Rövid levél a 10 éves Windows XP-től

Kedves Felhasználóm!

Köszönöm, hogy gondoltál rám a 10. születésnapomon. A Windows-ok a leghosszabb életű szoftverek, de még így is 12-szer gyorsabban öregednek mint az emberek. Így aztán emberi léptékkel 120 éves vagyok*, ami igazán matuzsálemi kor. Bár próbáltam lépést tartani a korral – három ráncfelvarró műtéten is átestem – egy idő óta már nem hozom a régi formám. Születésemkor bátran indultam a legszebb és legkényelmesebb felhasználói felület címért,  de ma már elhalványult a csillogásom az Aero mellett,  és nem versenyezhetek olyan trükkök, mint ablak-eltüntetés, a egér-rázás, és az egymás mellé rendezés. Irigykedem az utódaimra tálcára tűzés és főleg a Windows könyvtárak miatt.

Bárcsak nekem is olyan egyszerű lenne a hálózatok kezelése, vagy az otthoni gépek közötti állománymegosztás, mint az utódaimnak. Erőlködöm, hogy hasonlót nyújtsak, mint az integrált keresés,  a könnyű eszközhasználat, vagy a Media Center, de nem érhetem utol az utánam következő generációkat. Nem tudom DLNA-val átjátszani a nyaraláskor felvett kedvenc videóidat az új és korszerű tévédre, és a média táradat is az otthonodba zárom, nem úgy mint az unokám.

Ha egy vállalatnál üzemeltetsz engem, nem dicsekedhetem a merevlemezem mindenre kiterjedő védelmével. És bevallom, értetlenkedni szoktam, amikor kívülről kell a vállalati hálózatra csatlakoznom. Bezzeg a kis unokám!

Az Internet legújabb és legbiztonságosabb szörfmesterét már nem fogadhatom, és fájdalom, a legújabb Windows Live Essentials sem indul rajtam. Valamikor a leg notebook-barátabb operációs rendszer voltam, de ma már rám vernek néhány kört az utódaim. Fázós vagyok, processzorral (és árammal) fűtöm magam. Ha pedig elalszom, nem ébredek fel olyan könnyen.

Köszönöm, hogy ha az elején nem is annyira, de később mégis igen megkedveltél. Ha kérhetek születésnapi ajándékot, akkor azt kérem, hogy telepítsd a büszke és erős az unokámat. Küldj engem végleg nyugdíjba (te sem szívesen dogoznál már 120 éves korodban). De tudod mit? Ha nagyon akarod, akkor megőrizhetsz engem, és ha nagyon kellek, néha még bedolgozhatok a nyugdíj mellett.

És persze bármikor elindíthatsz, ha a kétezres évek informatikájáról nosztalgiázol.

Üdvözlettel:

A Windows XP Kacsintó arc

 

 

 

 

 

 

 

 

 

 

 

———————

* Rendes körülmények között 5 évesen (60 évesen) nyugdíjaztak volna, de én három ráncfelvarrás után a gyártóm kérésére nem 5, hanem 8,5, vagyis 102 emberi évet töltöttem el aktív munkával. 13 (156 emberi) éves koromig jár még nekem a nyugellátás.

Advertisements

XP-ről Windows 7-re. Miért is?

Már nem is egészen mostanában egy kolléga arra kért, hogy pár összeszedett gondolatot írjak, milyen kockázattal jár egy nagyobb informatikai szervezet számára a Windows XP-n való maradás, illetve milyen előnyöket jelenthet a Windows 7 bevezetése. Az írás elkészült, el is feledtem, aztán ma valahogy rátaláltam. Anonimizáltam, kissé felfrissítettem és gondoltam megosztom. Elsősorban nagyobb informatikai szervezeteket tartottam szem előtt, kisebb környezetekben vagy otthoni felhasználóknál az érvek egy része nem, vagy csak nehezen értelmezhető. Az érvrendszer tehát nem teljes körű. de ha valaki épp döntés előkészítő tanulmányt ír, hasznos lehet a számára.

A Windows XP-n maradás hátrányai, kockázatai:

Támogatás

  • A Windows XP egy, a kilencvenes évek végén tervezett, 2001-ben kiadott operációs rendszer. A kiterjesztett támogatása eredetileg 2011-ig szólt volna, amelyet a Microsoft meghosszabbított 2014-ig. Jelenleg a Windows XP ún. meghosszabbított támgatási periódusban van. Ez azt jelenti, hogy további funkciók fejlesztése nem várható, visszaportolás (egy új OS képesség visszamenőleges biztosítása a régi operációs rendszereken) pedig nem történik. A meghosszabbított támogatási időszakban felbukkanó tervezési hibákat (design bug), ingyenesen nem, csak egyedi árazás mellett javítja. Bár ez nem tűnhet komoly problémának, magyarországi viszonylatban is előfordult ilyen eset. Javítócsomagot a Microsoft nem jelentet meg, kizárólag biztonsági frissítéseket adunk ki a támogatási periódus végéig.
  • Az OEM Windows XP-k árusítása befejeződött, a hardver gyártók ma már csak Windows 7-tel árusítanak PC-ket. A Windows XP eszköz ellátottsága szűkül, a meglévő hardverekhez az eszközkezelő fejlesztés leállt, az új PC-khez a Windows XP eszközkezelők fejlesztése másodlagossá vált, vagy nem is történik meg.
  • Várható, hogy hamarosan megjelennek olyan alkalmazások, amelyek kihasználják a Windows 7 által nyújtott alkalmazás-fejlesztési környezetet, de épp emiatt, már nem lesznek futtathatók Windows XP-n. (Most mást ne említsek, ilyen alkalmazás az Internet Explorer 9 is!). A Windows XP-n maradás egyik veszélye, hogy nem lehet majd egy adott feladathoz, funkcióhoz a szoftvert rendszert választani, mert a szabványok a Windows XP-hez kötik a szervezetet.

Biztonság

  • A Windows XP tervezése jóval a Trustworthy Computing kezdeményezés előtt történt, az eredeti termék tervezése és fejlesztése során pedig még nem alkalmazták a Secure Development Lifecycle (SDL) módszertant. Emiatt a mai napig több sérülékenységet fedeznek fel a rendszerben, mint a későbbi operációs rendszerekben. Az SDL-nek köszönhetően ugyanakkor elvétve akad olyan sérülékenység, amely a Windows XP-ben nem, csak a Windows Vistában vagy Windows 7-ben található. Mindennek következtében a Windows XP naprakészen tartása és biztonságos üzemeltetése több erőfeszítést igényel, mint az újabb operációs rendszereké.
  • A beépített biztonsági eszközeit tekintve a Windows XP ma már nem tekinthető korszerűnek. Beépített kétirányú tűzfala például nincs, ezt csak harmadik gyártótól lehet fizetés ellenében beszerezni. Számos kernel szintű védelmi lehetőség ( Address space Layout randomization, service hardening stb.)* nem található meg benne, és nem is pótolható.
  • Egy Windows XP feleslegesen tartalmazhat olyan kódot a merevlemezen, amelyek nagy szervezetek nem használnak. Ilyen például a Windows Messenger (a Live Messenger elődje) vagy az Outlook Express, amely helyett többnyire a vállalati célra szánt Microsoft Office Outlook az elterjedt. Ezek a kódok szükségtelen addicionális karbantartást igényelnek.

Funkcionalitás

  • A Windows XP-ből számos funkció hiányzik, amelyek szükségesek lehetnek egy nagy szervezet rendszerének üzemeltetésekor, és csak harmadik gyártó megoldásával pótolhatók. Ilyen a merevlemez titkosítás, amely az elveszett vagy eltulajdonított mobil számítógépek adatvédelmét biztosítja.
  • A Windows XP számos olyan kiegészítő alkalmazást tartalmaz, amelyek nem eléggé funkció-gazdagok, ezért gyakran ingyenes vagy fizetős változattal pótolják (Merevlemez töredezettség-mentesítő, számológép, wifi- segédprogramok). Ezek az addicionális alkalmazások szükségtelenül drágítják az alap-image elkészítését és karbantartását, valamint az üzemelő rendszerek naprakészen tartását.
  • A Windows XP lemezképek függnek az ún. Hardware Abstraction Layer-től (HAL), ezért minden eltérő HAL-t igénylő rendszerhez külön-külön kell elkészíteni a szervezet által támogatható lemezképet. Többezres PC parknál – és itt ez a helyzet – ez jelentős többletköltséget eredményez.

Logisztika

  • A magyar informatikai szervezetek Infrastruktúra érettségi szintje desktop management területén többnyire „Basic”. Ez azt jelenti, hogy invesztíció nélkül a Windows 7 migrációt MA elkezdve valószínűsíthető, hogy körülbelül a XP támogatás lejáratának idejére lehetne a feladatot befejezni. A migráció halasztásával előfordulhat, hogy a teljes támogatás elvesztése után is még jelentős számú Windows XP működne a rendszerben. Ez a korábbi generációs Windowsokhoz képes azért nagy probléma, mert az elmúlt évtizedben mind a hálózatos, mind pedig a hálózatot nem használó malware támadások száma megsokszorozódott, így az esetleges védekezési költségek (proaktív illetve reaktív) is megnőttek.

A Windows 7 használatának előnyei:

Támogatás

  • A Windows  jelenleg az aktív támogatási periódusában van, de már közel két éve a piacon lévő operációs rendszer, világszinten a második legjelentősebb operációs rendszer.
  • A Windows 7 a leggyorsabban növekvő részesedésű rendszer, lényegében minden OEM gyártó kizárólag ilyen rendszerű PC-ket gyárt
  • A Windows 7 elfogadottsága magas, a bevezetési tapasztalatok rendkívül jók.

Biztonság

  • A Windows 7 teljes egészében a SDL fejlesztési elvek mellett tervezték és készítették, ezért minden szempontból a legbiztonságosabb operációs rendszernek mondható. Szignifikánsabb kevesebb javítás érkezett hozzá, mint a Windows XP-hez azonos életciklus-szakaszban.
  • A Windows 7-ben a legkorszerűbb szoftver-védelmi mechanizmusok is megtalálhatók (ASLR, DEP, service hardening)
  • A Windows 7 a ma ismert összes online és offline támadási módra tartalmaz védelmi eszközt. Beépített merevlemez-titkosítása van, kétirányú, házirendből szabályozható tűzfala van, beépített malware- védelmet kapott.

Funkcionalitás

  • A Windows 7 kernel fejlesztéseinek köszönhetően 20-25%-kal kevesebbet energiát használ fel az alatta futó PC, mint az történne a Windows XP esetén. Egy magyar pénzintézetben (2200 desktop) előzetes számításokat végeztek a várható megtakarításokat illetően, és azt találták, hogy a teljes átállás projektköltségét egy évi energia-megtakarítás már fedezi, a következő években pedig – pusztán ezzel a kimutatható költséggel – már nyereségbe fordul a beruházás.
  • A Windows  számos hatékonyságot növelő eszközt tartalmaz, amelyet nem kell külön beszerezni. Ilyen például a „Problem Step Recorder”, amellyel a felhasználók egyszerűen képesek hibabejelentést készíteni.
  • A Windows 7 számos olyan kernerfejlesztést tartalmaz, amely miatt alkalmasabb Virtuális Desktop környezetben való használatra. Optimalizálták az IO műveleteket így azonos storage-on több virtuális gépet futtathatunk.
  • A Windows 7 hardver-agnosztikus rendszer-lemezképet tartalmaz. Segítségével akár egyetlen lemezképpel le lehet fedni a legnagyobb informatikai hálózatokat is. A lemezképek utólag, offline is módosíthatók, betartva a biztonsági előírásokat. A lemezképeknek nem kell tartalmaznia eszközmeghajtókat, azokat a rendszer képes telepítés közben online forrásból letölteni. Mindemiatt Windows 7-tel sokkal könnyebb az ITIL fogalmai szerint ún. támogatható konfigurációt (supported configuration) készíteni és fenntartani.
  • A Windows 7 hatékonyabban képes dolgozni távoli, kis sávszélességű vonalakon, mint azt a Windows XP tesz. Ez köszönhető egyrészt az új SMB 2.0-ás, optimalizált hálózati protokollnak, továbbá a Windows 7 beépített cache funkcióinak. Mindez lehetővé teszi, hogy bérelt vonalak bővítését lehessen elhalasztani vagy elhagyni, illetve ugyanazt az infrastruktúrát kevesebb szerverrel üzemeltetni.
  • A Windows 7 Enterprise és Ultimate változatai rendelkeznek DirectAccess képességgel. Ez lehetővé teszi, hogy a tartományi tag Windows 7 állandó jelleggel kapcsolatot tartson a vállalati rendszerrel. A módszer nem csak a VPN szoftverek szükségességét eliminálja nagy részben, hanem jó felügyeletet biztosít a belső IT berkeket elhagyó gépek számára, amelye állandóan képesek frissíteni antimalware adatbázisaikat, letölthetik a biztonsági frissítéseket stb..

Uppsz! Az eredeti szövegben az szerepelt, hogy a Windows XP nem tartalmaz Data Execution Prevention-t. (DEP). Ez nem pontos. Az RTM termék valóban nem, de az SP2 óta ez a képesség a rendszer része. Mivel a mai gépek túlnyomó része SP3-on fut, ezért a DEP hiánya nem állja meg a helyét.

Windows Thin PC – a nagyvállalati vékonykliens OS

A június 7-é RTM-mé vált és július 1-től elérhető Windows Thin PC sokak figyelmét és fantáziáját felkeltette, olyannyira, hogy számos tévhit is kering már róla. Ezek közül néhány hozzám is eljutott, s azt hiszem, egy blog bejegyzést megér tisztázni, mi is ez a fura figura. Tehát a meghatározás:

A Windows Thin PC (WinTPC) egy Windows 7 Embedded alapú operációs rendszer, nagyvállalati felügyeleti képességekkel kiegészítve.  Csak érvényes nagyvállalati szerződés esetén használható, kizárólag vékonykliens operációs rendszerként.

A cikk további részében ezt a meghatározást próbálom kifejteni.

Windows 7 Embedded alapú operációs rendszer

A Microsoft 2006-ban jelentette meg a “Windows Fundamentals for Legacy PC (WinFLP)” fantázia nevű operációs rendszerét, mely felhasználási célját nézve a WinTPC elődjének tekinthető. A WinFLP alapja egy Windows XP Embedded, annak minden előnyével és hátrányával együtt. A Windows 7 Embedded – ahogy a nevéből is látható – egy Windows 7 kernellel rendelkező OS, amelyet a gyártó elsősorban célrendszerek számára fejlesztett. Windows 7 Embedded futhat egy ATM terminálban, egy reptéri check-in terminálban és még sok más célrendszerben. Jellemzője, hogy a komponensei tetszőleges módon variálhatók, az OEM gyártó beleteheti vagy kiveheti azokat a lemezképből. A Windows TPC-t úgy kell elképzelni, mintha egy OEM gyártó már előállított volna a komponensekből egy alap-lemezképet, ennek mérete tehát nem változtatható (2 GB körülbelül, tehát jóval kisebb, mint egy teljes Windows 7). A relatív kis méret miatt kényelmesen elindítható egy USB kulcsról vagy SD kártyáról. A WinTPC képességei között találunk “Write Filter”-t, amely megakadályozza, hogy a rendszerre bármit írjunk – pontosabban újraindítás után mindig egy alapállapotot vesz fel és minden mást elfelejt. E két képesség már egészen firmware szerű kezelést tesz lehetővé. De ez még nem elég az üdvösséghez.

Nagyvállalati felügyeleti képességekkel

Az eredeti Windows 7 Embedded lemezképet az OEM gyártó állítja elő – más ezt nem teheti meg. A Windows Thin PC-nél a végső  – WIM alapú – lemezkép kialakítása a rendszerüzemeltetők feladata. Ez nem csak feladat, de lehetőség is: a lemezképben a szokásos meghajtókon túl az IT a bevett rendszerfelügyeleti ügynökeit is belevarrhatja. Egy gyári vékonyklienshez többnyire a gyártó adja (vagy tukmálja) a rendszerfelügyeleti ügynököt. Vajmi kevés esély van rá, hogy Zenworks-szel, LanDesk-kel vagy más (például SCCM) klienssel együtt kapjuk az eszközöket. A WinTPC-nél ellenben szabad kezet kapunk: olyan felügyeleti eszközt teszünk fel, amilyet csak szeretnénk. Emellett élvezhetjük mindazt, amit egy Windows 7 tud: tartománytagság, csoportházirend alapú szabályozás, IPv6 képességek, IPSec és Bitlocker használat. A tartománytagságot és a csoportházirendek alkalmazhatóságának fontosságát nem tudom eléggé hangsúlyozni. De éppúgy kritikus lehet a DirectAccess, az Applocker, a WSUS, a Windows Deployment Service (WDS)  bevethetősége vagy a már meglévő Windows 7 driver store, nem is beszélve a tömeges aktiválás (KMS, MAK) használatának lehetőségéről.

A Windows Thin PC rendszer létrehozásának egyik célja éppen ez volt: egy szerkezetében és működésében beágyazott rendszer képességeket mutató OS, amelynek felügyelhetősége semmivel sem marad el egy PC-s rendszer mögött.

Érvényes nagyvállalati szerződés

A Windows Thin PC nem kapható OEM csatornán – vagyis nem vásárolható meg egy vékonykliens hardverrel együtt (nem is kell, arra ott a Windows 7 Embedded). De nem kapható “boltban”, dobozos formában sem. Akkor juthat hozzá valaki, ha az alábbi licencek egyikével rendelkezik:

Ezeknek a licenceknek jellemzője, hogy desktopokra (PC-kre, notebookokra) érvényes, méghozzá abban az esetben, ha ezeket a rendszereket megfelelő operációs rendszerrel vásárolták (Valamilyen üzleti Windows változattal). Egyéb megkötés nincs, vagyis bármely vállalati licenc modellben (Open, Open Value, Select, Enterprise Agreement (EA), Enterprise Agreement Subscription (EAS), Campus and Schools Agreement (CASA).) elérhető.

A Windows Thin PC egy SA előny. Akkor telepíthető, ha egy desktop a fenti licencek keretében rendelkezik SA-val és addig használható, amíg az SA érvényes. A szerződés lejártával a használat joga is lejár.

Vékonykliens operációs rendszer

Nem csak a hozzáférés módja, de a felhasználása is erőteljesen korlátozott. A létrehozott rendszeren futtathatók:

  • Biztonsági alkalmazások (pl. antivírus, harmadik gyártó tűzfala stb.)
  • Rendszerfelügyeleti alkalmazások
  • Terminal emulációs szoftverek (mainframe, Unix stb. rendszerekhez)
  • Remote Desktop és hasonló technológiák (ICA, PC over IP stb.)
  • Böngészők (nem csak Internet Explorer)
  • Média lejátszók
  • Azonnali üzenetküldő alkalmazások (Windows Live Messenger, Skype stb.)
  • Dokumentum nézegetők (Word Viewer, Adobe Reader stb.)
  • A fentiek futtatásához esetlegesen szükséges .NET Framework vagy Java Virtual Machine

Egyéb alkalmazások viszont nem! Licenc megkötések miatt nem futtatható helyben Microsoft Office vagy egyéb Office csomag, LOB alkalmazások, kliens-szerver alkalmazások stb. A Windows Thin PC feladata, hogy egy meglévő desktopból vékonyklienst varázsoljon. Egy vékonykliensen viszont nincsenek “helyi alkalmazások”. Egy ilyen környezet üzembe állításakor különösen hól jöhet az AppLocker, ami még véletlenül sem engedi a helyi alkalmazások futtatását.

Megint csak látni kell: a WinTPC a nagyvállalati “csináld magad” vékonykliens operációs rendszer. A Windows 7 alapoknak köszönhetően működik rajta a RemoteFX, a DirectAccess és a Bitlocker is, de a gyártó nem engedi, hogy más célra is használjuk: nem általános célú operációs rendszer, nem a Win 7 egy kikönnyített változata.

A létezése a cáfolat

A vékonykliens alapú rendszerek (Citrix, RD, VDI) kialakításánál az egyik fontos érvként gyakran elhangzik, hogy a vékonykliensek nem igényelnek felügyeletet – állapot nélküli gépek, s éppen ez az ilyen megoldások legnagyobb előnye. Az igazság az, hogy ilyet csak az állít, aki sohasem üzemeltetett vékonyklienseket, vagy tudatosan szeretne megtéveszteni másokat. A vékonykliensek felügyelete egyáltalán nem elhanyagolható dolog. Olyannyira nem, hogy a vékonykliens gyártók a saját rendszerfelügyeleti eszközeiket megkülönböztető képességként tűntetik fel. A Win TPC létezése maga a cáfolat arra, hogy vékonyklienseknél nincs szükség felügyeletre. Dehogy nincs! Az állapot nélküli gép egyáltalán nem jelenti azt, hogy konfiguráció nélküli gép, még kevésbé, hogy sohasem változó gép. A konfiguráció kialakítására, változtatására és követésére pedig rendszerfelügyeleti eszközökre van szükségünk. Itt pedig a Win TPC nagyon vonzó képességekkel rendelkezik.

vSphere 4.1 Update 1 – Win7 SP1 támogatással

Többször elégedetlenségemnek adtam hangot, amikor is a Vmware vSphere hypervisora csak meglehetős késéssel kezdte támogatni a Windows 7 és a Windows Server 2008 R2 operációs rendszereket. Most – nagy örömömre – az ellenkezőjéről számolhatok be: még nyilvánosan nem lehet hozzáférni a Win7/2008R2 SP1 letöltésekhez, de az éppen csak megjelent VSphere 4.1 Update1 már támogatja a Windows 7 SP1 és a Windows Server 2008 R2 SP1 rendszereket. Ez egyúttal azt is jelenti, hogy a két cég együttműködése sokat javult az elmúlt évben, és a természetes verseny mellett tudnak és akarnak együttműködni azért, hogy az ügyfeleiknek a legújabb verziókat is azonnal használhassák. Ezt így kell csinálni.