Windows XP patch management

– Windows XP patch managementje pedig mindenkinek van. – Ezzel kijelentéssel válaszoltam egy kollégámnak, aki elmesélte, egyik ügyfele nagyot nevetett, amikor a 2014. áprilisi Windows XP támogatás vége szóba került. Az ügyfélnél még több ezer Windows XP üzemel, de hát mit számít, hogy áprilistól nem jönnek biztonsági frissítések és javítások, amikor eddig sem volt patch management és eddig sem raktak fel semmit?

A helyzet azonban az, hogy az ügyfél szakértője téved. Amióta a Windows XP létezik, azóta létezik hozzá patch management is. És mindenki használja. Az ellentmondás egyetlen szóval feloldható: mindenki számára rendelkezésre áll a reaktív szoftverfoltozás lehetősége. Azok számára is, akik nem építettek ki szoftverfoltozó technológiát, például WSUS-t. Azok számára is, akik eddig – eléggé el nem ítélhető módon – nem törődtek a frissítések terítésével.

Tegyük fel, hogy a jövő héten egy a Confickerhez hasonló számítógép-féreg kezd el terjedni. Mi történik ilyenkor?

  • Akárcsak a Conficker esetén, a kártékony kód az operációs rendszerek sérülékenységét kihasználva elkezd terjedni.
  • Vagy rögtön a terjedés pillanatától kezdve, vagy a vírus írója által meghatározott időben elkezdődik a károkozás. Ez a sérülékenység súlyától függően bármi lehet, beleértve adatok vagy a teljes rendszer törlését, jelszavak feltörését, fájlok “foglyul ejtését” stb.
  • A szoftver gyártója elkészíti a sérülékenységet megszüntető szoftverfoltot – bár többnyire ez már a kártékony kód előtt elkészül és elérhető.
  • Eközben az anti-malware gyártók is elkészítik a maguk szignatúra frissítését. Megindul a szignatúra frissítési mechanizmus.
  • A gyártók figyelmeztető levelet küldenek az ügyfeleik számára, hogy jelentős fertőzés-veszély áll fenn, kérik a szükséges javítások terítésének haladéktalan megkezdését.
  • A még nem fertőzött gépeknél az anti-malware rendszerek kezdenek védelmet biztosítani a féreg első variánsával szemben.
  • A fertőzött gépekhez elkészül a vírus eltávolítási recept. Ez lehet egyszerű és nagyon összetett is. A “jól megírt” vírusok jól rejtőzködnek és védekeznek az eltávolítás ellen.
  • A jelentős fertőzési hullámról beszámol a sajtó. Tipikusan először a szakmai fórumok, később a nem szakmai portálok, végül a nyomtatott sajtó is. A fertőzésről azok a szakértők is értesülnek, akiket egyébként a gyártók figyelmeztetése még nem ért el.
  • Megkezdik a fertőzött gépek vírusmentesítését.
  • Néhány szervezet megkezdi a sérülékenységhez kiadott szoftverfoltok terítését.
  • Megjelenik a kártékony kód variánsa.
  • Megfertőződnek olyan gépek, amelyek anti-malware szoftvere az első variáns ellen véd, de mások variánst még a heurisztikus módszerrel sem képes felfedezni.
  • Bizonyos gépek újra megfertőződnek, mert nem kapták még meg a szoftverfoltokat.
  • Az anti-malware gyártók kiadják az új szignatúrát – immár az új variáns ellen.
  • Folyamatosan jelennek meg újabb és újabb variánsok és a nem foltozott gépek – a friss antimalware szoftverek ellenére – újra és újra fertőződnek.
  • A szakértők megértik, hogyan szűntethető meg véglegesen a fertőzés. Megkezdődik a szoftverfolt vagy foltok tömeges telepítése. Ez történhet manuálisan vagy valamilyen automatizmus segítségével.
  • A sérülékenységet hordozó gépek számra rohamosan csökken, megnehezítve ezzel a féreg terjedését.
  • A sérülékenységet foltozó szoftverfrissítés annyira elterjed, hogy a fertőzött gépek száma minimálissá válik.

A fent említett szervezet is – legyen bármilyen elhanyagolt a szoftverfrissítések kezelése – követi a fenti sorrendet. A “modern” kártékony kódok többsége azért létezhet, mert sérülékenységek vannak az operációs rendszerekben vagy más szoftverekben. Azért születnek meg a kártékony kódok, mert ezek a sérülékenységek “gazdaságos módon” kihasználhatók. Ezt azért teszem idézőjelbe, mert itt a gazdaságosságról szervezett bűnözői csoportok döntenek. Tehát: kis erőfeszítéssel, gyorsan, jelentős haszonra lehet-e szert tenni, egy adott kártékony kóddal? Ha a válasz igen, a kódot elkészítik. A mi szempontunkból a lényeg: mindaddig, amíg az alapprobléma, tehát a sérülékenység fennáll, érdemes lesz újabb és újabb variánsokat elkészíteni, mert a fertőzés újra és újra kivitelezhető. Az anti-malware szoftverek sokat segíthetnek, de megakadályozni nem tudják a fertőzést. A végleges megoldás tehát a szoftverfolt terítése. A felkészületlen szervezetek ezt utólag, esetleg automatizmus nélkül végzik el, de akkor is elvégzik, mert ez nem csupán csökkenti, hanem megoldja, hogy az adott kártékony kód már ne fertőzhessen. Ezért mondtam, hogy mindenkinek van a Windows XP-re vonatkozóan patch managementje.

És mi történik, ha a kártékony kód mondjuk, 2014. augusztusában jelenik meg? A 2014 áprilisa után a felfedezett sérülékenységeket már nem fogja javítani a Microsoft. A fenti felsorolásból a Windows XP-re vonatkozóan a pirossal kiemeltek nem történnek meg, az alapproblémára nem készül javítás. Tekintettel a Windows XP magas penetrációjára, a “gazdaságosság” magas lesz, ezért egy ilyen kártékony kód megszületésének valószínűsége közel 100%. A variánsok elkészítésével pedig folyamatosan magas szinten lehet majd tartani a fertőzött gépek számát. Az az aggodalmam, hogy a támogatás meglétének jelentőségét, és annak lezárultát nagyon sokan csak túl későn fogják megérteni.

Még egyszer: Windows XP patch managementje mindenkinek van. Még.

Ez igen, Apple!

Az gondolom, hogy informatikai szakemberként csak gratulálni lehet (még akkor is, ha munkáltatóm versenytársáról van szó), ha egy cég néhány nap alatt 200 millió eszközre képes teríteni a legújabb operációs rendszerét. Ráadásul úgy, hogy ez egy "pull" frissítés, vagyis akkor kapja meg valaki, ha kéri. Összehasonlításképpen: a Windows 8-nak közel egy évre volt szüksége, hogy 100 millió felhasználót toborozzon.

Hogyan lehetséges ez? A válasz az alkalmazások és az operációs rendszer kapcsolatában kell keresni. Az iOS alkalmazások ún. izolált, konténerizált alkalmazások, szépen elszigetelve az iOS alaprendszertől. Egy alkalmazás telepítése vagy eltávolítása nem befolyásolja az operációs rendszer konfigurációját és állapotot. Emellett az alkalmazások szigorú protokoll alapján férnek hozzá az operációs rendszer szolgáltatásaihoz, és ha az nem változik, gyakorlatilag nem veszik észre, hogy új OS van alattuk.

És a Microsoftnak mikor lesz ilyen rendszere? – Az igazság az, hogy nem lesz, hanem már egy éve van. A Windows RT eszközök pont így viselkednek és pont ilyen könnyedén frissíthetők. A Windows RT-n ugyanis garantáltan nincs Win32 API-kal dolgozó (harmadik gyártótól származó) alkalmazás, a modern Win8 App-ok pedig izoláltak, konténerizáltak és virtualizáltak, mint az iOS társaik.

Én – többek között – ezért preferálom a WindowsRT-t.

Windows 8 érintőképernyő nélkül – 5

Ez a cikksorozat a Windows 8 desktop operációs rendszer azon új képességeit veszi számba, amelyek nem a felhasználói felülettel kapcsolatosak, illetve használatukhoz nem szükséges érintőképernyő. Az első bejegyzésben tisztáztuk a a legfontosabb igényeket és szegmentáltuk a felhasználókat, emellett sorra vettük a Windows 8 válaszidejét javító és a felhasználói kényelmet szolgáló funkcióit. A második részben a megbízhatóság, és a biztonság került terítékre. A harmadik rész a hosszú üzemidőt, valamint a kompatibilitás és együttműködés témakörét tárgyalta. A negyedik részben a felügyelhetőség és szervizelhetőség témakörét járjuk körül. Értelemszerűen ezek a képességek a rendszerüzemeltetők számára vonzóak vagy fontosak. A sorozat utolsó részében összegyűjtjük azokat a funkciókat, amelyek hozzájárulhatnak az alacsonyabb üzemeltetési (és egyútal birtoklási) költségekhez.
Elöljáróban el kell mondanom, hogy ez a cikk nem lesz sem TCO számítás, sem ROI kalkuláció. Egyszerűen azokat a funkciókat gyűjtöttem össze, amelyek

  • újak a Windows 8-ban (igazodva a korábbi részekhez. Tehát Windows XP à Windows 8 migrációnál ez lista jóval hosszabb)
  • nem kötődnek az érintőképernyőhöz (hiszen erről szól a cikksorozat)
  • költségelkerülést vagy közvetlen költségcsökkenést eredményezhet (tehát valamilyen módon számszerűsíthető)

A dolog természetéből adódóan azt is meg kell adni, milyen körülmények között van jelentősége egyáltalán a funkciónak. Költség például úgy csökken, hogy valamennyit valamire költünk most, aztán a funkció használatba vételével valamennyit valami másra költünk később, s a kettő különbsége lesz a megtakarítás. Költség elkerülésről akkor beszélünk, amikor egy beruházás mindenképpen szükségessé válik, de alternatív megoldásként a Windows 8 bevezetésével a költség, vagy beruházás egy része vagy egésze elhagyható. Az is világos, hogy a költségek megjelenési formája sokféle lehet: tényleges pénzkifizetés, kockázat, vagy időveszteség. A kockázat csökkenését vagy az időveszteség csökkenését többnyire közvetett, a tényleges pénzáramlás csökkenését közvetlen költségmegtakarításnak szokták nevezni. Ebben a cikkben elsősorban a közvetlen költségekre ható funkciókat soroltam fel, de megjegyzem, ha a funkciónak közvetett költségcsökkentő hatása is van. Kivételt a rendszerüzemeltetőknél teszek, mert ott a funkciók nagyobb része egyenként közvetett költséget csökkent (például időt takarít meg), együttesen azonban elérhetik azt a szintet, amikor ténylegesen kevesebb üzemeltetőre van szükség, vagyis ott már közvetlen megtakarításról beszélhetünk. Felvázolom, miként lehet megmérni a csökkenést.

Minden felhasználó esetén…

Minden felhasználónál, még a desktop környezetet használóknál is közvetlen megtakarításként jelentkezik a kisebb energiafogyasztás. A Windows 8 fejlesztésénél kiemelt szempont volt a táblagépeken futás. Márpedig ott életbe vágó az energiával való takarékoskodás. Már a Windows 7 is hozott kb. 20%-kal kisebb fogyasztást ugyanazon az eszközön, a Windows 8 erre tett tovább 6-12%-ot. A költségelem mérésére több módszer is ismert: lehet mintavételezéssel (6-8, a környezetünkben tipikus eszközt mérőberendezésre kötni), vagy szoftveresen, például System Center Configuration Manager segítségével mérni. Az SCCM képes operációs rendszer szinten összesíteni a napi-het-havi fogyasztásokat, megláttatva a különbséget a Windows korábbi verziói és a Windows 8 között. Megfelelő paraméterezés esetén kiszámolja az energiafogyasztás költségét, a változásból pedig a megtakarítást.

A Windows 8 gazdaságosabban használja a rendelkezésre álló memóriát, még a hagyományos, Win32 alkalmazásoknál is, de a modern Windows 8 szoftverek esetén mindenképp. Ez lehetővé teszi, hogy ne kelljen 6-8 stb. gigbyte memóriát vásárolni a gépekbe. Normál használat esetén 2-4 GB elegendő, így elkerülhető egy költséges memória-bővítési projekt.

A Windows 8 képjelszó és jelszófelfedő használata kimutatható helpdesk hívás-csökkenést, vagyis közvetlen költségmegtakarítást eredményezhet. (A helpdesk rendszereknél tudják, hogy egy incidens vagy egy-egy incidens típus elhárítása mekkora költséget jelent a szervezetnek.) A képjelszavak, amelyek egyaránt működnek érintéssel és egérrel, közelebb állnak az emberhez, mint a hosszú és bonyolult jelszavak, könnyebb memorizálni őket. Ha pedig valahol jelszót alkalmaznak továbbra is, a jelszófelfedő segítségével megleshető a begépelt jelszó, vagy annak egy része, ezáltal csökken a hibásan beírt jelszavak miatti felhasználói fiók zárolása, így az ezekből fakadó incidensek száma is. A mérés: tudni kell, hogy egy hónapban, vagy egy évben mennyi jelszó elfelejtés vagy zárolási incidens történt, ebből számolható az alapköltség. A Windows 8 pilotban résztvevőknél szintén mérhető az ugyanilyen incidensek száma. A csökkenés egyben incidensek költségcsökkenést is jelent.

A Windows 8 új funkciója a virtuális smartcard. A virtuális smartcard szoftveres implementációja a valóságosnak, amelynek privát kulcsát a TPM modulban titkosították, ezért csak ott használható. A virtuális kártyának több előnye is van, de a mi szempontunkból a legfontosabb, hogy olcsóbb az életciklusa, mint a valóságosnak. Nem veszik el, nem megy tönkre, nem kerül pénzbe a beszerzése. Ott, ahol egyébként elvárás a kétfaktoros hitelesítés, kiválthat más megoldást (valóságos smartcard, RSA token stb.) ezek licenc és beszerzési költségeit megtakarítva.

A Windows 8 az első olyan operációs rendszer, amely teljes értékű anti-malware szoftverrel érkezik. Kisvállalatoknál, otthoni felhasználóknál nincs szükség külön anti-malware szoftverek beszerzésére és licencelésére. A Windows 8-ba épített Defender ugyanakkor nem nagyvállalati megoldás, központi felügyeleti szoftvere nincs.

A Windows 8-ban debütál a “Windows-to-Go” képesség. A Windows-to-Go segítségével egy USB meghajtóra telepíthetjük a Windows 8 operációs rendszert, amely képes lesz erről a meghajtóról indulni gyakorlatilag bármely, Win8 kompatibilis hardver eszközön. Notebookok helyett így lehetséges csupán egy USB adathordozó mozgatása. A funkció közvetlen költségmegtakarítást eredményezhet, ha egy szervezet alkalmazza a “Bring your own device” elvet. Ilyenkora felhasználók a saját eszközeiket hozzák a munkahelyre, a vállalat/intézmény csupán a digitális munkakörnyezetet biztosítja a Windows-to-Go technológiával. A hardver eszközök berszerzési költsége, amortizációja, karbantartása stb. takarítható meg. De nem kell még ilyen radikális modellváltásban sem gondolkodni. A Windows-To-Go segítségével az esetek többségében elkerülhet a költséges VDI környezetek kialakítása, vagy a meglévő környezetek fenntartása.

Minden felhasználót érint az ISO és VHD állományok egy kattintással való csatolásának lehetősége. Az ISO állományok csatolása vállalati környezetben lehetővé teszi, hogy olcsóbb konfigurációjú PC-ket szerezhessünk be: nincs szükség CD/DVD meghajtókra, miközben a felhasználók hozzáférhetnek és használhatnak optikai lemezképeket. A munkahelyemen például egy hálózati meghajtóra gyűjtötte az informatikai csapat az ISO és VHD lemezképeket, amelyeket egyetlen kattintással fel lehet csatolni, akár táblagépekről is. (Lásd a képet)

Hordozható gépek felhasználói

A hordozható számítógéppel rendelkezők mindazon képességeket élvezhetik, amelyekről eddig írtunk, de néhány további kifejezetten a számukra lehet érdekes.

Szenzorok és hibrid eszközök. Már 2008-ban a WinHEC konferencián bejelentette a Microsoft a Windows 7-hez megjelenő “Sensor and Location” platformot, de a Windows 8 az első olyan Windows operációs rendszer, amelynek hardver követelményei között ott található a szenzorok beépítésének követelménye is. Miért jelent ez költségcsökkentést vagy költségelkerülést? Számos olyan munkahelyet tudok elképzelni (szállítmányozás, logisztika, katasztrófavédelem, rend- és honvédelem, meteorológia, környezetvédelem, vízgazdálkodás stb.), ahol informatikai eszközöket használhatnak helymeghatározáshoz vagy helyinformáció rögzítéséhez. Egyre több helyen ilyenkor mobiltelefont, vagy dedikált táblagépet alkalmaznak, de könnyen lehetséges, hogy nem elég egyetlen féle formfaktor alkalmazása minden helyzetben. A Windows 8-cal együtt megjelenő hibrid eszközök lehetővé teszik, hogy ugyanaz az eszköz egyszer táblagépként működjön, máskor pedig hordozható számítógépként. A mobiltelefon-táblagép-számítógép hármas eszközkészletből az egyik potenciálisan megtakarítható, a vele kapcsolatos költségek elkerülhetők.

Mért kapcsolatok. A Windows 8 új képességei közé tartozik a hálózati kapcsolatok részletes monitorozása. A Windows 8 intelligens módon érzékeli, ha olyan hálózatot talál, amelynél az adatforgalom egyben azonnali költséget is generál, ilyenkor pedig elkezd takarékoskodni a sávszélességgel: nem tölti lehet a nem kritikus frissítéseket, rákérdez az alkalmazások frissítésének szükségességére, figyelmeztet, ha az adatforgalmunk megközelíti a kvótánkat stb. A funkciónak egyértelműen közvetlen költségcsökkentő hatása van: nem szalad bele a felhasználó váratlan, nagy számlákba, a rendelkezésre álló adatletöltési kvótát pedig “hasznos” dolgokra fordíthatja.

A mért kapcsolatokhoz kötődik a már régóta meglévő mappaátirányítási és mappa-szinkronizációs funkció bővülése is. A Windows 8 a kapcsolatok jellegét ismerve (kvótázott kapcsolat, ingyenes kapcsolat) képes befolyásolni a szinkronizáció folyamatát, vagyis beállíthatjuk, hogy például mobil szélessáv esetén a rendszer függessze fel a szinkronizációt, ingyenes Wi-Fi észlelésekor pedig folytassa azt.

IT szakemberek számára

Azt gondolom, hogy a Windows 8-ba beépített Client-Hyper-V valószínűleg csak az informatikai szakemberek számára lesz fontos komponens, számukra viszont nagyon is. A Client Hyper-V egy type-1 es típusú, bare-metal hypervisor, amely virtuális gépek futtatását teszi lehetővé Windows 8 gazdagép (szülő partíció) mellett. A type-1-es hypervisorok sokkal kisebb többletterhelést okoznak, mint a hagyományos, type-2 hypervisorok, így azonos erőforrások mellett jobb teljesítményt biztosítanak. A client Hyper-V akkor hozhat költségcsökkenést, ha a szakemberek korábban fizetős desktop virtualizációs megoldást alkalmaztak és azt most az operációs rendszer beépített képességével váltják fel. A jobb teljesítmény és sebesség, valamint a szerver oldali hyper-v-vel való kompatibilitás időmegtakarítást, tehát közvetetten szintén a költségek csökkenését eredményezheti.

A rendszerüzemeltetők számára fontos képességek

Amikor a rendszerüzemeltetők szemszögéből nézzük a költségcsökkenést eredményező képességeket, akkor többnyire olyan funkciókat tudunk felsorolni, amelyektől egyszerűsödik a munkavégzés, felügyelet, vagy bizonyos (költséges) helyzetek elkerülhetővé válnak. Ahogy a cikk elején említettem, ezek a idő- és energiamegtakarítások önmagukban nem biztos, hogy mérhetőek és azután ugyanazokat a folyamatokat kevesebb szakemberrel is meg lehet oldani, de a sok kicsi sokra megy elv alapján összességében mégis elérhetnek ilyen hatást. A legfontosabb mérőszám az alábbi funkciók terjedése után az incidensek csökkenése. Az egy incidensre jutó átlagos költség ismeretében pedig számolható a költségcsökkenés.

  • Kisebb erőforrásigény, jobb memóriakezelés. A Windows 8 mérhetően kevesebb erőforrást használ ugyanazokhoz a feladatokhoz, mint a Windows 7, és a rendelkezésre álló kapacitásokat – például hálózati sévszélesség – jobban és okosabban használja. A modern alkalmazások például, amint háttérbe kerülnek, hibernálják magukat, csökkentve a rendszer memória igényét és minimalizálva a processzor használatot. Futás közben pedig – hála az aszinkron programozási modellnek – jobban tűrik a hálózat bizonytalankodását, vagy a kisebb sávszélességet. Ennek eredményeképpen kevesebb teljesítmény-problémára visszavezethető incidens valószínűsíthető.
  • SecureBoot. A hardverrel integrált biztonságos indulás megakadályozza a rootkitek és egyéb kártékony kódok elterjedését, csökkenhet a biztonsági incidensek száma. (És tudjuk, hogy ebben az esetben a mérhető közvetlen költségek mellett óriási közvetett költségek is felléphetnek.)
  • Windows 8 modern alkalmazások. Bár sokan nem hiszik, ettől még tény: a modern Windows 8 alkalmazások nem kizárolagosan érintéssel vezérelhetők. Minden gond nélkül lehet olyan vállalati alkalmazásokat írni, amelyek valamilyen űrlapkitöltést segítenek, egy katalógust biztosítanak a felhasználóik számára, terminál alkalmazásként funkcionálnak stb. A modern alkalmazásoknak nagyon sok előnyük van a hagyományosokkal szemben. Üzemeltetési szempontból a legfontosabb, hogy nagyon egyszerűen, és megbízható módon, kis hibaszázalékkal frissíthetők. Ahol gyakori alkalmazás-frissítési feladat áll az üzemeltetők előtt, ott ez rendkívül értékes tulajdonság.
  • Chkdsk. A Windows 8 többféle fájlrendszer hibát képes kijavítani online, ha pedig valamit újrainduláskor kell mégis elvégeznie, akkor azt villámgyorsan teszi. Erről a korábbi cikkekben már írtam. Itt annyit érdemes megemlíteni, hogy ez funkció egyrészt csökkenti egy-egy incidens megoldási idejét, másrészt csökkenti az ilyen jellegű incidensek összes számát.
  • Bitlocker Network Unlock. A Bitlocker nem újdonság a Windows 8-ban, már a Vista is tartalmazott több-kevesebb titkosítási képességet. A Windows 8-ban viszont újdonság, hogy megfelelő UEFI firmware meglétekor a zárolt köteteket a rendszer automatikusan ki tudja nyitni. A funkció a Bitlockerrel kapcsolatos incidensek számát képes csökkenteni.
  • Bitlocker PIN és jelszócsere nem rendszergazdai jogok mellett is. A Bitlocker beállításához és konfigurálásához a Windows 8-ban (természetesen) rendszerüzemeltetői jogok szükségesek. Ugyanakkor már felhasználói jogok is elégségesek az operációs rendszer kötethez tartozó PIN vagy jelszó megváltoztatához. Ez lehetővé teszi, hogy a felhasználóknak ne kelljen véletlenszerű jelszavakat megjegyeznie (komplexitás persze kikényszeríhető), és egyszerűsödik a gépek kiadási folyamata is. A funkciótól várható, hogy kevesebb helpdesk incidest generál a Bitlocker szolgáltatás.
  • Javított Branchcache. A Windows 7-től kezdve létező funkció egy igény szerint elosztott vagy centrális cache-elési mechanizmus, amelynek segítségével távoli telephelyek hatékonyabban használhatják a WAN vonalaikat a központ felé. A Windows 8-ban megújuló funkció lehetővé teszi, hogy WAN accelerator eszközöket lehessen lekapcsolni, vagy ilyen beruházásokat elhagyni, továbbá elkerülhető vagy elodázható a WAN vonalak kibővítése. Különösen érdekes lehet a nyomtatókkal való együttműködés: a Windows 8 távoli telephelyen képes úgy nyomtatni, hogy a kontrolcsatornát a központban található nyomtató szerverrel építi fel, míg a tényleges nyomtatnivalót a helyi nyomtatóra küldi, óriási sávszélességet megtakarítva ezzel. Ez a képesség adott esetben a távoli telephelyeken működő nyomtatószerverek felszámolását eredményezheti. A közvetlen költségmegtakarítás vagy elkerülés egész nyilvánvalóan számítható.
  • Javított DirectAccess. A Windows 8-ban helyet kapott DirectAccess kifejezetten a rendszerüzemeltetők életét könnyíti. Gyorsabb és pontosabb hibadiagnosztikát lehet végezni és jóval egyszerűbb üzembe helyezést biztosít a Windows 8 – Windows Server 2012 páros, mint a korábbi kliens és szerver generáció. A távoli kapcsolatok incidenseinek száma csökkenhet.
  • Printer eszközmeghajtó v4 architektúra. Erről is értekeztünk már korábban. Az újdonságok eredője, hogy a v4 drivereket immár nem a nyomtatószerveren kell karbantartani, ezt a szerepet átveszi a WSUS. Maguk a driverek pedig jelentősen egyszerűsödtek, ezáltal valószínűsítve a kevesebb kódhibát is.
  • Reader App és IE10 flash. A világ egyik leggyakrabban támadott alkalmazása a rendszeres foltozásra szoruló Adobe Reader. Bevezetésével az üzemeltetők két rossz között választhatnak: vagy nem frissítik, így támadási felületet hagynak a desktopokon, vagy rendszeresen frissítik, de ez esetben havonta kell frissíteniük szinte minden gépen egy 250 MB-os alkalmazást. A Reader App, vagy a Windows alkalmazásboltban található más PDF olvasók beemelése az alap lemezképbe lehetővé teszi, hogy mellőzzük az Adobe Reader-t és biztosítsuk az alkalmazás automatikus frissítését is. Két legyet egy csapásra. Hasonló a helyzet az Adobe Flash beépülő moduljával. Ha elégséges az IE10 beépített plug-in-je, akkor megszabadulhatunk egy 3rd pary alkalmazástól és automatizálhatjuk az alternatív megoldás frissítését.

Összefoglalás az alábbi táblázatban. (A cikk a táblázat után folytatódik)

Desktop felhasználók Notebook felhasználók IT szakemberek Rendszerüzemeltetők
Alacsonyabb üzemeltetési költség
  • Kisebb energia fogyasztás
  • Gazdaságosabb memória használat
  • Képjelszó (picture password)
  • Jelszófelfedő
  • Virtual Smart Card
  • Teljes értékű malware megoldás
  • Windows To Go
  • ISO/VHD Mount
  • Minden, amit a desktop felhasználónál felsoroltunk

    +

  • Szenzorok és hibrid eszközök
  • Mért kapcsolatok (Connection Metering)
  • Mappaátirányítás és kapcsolat nélküli állományok (Cost aware sync);
  • Minden, amit az előző két csoportnál felsoroltunk

    +

  • Client Hyper-V
  • Kisebb erőforrásigény, jobb memóriakezelés
  • Windows 8 modern alkalmazások
  • SecureBoot
  • Merevlemezek javítása (Chkdsk)
  • Bitlocker Network Unlock
  • Standard User PIN and password change
  • Javított BranchCache
  • Javított  DirectAccess
  • Printer architecture v4
  • Reader App
  • IE10 Flash

Zárszó helyett

Ahogy az első cikkben is írtam: a Windows 8 legfontosabb újdonságai a felülethez és az amögött található programozási modellhez kötődnek. Ez ugyanakkor messze nem jelenti azt, hogy a Windows 8 kizárólag a felületen újult meg. Az WinRT futtatókörnyezet megjelenése mellett rengeteg kisebb-nagyobb funkció került bele az operációs rendszerbe vagy újult meg abban. Persze nem kell mindenkinek minden funkció. Viszont állítom, hogy elég akár egyetlen, nagy fájdalmat orvosló képesség, hogy a döntéshozók a Windows 8 mellett tegyék le a voksukat.

Windows táblagépet, de milyet?

Elrajtolt a Windows 8, október vége óta kapható a boltokban. Ahogy azt várni lehetett, jóval nagyobb a kereslet az érintőképernyővel szerelt eszközök iránt. A Windows táblagépek pedig egyértelműen favoritnak számítanak a vállalati felhasználók körében. Ugyanakkor kevéssé közismert, hogy a Windows táblagépekre a Microsoft nem egy, hanem tulajdonképpen két operációs rendszert is megjelentetett. Az egyiket Windows 8-nak, a másikat Windows RT-nek hívják. Érdemes egy kicsit körüljárni, mi a közös bennük, és miben térnek el.

Windows RT

A Windows RT a Windows család legújabb tagja. Az első olyan változat, amely ARM processzorokon képes futni. Az ARM processzorok – ahogy ma ismerjük őket – kevesebbet fogyasztanak, kevésbé melegednek, épp ezért hosszabb akkumulátor élettartamot biztosítanak és vékonyabb, könnyebb készülékeket lehet velük készíteni. Ideális processzorként funkcionálnak okostelefonokban vagy táblagépekben. Emellett még az áruk is igen barátságos. A Windows RT tehát remek alaprendszer lehet ezekben a táblagépekben. A Microsoft emellett igen sok, a munka világa számára fontos képességet fejlesztett a rendszerbe, például:

  • Biztonságos indulás (SecureBoot) gondoskodik arról, hogy kártékony kód ne tudjon az operációs rendszer indulása előtt vezérlést szerezni.
  • Teljes eszköztitkosítás. A rendszer az indulás pillanatától titkosított bitlocker alapú – bár azzal nem teljesen egyező – technológiával.
  • Beépített VPN kliensek, Microsoft, CISCO és Juniper rendszerekhez. A Windows RT-s gépek további szoftver telepítése nélkül a kliensekkel kompatibilis távoli hálózatokhoz csatlakozhatnak
  • Több felhasználó kezelése. Könnyedén elválaszthatók ugyanazon eszköz felhasználóinak beállításai, adatai, alkalmazásai.
  • Network Access Protection környezetek támogatása. A táblagép egészségére vonatkozó elvárásokat lehet definiálni. A Windows RT-s gépek képesek jelenteni magukról, hogy bekapcsolt-e a tűzfaluk, fut-e rajtuk antimalware szoftver stb.
  • Teljes körű malware védelem. A Windows Defender új verziója már megkötések nélkül mindenféle kártékony kód ellen védelmet nyújt. A Windows RT emellett operációs rendszer szintű SmartScreen szűrőt is kapott, amely a Microsoft URL és fájl-reputációs megoldása és akár olyan kódok futtatását is meg lehet gátolni vele, amely ellen esetleg még nincs felismerő algoritmus sem. Nulladik napos sérülékenységek kihasználását lehet elkerülni.
  • Smartcardok és virtuális smartcardok kezelése.
  • Széles körű hardver támogatás nyomtatókkal, USB eszközökkel, monitorokkal és kivetítőkkel.
  • Powershell támogatás scriptek futtatásához.
  • Beépített távsegítség. A felhasználók segítséget kérhetnek és kaphatnak távolról. Átadhatják a képernyőképüket más számára, tipikusan egy távoli szakértőnek vagy egy rendszergazdának.
  • Előre telepített Microsoft Office 2013. A Home & Student változat az Outlook kivételével minden fontos Office összetevőt tartalmaz. (Licencelésről alább)
  • Cloud támogatás. A Windows RT készülékek komoly számítási felhő támogatást kapnak a Microsofttól. A Microsoft fiók egyszeri bejelentkezés után hozzáférést biztosít a Windows alkalmazások áruházához, a Skydrive-hoz, az Outlook.com levelező rendszerhez és az Xbox live szolgáltatásokhoz. A Skydrive különösen fontos, mert a Windows RT titkosított fájlrendszerének helyreállítási kulcsát itt helyezi el a Windows RT, és ez a tárhely biztosítja a felhasználói beállítások elhelyezését is.

Ezen felül érdemes megemlíteni, hogy a Windows RT van desktop felület a mindennapi fájlkezeléshez, megállítható fájlmásolásra képes. A beépített böngészője integrált flash plug-int tartalmaz, és bár nem valamennyi, de jópár weboldal flash tartalmát képes lejátszani. A Remote Desktop protokoll legújabb, 8.0 változatát ismeri, ezért akár RemoteApp, akár VDI akár pedig Remote Desktop Session formában képes távoli rendszerekhez csatlakozni. Ezzel lehetővé válik, hogy ha nem is helyben, de prezentáció virtualizáció segítségével távolról hagyományos alkalmazásokat futtathasson. A VDI rendszerekhez nem csak technikai szempontból passzol, de a licencelése is kedvező. Ha egy felhasználónak van egy elsődleges (x86/x64) eszköze, amely Windows Software Assurance-szal fedett, és a Windows RT eszköz a vállalat/szervezet tulajdona, akkor ehhez a Windows RT alapú eszköz jogosult VDI környezet eléréséhez Virtual Device Access licenc előfizetése nélkül (Windows RT Companion VDA Rights). Ugyanez más operációs rendszerekre nem vonatkozik. Az Office 365 révén egy felhasználó akár öt eszközt is használhat. Megfelelő előfizetéssel így a helyben telepített Office üzleti célokra is használható lesz.

Mindezek alapján, más gyártók táblagépeivel összehasonlítva, a Windows RT nagyon vonzó alternatívának tűnik. Az is, ez nem kétséges. Ugyanakkor a sok-sok, vállalati szempontból értékes képesség együttesen sem elegendő, hogy valódi elsődleges munkahelyi eszköz váljék belőle. Jónéhány komoly korláttal rendekezik, amelyek behatárolják a vállalati/munkahelyi használatát, és kevés kivételtől eltekintve lehetetlenné teszik (legalábbis ma még), hogy kiválthassa a hordozható számítógépeket. Nézzük a megkötéseket(*):

  • A Windows RT natív módon nem képes x86/x64-re írt desktop alkalmazásokat futtatni. Ez azért vállalati környezetben elég komoly következményekkel jár. Egyetlen hagyományos, helyi telepítésű üzleti alkalmazás sem futtatható, és egyetlen rendszerfelügyeleti eszköz ügynöke, eszközmeghajtója stb. sem kerülhet egy Windows RT-re. Sokan azt gondolják desktop sincs a Windows RT-ben. Ez így ebben a formában nem igaz. Van desktop és desktop felület, elérhető minden operációs rendszerbe beépített desktop alkalmazás (Windows Intéző, Jegyzettömb, Számológép, Paint, Control Panel stb. stb.). A korábban desktop alkalmazásként ismert szoftverek viszont nem telepíthetők és nem futtathatók.
  • A Windows RT operációs rendszer nem tud tartománytag lenni. Ez a korlát ismét csak érzékenyen érinti a vállalati felhasználást. A vállalati erőforrásokhoz nincs integrált, egyszeri hitelesítés, nem futtathatók tartományi csoportházirendek, nincsenek kapcsolat nélküli állományok, automatikus mappaátirányítás belső kiszolgálókra stb. Mivel sem harmadik gyártó rendszerfelügyeleti szoftverével, sem Active Directory-val nem felügyelhető a Windows RT, az egyetlen lehetőség beállítások kikényszerítésére és szoftverek terítésére a Windows Intune bevetése lehet. A Windows Intune a Microsoft cloud alapú rendszerfelügyeleti megoldása.
  • Ha már nincs tetszőleges rendszerfelügyelet, könnyű felismerni, hogy ugyanez a helyzet az antimalware szoftverek területén is. A Windows RT egyedüli védelmi megoldása a Windows Defender. Vállalati környezetben használatos antimalware megoldás nem telepíthető rá.
  • Szintén a tartománytagság hiánya gátolja, hogy DirectAccess, Branchcache vagy felügyelhető Bitlocker funkciókat lehessen bekapcsolni. Mivel a Windows 7 is még csak felfutóban van, sokan nem ismerik, vagy eddig nem volt módjuk implementálni ezeket a képességeket. Érdemes tervezéskor számolni azzal, hogy továbbra is lesznek olyan eszközök, amelyek nem implementálják a fentiek egyikét sem.
  • A Windows RT saját rendszerpartícióit automatikusan titkosítja, és jól olvassa és írja a Bitlocker-To-Go módszerrel titkosított hordozható eszközöket is, Bitlocker-To-Go USB eszközt nem tud létrehozni.
    Az előnyök között tartjuk számon, hogy a Windows RT együttműködik a Network Access Protection rendszerekkel. Jegyezzük meg ugyanakkor, hogy a CISCO Network Access Control mechanizmusát nem kezeli, hisz hagyományos Win32 alkalmazást kellene telepíteni hozzá, valamint a NAP rendszerben sem használható harmadik gyártótól származó System Health Agent.
  • A Windows RT-ben nincs harmadik gyártó által támogatott SSL VPN.
  • Bár kétfaktoros hitelesítésre képes, a szükséges segédszoftverek híján nincs egyszeri jelszavas (One Time Password) belépési mód – egyelőre.
  • Ugyancsak az egyedi mentési ügynökök hiánya miatt mentésre csak a beépített eszközökkel van mód. Tegyük hozzá, hogy viszonylag ritka, amikor végfelhasználói gépeket kellene menteni. Ráadásul a Windows RT mögött is ott állnak a felhőszolgáltatások: akár a beépített Skydrive, akár más szolgáltatók felhős tárolási megoldása jó mentési alternatívát nyújtanak.
  • A Windows RT-ben futó Internet Explorer 10 egyetlen fontos funkcióban tér el a hagyományos Windows 8-ban megismerttel: nem telepíthetőek beépülő modulok. Igaz, van beépített flash modul, de ez nem minden weboldalon működik. Márpedig ahol nem működik, ott nincs is megoldás, mert egyedi flash modul nem telepíthető. Ugyanez a helyzet a Silverlight-tal, az ActiveX kontrollokkal és a Java futtatókörnyezetekkel is. Valamennyi böngészőbe beépülő modult igényel, az viszont a Windows RT platformra nem elérhető.
  • Végezetül említsük meg, hogy vállalati alkalmazásokat, amennyiben azok modern Windows alkalmazások, lehet telepíteni Windows RT alapú eszközökre. Ehhez azonban meg kell vásárolni a megfelelő Sideloading kulcsokat a Microsofttól.
  • Mit mondhatunk el összességében a Windows RT-re épülő rendszerekről? Bár a konkurenciához képest hatalmas előrelépést biztosítanak a munkahelyen való alkalmazhatóság területén, a hagyományos PC-ket és hordozható eszközöket nem tudják kiváltani. És ha van kivétel, akkor az csak a szabályt erősíti. A Windows RT alapú eszközök leginkább otthonra valók. Maga a Microsoft sem sorolja a "üzleti vagy fejlesztői termék" kategóriába. Ebből következően a termék életciklusa nem 5+5 év (öt év normál támogatás és öt év kiterjesztett támogatás), hanem csupán öt év normál támogatás.

    Ha mégis vállalati környezetben használják a Windows RT alapú eszközöket, akkor inkább a PC-s rendszerek kiegészítői (Companion Device), mint kiváltói lehetnek. Bár az adott hardver eszköz paramétereitől és egyedi képességeitől is függ, azért elmondható, hogy a Windows RT-s rendszerek nagyobb valószínűséggel fogják a tartalom fogyasztására, mint annak előállítására használni.

    Windows 8

A fentiek alapján már szinte mindent tudunk a Windows 8-ról is. Táblagépek kapcsán azért mondjuk el:

  • A Windows 8 alapú táblagépek teljes felügyelhetőségi lehetőséggel rendelkeznek. Egyaránt futtatják a korábbi szoftvereket és a modern alkalmazásokat.
  • Teljes kompatibilitást nyújtanak az x86/x64-es szoftverek számára. A Windows 8-cal szerelt táblagépre minden olyan alkalmazás, eszközkezelő, ügynök stb. feltelepíthető, amelyet korábban notebookokra és desktopokra raktunk fel.
  • A Windows 8 Professional operációs rendszerekkel szerelt táblagépekre telepíthető a Windows 8 Enterprise változat. Ez DirectAccess, Brach cache, Bitlocker, Applocker és még sok tucatnyi egyéb desktop szolgáltatás implementálását teszi lehetővé. Működnek az MDOP komponensek (App-V, UE-V, DaRT) is.
  • A Windows 8 Enterprise további licenc vásárlás vagy kulcs aktiválás nélkül képes a rendszergazdák által kiajánlott belső, Modern alkalmazások letöltésére és futtatására, amelyeket egyaránt telepíthetünk System Center Configuration Managerrel és Windows Intune-nal.

Összességében a Windows 8 alapú táblagépek képekes kiváltani a hordozható ultrabook eszközöket, néha az erősebb notebookokat és a nem Windows 8 alapú táblagépeket is – akár egyszerre. Áruk – és súlyuk – mindenképpen kisebb, mint egy PC + hagyományos táblagép kombónak. Igaz – ma még – kicsit vastagabbak és nehezebbek, mint más gyártók táblái, és az üzemidejük sem olyan hosszú még. A vállalatok számára azonban még így is ezek az eszközök lesznek a legvonzóbbak: elősegítik az eszkökonszolidációt és még nagyobb mobilitást tesznek lehetővé.

—————————–

* Lássuk be, ez az x86/x64 processzorokra épülő táblagépeken kívül a felsoroltak valamennyi platform esetén (iOS, Android) korlátot jelentenek.

Windows 8 érintőképernyő nélkül – 4

Ez a cikksorozat a Windows 8 desktop operációs rendszer azon új képességeit veszi számba, amelyek nem a felhasználói felülettel kapcsolatosak, illetve használatukhoz nem szükséges érintőképernyő. Az első bejegyzésben tisztáztuk a a legfontosabb igényeket és szegmentáltuk a felhasználókat, emellett sorra vettük a Windows 8 válaszidejét javító és a felhasználói kényelmet szolgáló funkcióit. A második részben a megbízhatóság, és a biztonság került terítékre. A harmadik rész a hosszú üzemidőt, valamint a kompatibilitás és együttműködés témakörét tárgyalta. Ebben a cikkben a felügyelhetőség és szervizelhetőség témakörét járjuk körül. Értelemszerűen ezek a képességek a rendszerüzemeltetők számára vonzóak vagy fontosak.

A felügyelhetőség támogatása
Mindenek előtt szögezzük le, hogy már a Windows Vista(!) is igen magasra tette a lécet a felügyelhetőség vonatkozásában. Ezzel a Windows verzióval jelent meg a erőforrásokat és teljesítményt figyelő monitor (Resource and Performance Monitor), a megbízhatósági monitor (Reliability monitor), újult meg az eseménykezelés. A Windows 7 néhány funkciót tovább finomított, például a System Recovery Tools immár "Windows Recovery Environment"-ként a boot vagy (alapértelmezetten) a system partíción kapott helyet.

A Windows 8 felügyeletének fejlődése kétségkívül a Powershell területén a legnagyobb. Az alapértelmezett Windows 8 telepítés után mintegy 1930 cmdlet, további komponensek telepítésével több mint 2300 cmdlet használható. Ez az első olyan Windows operációs rendszer, amelyben gyakorlatilag bármit be tudunk konfigurálni powershell segítségével, beleértve a Windows tűzfalat és az SMB megosztásokat, de még a hálózati kártya speciális képességeit is. Ez a fejlesztés azért fontos, mert a Powershell a WinRT környezetekben is rendelkezésre áll. Bár a WinRT operációs rendszerű gépek nem lehetnek tartománytagok, az erőteljes powershell támogatás (és az, hogy ez kompatibilis a vállalati scriptekkel) inkább alkalmassá teszi a vállalati környezetben való használatra, mint bármely más operációs rendszerű táblagépet. A Powershell fejlesztése azonban nem fejeződött be a cmdletek teljessé tételével. Erőteljes fejlesztésen esett át a Powershell IDE: Intellisense került bele, hogy a scriptek írása gyorsabb és pontosabb lehessen. A fejlesztőkörnyezet ablakának jobb szélén bekapcsolható a "Show command" panel, amely egy-egy cmdlet paramétereinek kitöltésében segíthet. Elérhető a legutóbb szerkesztett scriptek listája, és script blokkokat szúrhatunk be a "snippets" funkció segítségével. Mindezen újdonságok azt szolgálják, hogy Powershell használatában teljesen kezdők is magabiztosan nyúljanak a parancssori eszközökhöz.

A funkcionalitás és a hatékonyabb szerkesztés mellett a futtatás minőségén is javítottak. Megjelent a "powershell workflow" fogalma. A workflow egy sor programozott, egymáshoz kapcsolódó lépés, amelyek hosszan tartó feladatokat hajtanak végre, vagy amelyek több lépés koordinációját igénylik több eszköz vagy felügyelt node között. A powershell workflow lehetővé teszi a rendszerüzemeltetők számára hogy több eszközt érintő tevékenységet hozhassanak létre. Egy workflow – alapértelmezetten – lehet hosszan futó, megismételhető, gyakori, párhuzamosítható, megszakítható, leállítható és újraindítható. A wokflow megállítható (suspend) és folytatható (resume). A workflow képes a futását folytatni váratlan események, például hálózati kapcsolat megszakadása, vagy gépújraindulás után.

A Windows 8 jobban felügyelhető, mint elődei, mert jobb csoportházirend támogatása van. Megjelentek persze új házirend elemek is, de a fő újdonság nem ez. A Windows 8-ban a módosított csoportházirendeket azonnal végrehajtathatjuk azokkal a számítógépekkel, amelyekre a házirend érvényre juthat, nem kell megvárni, amíg a kliensek lassan újrafrissítik magukat. Javult a Group Policy Management Consol is: jobb összegző és részletező riportok készíthetők vele, a Group Policy Results Wizard jelentés pedig egy helyen tartalmazza a hibákat, az öröklődéseket, a kikényszerítéseket és a riasztásokat. Ehhez már nem kell külön eszközöket használnunk.

A távoli gépek felügyelhetőségének egyik kulcs technológiája a DirectAccess, amely – szemben a VPN-nel – kiterjeszti a felügyeleti határokat és folyamatossá teszi a felügyeletet a távoli gépekre. A Windows 8-ban a DirectAccesshez is megjelent jónéhány újdonság. A funkciónak immár multi-site képessége van, vagyis a csatlakozáskor a kliens a mindenkor legközelebbi kiszolgálóhoz kapcsolódik. A DirectAccess pontos státusza látható a hálózati panelen, ha pedig végképp nem jönne össze a csatlakozás, akkor a kezelőfelületen e-mail-t lehet küldeni a helpdesk számára, amely pontos logokat tartalmaz a hibakeresés meggyorsításához.

A DirectAccess alkalmassá vált arra, hogy egy, a vállalati informatika határain soha be nem lépő gép számára is biztosíthassa a tartományba való belépés lehetőségét. Az "Offline Domain Join" funkció a következőképp működik: A rendszerüzemeltetőknek létre kell hozni a megfelelő AD számítógép fiókot és el kell készíteni hozzá a beléptető csomagot (provisioning package). Ezután hozzá kell adni a fiókot a DirectAccessClients biztonsági csoporthoz. A csomagot biztonságos körülmények között el kell juttatni a beléptetni kívánt géphez, ahol le kell futtatni. Újraindulás után a gép tartományba lép és képes lesz DirectAccess kapcsolat felépítésére.

A felügyelhetőséget javítja az új Print Class Driver Framework is. Az új keretrendszer a nyomtatás több problémás, nehezen felügyelhető részén hoz javulást. A kiterjedt keretrendszer lehetővé teszi, hogy kisebb drivereket lehessen írni, amelyek csak egy-egy speciális funkcióra koncentrálnak, mivel a nyomtatási feladatok elvégzéséhez szükséges kód nagyobb részét maga a keretrendszer tartalmazza. Ez csökkenti a driverek méretét, végső soron csökkenti a vállalati rendszerkép méretét is, hiszen az sok-sok nyomtató eszközmeghajtó kevesebb helyen elfér. Csak összehasonlításul: míg a Vista gyári telepítő lemeze 768 MB-nyi nyomtatódrivert tartalmazott és ezzel a piacon lévő nyomtatóbázis 55-60%-át fedte le, addig a Windows 8 Consumer Preview változatában 184 MB-nyi nyomtató meghajtó az installált bázis 70%-át lefedte (A végleges változatnál 80% volt a cél.) A kisebb lemezkép kevesebb karbantartást és gyorsabb telepítést tesz lehetővé.

    

Változott és leegyszerűsödött a nyomtató driverek disztribúciója is. A korábbi, v3-as modellben a drivereket a nyomtató szervernek kell a kliensre eljuttatnia. A v4-től kezdve ez már nem feladat a print servereknek, az eszközkezelők a Microsoft Update-ről, vagy a belső vállalati WSUS kiszolgálóról érkezhetnek. Ezáltal drasztikusan leegyszerűsödik a nyomtató szerverek üzemeltetése, mert nem kell manuálisan gondoskodni az ezközkezelők frissességéről. (Pontosabban: minél kevesebb v3-as modell használó gép, tehát Windows XP, Windows 7 van a hálózaton, annál könnyebb a nyomtatószerverek kezelése.) A kompatibilitás természetesen fontos szempont volt: a Windows 8 gépek képesek v3 modellt követő nyomtatókiszolgálókhoz csatlakozni, illetve a Windows Server 2012/Windows 8 nyomtató kiszolgálók képesek v3-as modell követő kliensek kéréseit teljesíteni.

A szervizelhetőség elősegítése

A legjobb, ha egy operációs rendszer nem romlik el. Ám ha mégis, akkor egyáltalán nem mindegy, hogy milyen eszközök állnak az felhasználók vagy az üzemeltetők rendelkezésre, hogy a hibát vagy zavart elhárítsák.

A Windows 8 legfontosabb újítása ezen a a téren a PC konfiguráció felfrissítés (PC Refresh) és a PC konfiguráció alapra állítás (PC Reset). Az előbbi képes megőrizni a felhasználói állományokat, az utóbbi "visszamegy a kályhához" és az első induláskor tapasztalt állapotot hívja elő. Mindkét megoldás – a megfelelő módon alkalmazva – megkíméli a gépet a teljes újratelepítéstől és felgyorsíthatja az incidensek megoldását.

Egyértelműen a szervizelhetőséget javítja az új alkalmazás modell. A modern Windows 8 alkalmazások izolált konténerekbe kerülnek. A beállításokat a fejlesztők nem tehetik akárhová, a szabályosan megírt alkalmazások beállításai szépen szinkronizálhatók több gép között és nem "ragadnak be" egyetlen operációs rendszer példányba, főleg nem zavarnak meg más szoftvereket. Az alkalmazásokat nem kell telepíteni, pusztán letölteni és frissíteni. Az OS konfiguráció frissítés és alapra állítás valamint az alkalmazások ilyen módú kezelése segít abban, hogy pár művelettel egy "teljesen tiszta" operációs rendszert kaphasson a felhasználó, ahol ő maga, szintén néhány mozdulattal az összes – modern – alkalmazását azonnal visszakaphatja. Micsoda különbség a Windows 7-hez képest!

A hibaelhárítás egy másik fontos eszköze a Task Manager, amely úgy átalakult, hogy elsőre rá se ismerni. Több nézetet kapunk, informatívabb táblázatokkal és grafikonokkal. A Windows 8 stílusú alkalmazásokhoz jár egy "történelmi tabló" is: melyiket mennyi ideig használtuk, mennyi forgalmat generált, ebből mennyit vitt el a csempék frissítése stb. A Feladatkezelő immár a szolgáltatásainkat és a Windows indulásakor lefutó alkalmazásainkat is kezeli, ami meglehetősen fontos: a lassulások nagy része abból fakad, hogy az újabb és újabb telepítések mind-mind valamilyen azonnal elinduló komponenssel boldogítanak minket és lassítják a munkaeszközünk indulását.

A sebességjavító tényezők között egyszer már felsoroltuk, de itt is meg kell említeni a chkdsk fejlesztéseket. Az NTFS fájlrendszer javításának nagy része most már működés közben elvégezhető, s ha mégis újrainduláskor kellene a javítást elvégezni, az nem fog tovább tartani, mint egy-két másodperc. Korábban a kötet méretével arányosan hosszú ideig kellett várakoznunk a javításra, de a Windows 8-cal ez már a múltté. A gyorsaságon túl ez egyben azt is jelenti, hogy többterabytos eszközökre is támaszkodhatunk, a karbantartásba nem fogunk beleőszülni.

Közhely, hogy a biztonsági intézkedések gyakran a használhatóság rovására mennek. Az már kevésbé ismert, hogy a szigorú biztonsági szabályok néha a felügyeletet is nehezítik. Egyrészről például jó volna a hordozható gépek, de akár a nem teljesen megbízható helyen lévő szerverek merevlemez titkosítását megoldani, másrészt viszont egy átlagos titkosított rendszer induláskor kér valamily PIN kódot. A szervereknél ez a boot folyamat leállásához vezetne, a felhasználók pedig néha-néha (gyakran?) elfelejtik ezt a kódot, ezért segítséget kérnek az IT-től. Egy szó mint száz: a biztonság kényelmetlen, költséges, vagy egyenesen megakadályoz bizonyos folyamatokat.

A Windows 8-ban és a Windows Server 2012-ben található Bitlocker titkosítási mechanizmus tartalmaz egy új képességet, amely a fenti helyzetet kívánja orvosolni. A képesség neve "Network Unlock". A lényege, hogy a biztonságos belső hálózaton a desktopok és szerverek automatikusan megkérhetik a merevlemezek titkosítását feloldó PIN kódot. A funkció eléréshez olyan UEFI firmware-re van szükség, amely DHCP-t is képes használni. A Network Unlock a szervereknél lehetővé teszi, hogy titkosítot merevlemezt használjanak, de képesek legyenek automatikusa újraindulni. A desktop számítógépeknél pedig elentősen csökkentheti a helpdesk hívásokat, mivel a felhasználók akkor is képesek lesznek elindítani a gépüket, ha elfelejtették a PIN kódjukat.

Összefoglalásul az leírt képességek

Igények

Desktop felhasználók

Notebook felhasználók

IT szakemberek

Rendszerüzemeltetők

Felügyelhetőség

     
  • Powershell (Tűzfal, SMB pl.)
  • Powershell párhuzamos futtatás; Restart –wait; Checkpoint workflow
  • Távoli GPO Update
  • DirectAccess fejlesztése
  • Offline Domain Join DirectAccess segítségével Hálózati forgalom mérés
  • Print Class Driver Framework

Szervizelhetőség

     
  • Reset/refresh PC
  • Modern alkalmazások (izolált konténerek, beállítások automatikus szinkronizálása)
  • Task Manager
  • Multiteraby support – chkdsk improvement; Corruption Correction
  • Bitlocker Network Unlock

Windows 8 érintőképernyő nélkül – 3

Ez a cikksorozat a Windows 8 desktop operációs rendszer azon új képességeit veszi számba, amelyek nem a felhasználói felülettel kapcsolatosak, illetve használatukhoz nem szükséges érintőképernyő. Az első bejegyzésben tisztáztuk a a legfontosabb igényeket és szegmentáltuk a felhasználókat, emellett sorra vettük a Windows 8 válaszidejét javító és a felhasználói kényelmet szolgáló funkcióit. A második részben a megbízhatóság, és a biztonság került terítékre. A most következő cikk a hosszú üzemidő és a kompatibilitás témakörével foglalkozik.

A hosszú üzemidő érdekében

A hosszú üzemidő természetesen elsősorban a hordozható gépeket érdekli, van azonban egy olyan – nem az energiagazdálkodással kapcsolatos – képesség a Windows 8-ban, amely fontos változást hoz a desktop gépeknél is. A Windows operációs rendszerek hosszú ideje a Windows Update szolgáltatásról kapják a biztonsági és egyéb szoftver frissítéseiket. A Windows csapat elemezte, milyen frissítési stratégiát választanak az emberek, és igyekezett megoldani azt a dilemmát, hogy minél hamarabb eljussanak a felhasználókhoz a frissítések, miközben minél kevésbé kelljen beavatkozni a mindennapi munka menetébe, tehát minél kevesebbszer kelljen újraindítani a rendszert. Az eredmény egy, a korábbinál szofisztikáltabb algoritmus: a Windows 8 összegyűjti a frissítések utáni újraindításokat, ha azok nem biztonsági frissítések (vagyis: elvégzi a frissítést, de nem kér újraindítást). A biztonsági frissítések telepítése után 3 napot ad az újraindítás elvégzéséhez, amely összeköthető lekapcsolással és újraindítással is. Végső soron a megoldás a felhasználót kevésbé zaklatja, ezért hosszabb üzemidő érzete támad.

Persze az igazi üzemidő hosszabbítás mégiscsak az energia-gazdálkodással kapcsolatos. A Windows minden komponensét alapos felülvizsgálatnak vetették alá, hogy a lehető legtakarékosabban bánjon a rendelkezésre álló energiával. Az új Windows stílusú alkalmazások – ha nem használják őket – automatikusan hibernált állapotba kerülnek, kivéve, ha háttérfeladatot kell futtatniuk (pl. zenét játszanak). Ezzel elérhető, hogy csak az az alkalmaz fogyaszt áramot, amely éppen előtérben tartózkodik. Ebből következik, hogy a környezetvédelem iránt érzékeny vállalatok/szervezetek számára érdemes lesz minél több Windows stílusú alkalmazást használni. (Nem, nem viccelek!).

Már a Windows 7 is képes volt a CPU magokat alvó állapotba rakni, amely szép energia-megtakarítást eredményezett, a Windows 8 azonban ezt a lehetőséget sokkal agresszívebben használja. Az "Idle higiéniának" nevezett technológia a korábbi, maximálisan 15,6 ms helyett jóval hosszabb, 100-300 ms alvó állapotokat is használ. Connected Standby módban még ennél is hosszabb, akár több tíz másodperc is lehet a CPU alvó állapot.

Talán még ennél is fontosabb változás hogy a Windows 8-ban bemutatkozik egy új eszköz energia-gazdálkodási keretrendszer (device power framework), amely lehetővé teszi, hogy a hardver perifériák és komponensek informálhassák a rendszert az energiagazdálkodási képességeikről. Így minden belső és külső eszköz csatlakozhat a gépen működő energia-sémához.

Az energia-takarékosság a rendszer egészének újragondolására késztette a fejlesztőket. A gyors indulás/leállás/újraindulás/hibernálás nem csak kényelmes, hanem egyúttal hosszabbítja a hasznos üzemidőt. Optimalizálták a grafikus alrendszert, kifejezetten a mobil használatra csiszolták a Windows Defendert, hogy minél kevésbé befolyásolja a teljesítményt, mivel tudták, hogy táblagépek esetén minden felesleges CPU ciklus vagy IO művelet a akkumulátor élettartamát csökkenti. Már az IE9-nél is fontos fejlesztési szempont volt a hatékony energiafelhasználás. Egy Internet böngészőnek nem csak gyorsnak kell lennie, de takarékoskodnia kell az energiával is. Mérnöki szempontból ez két, egymásnak ellentmondó igény, tehát nemigen várható ideális eredmény, sokkal inkább ideális kompromiszum.

A korábban emlegetett gazdaságos memória-használat lehetővé teszi, hogy kisebb konfigurációjú eszközök jelenhessenek meg: kevesebb memória-igény, tehát kevesebb fizikia memóra, tehát kevesebb chip, tehát kevesebb fogyasztó, tehát kisebb áramfelvétel, tehát hosszabb üzemidő.

A vezeték nélküli hálózatok működésénél nem csak az az érdekes, hogy a mobil szélessáv helyett, hacsak lehetősége van, a Windows 8 inkább Wi-fit használ. A váltásnál még a mobil eszközhöz tartozó áramköröket is igyekszik kikapcsolni az operációs rendszer, hogy energiát takarítson meg.

A Windows 8-ban fellelhető energia-takarékossági fejlesztések elsősorban azt célozzák, hogy kisebb, könnyebb, vékonyabb, tovább üzemelő eszközket lehessen készíten a felhasználók számára. A fejlesztések nem elhanyagolható "mellékterméke", hogy a meglévő PC-k és hordozható számítógépek is kevesebb energiát fogyasztanak, tehát tovább üzemelnek. Akit érdekel néhány elvégzett mérés, az nézze meg a a Tom’s Guide és a ITWorld ide vágó cikkeit és teljesítmény-teszt eredményeit. Figyelem: ezek még nem a végleges kóddal készült mérések.

Kompatibilitás és együttműködés

Egy operációs rendszertől elvárható, hogy jól illeszkedjék abban a meglévő hardver eszközkészlet portfólióba, amely a rendelkezésünkre áll, illetve amelyet a munkánkhoz használni kell. Ha például több monitorunk van, mert ez a munkánkhoz szükséges, akkor a rendszer kezelje azokat megfelelően. Ugyanez elvárható a szoftverkörnyezettel kapcsolatban is. Működjenek az előző verzióban is működő alkalmazások, illetve az operációs rendszer illeszkedjék a meg rendszerfelügyeleti eszközeinkhez.

A Windows 8, akárcsak a korábbi változatai, újabb hardver szabványokat is támogat, olyanokat, amelyek az előző rendszer bevezetése óta jelentek meg, vagy terjedtek el. Ennek folyományaként például a Windows 8 felkészült a 3 TB-nál nagyobb lemezek kezelésére és boot partícióként való használatára, továbbá képes nagyobb szektorokkal is dolgozni, mint elődjei.

Az új operációs rendszer jobban kezeli a több monitorral rendelkező környezeteket. A több monitornál különböző háttereket állíthatunk be az egyes képernyőkhöz, sőt, ha képváltós témát kértünk háttérnek, akkor a több-monitoros képváltás is működik. A háttérképeket lehet épp ellenkezőleg is konfigurálni: ha azt szeretnénk, hogy húzza szét a képet a rendszer több monitor között, az sem akadály. Többmonitorossá vált a tálca, és a letűzött ikonok is azon a monitoron látszanak, amelyiken az alkalmazás fut (vagy éppen nem, ha másképp állítjuk be a működését.). Több monitor használatakor a gombsáv (charm) valamennyi monitoron elérhető. Megoszthatjuk a képernyőt úgy, hogy az egyiken a Start képernyő láható, a másikon a hagyományos desktop. A teljes funkciólista ebben a cikkben olvasható, képekkel együtt.

A Windows 8 vállalati/intézményi környezetben nem önmagában áll, hanem egy nagyobb rendszer része. Meggyőződésem, hogy szinte mindegyik gépen használatos az RDP protokoll valamilyen távoli kiszolgáló eléréséhez. A Windows 8-ban debütál az RDP8, amely a Windows Server 2012 által nyújtott VDI lehetőségek maradéktalan kihasználásához elengedhetetlen.

A mindennapi felhasználót kevéssé, az informatikai szakembereket annál inkább felvillanyozhatja, hogy a Windows 8 az első olyan széles körben elérhető desktop rendszer, amely type1-es, bare metal kliens hypervisorral lehet felvértezni. A funkciót kliens Hyper-V-nek hívják. (Figyelem! Nem a virtualizáció koronázatlan királyának kikiáltott Vmware, és nem is a Citrix hozta el a rég várt funkciót!) A Windows 8-ban működő Hyper-V kezelőfelülete és belső szerkezete megegyezik a Windows Server 2012-ben található Hyper-V-vel. Azonos a virtuálisgép-formátum, a virtuális merevlemez formátum. Olyan funkciók is elérhetők a Windows 8 hyper-V-ben, mint a Live Storage Migration. A két Hyper-V funkcionalitása azonban néhány területen más, hiszen a környezet, amelyben használják őket, egészen más. Így például a Windows 8-ban lévő Hyper-V jól kezeli a hibernációt, vagy a wireless hálózatokat, míg a szerver oldali párjának ilyen képességre nincs szüksége. Ugyanakkor a kliens hyper-v-ben nincs virtuális fibre channel támogatás, hiszen a desktop gépekben nincs FC adapter sem.

Szintén a technológiát szerető felhasználókat érdekelheti, hogy a Windows 8 beépített storage virtualizációs technológiát tartalmaz, Storage Spaces néven. A Storage Spaces segítségével redundáns, működés közben javítható, virtuális lemezekkel operáló tárhelykezelő megoldást kapunk. Ideális megoldást nyújthat például otthoni médiatár vagy SOHO környezetek közös tárhelyéül. A Storage Spaces közönséges lemezekkel dolgozik, és nem igényel maga alatt semmilyen RAID technológiát.

A tárolási techonlógiáknál maradva, nagyvállalati környezetben valószínűleg örömmel fogadják majd, hogy a Windows 8 kompatibilis a titkosításra képes merevlemezekkel. Ezek a merevlemezek firmware szinten végzik el azt, amit a Bitlocker szoftveresen tesz, miközben természetesen a merevlemez képes a Bitlockerrel integrálódni is. A megoldás előnye, hogy egyrészt gyorsabb, mint a bitlocker önmagában, másrészt tehermentesíti az operációs rendszert.

A rendszerüzemeltetőknek egyébként el kell mondani, hogy a Windows 8 egy… Windows. ("És ezzel még nem mondtam semmit" – folytatná Cseh Tamás.) És azt, hogy a Windows 8 egy Windows, muszáj hangsúlyozni, mert a rendszerüzemeltetők ezt el szokták felejteni. Pedig… Ugyanolyan módszerekkel telepíthető (csak jobban), ugyanúgy konfigurálható (csak jobban), ismeri a jól bevált protokollokat (Kerberos, NTLM, SMB stb.), ismert szabványokat alkalmaz – NTFS, Bitlocker, BITS, EFS -, beszéli a Powershellt, alkalmazza a csoportházirendeket, végrehajtja a bejelentkezési scripteket, jelszóházirendet, képerőnyőzárolást. Használhatók a megszokott távfelügyeleti eszközök (RDP, Remote Assistance, Remote MMC, Telnet). Együttműködik, és aktívan használja a Windows szolgáltatásokat – AD, DHCP, DNS, VPN, NAP, WDS, WSUS. Bekapcsolható az esetleg Windows 7-tel kialakított szolgáltatásokba – Branchcache, DirectAccess, Applocker. Száz szónak is egy a vége: ez nem egy i… i… ideiglenes megoldás 😉 – Mindezzel csak annyit akartam mondani: a Windows 8 kompatibilis a már bevezetett szolgáltatásokkal, az azokba beleölt pénzt, energiák, munkaórákat meg lehet őrizni.

Táblázatosan összefoglalva:

Igények

Desktop felhasználók

Notebook felhasználók

IT szakemberek

Rendszerüzemeltetők

Hosszú üzemidő

  • Frissítések újraindításának ütemezése
  • Minden, amit a desktop felhasználónál felsoroltunk

    +

  • Windows stílusú alkalmazások energia fogyasztásának csökkentése
  • Idle higénia
  • Eszköz energia-gazdálkodási keretrendszer
  • Javított Defender
  • Tuningolt grafikus alrendszer
  • Gazdaságosabb memória-használat
  • Wi-Fi Performance
  • Hibernálás újdonságai
   

Kompatibilitás

  • Large Disk Support
  • Továbbfejlesztett multimonitor támogatás
  • RDP8
 
  • Minden, amit az előző két csoportnál felsoroltunk

    +

  • Client Hyper-V;
  • Storage Spaces
  • Korábbi rendszerfelügyeleti eszközök használata
  • Encrypted Hard Drives for Windows támogatás

Folytatom…

Windows 8 érintőképernyő nélkül – 2

Ez a cikksorozat a Windows 8 desktop operációs rendszer azon új képességeit veszi számba, amelyek nem a felhasználói felülettel kapcsolatosak, illetve használatukhoz nem szükséges érintőképernyő. Az előző bejegyzésben tisztáztuk a a legfontosabb igényeket és szegmentáltuk a felhasználókat. Emellett sorra vettük a Windows 8 válaszidejét javító és a felhasználói kényelmet szolgáló funkcióit. A következőkben a megbízhatóság, és a biztonság kerül terítékre.

A megbízhatóságot segítő új funkciók

imageKezdjük az egyik legtöbbet rakoncátlankodó alrendszerrel, a grafikus kártyákkal. Ha nem is gyakori, de széles körben ismert stabilitási probléma a grafikus alrendszerben, hogy néha a rendszer teljes lefagyottnak tűnik, miközben a felhasználó utasításait próbálja végrehajtani. A felhasználók általában várnak néhány másodpercet, aztán újraindítják az operációs rendszert a bekapcsológomb segítségével. A jelenség mögött általában a grafikai processzor (GPU) áll, pontosabban nem áll, hanem nagyon is elfoglalt egy grafikus-intenzív utasítás végrehajtásával. Mivel azonban tényleges képernyő-elem frissítés nem történik, a felhasználók azt gondolják, hogy a rendszer lefagyott. Mind a Windows Vista, mind pedig a Windows 7 megkísérli detektálni ezeket a szituációkat, majd dinamikusan helyreállítani a desktop válaszképességét. A rendszer nem indul újra, de a legtöbb esetben villog, miközben a grafikai elemek újrarajzolódnak. Néha azonban előfordul – különösen régebbi DirectX alkalmazásoknál, hogy a rendszer egy fekete képernyőt "rajzol fel" a helyreállítás végén, és a felhasználónak mégis csak újra kell indítania a gépet. Ezeket a GPU lefagyásokat és azok detektálását TDR-nek hívják (Timeout Detection and Recovery)

A Windows 8-ban jelentősen javítottak a TDR felismerési algoritmuson, továbbá nem a teljes adapternek, csupán a GPU Engine-nek kell újraindulnia. A Windows 8-ban található új WDDM fejlesztésekről egy teljes dokumentum áll rendelkezésre az érdeklődők – és főleg fejlesztők számára. A felhasználók mindebből persze csak annyit vesznek észre, hogy hiba esetén nem indul újra, illetve nem kell újraindítaniuk a rendszert. Kapnak egy értesítést a tálcán és a munka megy tovább.

Ahogy átalakult, illetve továbbfejlődött a Windows Display Driver modell, úgy megújult a Windows 8 nyomtatási eszközmeghajtó architektúrája is. A Windows 2000 óta a v3 generációs modellt használtuk, a Windows 8-cal és a Windows Server 2012-vel itt a v4 architektúra. Az új architektúrát leginkább az üzemeltetők fogják áldani – erről majd a maga helyén – de a felhasználók is profitálhatnak belőle. Mód van ugyanis az alkalmazásokat izolálni a nyomtató meghajtóktól. Ha a nyomtató driver valamilyen oknál fogva elhasal, akkor az nem fogja magával rántani az alkalmazást. (Tegyük hozzá: nem minden nyomtató meghajtó és nem minden alkalmazás esetén működik a dolog, lásd a korábbi linket.)

Az NTFS fájlrendszeren is sokat csiszolt a Microsoft, hogy még megbízhatóbb legyen. A fájlrendszer ma is rendelkezik automatikus hibadetektáló és önjavító mechanizmusokkal. A Windows 8-ban ezt az algoritmust továbbfejlesztették. A korábbihoz képest több hibát képes detektálni, és több hibát képes online, vagyis a kötet lekapcsolása nélkül megjavítani. Ha nem tud valamit megjavítani, akkor legalább képes online elemezni a hibát, így a javítás sebessége nem a kötet méretétől, hanem a hibák számától függ. A felhasználó mindebből annyit érzékel, hogy kevesebbszer jelentkezik a rendszerindításkor a chkdsk segédprogram, ha mégis, akkor annak futása legfeljebb 1-2 másodperc lesz, végső soron pedig a rendszere és az adatai nagyobb biztonságban vannak, mint lennének bármely korábbi Windows operációs rendszeren. Megjegyzem, az NFTS Self-healing, Online Analysis és Corruption Correction funkciói a rendszerüzemeltetőknek is hasznosak, hiszen kevesebb merevlemez/SDD disk meghibásodást, kevesebb adatvesztést, kevesebb incident jelenthetnek.

A megbízhatóság témakörében végezetül emítsük meg, hogy a Windows 8-ban debütál a "File History" szolgáltatás. A megoldás tulajdonképpen egy "csináld magadnak" mentési megoldás. Ki kell jelölnie a felhasználónak egy külső meghajtót, és attól kezdve a saját állományait biztonságban tudhatja. Egy részletes leírása a képességnek a hivatalos Windows 8 blogon található. A "File History" nem váltja le a backup szoftvert (az továbbra is elérhető), viszont kifejezetten a felhasználói igények szerint készült: állítsd be, felejtsd el. Ha szükséged van korábbi fájlokra, akkor a Windows Intézőben a "History" gomb segítségével elővarázsolhatod őket. A funkció igazi "Consumerization of IT" képesség. Míg az IT mappaátirányítással gondoskodik a felhasználó vállalati adatainak biztonságáról, a saját állományokat az informatika nem kezeli. De nem is kell, ha a felhasználó kezében ott az operációs rendszerbe beépített megoldás.

A biztonság kedvéért…

A Windows 8 rengeteg biztonsági technológiai újdonságot hordoz még a Windows 7-hez képest is, ám ezek egy része csak új, kifejezetten a Windows 8-hoz tervezett hardverek esetén használhatók. Ebben a cikksorozatban viszont a meglévő hardverekre koncentrálunk, ezért azokat a képességeket emelem ki, amelyek a korábbi Windowsokhoz tervezett hardveren is működőképesek.

Mindenek előtt említsük meg, hogy a Microsoft egyik saját, belső, vállalati iniciatívája a Trustworty Computing (TwC), valamint annak egyenes folyománya a "Secure Development Lifecycle (SDL)" immáron több, mint 10 éves. Mind a TwC, mind pedig az SDL alapvetően átalakította a Microsoft szoftverfejlesztési kultúráját. A cikkünk szempontjából ez jól látható az operációs rendszerekben található sérülékenységek statisztikájában (amely statisztika a Windows 8-at még nem tartalmazza természetesen). A biztonságos és sérülékenység-mentes szoftver végső soron nem is csak bizonyos technológiai megoldások alkalmazását jelenti, sokkal inkább a biztonsági eseményekkel kapcsolatos tapasztalatok visszacsatolását a fejlesztési folyamatokba. Az eredmény már igen jelentős volt a Windows 7 idején is, a Windows 8-tól még jobb teljesítmény várható.

Ha már biztonság, akkor a védekezés a kártékony kódokkal szemben mindenképp előkerül. A Windows 8 az első olyan Windows operációs rendszer, amely beépített, teljes értékű, le nem járó antimalware szoftvert tartalmaz. Windows Defender a neve. Használata természetesen nem kötelező, tetszés szerint lecserélhető más gyártó megoldására, viszont akik ezzel nem akarnak vagy nem tudnak bíbelődni, azok számára elérhető a rendszer első bekapcsolásától. Érdemes tudni, hogy a Microsoft telemetriai mérései szerint a megvásárolt PC-k szinte mindegyikén van antimalware megoldás, ám ezek többnyire legfeljebb 30, 45, 90 stb. napig használhatók ingyenesen, utána vírusvédelmi előfizetést kell vásárolnia a felhasználóknak. Ezt pedig a többség nem teszi meg, vagyis kockázatnak teszi ki a saját rendszerét és adatait, továbbá az így sérülékennyé vált rendszer kiváló célpontja a botneteknek. A Windows 8 Defender új verziója ezt a problémát igyekszik orvosolni. Ez persze nem jelent egy nagyvállalati megoldást, de otthonra vagy SOHO környezetben tökéletes munkát tud végezni.

A Windows Vistában jelent meg először az Address Space Layout Randomization (ASLR) funkció, amely a Windows 8-ban további képességekkel bővült (High Entropy Address Space Layout Randomization (HEASLR), ForceASLR stb.). Ezek a fejlesztések minden Windows alkalmazás, de

különösen az Internet Explorer 10 számára újabb védelmet jelentenek. Az IE 10 tartalmazza mindazon biztonsági funkciókat, amelyet az Internet Explorer 9 (SmartScreen, XSS filtering, Application Reputation, InPrivate Browsing, követésvédelem, lefagyás-érzékelés és helyreállítás). Néhány képesség megújult, az "Enhanced Protected Mode" például jobb weboldal izolációt biztosít, a követésvédelem pedig alapértelmezetten bekapcsolt.

Magától értetődően a Windows kernel is kapott jónéhány új védelmi mechanizmust. Ezeket korábban csak a felhasználói módban futó alkalmazásoknál lehetett bevetni. A Windows 8-ban például a felhasználói módban futó processzek nem allokálhatják a processz memória alsó 64K részét, amivel egy egész sor kernel módú NULL deference sérülékenység kihasználását meg lehet akadályozni. Integritás ellenőrzést kapott a kernel pool memória allokátor, hogy a kernel pool tönkretételére törekvő támadásokat gátolhassa a rendszer.

A IE 10, egyúttal a Windows 8-ban az egyik leginkább feltűnő biztonsági újdonság a SmartScreen technológia továbbfejlesztése és kiterjesztése a teljes operációs rendszerre. A SmartScreen egy anti-malware-t kiegészítő funkciónak kell tekinteni. A Microsoft URL és

alkalmazás reputációs szolgáltatására épül és jelzi a felhasználónak, ha gyanús helyről gyanús tartalmat töltene le. A szolgáltatás elérhető volt az IE9-cel a Windows 7-en is, de a Windows 8-ban böngészőtől függetlenül a teljes operációs rendszerre kiterjed a védelem. A Smartscreen-nel hatékonyan lehet védekezni olyan kártékony kódokkal szemben, amelyekhez még nem érhető le szignatúra, továbbá szűkíthető vele az adathalászok mozgástere is. A Microsoft úgy becsli, hogy egy átlagos felhasználó évente kb. kétszer találkozik majd a SmartScreen figyelmeztetéssel, s akkor a rendszernek jó oka lesz a figyelmeztetést megtenni.

A fenti biztonsággal kapcsolatos fejlesztésekből minden felhasználó hasznot húz majd. Néhány további azonban kifejezetten a rendszerüzemeltetőket érdekelheti. Itt van mindjárt az Internet Explorer 10. Már említettük a teljes ASLR támogatás és a SmartScreent. Az üzemeltetőknek viszont az fog leginkább tetszeni, hogy várhatóan jóval kevesebb javítás érkezik majd ehhez a verzióhoz. Miből gondolom ezt? Nos, a Microsoft saját statisztikái szerint az elmúlt két évben felfedezett IE sérülékenységek 75%-a ún. Use-after-free, vagyis olyan helyzetnek a kihasználása, amikor egy objektumhoz tartozó memóriát felszabadít az alkalmazás, majd újra felhasználja. A Windows 8-ban olyan védelmi mechanizmusokat implementáltak, amelyek megakadályozzák, hogy a támadók hozzáférjenek a virtuális funkció táblákhoz, ezáltal a use-after-free sérülékenységeket kihasználhassák.

Az IE10 – mindkét felületen – beépített Flash Player modult kapott. Ennek az üzemeltetők nagyon örülnek majd. Nem kell külön Adobe Flash Player–eket telepíteni, de ami még ennél is fontosabb, nem kell azok egyedi biztonsági frissítéséről gondoskodni. A beépített Shockwave Flash Object ugyanis a Windows/Microsoft Update-ről frissül, ha biztonsági rést találnának benne. Ráadásul ez a komponens teljes egészében használja a IE10 minden biztonsági képességét, legfőképp az ASLR. (Ugye, a múltban ismert olyan 0. napi támadás, amely arra épített, hogy az Adobe Flash Player nem használ ASLR-t.) Az már csak hab a tortán, hogy kifejezetten táblagépekhez optimalizálták, tehát nagyn takarékoskodik a CPU ciklusokkal.

Az IE 10-nél nem szabad elfelejteni, hogy továbbra is a legjobban felügyelhető vállalati böngésző, ezer feletti csoportházirend beállítással. Mi köze ennek a biztonsághoz? A csoportházirendek segítségével bármely funkciója tiltható a böngészőnek. Ha egy támadás egy adott funkció kihasználására irányul, akkor a funkció kikapcsolásával a támadást is azonnal meg lehet akadályozni, még azelőtt, hogy a javítás megérkezne az alkalmazáshoz. Ahogy az Ars Technica cikk is írja, a Windows 8 és az IE10 sokkal-sokkal magasabbra teszi lécet, mint korábban bármikor, rendkívül megnehezítve a támadók dolgát.

Nagyon szívesen írnék a Windows 8 SecureBoot képességeiről, mivel azonban ez a funkció BIOS helyett UEFI-t igényel, olyan desktop gép pedig még csak elvétve akad, ezért a cikksorozat elején leírtak alapján, ezt a funkciót nem elemzem. (Pedig érintőképernyőtől független funkció, nem igaz?)

Végezetül a rendszerüzemeltetőket érdeklő biztonsági képességeket jobbára vállalati/intézményi környezetben lehet használni. Keveseb által ismert képesség az Applocker. Ennek segítségével szabályozható, hogy milyen alkalmazásokat futtathatnak a felhasználók a gépeiken. A Windows 8-cal érkező verzió újdonsága a Windows 8 stílusú alkalmazások kezelése, felismerése, blokkolása. Ha mi egy olyan környezetet üzemeltetünk, ahol nem engedélyezett a Window 8 stílusú alkalmazások használata, akkor azt Applockerrel tudjuk tiltani. Többnyire persze nem erre, hanem esetleges kémprogramok, vagy egyéb nem kívánt alkalmazások tiltását lehet elvégezni vele – igaz erre már a Windows 7 Enterpise is képes volt.

Összegzés: érintőképerőny ide vagy oda, nem kérdéses, hogy a Windows 8 minden téren megbízhatóbb és biztonságosabb számítógép használatot nyújt, mint elődei. A vállalati PC-k fele még mindig Windows XP-t futtat. Pedig ha nagyvállalati ügyféllel találkozom, szinte mindig szóba kerül a biztonság. Vajon, ha a biztonság technológiai részét tekintjük, nem épp a desktoppal kellene kezdeni? Én azt javaslom, érdemes tesztelni a Windows 8-at ebből a szempontból is. Megállja a helyét!



Igények

Desktop felhasználók

Notebook felhasználók

IT Szakemberek

Rendszerüzemeltetők

Megbízhatóság

  • Grafikus adapternél továbbfejlesztett GPU hibatűrés
  • Nyomtatásvezérlésnél printer architecture v4
  • NTFS Self-healing
  • File History
  • Minden, amit a desktop felhasználónál felsoroltunk
  • Minden, amit a desktop felhasználónál felsoroltunk.
  • NTFS Corruption Correction
  • NTFS Self-healing

Biztonság

  • Beépített teljes értékű antimalware
  • Továbbfejlesztett ASLR
  • IE10;
  • SmartScreen
  • Minden, amit a desktop felhasználónál felsoroltunk
  • Minden, amit a desktop felhasználónál felsoroltunk
  • IE10;
  • Továbbfejlesztett Applocker;

Folytatom…

XP-ről Windows 7-re. Miért is?

Már nem is egészen mostanában egy kolléga arra kért, hogy pár összeszedett gondolatot írjak, milyen kockázattal jár egy nagyobb informatikai szervezet számára a Windows XP-n való maradás, illetve milyen előnyöket jelenthet a Windows 7 bevezetése. Az írás elkészült, el is feledtem, aztán ma valahogy rátaláltam. Anonimizáltam, kissé felfrissítettem és gondoltam megosztom. Elsősorban nagyobb informatikai szervezeteket tartottam szem előtt, kisebb környezetekben vagy otthoni felhasználóknál az érvek egy része nem, vagy csak nehezen értelmezhető. Az érvrendszer tehát nem teljes körű. de ha valaki épp döntés előkészítő tanulmányt ír, hasznos lehet a számára.

A Windows XP-n maradás hátrányai, kockázatai:

Támogatás

  • A Windows XP egy, a kilencvenes évek végén tervezett, 2001-ben kiadott operációs rendszer. A kiterjesztett támogatása eredetileg 2011-ig szólt volna, amelyet a Microsoft meghosszabbított 2014-ig. Jelenleg a Windows XP ún. meghosszabbított támgatási periódusban van. Ez azt jelenti, hogy további funkciók fejlesztése nem várható, visszaportolás (egy új OS képesség visszamenőleges biztosítása a régi operációs rendszereken) pedig nem történik. A meghosszabbított támogatási időszakban felbukkanó tervezési hibákat (design bug), ingyenesen nem, csak egyedi árazás mellett javítja. Bár ez nem tűnhet komoly problémának, magyarországi viszonylatban is előfordult ilyen eset. Javítócsomagot a Microsoft nem jelentet meg, kizárólag biztonsági frissítéseket adunk ki a támogatási periódus végéig.
  • Az OEM Windows XP-k árusítása befejeződött, a hardver gyártók ma már csak Windows 7-tel árusítanak PC-ket. A Windows XP eszköz ellátottsága szűkül, a meglévő hardverekhez az eszközkezelő fejlesztés leállt, az új PC-khez a Windows XP eszközkezelők fejlesztése másodlagossá vált, vagy nem is történik meg.
  • Várható, hogy hamarosan megjelennek olyan alkalmazások, amelyek kihasználják a Windows 7 által nyújtott alkalmazás-fejlesztési környezetet, de épp emiatt, már nem lesznek futtathatók Windows XP-n. (Most mást ne említsek, ilyen alkalmazás az Internet Explorer 9 is!). A Windows XP-n maradás egyik veszélye, hogy nem lehet majd egy adott feladathoz, funkcióhoz a szoftvert rendszert választani, mert a szabványok a Windows XP-hez kötik a szervezetet.

Biztonság

  • A Windows XP tervezése jóval a Trustworthy Computing kezdeményezés előtt történt, az eredeti termék tervezése és fejlesztése során pedig még nem alkalmazták a Secure Development Lifecycle (SDL) módszertant. Emiatt a mai napig több sérülékenységet fedeznek fel a rendszerben, mint a későbbi operációs rendszerekben. Az SDL-nek köszönhetően ugyanakkor elvétve akad olyan sérülékenység, amely a Windows XP-ben nem, csak a Windows Vistában vagy Windows 7-ben található. Mindennek következtében a Windows XP naprakészen tartása és biztonságos üzemeltetése több erőfeszítést igényel, mint az újabb operációs rendszereké.
  • A beépített biztonsági eszközeit tekintve a Windows XP ma már nem tekinthető korszerűnek. Beépített kétirányú tűzfala például nincs, ezt csak harmadik gyártótól lehet fizetés ellenében beszerezni. Számos kernel szintű védelmi lehetőség ( Address space Layout randomization, service hardening stb.)* nem található meg benne, és nem is pótolható.
  • Egy Windows XP feleslegesen tartalmazhat olyan kódot a merevlemezen, amelyek nagy szervezetek nem használnak. Ilyen például a Windows Messenger (a Live Messenger elődje) vagy az Outlook Express, amely helyett többnyire a vállalati célra szánt Microsoft Office Outlook az elterjedt. Ezek a kódok szükségtelen addicionális karbantartást igényelnek.

Funkcionalitás

  • A Windows XP-ből számos funkció hiányzik, amelyek szükségesek lehetnek egy nagy szervezet rendszerének üzemeltetésekor, és csak harmadik gyártó megoldásával pótolhatók. Ilyen a merevlemez titkosítás, amely az elveszett vagy eltulajdonított mobil számítógépek adatvédelmét biztosítja.
  • A Windows XP számos olyan kiegészítő alkalmazást tartalmaz, amelyek nem eléggé funkció-gazdagok, ezért gyakran ingyenes vagy fizetős változattal pótolják (Merevlemez töredezettség-mentesítő, számológép, wifi- segédprogramok). Ezek az addicionális alkalmazások szükségtelenül drágítják az alap-image elkészítését és karbantartását, valamint az üzemelő rendszerek naprakészen tartását.
  • A Windows XP lemezképek függnek az ún. Hardware Abstraction Layer-től (HAL), ezért minden eltérő HAL-t igénylő rendszerhez külön-külön kell elkészíteni a szervezet által támogatható lemezképet. Többezres PC parknál – és itt ez a helyzet – ez jelentős többletköltséget eredményez.

Logisztika

  • A magyar informatikai szervezetek Infrastruktúra érettségi szintje desktop management területén többnyire „Basic”. Ez azt jelenti, hogy invesztíció nélkül a Windows 7 migrációt MA elkezdve valószínűsíthető, hogy körülbelül a XP támogatás lejáratának idejére lehetne a feladatot befejezni. A migráció halasztásával előfordulhat, hogy a teljes támogatás elvesztése után is még jelentős számú Windows XP működne a rendszerben. Ez a korábbi generációs Windowsokhoz képes azért nagy probléma, mert az elmúlt évtizedben mind a hálózatos, mind pedig a hálózatot nem használó malware támadások száma megsokszorozódott, így az esetleges védekezési költségek (proaktív illetve reaktív) is megnőttek.

A Windows 7 használatának előnyei:

Támogatás

  • A Windows  jelenleg az aktív támogatási periódusában van, de már közel két éve a piacon lévő operációs rendszer, világszinten a második legjelentősebb operációs rendszer.
  • A Windows 7 a leggyorsabban növekvő részesedésű rendszer, lényegében minden OEM gyártó kizárólag ilyen rendszerű PC-ket gyárt
  • A Windows 7 elfogadottsága magas, a bevezetési tapasztalatok rendkívül jók.

Biztonság

  • A Windows 7 teljes egészében a SDL fejlesztési elvek mellett tervezték és készítették, ezért minden szempontból a legbiztonságosabb operációs rendszernek mondható. Szignifikánsabb kevesebb javítás érkezett hozzá, mint a Windows XP-hez azonos életciklus-szakaszban.
  • A Windows 7-ben a legkorszerűbb szoftver-védelmi mechanizmusok is megtalálhatók (ASLR, DEP, service hardening)
  • A Windows 7 a ma ismert összes online és offline támadási módra tartalmaz védelmi eszközt. Beépített merevlemez-titkosítása van, kétirányú, házirendből szabályozható tűzfala van, beépített malware- védelmet kapott.

Funkcionalitás

  • A Windows 7 kernel fejlesztéseinek köszönhetően 20-25%-kal kevesebbet energiát használ fel az alatta futó PC, mint az történne a Windows XP esetén. Egy magyar pénzintézetben (2200 desktop) előzetes számításokat végeztek a várható megtakarításokat illetően, és azt találták, hogy a teljes átállás projektköltségét egy évi energia-megtakarítás már fedezi, a következő években pedig – pusztán ezzel a kimutatható költséggel – már nyereségbe fordul a beruházás.
  • A Windows  számos hatékonyságot növelő eszközt tartalmaz, amelyet nem kell külön beszerezni. Ilyen például a „Problem Step Recorder”, amellyel a felhasználók egyszerűen képesek hibabejelentést készíteni.
  • A Windows 7 számos olyan kernerfejlesztést tartalmaz, amely miatt alkalmasabb Virtuális Desktop környezetben való használatra. Optimalizálták az IO műveleteket így azonos storage-on több virtuális gépet futtathatunk.
  • A Windows 7 hardver-agnosztikus rendszer-lemezképet tartalmaz. Segítségével akár egyetlen lemezképpel le lehet fedni a legnagyobb informatikai hálózatokat is. A lemezképek utólag, offline is módosíthatók, betartva a biztonsági előírásokat. A lemezképeknek nem kell tartalmaznia eszközmeghajtókat, azokat a rendszer képes telepítés közben online forrásból letölteni. Mindemiatt Windows 7-tel sokkal könnyebb az ITIL fogalmai szerint ún. támogatható konfigurációt (supported configuration) készíteni és fenntartani.
  • A Windows 7 hatékonyabban képes dolgozni távoli, kis sávszélességű vonalakon, mint azt a Windows XP tesz. Ez köszönhető egyrészt az új SMB 2.0-ás, optimalizált hálózati protokollnak, továbbá a Windows 7 beépített cache funkcióinak. Mindez lehetővé teszi, hogy bérelt vonalak bővítését lehessen elhalasztani vagy elhagyni, illetve ugyanazt az infrastruktúrát kevesebb szerverrel üzemeltetni.
  • A Windows 7 Enterprise és Ultimate változatai rendelkeznek DirectAccess képességgel. Ez lehetővé teszi, hogy a tartományi tag Windows 7 állandó jelleggel kapcsolatot tartson a vállalati rendszerrel. A módszer nem csak a VPN szoftverek szükségességét eliminálja nagy részben, hanem jó felügyeletet biztosít a belső IT berkeket elhagyó gépek számára, amelye állandóan képesek frissíteni antimalware adatbázisaikat, letölthetik a biztonsági frissítéseket stb..

Uppsz! Az eredeti szövegben az szerepelt, hogy a Windows XP nem tartalmaz Data Execution Prevention-t. (DEP). Ez nem pontos. Az RTM termék valóban nem, de az SP2 óta ez a képesség a rendszer része. Mivel a mai gépek túlnyomó része SP3-on fut, ezért a DEP hiánya nem állja meg a helyét.

Windows Thin PC – a nagyvállalati vékonykliens OS

A június 7-é RTM-mé vált és július 1-től elérhető Windows Thin PC sokak figyelmét és fantáziáját felkeltette, olyannyira, hogy számos tévhit is kering már róla. Ezek közül néhány hozzám is eljutott, s azt hiszem, egy blog bejegyzést megér tisztázni, mi is ez a fura figura. Tehát a meghatározás:

A Windows Thin PC (WinTPC) egy Windows 7 Embedded alapú operációs rendszer, nagyvállalati felügyeleti képességekkel kiegészítve.  Csak érvényes nagyvállalati szerződés esetén használható, kizárólag vékonykliens operációs rendszerként.

A cikk további részében ezt a meghatározást próbálom kifejteni.

Windows 7 Embedded alapú operációs rendszer

A Microsoft 2006-ban jelentette meg a “Windows Fundamentals for Legacy PC (WinFLP)” fantázia nevű operációs rendszerét, mely felhasználási célját nézve a WinTPC elődjének tekinthető. A WinFLP alapja egy Windows XP Embedded, annak minden előnyével és hátrányával együtt. A Windows 7 Embedded – ahogy a nevéből is látható – egy Windows 7 kernellel rendelkező OS, amelyet a gyártó elsősorban célrendszerek számára fejlesztett. Windows 7 Embedded futhat egy ATM terminálban, egy reptéri check-in terminálban és még sok más célrendszerben. Jellemzője, hogy a komponensei tetszőleges módon variálhatók, az OEM gyártó beleteheti vagy kiveheti azokat a lemezképből. A Windows TPC-t úgy kell elképzelni, mintha egy OEM gyártó már előállított volna a komponensekből egy alap-lemezképet, ennek mérete tehát nem változtatható (2 GB körülbelül, tehát jóval kisebb, mint egy teljes Windows 7). A relatív kis méret miatt kényelmesen elindítható egy USB kulcsról vagy SD kártyáról. A WinTPC képességei között találunk “Write Filter”-t, amely megakadályozza, hogy a rendszerre bármit írjunk – pontosabban újraindítás után mindig egy alapállapotot vesz fel és minden mást elfelejt. E két képesség már egészen firmware szerű kezelést tesz lehetővé. De ez még nem elég az üdvösséghez.

Nagyvállalati felügyeleti képességekkel

Az eredeti Windows 7 Embedded lemezképet az OEM gyártó állítja elő – más ezt nem teheti meg. A Windows Thin PC-nél a végső  – WIM alapú – lemezkép kialakítása a rendszerüzemeltetők feladata. Ez nem csak feladat, de lehetőség is: a lemezképben a szokásos meghajtókon túl az IT a bevett rendszerfelügyeleti ügynökeit is belevarrhatja. Egy gyári vékonyklienshez többnyire a gyártó adja (vagy tukmálja) a rendszerfelügyeleti ügynököt. Vajmi kevés esély van rá, hogy Zenworks-szel, LanDesk-kel vagy más (például SCCM) klienssel együtt kapjuk az eszközöket. A WinTPC-nél ellenben szabad kezet kapunk: olyan felügyeleti eszközt teszünk fel, amilyet csak szeretnénk. Emellett élvezhetjük mindazt, amit egy Windows 7 tud: tartománytagság, csoportházirend alapú szabályozás, IPv6 képességek, IPSec és Bitlocker használat. A tartománytagságot és a csoportházirendek alkalmazhatóságának fontosságát nem tudom eléggé hangsúlyozni. De éppúgy kritikus lehet a DirectAccess, az Applocker, a WSUS, a Windows Deployment Service (WDS)  bevethetősége vagy a már meglévő Windows 7 driver store, nem is beszélve a tömeges aktiválás (KMS, MAK) használatának lehetőségéről.

A Windows Thin PC rendszer létrehozásának egyik célja éppen ez volt: egy szerkezetében és működésében beágyazott rendszer képességeket mutató OS, amelynek felügyelhetősége semmivel sem marad el egy PC-s rendszer mögött.

Érvényes nagyvállalati szerződés

A Windows Thin PC nem kapható OEM csatornán – vagyis nem vásárolható meg egy vékonykliens hardverrel együtt (nem is kell, arra ott a Windows 7 Embedded). De nem kapható “boltban”, dobozos formában sem. Akkor juthat hozzá valaki, ha az alábbi licencek egyikével rendelkezik:

Ezeknek a licenceknek jellemzője, hogy desktopokra (PC-kre, notebookokra) érvényes, méghozzá abban az esetben, ha ezeket a rendszereket megfelelő operációs rendszerrel vásárolták (Valamilyen üzleti Windows változattal). Egyéb megkötés nincs, vagyis bármely vállalati licenc modellben (Open, Open Value, Select, Enterprise Agreement (EA), Enterprise Agreement Subscription (EAS), Campus and Schools Agreement (CASA).) elérhető.

A Windows Thin PC egy SA előny. Akkor telepíthető, ha egy desktop a fenti licencek keretében rendelkezik SA-val és addig használható, amíg az SA érvényes. A szerződés lejártával a használat joga is lejár.

Vékonykliens operációs rendszer

Nem csak a hozzáférés módja, de a felhasználása is erőteljesen korlátozott. A létrehozott rendszeren futtathatók:

  • Biztonsági alkalmazások (pl. antivírus, harmadik gyártó tűzfala stb.)
  • Rendszerfelügyeleti alkalmazások
  • Terminal emulációs szoftverek (mainframe, Unix stb. rendszerekhez)
  • Remote Desktop és hasonló technológiák (ICA, PC over IP stb.)
  • Böngészők (nem csak Internet Explorer)
  • Média lejátszók
  • Azonnali üzenetküldő alkalmazások (Windows Live Messenger, Skype stb.)
  • Dokumentum nézegetők (Word Viewer, Adobe Reader stb.)
  • A fentiek futtatásához esetlegesen szükséges .NET Framework vagy Java Virtual Machine

Egyéb alkalmazások viszont nem! Licenc megkötések miatt nem futtatható helyben Microsoft Office vagy egyéb Office csomag, LOB alkalmazások, kliens-szerver alkalmazások stb. A Windows Thin PC feladata, hogy egy meglévő desktopból vékonyklienst varázsoljon. Egy vékonykliensen viszont nincsenek “helyi alkalmazások”. Egy ilyen környezet üzembe állításakor különösen hól jöhet az AppLocker, ami még véletlenül sem engedi a helyi alkalmazások futtatását.

Megint csak látni kell: a WinTPC a nagyvállalati “csináld magad” vékonykliens operációs rendszer. A Windows 7 alapoknak köszönhetően működik rajta a RemoteFX, a DirectAccess és a Bitlocker is, de a gyártó nem engedi, hogy más célra is használjuk: nem általános célú operációs rendszer, nem a Win 7 egy kikönnyített változata.

A létezése a cáfolat

A vékonykliens alapú rendszerek (Citrix, RD, VDI) kialakításánál az egyik fontos érvként gyakran elhangzik, hogy a vékonykliensek nem igényelnek felügyeletet – állapot nélküli gépek, s éppen ez az ilyen megoldások legnagyobb előnye. Az igazság az, hogy ilyet csak az állít, aki sohasem üzemeltetett vékonyklienseket, vagy tudatosan szeretne megtéveszteni másokat. A vékonykliensek felügyelete egyáltalán nem elhanyagolható dolog. Olyannyira nem, hogy a vékonykliens gyártók a saját rendszerfelügyeleti eszközeiket megkülönböztető képességként tűntetik fel. A Win TPC létezése maga a cáfolat arra, hogy vékonyklienseknél nincs szükség felügyeletre. Dehogy nincs! Az állapot nélküli gép egyáltalán nem jelenti azt, hogy konfiguráció nélküli gép, még kevésbé, hogy sohasem változó gép. A konfiguráció kialakítására, változtatására és követésére pedig rendszerfelügyeleti eszközökre van szükségünk. Itt pedig a Win TPC nagyon vonzó képességekkel rendelkezik.

SCCM és a WebDAV probléma

A minap SCCM ügynököket szerettem volna kiszórni néhány gépre, de csodálkozva láttam, hogy a telepítés nem sikerül. Leellenőriztem minden feltételt, amely a kliensek telepítéséhez szükséges – elvileg semmi semi hiányzott. Végül a célgépek C:\Windows\CCMSetup mappa ccmsetup.log-jában nyomra akadtam: “<![LOG[Failed to correctly receive a WEBDAV HTTP request.]LOG]!>”.

Az SCCM működéséhez szükség van IIS-re, továbbá az IIS-hez le kell tölteni  a WebDAV-ot a Microsoft download oldaláról. A letöltés után, de még az SCCM telepítés előtt konfigurálni kell ezen oldalon leírtak alapján. Én ezt meg is tettem, ám valahogy ez a beállítás “elállítódott”. Amikor az IIS konzolon meg szerettem volna nyitni a WebDAV részt, ilyen üzenet fogadott.

image

Jó volna tudni, hogy miért, mert a hivatkozott sorban korántsem volt dupla bejegyzés, de még a <clear  /> sor beírása sem segített rajtam. Viszont a helyes sorrendű komponens újrarakás megoldotta a helyzetet. Vagyis:

  1. Eltávolítottam az SCCM konzollal a Management Point Site System-et.- ez használja a WebDAV-ot.
  2. A Server Manager “Remove Role Service” funkciójával kikapcsoltam a WebDAV-ot. Kaptam egy felhívást a rendszer újraindítására.
  3. Újraindítás.
  4. WebDAV újbóli felrakása (Add Role Service) WebDAV beállítások ellenőrzése – érdekes módon minden beállítás, ami az SCCM-hez kellett, megvolt.
  5. SCCM Managment Point hozzáadása a Site System szerepkörökhöz.
  6. Ennyi – az SCCM ügynökök már kúsztak is fel a gépekre.