360 likes | 475 Views
Daniela RůžiÄková, daniela.ruzickova @ microsoft .com Jan Dryml, jand@microsoft.com www.microsoft.com/cze/technet/. Efektivnà správa, instalace a migrace. Spolehlivost a kontrola. SpuÅ¡tÄ›nÃ, provoz a vyÅ¡Å¡Ã bezpeÄnost. ChránÄ›né uživatelské úÄty HW ochrana dat Anti-spyware, IE 7.0 NAP.
E N D
Daniela Růžičková,daniela.ruzickova@microsoft.comJan Dryml,jand@microsoft.comwww.microsoft.com/cze/technet/
Efektivní správa, instalace a migrace Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu
User Admin System Services Kernel Windows XP – zabezpečení služeb • Méně vrstev • Většinou privilegované • Ochrana mezi vrstvami omezena
Windows Vista – zabezpečení služebDefense-in-Depth: postupná a kontrolovaná izolace vrstev User Account Control (LUA) Přísnější hranice Low rights programs UAC User Low Privilege Services Admin • Vyšší počet vrstev • Oddělené služby • Snížení počtu rizikových služeb System Services Svc 6 Service 1 Kernel D D D D Service 2 D D Service 3 Svc 7 User mode drivers D D D
Chrání systém před uživatelem Uživatel nepotřebuje práva administrátora ve většině případů. Pokud k tomu dojde, tak: je požádán o poskytnutí správných pověření V případě pověřeného uživatele (např. Admina) se pracuje v neprivilegovaném módu a Admin musí potvrdit, že souhlasí s přechodem a použitím vyšších oprávnění Aplikace a nástroje pro správu by měly být připraveny na UAP Chráněné účty User Account ProtectionUAP bývalé LUA (Limited User Accounts) Požadavek na elevaci Std. user Admin Změna práce a provozu aplikací ve Windows
Efektivní správa, instalace a migrace Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu
Poskytuje vyšší úroveň zabezpečení systému Windows. I v případě odcizení a přístupu z jiné instance operačního systému nedojde k odcizení dat. Navrženo specielně pro ochranu před odcizením, kdy útočník startuje pod jiným OS nebo spouští nástroje pro prolomení ochrany souborového systému Windows Secure Startup a Volume Encryption(BitLocker) Secure Startup-FVE
Efektivní správa, instalace a migrace Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu
Internet Explorer 7.0 • Ve spojení s technologií UAP se plánují tyto změny v IE: • Protected Mode (plánováno pro Vista Beta 2), • dovolí IE fungovat jen pod omezenými právy (i v případě, že přihlášený uživatel má jiná práva - např. pro instalaci SW) • “Read-only” mód – s výjimkouTemporary Internet Files, je IE chopen jen číst • Phishing Filter • bude obnovován každých pár hodin a bude se využívat globálních zdrojů • Bude analyzovat webové stránky proti známým technikám pro krádež dat • Všechna uložená data se smažou jedním kliknutím
Instalace ovladače, Instalace prvku ActiveX Změny nastavení, Uložení obrázku Obsah stránek v keši IE7 - Protected Mode IE7 Protection Mode Compat Redirector Integrity Control Broker Process Přístup Admina HKLM HKCR Program Files Přístup uživatele HKCU My Documents Startup Folder Temp Internet Files Přesměrování nastavení a souborů Nedůvěryhodné soubory & nastavení
Efektivní správa, instalace a migrace Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu
Network Access ProtectionNAP • NAP je technologie, která rozšiřuje původní VPN quarantine • platí pro všechny klienty, není omezeno jen na přístup VPN • spoléhá na NAP servery (v této chvíli “Longhorn”) • Vy specifikujete pravidla pro: • požadované hotfixy, antivirové signatury, instalované nebo zakázané aplikace, další vlastní podmínky • …a systém vynutí přístup jen do povolených oblastí sítě. • resp. nevyhovujícím klientům povolí jen přístup k updatům
Spolupráce NAP a SMS Firemní síť SMS server SMS server Ručím za klienta. Ano, splňuje politiku. Můžeš ručit za tohoto klienta? Splňuje naši politiku aktualizací? Mohu vstoupit? Aktualizace instalovány. Měl by být klient omezen na základě „zdraví“ systému? Přístup povolen. Klient Network Access Device (DHCP, VPN) IAS Server Klient má povolen plný přístup do intranetu.
Spolupráce NAP a SMS Firemní síť Síť s omezeným přístupem SMS server SMS server Zde je tvůj balíček s aktualizací. Požaduji balíček s aktualizací. Klient není aktualizován Vyřiď mu že si má nainstalovat aktualizace. Ručím za klienta. Ano, splňuje politiku. Můžeš ručit za tohoto klienta? Splňuje naši politiku aktualizací? Mohu vstoupit? Aktualizace instalovány. Mohu vstoupit? Aktualizace nejsou instalovány. Měl by být klient omezen na základě „zdraví“ systému? Klient je v karanténě, nutno instalovat aktualizace. Přístup povolen. Máš povolený omezený přístup dokud nebudou instalovány aktualizace. Klient Network Access Device (DHCP, VPN) IAS server Klient má povolen plný přístup do intranetu.
Skupinová politika dnesŠiroce využívaná technologie… • Zákazníci kteří používají služby Active Directory využívají také Skupinovou politiku • 90%+ velké organizace • 60%+ střední organizace • Široké možnosti nastavení OS a aplikací • Více než 1800 registry-based nastavení • Další v oblastech zabezpečení, IE atd. • Zákazníci požadují další možnosti nastavení pomocí skupinové politiky
Výměnná datová úložiště • Představují vážný bezpečnostní problém • USB klíče, MP3 přehrávače, CD/DVD vypalovačky • Skupinová politika (per Computer a per User) • Lze nastavit zákaz instalace zařízení • Lze nastavit přístup (Read, Write a Execute) • Třídy Removable Storage Device • CD/DVD • Pásky • USB zařízení • Windows Portable Devices (WPD) • Další externí výměnná zařízení • Terminálový provoz – nastavení pouze per Computer
Windows Firewall a IPsec Inteligentnější firewall • Specifikace povolených aplikací a portů • Definovat „bezpečná“ připojení – bypass firewall • Povolit připojení pouze ze specifických skupin Active directory Vynucená izolace • Omezení přístupu k síťovým zdrojům při nesplnění podmínek • Jednotná konzola pro nastavení Windows Firewall a IPsec • Omezení duplicit Jednoduchá správa
Efektivní správa, instalace a migrace Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu
Současná situace - výzvy • Klonování je nejvíce používaná a doporučená metoda nasazení OS • Současné výzvy • Snížení počtu vzorů pro klonování (images) • Ve Windows neexistuje standardní formát pro uložení vzoru • RIS, ADS, XPe, SMS OSD • Různé soubory pro automatizaci instalace(unattend/answer files) • Obtížná údržba vzorů pro klonování • Malé využití Windows PE u zákazníků
Windows Imaging Cíle návrhu • Vytvořit jednotný formát pro nasazení Windows OS • Formát nezávislý na architektuře, fungující napříč HW platformami které jsou podporovány OS Windows • Nezávislý na OS • Snížení nároků na diskový prostor • Umožnit nedestruktivní aplikaci OS
Windows Imaging Základní komponenty • Windows Imaging Format (WIM) • Obsahuje strukturu souborů • Install.wim a boot.wim • Nástroje • Nástroje (Ximage pro manipulaci s WIM soubory) • API • API které umožňuje vytvářet nástroje pro manipulaci s WIM soubory • Podpůrné technologie • File system filters (WIM FS Filter), boot filters atd.
Nové vlastnosti Windows Imaging Modularita Snadné přidávání/ubírání dalších komponent – ovladačů, oprav, jazykových modulů,… Snadné přizpůsobování instalací potřebám zákazníka Vyšší spolehlivost Jazyková nezávislost • Založený na souborech • HW nezávislý • Různé cílové HDD • Nedestruktivní upgrade • Několik instalací OS v jediném WIM souboru • Každý soubor se vyskytuje ve WIM jen jednou • Komprese – malá velikost WIM • Bootovatelný • Snadná offline správa WIM – vysoká flexibilita • Soubor lze rozdělit na více medií (CD, DVD)
Modularita Komponenty Windows Vista • Komponenty OS Windows Vista se instalují a spravují nezávisle • Common Components • Optional Components • Komponenty jsou základní jednotky pro distribuci popsané v XML • Zdroje (Zápisy v systém. registru, soubory,…) • Konfigurovatelné vlastnosti • Závislosti • XML manifest definuje komponenty obsažené v instalaci Shell File System Net- working Media Player Audio
Instalační skripty pro instalaci Windows • Instalace Windows XP: Více textových souborů(answer files) pro různé scénáře Zastaralá syntaxe Nutno znát různé postupy a nástroje
Instalační skripty pro instalaci Windows • Instalace Windows Vista: Jediný soubor s popisem instalace(XML answer file) Snadné zákaznické přizpůsobení Jediný nástroj – System Image Manager
Novinka! System Image Manager • Nástroj pro vytváření skriptových souborů automatizujících Windowsinstalaci (unattend.xml) • Detekuje možná nastavení z instalačního vzoru • Zobrazí obsah distribučního místa obsahujícího balíčky, ovladače a aplikace • Umožní provést veškerá nastavení, runonce příkazy • Plně skriptovatelné API • Off-line aktualizace
Windows PE 2.0 • Mini OS vybudovaný z Windows Vista komponent • Původně (Windows PE 1.0 – Windows XP nebo Windows Server 2003) vznikl jako náhrada DOS boot diskety • Vista – Windows PE 2.0 • Nástroj pro nasazení, obnovení a diagnostiku OS Vista • Není náhrada OS Vista • Omezení ve Win32 API, nelze instalovat .NET Framework, nefunkční služba Server, neumožňují běh 16bit aplikací (a 32bit aplikací na Vista 64bit), restart každých 24 hodin, …
Windows PE 2.0 - cíle návrhu • Vytvořit odlehčený systém • Malý OS(< 100 MB, < 60 MB komprimovaný), rychlý boot • Flexibilní • Nástroje pro zákaznické úpravy image • On-line a off-line driver injection, off-line aplikaceaktualizací a SP • Výkonný • Multitasking, multithreading • Obsahuje síťování, část Win32 API, standardní ovladače • Nástroje pro práci s disky, podporu WMI, VBScript, VSH • Diskpart, Drvload, Net, Netcfg • Boot z DVD, CD, USB, síťe, RAM disku • Scratch space in memory – aplikace mohou zapisovat dočasné soubory při boot z CD/DVD
Scénáře využití • Nasazení Windows Vista • IBS – Image-based setup • Každá instalace Windows Vista se instaluje pomocí WinPE • Náhrada textové části instalace • WDS – Windows Deployment Services • Náhrada technologie RIS • WinPE klient nastartujepomocí PXE, připraví systém pro klonování a spustí klonování • WinRE – Windows Recovery Environment • Aplikace založená na WinPE nastaruje z neviditelného oddílu na disku nebo z výměnného média • Provede opravu instalace, system rollback, re-imaging, … • SMS v4 bude používat Vista WinPE jako nástroj pro nasazení OS • Každý firemní zákazník který bude mít zakoupené Windows Vista může používat Windows PE2.0 • http://www.microsoft.com/technet/windowsvista/deploy/winpe.mspx
Efektivní správa, instalace a migrace Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu
Nový uživatelský zážitek Práce s informacemi Náhled, třídění a vyhledávání informací Rychlejší vyhledávání až o 80% Žádné ztracené soubory Třídění dat pomocí nových intuitivních nástrojů Snadná spolupráce a sdílení Snazší a bezpečnější sdílení dat Podpora připojení peer-to-peer Online prezentace, data a komunikace Moderní, jasný a profesionální vzhled Snazší na ovládání – zvyšování produktivity uživatele Přizpůsobení dle výkonu HW
Rychlejší a snažší vývoj nových aplikací Platforma nové generace Mobilní přístup, synchronizace dat kdekoliv a kdykoliv Bezpečné a snadné vyhledávání a využívání PC sítí Automatická adaptace laptopů do sítí Jednotná synchronizace dat s různými zařízeními Propojení informací, aplikací a systémů Kompatibilita s existujícími aplikacemi Win32 Podpora nejnovějšího SW, HW a služeb Tvorba nových aplikací pomocí WinFX Nové vývojářské možnosti: Windows Presentation Foundation (Avalon), Windows Communication Foundation (Indigo), Windows Workflow Foundation
Červenec 2005 beta, zapojení IT Duben 2006 zapojení koncových uživatelů Zima 2006 uvedení produktu na trh Windows Vista - časová osa
Beta testování Windows Vista http://www.microsoft.com/betaexperienceZdroje pro IT profesionályhttp://www.microsoft.com/technet/windowsvistawww.microsoft.com/cze/technet/