Windows táblagépet, de milyet?

Elrajtolt a Windows 8, október vége óta kapható a boltokban. Ahogy azt várni lehetett, jóval nagyobb a kereslet az érintőképernyővel szerelt eszközök iránt. A Windows táblagépek pedig egyértelműen favoritnak számítanak a vállalati felhasználók körében. Ugyanakkor kevéssé közismert, hogy a Windows táblagépekre a Microsoft nem egy, hanem tulajdonképpen két operációs rendszert is megjelentetett. Az egyiket Windows 8-nak, a másikat Windows RT-nek hívják. Érdemes egy kicsit körüljárni, mi a közös bennük, és miben térnek el.

Windows RT

A Windows RT a Windows család legújabb tagja. Az első olyan változat, amely ARM processzorokon képes futni. Az ARM processzorok – ahogy ma ismerjük őket – kevesebbet fogyasztanak, kevésbé melegednek, épp ezért hosszabb akkumulátor élettartamot biztosítanak és vékonyabb, könnyebb készülékeket lehet velük készíteni. Ideális processzorként funkcionálnak okostelefonokban vagy táblagépekben. Emellett még az áruk is igen barátságos. A Windows RT tehát remek alaprendszer lehet ezekben a táblagépekben. A Microsoft emellett igen sok, a munka világa számára fontos képességet fejlesztett a rendszerbe, például:

• Biztonságos indulás (SecureBoot) gondoskodik arról, hogy kártékony kód ne tudjon az operációs rendszer indulása előtt vezérlést szerezni.
• Teljes eszköztitkosítás. A rendszer az indulás pillanatától titkosított bitlocker alapú – bár azzal nem teljesen egyező – technológiával.
• Beépített VPN kliensek, Microsoft, CISCO és Juniper rendszerekhez. A Windows RT-s gépek további szoftver telepítése nélkül a kliensekkel kompatibilis távoli hálózatokhoz csatlakozhatnak
• Több felhasználó kezelése. Könnyedén elválaszthatók ugyanazon eszköz felhasználóinak beállításai, adatai, alkalmazásai.
• Network Access Protection környezetek támogatása. A táblagép egészségére vonatkozó elvárásokat lehet definiálni. A Windows RT-s gépek képesek jelenteni magukról, hogy bekapcsolt-e a tűzfaluk, fut-e rajtuk antimalware szoftver stb.
• Teljes körű malware védelem. A Windows Defender új verziója már megkötések nélkül mindenféle kártékony kód ellen védelmet nyújt. A Windows RT emellett operációs rendszer szintű SmartScreen szűrőt is kapott, amely a Microsoft URL és fájl-reputációs megoldása és akár olyan kódok futtatását is meg lehet gátolni vele, amely ellen esetleg még nincs felismerő algoritmus sem. Nulladik napos sérülékenységek kihasználását lehet elkerülni.
• Smartcardok és virtuális smartcardok kezelése.
• Széles körű hardver támogatás nyomtatókkal, USB eszközökkel, monitorokkal és kivetítőkkel.
• Powershell támogatás scriptek futtatásához.
• Beépített távsegítség. A felhasználók segítséget kérhetnek és kaphatnak távolról. Átadhatják a képernyőképüket más számára, tipikusan egy távoli szakértőnek vagy egy rendszergazdának.
• Előre telepített Microsoft Office 2013. A Home & Student változat az Outlook kivételével minden fontos Office összetevőt tartalmaz. (Licencelésről alább)
• Cloud támogatás. A Windows RT készülékek komoly számítási felhő támogatást kapnak a Microsofttól. A Microsoft fiók egyszeri bejelentkezés után hozzáférést biztosít a Windows alkalmazások áruházához, a Skydrive-hoz, az Outlook.com levelező rendszerhez és az Xbox live szolgáltatásokhoz. A Skydrive különösen fontos, mert a Windows RT titkosított fájlrendszerének helyreállítási kulcsát itt helyezi el a Windows RT, és ez a tárhely biztosítja a felhasználói beállítások elhelyezését is.

Ezen felül érdemes megemlíteni, hogy a Windows RT van desktop felület a mindennapi fájlkezeléshez, megállítható fájlmásolásra képes. A beépített böngészője integrált flash plug-int tartalmaz, és bár nem valamennyi, de jópár weboldal flash tartalmát képes lejátszani. A Remote Desktop protokoll legújabb, 8.0 változatát ismeri, ezért akár RemoteApp, akár VDI akár pedig Remote Desktop Session formában képes távoli rendszerekhez csatlakozni. Ezzel lehetővé válik, hogy ha nem is helyben, de prezentáció virtualizáció segítségével távolról hagyományos alkalmazásokat futtathasson. A VDI rendszerekhez nem csak technikai szempontból passzol, de a licencelése is kedvező. Ha egy felhasználónak van egy elsődleges (x86/x64) eszköze, amely Windows Software Assurance-szal fedett, és a Windows RT eszköz a vállalat/szervezet tulajdona, akkor ehhez a Windows RT alapú eszköz jogosult VDI környezet eléréséhez Virtual Device Access licenc előfizetése nélkül (Windows RT Companion VDA Rights). Ugyanez más operációs rendszerekre nem vonatkozik. Az Office 365 révén egy felhasználó akár öt eszközt is használhat. Megfelelő előfizetéssel így a helyben telepített Office üzleti célokra is használható lesz.

Mindezek alapján, más gyártók táblagépeivel összehasonlítva, a Windows RT nagyon vonzó alternatívának tűnik. Az is, ez nem kétséges. Ugyanakkor a sok-sok, vállalati szempontból értékes képesség együttesen sem elegendő, hogy valódi elsődleges munkahelyi eszköz váljék belőle. Jónéhány komoly korláttal rendekezik, amelyek behatárolják a vállalati/munkahelyi használatát, és kevés kivételtől eltekintve lehetetlenné teszik (legalábbis ma még), hogy kiválthassa a hordozható számítógépeket. Nézzük a megkötéseket(*):

• A Windows RT natív módon nem képes x86/x64-re írt desktop alkalmazásokat futtatni. Ez azért vállalati környezetben elég komoly következményekkel jár. Egyetlen hagyományos, helyi telepítésű üzleti alkalmazás sem futtatható, és egyetlen rendszerfelügyeleti eszköz ügynöke, eszközmeghajtója stb. sem kerülhet egy Windows RT-re. Sokan azt gondolják desktop sincs a Windows RT-ben. Ez így ebben a formában nem igaz. Van desktop és desktop felület, elérhető minden operációs rendszerbe beépített desktop alkalmazás (Windows Intéző, Jegyzettömb, Számológép, Paint, Control Panel stb. stb.). A korábban desktop alkalmazásként ismert szoftverek viszont nem telepíthetők és nem futtathatók.
• A Windows RT operációs rendszer nem tud tartománytag lenni. Ez a korlát ismét csak érzékenyen érinti a vállalati felhasználást. A vállalati erőforrásokhoz nincs integrált, egyszeri hitelesítés, nem futtathatók tartományi csoportházirendek, nincsenek kapcsolat nélküli állományok, automatikus mappaátirányítás belső kiszolgálókra stb. Mivel sem harmadik gyártó rendszerfelügyeleti szoftverével, sem Active Directory-val nem felügyelhető a Windows RT, az egyetlen lehetőség beállítások kikényszerítésére és szoftverek terítésére a Windows Intune bevetése lehet. A Windows Intune a Microsoft cloud alapú rendszerfelügyeleti megoldása.
• Ha már nincs tetszőleges rendszerfelügyelet, könnyű felismerni, hogy ugyanez a helyzet az antimalware szoftverek területén is. A Windows RT egyedüli védelmi megoldása a Windows Defender. Vállalati környezetben használatos antimalware megoldás nem telepíthető rá.
• Szintén a tartománytagság hiánya gátolja, hogy DirectAccess, Branchcache vagy felügyelhető Bitlocker funkciókat lehessen bekapcsolni. Mivel a Windows 7 is még csak felfutóban van, sokan nem ismerik, vagy eddig nem volt módjuk implementálni ezeket a képességeket. Érdemes tervezéskor számolni azzal, hogy továbbra is lesznek olyan eszközök, amelyek nem implementálják a fentiek egyikét sem.
• A Windows RT saját rendszerpartícióit automatikusan titkosítja, és jól olvassa és írja a Bitlocker-To-Go módszerrel titkosított hordozható eszközöket is, Bitlocker-To-Go USB eszközt nem tud létrehozni.
  Az előnyök között tartjuk számon, hogy a Windows RT együttműködik a Network Access Protection rendszerekkel. Jegyezzük meg ugyanakkor, hogy a CISCO Network Access Control mechanizmusát nem kezeli, hisz hagyományos Win32 alkalmazást kellene telepíteni hozzá, valamint a NAP rendszerben sem használható harmadik gyártótól származó System Health Agent.
• A Windows RT-ben nincs harmadik gyártó által támogatott SSL VPN.
• Bár kétfaktoros hitelesítésre képes, a szükséges segédszoftverek híján nincs egyszeri jelszavas (One Time Password) belépési mód – egyelőre.
• Ugyancsak az egyedi mentési ügynökök hiánya miatt mentésre csak a beépített eszközökkel van mód. Tegyük hozzá, hogy viszonylag ritka, amikor végfelhasználói gépeket kellene menteni. Ráadásul a Windows RT mögött is ott állnak a felhőszolgáltatások: akár a beépített Skydrive, akár más szolgáltatók felhős tárolási megoldása jó mentési alternatívát nyújtanak.
• A Windows RT-ben futó Internet Explorer 10 egyetlen fontos funkcióban tér el a hagyományos Windows 8-ban megismerttel: nem telepíthetőek beépülő modulok. Igaz, van beépített flash modul, de ez nem minden weboldalon működik. Márpedig ahol nem működik, ott nincs is megoldás, mert egyedi flash modul nem telepíthető. Ugyanez a helyzet a Silverlight-tal, az ActiveX kontrollokkal és a Java futtatókörnyezetekkel is. Valamennyi böngészőbe beépülő modult igényel, az viszont a Windows RT platformra nem elérhető.
• Végezetül említsük meg, hogy vállalati alkalmazásokat, amennyiben azok modern Windows alkalmazások, lehet telepíteni Windows RT alapú eszközökre. Ehhez azonban meg kell vásárolni a megfelelő Sideloading kulcsokat a Microsofttól.

Mit mondhatunk el összességében a Windows RT-re épülő rendszerekről? Bár a konkurenciához képest hatalmas előrelépést biztosítanak a munkahelyen való alkalmazhatóság területén, a hagyományos PC-ket és hordozható eszközöket nem tudják kiváltani. És ha van kivétel, akkor az csak a szabályt erősíti. A Windows RT alapú eszközök leginkább otthonra valók. Maga a Microsoft sem sorolja a "üzleti vagy fejlesztői termék" kategóriába. Ebből következően a termék életciklusa nem 5+5 év (öt év normál támogatás és öt év kiterjesztett támogatás), hanem csupán öt év normál támogatás.

Ha mégis vállalati környezetben használják a Windows RT alapú eszközöket, akkor inkább a PC-s rendszerek kiegészítői (Companion Device), mint kiváltói lehetnek. Bár az adott hardver eszköz paramétereitől és egyedi képességeitől is függ, azért elmondható, hogy a Windows RT-s rendszerek nagyobb valószínűséggel fogják a tartalom fogyasztására, mint annak előállítására használni.

Windows 8

A fentiek alapján már szinte mindent tudunk a Windows 8-ról is. Táblagépek kapcsán azért mondjuk el:

• A Windows 8 alapú táblagépek teljes felügyelhetőségi lehetőséggel rendelkeznek. Egyaránt futtatják a korábbi szoftvereket és a modern alkalmazásokat.
• Teljes kompatibilitást nyújtanak az x86/x64-es szoftverek számára. A Windows 8-cal szerelt táblagépre minden olyan alkalmazás, eszközkezelő, ügynök stb. feltelepíthető, amelyet korábban notebookokra és desktopokra raktunk fel.
• A Windows 8 Professional operációs rendszerekkel szerelt táblagépekre telepíthető a Windows 8 Enterprise változat. Ez DirectAccess, Brach cache, Bitlocker, Applocker és még sok tucatnyi egyéb desktop szolgáltatás implementálását teszi lehetővé. Működnek az MDOP komponensek (App-V, UE-V, DaRT) is.
• A Windows 8 Enterprise további licenc vásárlás vagy kulcs aktiválás nélkül képes a rendszergazdák által kiajánlott belső, Modern alkalmazások letöltésére és futtatására, amelyeket egyaránt telepíthetünk System Center Configuration Managerrel és Windows Intune-nal.

Összességében a Windows 8 alapú táblagépek képekes kiváltani a hordozható ultrabook eszközöket, néha az erősebb notebookokat és a nem Windows 8 alapú táblagépeket is – akár egyszerre. Áruk – és súlyuk – mindenképpen kisebb, mint egy PC + hagyományos táblagép kombónak. Igaz – ma még – kicsit vastagabbak és nehezebbek, mint más gyártók táblái, és az üzemidejük sem olyan hosszú még. A vállalatok számára azonban még így is ezek az eszközök lesznek a legvonzóbbak: elősegítik az eszkökonszolidációt és még nagyobb mobilitást tesznek lehetővé.

—————————–

* Lássuk be, ez az x86/x64 processzorokra épülő táblagépeken kívül a felsoroltak valamennyi platform esetén (iOS, Android) korlátot jelentenek.

Windows Thin PC – a nagyvállalati vékonykliens OS

A június 7-é RTM-mé vált és július 1-től elérhető Windows Thin PC sokak figyelmét és fantáziáját felkeltette, olyannyira, hogy számos tévhit is kering már róla. Ezek közül néhány hozzám is eljutott, s azt hiszem, egy blog bejegyzést megér tisztázni, mi is ez a fura figura. Tehát a meghatározás:

A Windows Thin PC (WinTPC) egy Windows 7 Embedded alapú operációs rendszer, nagyvállalati felügyeleti képességekkel kiegészítve.  Csak érvényes nagyvállalati szerződés esetén használható, kizárólag vékonykliens operációs rendszerként.

A cikk további részében ezt a meghatározást próbálom kifejteni.

Windows 7 Embedded alapú operációs rendszer

A Microsoft 2006-ban jelentette meg a “Windows Fundamentals for Legacy PC (WinFLP)” fantázia nevű operációs rendszerét, mely felhasználási célját nézve a WinTPC elődjének tekinthető. A WinFLP alapja egy Windows XP Embedded, annak minden előnyével és hátrányával együtt. A Windows 7 Embedded – ahogy a nevéből is látható – egy Windows 7 kernellel rendelkező OS, amelyet a gyártó elsősorban célrendszerek számára fejlesztett. Windows 7 Embedded futhat egy ATM terminálban, egy reptéri check-in terminálban és még sok más célrendszerben. Jellemzője, hogy a komponensei tetszőleges módon variálhatók, az OEM gyártó beleteheti vagy kiveheti azokat a lemezképből. A Windows TPC-t úgy kell elképzelni, mintha egy OEM gyártó már előállított volna a komponensekből egy alap-lemezképet, ennek mérete tehát nem változtatható (2 GB körülbelül, tehát jóval kisebb, mint egy teljes Windows 7). A relatív kis méret miatt kényelmesen elindítható egy USB kulcsról vagy SD kártyáról. A WinTPC képességei között találunk “Write Filter”-t, amely megakadályozza, hogy a rendszerre bármit írjunk – pontosabban újraindítás után mindig egy alapállapotot vesz fel és minden mást elfelejt. E két képesség már egészen firmware szerű kezelést tesz lehetővé. De ez még nem elég az üdvösséghez.

Nagyvállalati felügyeleti képességekkel

Az eredeti Windows 7 Embedded lemezképet az OEM gyártó állítja elő – más ezt nem teheti meg. A Windows Thin PC-nél a végső  – WIM alapú – lemezkép kialakítása a rendszerüzemeltetők feladata. Ez nem csak feladat, de lehetőség is: a lemezképben a szokásos meghajtókon túl az IT a bevett rendszerfelügyeleti ügynökeit is belevarrhatja. Egy gyári vékonyklienshez többnyire a gyártó adja (vagy tukmálja) a rendszerfelügyeleti ügynököt. Vajmi kevés esély van rá, hogy Zenworks-szel, LanDesk-kel vagy más (például SCCM) klienssel együtt kapjuk az eszközöket. A WinTPC-nél ellenben szabad kezet kapunk: olyan felügyeleti eszközt teszünk fel, amilyet csak szeretnénk. Emellett élvezhetjük mindazt, amit egy Windows 7 tud: tartománytagság, csoportházirend alapú szabályozás, IPv6 képességek, IPSec és Bitlocker használat. A tartománytagságot és a csoportházirendek alkalmazhatóságának fontosságát nem tudom eléggé hangsúlyozni. De éppúgy kritikus lehet a DirectAccess, az Applocker, a WSUS, a Windows Deployment Service (WDS)  bevethetősége vagy a már meglévő Windows 7 driver store, nem is beszélve a tömeges aktiválás (KMS, MAK) használatának lehetőségéről.

A Windows Thin PC rendszer létrehozásának egyik célja éppen ez volt: egy szerkezetében és működésében beágyazott rendszer képességeket mutató OS, amelynek felügyelhetősége semmivel sem marad el egy PC-s rendszer mögött.

Érvényes nagyvállalati szerződés

A Windows Thin PC nem kapható OEM csatornán – vagyis nem vásárolható meg egy vékonykliens hardverrel együtt (nem is kell, arra ott a Windows 7 Embedded). De nem kapható “boltban”, dobozos formában sem. Akkor juthat hozzá valaki, ha az alábbi licencek egyikével rendelkezik:

• Nagyvállalati szerződésben érvényes Windows SA (frissítésvédelem)
• Virtual Desktop Access (VDA)
• Windows Intune

Ezeknek a licenceknek jellemzője, hogy desktopokra (PC-kre, notebookokra) érvényes, méghozzá abban az esetben, ha ezeket a rendszereket megfelelő operációs rendszerrel vásárolták (Valamilyen üzleti Windows változattal). Egyéb megkötés nincs, vagyis bármely vállalati licenc modellben (Open, Open Value, Select, Enterprise Agreement (EA), Enterprise Agreement Subscription (EAS), Campus and Schools Agreement (CASA).) elérhető.

A Windows Thin PC egy SA előny. Akkor telepíthető, ha egy desktop a fenti licencek keretében rendelkezik SA-val és addig használható, amíg az SA érvényes. A szerződés lejártával a használat joga is lejár.

Vékonykliens operációs rendszer

Nem csak a hozzáférés módja, de a felhasználása is erőteljesen korlátozott. A létrehozott rendszeren futtathatók:

• Biztonsági alkalmazások (pl. antivírus, harmadik gyártó tűzfala stb.)
• Rendszerfelügyeleti alkalmazások
• Terminal emulációs szoftverek (mainframe, Unix stb. rendszerekhez)
• Remote Desktop és hasonló technológiák (ICA, PC over IP stb.)
• Böngészők (nem csak Internet Explorer)
• Média lejátszók
• Azonnali üzenetküldő alkalmazások (Windows Live Messenger, Skype stb.)
• Dokumentum nézegetők (Word Viewer, Adobe Reader stb.)
• A fentiek futtatásához esetlegesen szükséges .NET Framework vagy Java Virtual Machine

Egyéb alkalmazások viszont nem! Licenc megkötések miatt nem futtatható helyben Microsoft Office vagy egyéb Office csomag, LOB alkalmazások, kliens-szerver alkalmazások stb. A Windows Thin PC feladata, hogy egy meglévő desktopból vékonyklienst varázsoljon. Egy vékonykliensen viszont nincsenek “helyi alkalmazások”. Egy ilyen környezet üzembe állításakor különösen hól jöhet az AppLocker, ami még véletlenül sem engedi a helyi alkalmazások futtatását.

Megint csak látni kell: a WinTPC a nagyvállalati “csináld magad” vékonykliens operációs rendszer. A Windows 7 alapoknak köszönhetően működik rajta a RemoteFX, a DirectAccess és a Bitlocker is, de a gyártó nem engedi, hogy más célra is használjuk: nem általános célú operációs rendszer, nem a Win 7 egy kikönnyített változata.

A létezése a cáfolat

A vékonykliens alapú rendszerek (Citrix, RD, VDI) kialakításánál az egyik fontos érvként gyakran elhangzik, hogy a vékonykliensek nem igényelnek felügyeletet – állapot nélküli gépek, s éppen ez az ilyen megoldások legnagyobb előnye. Az igazság az, hogy ilyet csak az állít, aki sohasem üzemeltetett vékonyklienseket, vagy tudatosan szeretne megtéveszteni másokat. A vékonykliensek felügyelete egyáltalán nem elhanyagolható dolog. Olyannyira nem, hogy a vékonykliens gyártók a saját rendszerfelügyeleti eszközeiket megkülönböztető képességként tűntetik fel. A Win TPC létezése maga a cáfolat arra, hogy vékonyklienseknél nincs szükség felügyeletre. Dehogy nincs! Az állapot nélküli gép egyáltalán nem jelenti azt, hogy konfiguráció nélküli gép, még kevésbé, hogy sohasem változó gép. A konfiguráció kialakítására, változtatására és követésére pedig rendszerfelügyeleti eszközökre van szükségünk. Itt pedig a Win TPC nagyon vonzó képességekkel rendelkezik.