Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Daniela Růžičková, Jan Dryml, Daniela Růžičková,

Podobné prezentace


Prezentace na téma: "Daniela Růžičková, Jan Dryml, Daniela Růžičková,"— Transkript prezentace:

1 Daniela Růžičková, Jan Dryml, Daniela Růžičková, Jan Dryml,

2 Spolehlivost a kontrola Efektivní správa, instalace a migrace Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

3 Windows XP – zabezpečení služeb User Kernel Admin System Services 1. 1.Méně vrstev 2. 2.Většinou privilegované 3. 3.Ochrana mezi vrstvami omezena

4 Windows Vista – zabezpečení služeb Defense-in-Depth: postupná a kontrolovaná izolace vrstev System Services D D D User Account Control (LUA) Přísnější hranice Admin Service 1 D D D Kernel Service 2 Service 3 D D D Low Privilege Services Low rights programs 1. 1.Vyšší počet vrstev 2. 2.Oddělené služby 3. 3.Snížení počtu rizikových služeb UAC User Svc 6 Svc 7 User mode drivers

5 User Account Protection UAP bývalé LUA (Limited User Accounts) 1. Chrání systém před uživatelem 2. Uživatel nepotřebuje práva administrátora ve většině případů. Pokud k tomu dojde, tak: je požádán o poskytnutí správných pověření 3. V případě pověřeného uživatele (např. Admina) se pracuje v neprivilegovaném módu a Admin musí potvrdit, že souhlasí s přechodem a použitím vyšších oprávnění 4. Aplikace a nástroje pro správu by měly být připraveny na UAP Chráněné účty Admin Std. user Požadavek na elevaci Změna práce a provozu aplikací ve Windows

6 Žádost o pověření - demo

7 Spolehlivost a kontrola Efektivní správa, instalace a migrace Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

8 Secure Startup a Volume Encryption (BitLocker) Poskytuje vyšší úroveň zabezpečení systému Windows. I v případě odcizení a přístupu z jiné instance operačního systému nedojde k odcizení dat. Navrženo specielně pro ochranu před odcizením, kdy útočník startuje pod jiným OS nebo spouští nástroje pro prolomení ochrany souborového systému Windows Secure Startup-FVE Secure Startup-FVE

9 Spolehlivost a kontrola Efektivní správa, instalace a migrace Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

10 Internet Explorer 7.0 Ve spojení s technologií UAP se plánují tyto změny v IE: Protected Mode (plánováno pro Vista Beta 2), dovolí IE fungovat jen pod omezenými právy (i v případě, že přihlášený uživatel má jiná práva - např. pro instalaci SW) “Read-only” mód – s výjimkouTemporary Internet Files, je IE chopen jen číst Phishing Filter bude obnovován každých pár hodin a bude se využívat globálních zdrojů Bude analyzovat webové stránky proti známým technikám pro krádež dat Všechna uložená data se smažou jedním kliknutím

11 IE7 - Protected Mode IE7 Protection Mode IE7 Protection Mode Instalace ovladače, Instalace prvku ActiveX Změny nastavení, Uložení obrázku Integrity Control Broker Process Přesměrování nastavení a souborů Compat Redirector Obsah stránek v keši Přístup Admina Přístup uživatele Temp Internet Files HKLM HKCR Program Files HKCU My Documents Startup Folder Nedůvěryhodné soubory & nastavení

12 Spolehlivost a kontrola Efektivní správa, instalace a migrace Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

13 Network Access Protection NAP NAP je technologie, která rozšiřuje původní VPN quarantine platí pro všechny klienty, není omezeno jen na přístup VPN spoléhá na NAP servery (v této chvíli “Longhorn”) Vy specifikujete pravidla pro: požadované hotfixy, antivirové signatury, instalované nebo zakázané aplikace, další vlastní podmínky …a systém vynutí přístup jen do povolených oblastí sítě. resp. nevyhovujícím klientům povolí jen přístup k updatům

14 Spolupráce NAP a SMS IAS Server Klient Network Access Device (DHCP, VPN) SMS server Mohu vstoupit? Aktualizace instalovány. Měl by být klient omezen na základě „zdraví“ systému? Můžeš ručit za tohoto klienta? Splňuje naši politiku aktualizací? Firemní síť Ručím za klienta. Ano, splňuje politiku. Přístup povolen. Klient má povolen plný přístup do intranetu.

15 Spolupráce NAP a SMS IAS server Klient Network Access Device (DHCP, VPN) SMS server Mohu vstoupit? Aktualizace nejsou instalovány. Měl by být klient omezen na základě „zdraví“ systému? Můžeš ručit za tohoto klienta? Splňuje naši politiku aktualizací? Klient není aktualizován Vyřiď mu že si má nainstalovat aktualizace. Máš povolený omezený přístup dokud nebudou instalovány aktualizace. Požaduji balíček s aktualizací. Zde je tvůj balíček s aktualizací. Mohu vstoupit? Aktualizace instalovány. Klient je v karanténě, nutno instalovat aktualizace. Firemní síť Síť s omezeným přístupem Ručím za klienta. Ano, splňuje politiku. Přístup povolen. Klient má povolen plný přístup do intranetu.

16 Skupinová politika dnes Široce využívaná technologie… Zákazníci kteří používají služby Active Directory využívají také Skupinovou politiku 90%+ velké organizace 60%+ střední organizace Široké možnosti nastavení OS a aplikací Více než 1800 registry-based nastavení Další v oblastech zabezpečení, IE atd. Zákazníci požadují další možnosti nastavení pomocí skupinové politiky

17 Výměnná datová úložiště Představují vážný bezpečnostní problém USB klíče, MP3 přehrávače, CD/DVD vypalovačky Skupinová politika (per Computer a per User) Lze nastavit zákaz instalace zařízení Lze nastavit přístup (Read, Write a Execute) Třídy Removable Storage Device CD/DVDPásky USB zařízení Windows Portable Devices (WPD) Další externí výměnná zařízení Terminálový provoz – nastavení pouze per Computer

18 Windows Firewall a IPsec Jednotná konzola pro nastavení Windows Firewall a IPsec Omezení duplicit Omezení přístupu k síťovým zdrojům při nesplnění podmínek Jednoduchá správa Vynucená izolace Inteligentnější firewall Specifikace povolených aplikací a portů Definovat „bezpečná“ připojení – bypass firewall Povolit připojení pouze ze specifických skupin Active directory

19 Spolehlivost a kontrola Efektivní správa, instalace a migrace Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

20 Současná situace - výzvy Klonování je nejvíce používaná a doporučená metoda nasazení OS Současné výzvy Snížení počtu vzorů pro klonování (images) Ve Windows neexistuje standardní formát pro uložení vzoru RIS, ADS, XPe, SMS OSD Různé soubory pro automatizaci instalace (unattend/answer files) Obtížná údržba vzorů pro klonování Malé využití Windows PE u zákazníků

21 Windows Imaging Cíle návrhu Vytvořit jednotný formát pro nasazení Windows OS Formát nezávislý na architektuře, fungující napříč HW platformami které jsou podporovány OS Windows Nezávislý na OS Snížení nároků na diskový prostor Umožnit nedestruktivní aplikaci OS

22 Windows Imaging Základní komponenty Windows Imaging Format (WIM) Obsahuje strukturu souborů Install.wim a boot.wim Nástroje Nástroje (Ximage pro manipulaci s WIM soubory) API API které umožňuje vytvářet nástroje pro manipulaci s WIM soubory Podpůrné technologie File system filters (WIM FS Filter), boot filters atd.

23 Windows Imaging Nové vlastnosti Modularita Založený na souborech HW nezávislý Různé cílové HDD Nedestruktivní upgrade Několik instalací OS v jediném WIM souboru Každý soubor se vyskytuje ve WIM jen jednou Komprese – malá velikost WIM Bootovatelný Snadná offline správa WIM – vysoká flexibilita Soubor lze rozdělit na více medií (CD, DVD) Snadné přidávání/ubírání dalších komponent – ovladačů, oprav, jazykových modulů,… Snadné přizpůsobování instalací potřebám zákazníka Vyšší spolehlivost Jazyková nezávislost

24 Modularita Komponenty OS Windows Vista se instalují a spravují nezávisle Common Components Optional Components Komponenty jsou základní jednotky pro distribuci popsané v XML Zdroje (Zápisy v systém. registru, soubory,…) Konfigurovatelné vlastnosti Závislosti XML manifest definuje komponenty obsažené v instalaci Komponenty Windows Vista File System Net- working Media Player Audio Shell

25 Instalační skripty pro instalaci Windows Instalace Windows XP: Více textových souborů (answer files) pro různé scénáře Zastaralá syntaxe Nutno znát různé postupy a nástroje

26 Instalační skripty pro instalaci Windows Instalace Windows Vista: Jediný soubor s popisem instalace (XML answer file) Snadné zákaznické přizpůsobení Jediný nástroj – System Image Manager

27 Fáze klonové instalace Off-line WinPE On-line konfigurace(Generalize/Specialize) První boot nového OS (AuditSystem/AuditUser)OOBE Zadávání datZadávání dat Výběr instalaceVýběr instalace Příprava diskuPříprava disku Aplikace imageAplikace image Příprava pro bootPříprava pro boot OOBE nastavení Přijmutí EULA Přijmutí EULA Registrace Registrace Jméno systémuJméno systému Vytvoření uživatelůVytvoření uživatelů Nastavení konektivity Nastavení konektivity Regionální nastavení Regionální nastavení Konfigurace komponentKonfigurace komponent Boot do základního OSBoot do základního OS Aplikace licenčních souborůAplikace licenčních souborů KonfiguraceKonfigurace “Unattend.xml”“Unattend.xml” Common componentsCommon components Optional ComponentsOptional Components Vytvoření „unikátního“ systémuVytvoření „unikátního“ systému Využívá se SysPrep Využívá se SysPrep Přidávání balíčkůPřidávání balíčků AktualizaceAktualizace OvladačeOvladače

28 System Image Manager Nástroj pro vytváření skriptových souborů automatizujících Windows instalaci (unattend.xml) Detekuje možná nastavení z instalačního vzoru Zobrazí obsah distribučního místa obsahujícího balíčky, ovladače a aplikace Umožní provést veškerá nastavení, runonce příkazy Plně skriptovatelné API Off-line aktualizace Novinka!

29 Windows PE 2.0 Mini OS vybudovaný z Windows Vista komponent Původně (Windows PE 1.0 – Windows XP nebo Windows Server 2003) vznikl jako náhrada DOS boot diskety Vista – Windows PE 2.0 Nástroj pro nasazení, obnovení a diagnostiku OS Vista Není náhrada OS Vista Omezení ve Win32 API, nelze instalovat.NET Framework, nefunkční služba Server, neumožňují běh 16bit aplikací (a 32bit aplikací na Vista 64bit), restart každých 24 hodin, …

30 Windows PE cíle návrhu Vytvořit odlehčený systém Malý OS (< 100 MB, < 60 MB komprimovaný), rychlý boot Flexibilní Nástroje pro zákaznické úpravy image On-line a off-line driver injection, off-line aplikace aktualizací a SP Výkonný Multitasking, multithreading Obsahuje síťování, část Win32 API, standardní ovladače Nástroje pro práci s disky, podporu WMI, VBScript, VSH Diskpart, Drvload, Net, Netcfg Boot z DVD, CD, USB, síťe, RAM disku Scratch space in memory – aplikace mohou zapisovat dočasné soubory při boot z CD/DVD

31 Scénáře využití Nasazení Windows Vista IBS – Image-based setup Každá instalace Windows Vista se instaluje pomocí WinPE Náhrada textové části instalace WDS – Windows Deployment Services Náhrada technologie RIS WinPE klient nastartuje pomocí PXE, připraví systém pro klonování a spustí klonování WinRE – Windows Recovery Environment Aplikace založená na WinPE nastaruje z neviditelného oddílu na disku nebo z výměnného média Provede opravu instalace, system rollback, re-imaging, … SMS v4 bude používat Vista WinPE jako nástroj pro nasazení OS Každý firemní zákazník který bude mít zakoupené Windows Vista může používat Windows PE 2.0

32 Spolehlivost a kontrola Efektivní správa, instalace a migrace Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

33 Práce s informacemi Nový uživatelský zážitek Náhled, třídění a vyhledávání informací Rychlejší vyhledávání až o 80% Žádné ztracené soubory Třídění dat pomocí nových intuitivních nástrojů Moderní, jasný a profesionální vzhled Snazší na ovládání – zvyšování produktivity uživatele Přizpůsobení dle výkonu HW Snadná spolupráce a sdílení Snazší a bezpečnější sdílení dat Podpora připojení peer-to-peer Online prezentace, data a komunikace

34 Platforma nové generace Rychlejší a snažší vývoj nových aplikací Mobilní přístup, synchronizace dat kdekoliv a kdykoliv Bezpečné a snadné vyhledávání a využívání PC sítí Automatická adaptace laptopů do sítí Jednotná synchronizace dat s různými zařízeními Tvorba nových aplikací pomocí WinFX Nové vývojářské možnosti: Windows Presentation Foundation (Avalon), Windows Communication Foundation (Indigo), Windows Workflow Foundation Propojení informací, aplikací a systémů Kompatibilita s existujícími aplikacemi Win32 Podpora nejnovějšího SW, HW a služeb

35 Windows Vista - časová osa Červenec 2005 beta, zapojení IT Duben 2006 zapojení koncových uživatelů Zima 2006 uvedení produktu na trh

36 Beta testování Windows Vista Zdroje pro IT profesionály

37 Dotazy / atd…


Stáhnout ppt "Daniela Růžičková, Jan Dryml, Daniela Růžičková,"

Podobné prezentace


Reklamy Google