Spolehlivost a kontrola

Daniela Růžičková,Daniela Růžičková,danieladaniela..ruzickovaruzickova@@microsoftmicrosoft.com.com

Jan Dryml,Jan Dryml,[email protected]@microsoft.com

www.microsoft.com/www.microsoft.com/cze/technetcze/technet//

mailto:[email protected]







http://www.microsoft.com/cze/technet/



Spolehlivost a kontrolaSpolehlivost a kontrola

Efektivní správa, instalace a Efektivní správa, instalace a migracemigrace

Spuštění, provoz a vyšší bezpečnostSpuštění, provoz a vyšší bezpečnostChráněné uživatelské účty Chráněné uživatelské účty

HW ochrana datHW ochrana dat

Anti-spyware, IE 7.0Anti-spyware, IE 7.0

NAPNAP

Instalace bezpečnostních záplat vyžaduje Instalace bezpečnostních záplat vyžaduje o 50% méně restartů o 50% méně restartů

Snížení počtu instalačních „image“Snížení počtu instalačních „image“

Rychlejší migrace uživatelských účtůRychlejší migrace uživatelských účtů

Vysoký výkon a stabilitaVysoký výkon a stabilitaOdpověď na úkoly s nejvyšší prioritouOdpověď na úkoly s nejvyšší prioritou

Rychlejší spuštění a probuzení PCRychlejší spuštění a probuzení PC

Diagnostika a řešení HW, SW problémů Diagnostika a řešení HW, SW problémů za běhuza běhu

Windows XPWindows XP – zabezpečení služeb – zabezpečení služeb

User

Kernel

Admin

System Services

1. Méně vrstev

2. Většinou privilegované

3. Ochrana mezi vrstvami omezena

Windows Windows Vista – zabezpečení služebVista – zabezpečení služebDefense-in-Depth: Defense-in-Depth: postupná a kontrolovaná izolace vrstevpostupná a kontrolovaná izolace vrstev

System Services

DDD

User Account Control (LUA)

Přísnější hranice

Admin

Service 1

DDD

Kernel

Service 2

Service 3

DDD

Low Privilege Services

Low rights programs

1. Vyšší počet vrstev

2. Oddělené služby

3. Snížení počtu rizikových služeb

UAC User

Svc 6

Svc 7

User mode drivers

User Account ProtectionUser Account ProtectionUAP UAP bývalé bývalé LUA (Limited User Accounts)LUA (Limited User Accounts)

1.1. Chrání systém před uživatelemChrání systém před uživatelem

2.2. Uživatel nepotřebuje práva Uživatel nepotřebuje práva administrátora ve většině případů. administrátora ve většině případů. Pokud k tomu dojde, tak:Pokud k tomu dojde, tak:

je požádán o poskytnutí je požádán o poskytnutí správných pověřenísprávných pověření

3.3. V případě pověřeného uživatele V případě pověřeného uživatele (např. Admina) se pracuje v (např. Admina) se pracuje v neprivilegovaném módu a Admin neprivilegovaném módu a Admin musí potvrdit, že souhlasí s musí potvrdit, že souhlasí s přechodem a použitím vyšších přechodem a použitím vyšších oprávněníoprávnění

4.4. ApliAplikace a nástroje pro správu by kace a nástroje pro správu by měly být připraveny na UAPměly být připraveny na UAP

Limited User Access

Network

`

Machine User

Chráněné účty

AdminAdmin StdStd.. user user

Požadavek na elevaciPožadavek na elevaci

Změna práce a provozu aplikací ve WindowsZměna práce a provozu aplikací ve Windows

Žádost o pověření - demoŽádost o pověření - demo






NAPNAP







Secure Startup Secure Startup a Va Volume Encryptionolume Encryption(BitLocker)(BitLocker)

Poskytuje vyšší úroveň Poskytuje vyšší úroveň zabezpečení systému zabezpečení systému Windows. I v případě Windows. I v případě odcizení a přístupu z jiné odcizení a přístupu z jiné instance operačního instance operačního systému nedojde k odcizení systému nedojde k odcizení dat.dat.

Navrženo specielně pro Navrženo specielně pro ochranu před odcizením, ochranu před odcizením, kdy útočník startuje pod kdy útočník startuje pod jiným OS nebo spouští jiným OS nebo spouští nástroje pro prolomení nástroje pro prolomení ochrany souborového ochrany souborového systému Windowssystému Windows

Secure Startup-FVESecure Startup-FVE






NAPNAP







Internet ExplorerInternet Explorer 7.0 7.0

Ve spojení s technologií UAP se plánují tyto změny v IEVe spojení s technologií UAP se plánují tyto změny v IE::

Protected Mode (Protected Mode (plánováno proplánováno pro Vista Beta 2) Vista Beta 2), ,

dovolí IE fungovat jen pod omezenými právy (i v případě, dovolí IE fungovat jen pod omezenými právy (i v případě, že přihlášený uživatel má jiná práva - např. pro instalaci že přihlášený uživatel má jiná práva - např. pro instalaci SW)SW)

““Read-only” mRead-only” mód – s výjimkouód – s výjimkouTemporary Internet FilesTemporary Internet Files, , je IE chopen jen čístje IE chopen jen číst

Phishing Filter Phishing Filter

bude obnovován každých pár hodin a bude se využívat bude obnovován každých pár hodin a bude se využívat globálních zdrojůglobálních zdrojů

Bude analyzovat webové stránky proti známým Bude analyzovat webové stránky proti známým technikám pro krádež dattechnikám pro krádež dat

Všechna uložená data se smažou jedním kliknutímVšechna uložená data se smažou jedním kliknutím

IE7 IE7 - - Protected ModeProtected Mode

IE7 Protection

Mode

IE7 Protection

Mode

Instalace ovladače,

Instalace prvku ActiveX

Změny nastavení,

Uložení obrázku

Inte

gri

ty C

on

tro

l

Bro

ker

Pro

cess

Přesměrování nastavení a souborů

Com

pat

Red

irect

or

Obsah stránek v keši

Přístup AdminaPřístup Admina

Přístup uživatelePřístup uživatele

Temp Internet FilesTemp Internet Files

HKLM

HKCR

Program Files

HKCU

My Documents

Startup Folder

Nedůvěryhodné soubory & nastavení






NAPNAP







Network Access ProtectionNetwork Access ProtectionNAPNAP

NAP NAP je technologie, která rozšiřuje původní je technologie, která rozšiřuje původní VPN VPN quarantinequarantine

platí pro všechny klienty, není omezeno jen na platí pro všechny klienty, není omezeno jen na přístup VPNpřístup VPN

spoléhá na NAPspoléhá na NAP server servery (v této chvíli y (v této chvíli “Longhorn”“Longhorn”))

Vy specifikujete pravidla pro:Vy specifikujete pravidla pro:

požadované hotfixypožadované hotfixy, , antivirové signatury, antivirové signatury, instalované nebo zakázané aplikace, další vlastní instalované nebo zakázané aplikace, další vlastní podmínkypodmínky

……aa systém vynutí přístup jen do povolených systém vynutí přístup jen do povolených oblastí sítě.oblastí sítě.

resp. nevyhovujícím klientům povolí jen přístup resp. nevyhovujícím klientům povolí jen přístup k updatůmk updatům

Spolupráce Spolupráce NAP a SMSNAP a SMS

IAS ServerKlient Network

Access Device(DHCP,

VPN)

SMS serverSMS server

Mohu vstoupit?Aktualizace instalovány.

Měl by být klient omezen na základě „zdraví“ systému?

Můžeš ručit za tohoto klienta? Splňuje naši politiku aktualizací?

Firemní síť

Ručím za klienta. Ano, splňuje politiku.

Přístup povolen.

Klient má povolen plný přístup do intranetu.

Spolupráce Spolupráce NAP a SMSNAP a SMS

IAS serverKlient Network

Access Device(DHCP,

VPN)

SMS serverSMS server

Mohu vstoupit?Aktualizace nejsou

instalovány. Měl by být klient omezen na základě „zdraví“ systému?

Můžeš ručit za tohoto klienta? Splňuje naši politiku aktualizací?

Klient není aktualizován Vyřiď mu že si má nainstalovat aktualizace.

Máš povolený omezený přístup dokud nebudou instalovány aktualizace.

Požaduji balíček s aktualizací.

Zde je tvůj balíček s aktualizací.

Mohu vstoupit?Aktualizace instalovány.

Klient je v karanténě, nutno instalovat aktualizace.

Firemní síť

Síť s omezeným přístupem

Ručím za klienta. Ano, splňuje politiku.

Přístup povolen.

Klient má povolen plný přístup do intranetu.

Skupinová politika dnesSkupinová politika dnesŠiroce využívaná technologieŠiroce využívaná technologie……

Zákazníci kteří používají služby Zákazníci kteří používají služby Active Directory Active Directory využívají využívají také Skupinovou politikutaké Skupinovou politiku

90%+ 90%+ velké organizacevelké organizace

60%+ 60%+ střední organizacestřední organizace

Široké možnosti nastavení OS a aplikacíŠiroké možnosti nastavení OS a aplikací

Více než Více než 1800 registry-based 1800 registry-based nastavenínastavení

Další v oblastech zabezpečení, IE atd.Další v oblastech zabezpečení, IE atd.

Zákazníci požadují další možnosti nastavení pomocí Zákazníci požadují další možnosti nastavení pomocí skupinové politikyskupinové politiky

Výměnná datová úložištěVýměnná datová úložiště

Představují vážný bezpečnostní problémPředstavují vážný bezpečnostní problém

USB USB klíče, klíče, MP3 MP3 přehrávače, přehrávače, CD/DVD CD/DVD vypalovačkyvypalovačky

Skupinová politika (per Skupinová politika (per Computer a Computer a per per UserUser))

Lze nastavit zákaz instalace zařízeníLze nastavit zákaz instalace zařízení

Lze nastavit přístup (Lze nastavit přístup (Read, Write a ExecuteRead, Write a Execute))

Třídy RTřídy Removable Storage Deviceemovable Storage Device

CD/DVDCD/DVD

PáskyPásky

USB USB zařízenízařízení

Windows Portable Devices (WPD)Windows Portable Devices (WPD)

Další externí výměnná zařízeníDalší externí výměnná zařízení

Terminálový provoz – nastavení pouze per ComputerTerminálový provoz – nastavení pouze per Computer

Windows Firewall a IPsecWindows Firewall a IPsec

• Jednotná konzola pro nastavení Windows Firewall a IPsec• Omezení duplicit

• Omezení přístupu k síťovým zdrojům při nesplnění podmínek

Jednoduchá správa

Vynucená izolace

Inteligentnější firewall

• Specifikace povolených aplikací a portů• Definovat „bezpečná“ připojení – bypass firewall• Povolit připojení pouze ze specifických skupin Active directory






NAPNAP







Současná situace - výzvySoučasná situace - výzvy

Klonování je nejvíce používaná a doporučená Klonování je nejvíce používaná a doporučená metoda nasazení OSmetoda nasazení OS

Současné výzvySoučasné výzvy

Snížení počtu vzorů pro klonování (Snížení počtu vzorů pro klonování (imagesimages))

Ve Windows neexistuje standardní formát pro Ve Windows neexistuje standardní formát pro uložení vzoruuložení vzoru

RIS, ADS, XPe, SMS OSDRIS, ADS, XPe, SMS OSD

Různé soubory pro automatizaci instalaceRůzné soubory pro automatizaci instalace ((unattend/answer filesunattend/answer files))

Obtížná údržba vzorů pro klonováníObtížná údržba vzorů pro klonování

Malé využití Malé využití Windows PEWindows PE u zákazníků u zákazníků

Windows Imaging Windows Imaging Cíle návrhuCíle návrhu

Vytvořit jednotný formát pro nasazení Vytvořit jednotný formát pro nasazení Windows OSWindows OS

Formát nezávislý na architektuře, fungující Formát nezávislý na architektuře, fungující napříč HW platformami které jsou napříč HW platformami které jsou podporovány OS Windowspodporovány OS Windows

Nezávislý na OSNezávislý na OS

Snížení nároků na diskový prostor Snížení nároků na diskový prostor

Umožnit nedestruktivní aplikaci OSUmožnit nedestruktivní aplikaci OS

Windows Imaging Windows Imaging Základní komponentyZákladní komponenty

Windows IWindows Imaging maging FFormatormat (WIM) (WIM)

Obsahuje strukturu souborůObsahuje strukturu souborů

Install.wim a boot.wimInstall.wim a boot.wim

NástrojeNástroje

Nástroje (Nástroje (Ximage Ximage pro manipulaci s pro manipulaci s WIM WIM soubory)soubory)

APIAPI

API API které umožňuje vytvářet nástroje pro které umožňuje vytvářet nástroje pro manipulaci smanipulaci s WIM WIM souborysoubory

Podpůrné technologiePodpůrné technologie

File system filtersFile system filters (WIM FS Filter) (WIM FS Filter), boot filters , boot filters atd.atd.

Windows ImagingWindows Imaging

Nové vlastnostiNové vlastnosti

ModularitaModularita

Založený na souborechZaložený na souborech

HW nezávislýHW nezávislý

Různé cílové HDDRůzné cílové HDD

Nedestruktivní upgradeNedestruktivní upgrade

Několik instalací OS v jediném Několik instalací OS v jediném WIM WIM souborusouboru

Každý soubor se vyskytuje ve WIM Každý soubor se vyskytuje ve WIM jen jednoujen jednou

KompreseKomprese – – malá velikost WIMmalá velikost WIM

BootovatelnýBootovatelný

Snadná offline správa WIM – vysoká Snadná offline správa WIM – vysoká flexibilitaflexibilita

Soubor lze rozdělit na více medií Soubor lze rozdělit na více medií (CD, DVD)(CD, DVD)

Snadné přidávání/ubírání Snadné přidávání/ubírání dalších komponentdalších komponent – – ovladačů, oprav, jazykových ovladačů, oprav, jazykových modulů,…modulů,…

Snadné přizpůsobování Snadné přizpůsobování instalací potřebám zákazníkainstalací potřebám zákazníka

Vyšší spolehlivostVyšší spolehlivost

Jazyková nezávislostJazyková nezávislost

ModularitaModularita

Komponenty OS Komponenty OS Windows Vista Windows Vista se instalují a spravují nezávislese instalují a spravují nezávisle

Common ComponentsCommon Components

Optional ComponentsOptional Components

Komponenty jsou základní Komponenty jsou základní jednotky pro distribuci popsané jednotky pro distribuci popsané vv XML XML

Zdroje (Zápisy v systém. Zdroje (Zápisy v systém. registru, soubory,…)registru, soubory,…)

Konfigurovatelné vlastnostiKonfigurovatelné vlastnosti

ZávislostiZávislosti

XML manifest XML manifest definuje definuje komponenty obsažené v komponenty obsažené v instalaciinstalaci

Komponenty Windows Vista

FileSystem

Net-working

MediaPlayer

Audio

Shell

Instalační skripty pro instalaci Instalační skripty pro instalaci WindowsWindows

Instalace Instalace Windows XP:Windows XP:

Více textových souborůVíce textových souborů (answer files) pro různé scénáře(answer files) pro různé scénáře

Zastaralá syntaxeZastaralá syntaxe

Nutno znát různé postupy a nástrojeNutno znát různé postupy a nástroje

Instalační skripty pro instalaci Instalační skripty pro instalaci WindowsWindows

Instalace Instalace Windows Vista:Windows Vista:

Jediný soubor s popisem instalaceJediný soubor s popisem instalace ((XML answer fileXML answer file))

Snadné zákaznické přizpůsobeníSnadné zákaznické přizpůsobení

Jediný nástrojJediný nástroj – System Image Manager – System Image Manager

System Image ManagerSystem Image Manager

Nástroj pro vytváření skriptových souborů automatizujících Nástroj pro vytváření skriptových souborů automatizujících WindowsWindows instalaci instalaci (unattend.xml)(unattend.xml)

Detekuje možná nastavení z instalačního vzoruDetekuje možná nastavení z instalačního vzoru

Zobrazí obsah distribučního místa obsahujícího balíčky, Zobrazí obsah distribučního místa obsahujícího balíčky, ovladače a aplikaceovladače a aplikace

Umožní provést veškerá nastavení, runonce příkazy Umožní provést veškerá nastavení, runonce příkazy

Plně skriptovatelné APIPlně skriptovatelné API

Off-line aktualizaceOff-line aktualizace

NovinkaNovinka!!

Windows PEWindows PE 2.0 2.0

Mini OS vybudovaný z Windows Vista komponentMini OS vybudovaný z Windows Vista komponent

Původně (Windows PE 1.0 – Windows XP nebo Windows Původně (Windows PE 1.0 – Windows XP nebo Windows Server 2003) vznikl jako náhrada DOS boot disketyServer 2003) vznikl jako náhrada DOS boot diskety

Vista – Windows PE 2.0Vista – Windows PE 2.0

Nástroj pro nasazení, obnovení a diagnostiku OS VistaNástroj pro nasazení, obnovení a diagnostiku OS Vista

Není náhrada OS VistaNení náhrada OS Vista

Omezení ve Win32 API, nelze instalovat .NET Framework, Omezení ve Win32 API, nelze instalovat .NET Framework, nefunkční služba Server, neumožňují běh 16bit aplikací (a nefunkční služba Server, neumožňují běh 16bit aplikací (a 32bit aplikací na Vista 64bit), restart každých 24 hodin, …32bit aplikací na Vista 64bit), restart každých 24 hodin, …

Windows PE 2.0 - cWindows PE 2.0 - cíle návrhuíle návrhu

VytvoVytvořřit oit odlehčený systémdlehčený systém

Malý OSMalý OS ((< 100 MB< 100 MB, , << 60 MB komprimovaný), rychlý boot 60 MB komprimovaný), rychlý boot

FlexibilníFlexibilní

Nástroje pro zákaznické úpravy imageNástroje pro zákaznické úpravy image

OOnn--line a offline a off--line driver injectionline driver injection, off-line aplikace, off-line aplikace aktualizací aktualizací a a SSPP

VýkonnýVýkonný

Multitasking, multithreadingMultitasking, multithreading

Obsahuje síťování, část Win32 API, standardní ovladačeObsahuje síťování, část Win32 API, standardní ovladače

Nástroje pro práci s diskyNástroje pro práci s disky, podpor, podporuu WMI, VBScript, VSH WMI, VBScript, VSH

DiskpartDiskpart, , DrvloadDrvload, , NetNet, , NetcfgNetcfg

Boot Boot z z DDVDVD, CD, , CD, USB, síťe, RAM diskuUSB, síťe, RAM disku

Scratch space in memory – aplikace mohou zapisovat dočasné Scratch space in memory – aplikace mohou zapisovat dočasné soubory při boot z CD/DVDsoubory při boot z CD/DVD

Scénáře využitíScénáře využití

Nasazení Windows VNasazení Windows Vista ista

IBS – Image-based setupIBS – Image-based setup

Každá instalace Windows Každá instalace Windows Vista Vista se instaluje pomocí se instaluje pomocí WinPEWinPE

Náhrada textové části instalaceNáhrada textové části instalace

WDS – Windows Deployment ServicesWDS – Windows Deployment Services

Náhrada technologie RISNáhrada technologie RIS

WinWinPEPE klient nastartuje klient nastartuje pomocí pomocí PXEPXE, připraví systém pro , připraví systém pro klonování a spustí klonováníklonování a spustí klonování

WinRE – Windows Recovery EnvironmentWinRE – Windows Recovery Environment

Aplikace založená na WinPE nastaruje z neviditelného Aplikace založená na WinPE nastaruje z neviditelného oddílu na disku nebo z výměnného médiaoddílu na disku nebo z výměnného média

Provede opravu instalace, Provede opravu instalace, system rollback, re-imagingsystem rollback, re-imaging, , ……

SMS v4 SMS v4 bude používat Vista bude používat Vista WinPE WinPE jako nástroj pro jako nástroj pro nasazení OSnasazení OS

Každý firemní zákazník který bude mít zakoupené Windows Každý firemní zákazník který bude mít zakoupené Windows Vista může používat Windows PEVista může používat Windows PE 2.02.0

http://www.microsoft.http://www.microsoft.comcom/technet//technet/windowsvistawindowsvista//deploydeploy//winpewinpe..mspxmspx






NAPNAP







Práce s informacemiPráce s informacemi

Nový uživatelský Nový uživatelský zážitekzážitek

Náhled, třídění a vyhledávání informacíNáhled, třídění a vyhledávání informací

Rychlejší vyhledávání až o 80%Rychlejší vyhledávání až o 80%

Žádné ztracené souboryŽádné ztracené soubory

Třídění dat pomocí nových intuitivních Třídění dat pomocí nových intuitivních nástrojůnástrojů

Moderní, jasný a profesionální vzhledModerní, jasný a profesionální vzhled

Snazší na ovládání – zvyšování Snazší na ovládání – zvyšování produktivity uživateleproduktivity uživatele

Přizpůsobení dle výkonu HWPřizpůsobení dle výkonu HW

Snadná spolupráce a sdíleníSnadná spolupráce a sdíleníSnazší a bezpečnější sdílení datSnazší a bezpečnější sdílení dat

Podpora připojení peer-to-peerPodpora připojení peer-to-peer

Online prezentace, data a Online prezentace, data a komunikacekomunikace

Platforma nové generacePlatforma nové generace

Rychlejší a snažší vývoj nových Rychlejší a snažší vývoj nových aplikacíaplikací

Mobilní přístup, synchronizace dat kdekoliv a kdykolivMobilní přístup, synchronizace dat kdekoliv a kdykolivBezpečné a snadné vyhledávání a využívání PC sítíBezpečné a snadné vyhledávání a využívání PC sítí

Automatická adaptace laptopů do sítíAutomatická adaptace laptopů do sítí

Jednotná synchronizace dat s různými zařízenímiJednotná synchronizace dat s různými zařízeními

Tvorba nových aplikací pomocí WinFXTvorba nových aplikací pomocí WinFX

Nové vývojářské možnosti: Windows Presentation Foundation Nové vývojářské možnosti: Windows Presentation Foundation (Avalon), Windows Communication Foundation (Indigo), (Avalon), Windows Communication Foundation (Indigo), Windows Workflow FoundationWindows Workflow Foundation

Propojení informací, aplikací a systémůPropojení informací, aplikací a systémůKompatibilita s existujícími aplikacemi Win32Kompatibilita s existujícími aplikacemi Win32

Podpora nejnovějšího SW, HW a služebPodpora nejnovějšího SW, HW a služeb

Windows Vista Windows Vista - časová osa- časová osa

ČervenecČervenec 2005 2005beta, beta,

zapojení ITzapojení IT

DubenDuben 200 20066 zapojení zapojení

koncových koncových uživatelůuživatelů

ZimaZima 2006 2006uvedení uvedení

produktu na produktu na trhtrh

Beta testování Windows Vista Beta testování Windows Vista http://www.microsoft.com/betaexperiencehttp://www.microsoft.com/betaexperience

Zdroje pro IT profesionályZdroje pro IT profesionályhttp://www.microsoft.com/technet/windowsvistahttp://www.microsoft.com/technet/windowsvista


Dotazy / atd…Dotazy / atd…


Date post:	20-Jan-2016
Category:	Documents
Upload:	harris
View:	32 times
Download:	0 times