Maar honderden miljoenen pc's zullen nog steeds naar Windows 7 starten morgen, en waarschijnlijk nog tot lange tijd daarna. Windows 7 mag dan wel met pensioen gaan, het is voorlopig nog niet verdwenen. Microsoft zelf beseft dat ook en kondigde vorige jaar Extended Security Updates (ESU) aan voor zakelijke gebruikers die nog meer tijd nodig hebben. Tegen betaling ontvangen gebruikers tot op drie jaar patches, met enkele mitsen en maren.

Afgelopen oktober breidde Microsoft deze aanvullende uitgebreide ondersteuning uit naar het MKB, maar deze klanten, die vaak slechts een paar pc's hebben, moeten contact opnemen met hun Cloud Service Provider (CSP). We volgen dit proces al anderhalf jaar en er zijn altijd stukjes informatie die weinig belicht blijven. In dit artikel lichten we enkele belangrijke vragen over ESU verder toe.

1. Welke edities van Windows 7 komen in aanmerking voor ESU's?

Windows 7 Professional, Windows 7 Enterprise en Windows 7 Ultimate kunnen de patches krijgen. Aanvankelijk ontbrak in de berichten van Microsoft versie Ultimate, de vreemde eend in de bijt, die samen met Enterprise een premium-versie is van Windows 7. Deze versie deed het blijkbaar goed bij klanten, aangezien er ook een Windows 8 Ultimate volgde. Na een tijdje werd ook deze versie toegevoegd aan de berichten van Microsoft over ESU. Dat is logisch, want Ultimate werd in de markt gezet als Enterprise met een plottwist: ook consumenten konden een licentie nemen.

2. Levert ESU patches voor alle kwetsbaarheden?

Nee. ESU bevat fixes voor kwetsbaarheden die het Microsoft Security Response Center beoordeelt als Kritiek of Belangrijk. Dit zijn de twee hoogste classificaties van risico volgens Microsoft, kwetsbaarheden die worden ingeschaald met risico's Gemiddeld of Laag worden in principe niet gepatcht binnen ESU.

3. Hoeveel kost ESU?

Dat hangt ervan af. Met een volumelicentie - of abonnementen op Windows 10 Enterprise E3 en E5, en daarmee recht op Windows 7 Enterprise - betaal je 25 dollar per pc gedurende het eerste jaar, dus tot medio januari 2021. Machines met Windows 7 Professional - die onder Software Assurance vallen - kosten het dubbele.

Bedrijven die niet in volume inkopen, met name eenmanszaken en heel kleine bedrijven met slechts enkele Windows 7 Professional-machines, betalen ongeveer 61 euro per pc gedurende dat eerste jaar. Bovendien moeten deze bedrijven ESU inkopen via een Microsoft Cloud Service Provider (CSP). ESU wordt per pc afgerekend, niet per gebruiker.

Verder verdubbelt de prijs per pc per jaar en als je bijvoorbeeld pas in 2022 begint met ESU-patches, dien je ook voor de voorgaande jaren na het pensioen van Windows 7 waarin je dus een ongepatchte omgeving hebt gebruikt alsnog te betalen.

4. Wanneer verschijnen ESU-patches?

Vandaag, 14 januari, is de laatste officiële Patch Tuesday voor Windows 7. Met ESU verschijnen de betaalde patches voortaan elke Patch Tuesday samen met de officiële patches, met de eerste op 11 februari dit jaar. Ook ESU-updates worden afgeleverd via SSCM, Windows Update, Windows Update for Business of WSUS.

5. Waar kan ons klein bedrijf een CSP vinden om ESU in te kopen?

Microsoft verwijst klanten naar zijn database van Solution Providers die je hier kunt vinden. Maar we hebben geluiden gehoord dat klanten CSP's niet warm lopen om ESU te leveren vanwege het kleine aantal licenties. Bekende Windows-journalist Ed Bott kon bijvoorbeeld geen enkele CSP bereid vinden om ESU te leveren.

Eén CSP vertelde Computerworld onlangs dat ze waarschijnlijk minder dan 20 á 30 ESU-eenheden niet kunnen verkopen omdat een kleine bestelling geen rendement oplevert, aldus de verkoper. Dat ligt aan een combinatie van een lage marge per ESU, aan het feit dat het bestelproces volledig handmatig is en omdat de verkoper een Office 365-tenant en adminaccount in Azure AD voor de klant opzet.

Susan Bradley, patchdeskundige, beveiligingsconsultant en bekend als "The Patch Lady" bij Windows-site AskWoody werkte samen met IT-consultant en Microsoft MVP Amy Babinchak om het ESU-aankoopproces voor MKB'ers te documenteren. Nadat ze aanvankelijk bot vingen (Babinchak is een geregistreerde CSP) vonden ze met succes een distributeur in Microsofts gelaagde reseller ecosysteem en voorzagen ze een enkele pc van ESU.

Babinchaks eigen IT-bedrijf, Harbor Computer Services, is dan ook een van de partijen die wel handelt in ESU voor kleine aantallen, zo licht Bradley toe in een e-mail aan Computerworld. "Amy en Ted (Kinczkowski, partner en technisch manager) doen het zware werk om het makkelijker te maken om Windows 7 ESU-licenties te bemachtigen.

6. Hoe bereiden we onze Windows 7-pc's voor om ESU-patches te ontvangen?

In deze blogpost van oktober vorig jaar licht Microsoft de stappen toe die je moet doorlopen om ESU-productsleutels aan te schaffen en te downloaden. Pc's die in aanmerking komen voor dit programma melden zich aan bij het onderhoudssysteem met de sleutels die je moet installeren en activeren. De blogpost bevat verschillende screenshots zodat klanten het proces kunnen volgen en somt de vereisten op van zaken die geïnstalleerd moeten zijn voor activatie van de ESU-sleutel. We raden je ten zeerste aan om dit document door te nemen.

7. Hoe lang loopt de ondersteuning van Windows 7 via ESU?

Drie jaar met steeds een nieuwe aankoop per jaar. De eerste reeks loopt van 11 februari aanstaande tot 12 januari 2021, respectievelijk de Patch Tuesdays van de eerste en laatste ESU-patches van jaar één. Daarna volgt een tweede periode van begin 2021 tot begin 2022 en een laatste van begin 2022 tot begin 2023.

Op 10 januari 2023 volgen de allerlaatste patches en loopt de ondersteuning van Windows 7 na 13 jaar echt af. Zoals een CSP die we interviewden betreurde, is ESU geen abonnement, wat betekent dat je elk jaar opnieuw moet inkopen en elk jaar een aparte sleutel moet installeren.

8. Kunnen we verifiëren dat onze systemen ESU's daadwerkelijk zullen downloaden zodat we er volgende maand niet opeens achterkomen dat het proces bij ons niet werkt?

Ja, er is een manier om ESU te downloaden en een testinstallatie uit te voeren nog voordat de post-pensioen-updates volgen. In dit document licht Microsoft toe hoe je kunt zien of in aanmerking komende Windows 7 SP1 en Server 2008 R2 SP1 de ESU's na het ondersteuningseinde van vandaag de ESU-patches ontvangen. Dat is een test-package dat hetzelfde distributieproces - en klantzijde dezelfde uitrolprocessen - gebruikt als de echte ESU's. Het ondersteuningsdocument benoemt de ESU-vereisten en geeft instructies over het proces.

9. Hoe is de introductie van ESU tot nu toe verlopen?

Niet helemaal soepel. Sommige reacties op Microsofts blogpost over het bemachtigen van ESU zijn niet mals. De meeste kritiek is gericht op hoe het werkt voor klanten die geen volumelicenties hebben om ESU te verkrijgen via een CSP.

"Microsoft heeft er een zootje van gemaakt met het Windows 7 ESU-programma", aldus een reactie die op 18 december werd achtergelaten. "De communicatie is zo slecht dat je je afvraagt of dat een bewuste keuze is. Veel MS-klanten die hiermee worstelen hebben dit blog gevonden en smeken om antwoorden, maar jullie geven niet thuis, wat niet behulpzaam is."

Deze reactie kreeg bijval van anderen die vinden dat Microsoft alles op het laatste moment laat afhangen wat betreft licensiekosten en andere aspecten van ESU. Een medewerker van Microsoft reageerde in die thread: "Microsoft heeft het ESU-programma vroeg in 2019 aangekondigd en heeft sindsdien wanneer nodig aanpassingen gemaakt", aldus Microsofts Joe Lurie. "Een van die aanpassingen is het toevoegen van CSP, wat origineel niet het plan was. Daarom is dit in oktober aangekondigd - het is een toevoeging gebaseerd op de vraag van klanten."