella aantrad, gaf hij aan dat ‘Cloud first’ het nieuwe mantra werd. Daarna spelen de belangen van gebruikers pas ergens een rol.

(Axel Vahldiek, c’t magazine)