Daniela Růžičková, daniela. ruzickova@microsoft Daniela Růžičková, daniela.ruzickova@microsoft.com Jan Dryml, jand@microsoft.com www.microsoft.com/cze/technet/

Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Efektivní správa, instalace a migrace Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

Windows XP – zabezpečení služeb Méně vrstev Většinou privilegované Ochrana mezi vrstvami omezena User Kernel Admin System Services

User Account Control (LUA) Low Privilege Services Windows Vista – zabezpečení služeb Defense-in-Depth: postupná a kontrolovaná izolace vrstev User Account Control (LUA) Přísnější hranice Low rights programs UAC User Low Privilege Services Admin Vyšší počet vrstev Oddělené služby Snížení počtu rizikových služeb System Services Svc 6 Service 1 Kernel D D D D D Service 2 D Service 3 Svc 7 User mode drivers D D D

User Account Protection UAP bývalé LUA (Limited User Accounts) Chráněné účty Chrání systém před uživatelem Uživatel nepotřebuje práva administrátora ve většině případů. Pokud k tomu dojde, tak: je požádán o poskytnutí správných pověření V případě pověřeného uživatele (např. Admina) se pracuje v neprivilegovaném módu a Admin musí potvrdit, že souhlasí s přechodem a použitím vyšších oprávnění Aplikace a nástroje pro správu by měly být připraveny na UAP Požadavek na elevaci Admin Std. user Změna práce a provozu aplikací ve Windows

Žádost o pověření - demo

Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Efektivní správa, instalace a migrace Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

Secure Startup a Volume Encryption (BitLocker) Poskytuje vyšší úroveň zabezpečení systému Windows. I v případě odcizení a přístupu z jiné instance operačního systému nedojde k odcizení dat. Navrženo specielně pro ochranu před odcizením, kdy útočník startuje pod jiným OS nebo spouští nástroje pro prolomení ochrany souborového systému Windows Secure Startup-FVE

Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Efektivní správa, instalace a migrace Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

Internet Explorer 7.0 Ve spojení s technologií UAP se plánují tyto změny v IE: Protected Mode (plánováno pro Vista Beta 2), dovolí IE fungovat jen pod omezenými právy (i v případě, že přihlášený uživatel má jiná práva - např. pro instalaci SW) “Read-only” mód – s výjimkouTemporary Internet Files, je IE chopen jen číst Phishing Filter bude obnovován každých pár hodin a bude se využívat globálních zdrojů Bude analyzovat webové stránky proti známým technikám pro krádež dat Všechna uložená data se smažou jedním kliknutím

Nedůvěryhodné soubory & nastavení IE7 - Protected Mode IE7 Protection Mode Compat Redirector Integrity Control Broker Process Přístup Admina Instalace ovladače, Instalace prvku ActiveX HKLM HKCR Program Files Přístup uživatele Změny nastavení, Uložení obrázku HKCU My Documents Startup Folder Přesměrování nastavení a souborů Temp Internet Files Nedůvěryhodné soubory & nastavení Obsah stránek v keši

Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Efektivní správa, instalace a migrace Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

Network Access Protection NAP NAP je technologie, která rozšiřuje původní VPN quarantine platí pro všechny klienty, není omezeno jen na přístup VPN spoléhá na NAP servery (v této chvíli “Longhorn”) Vy specifikujete pravidla pro: požadované hotfixy, antivirové signatury, instalované nebo zakázané aplikace, další vlastní podmínky …a systém vynutí přístup jen do povolených oblastí sítě. resp. nevyhovujícím klientům povolí jen přístup k updatům

Spolupráce NAP a SMS Klient má povolen plný přístup do intranetu. Firemní síť SMS server SMS server Ručím za klienta. Ano, splňuje politiku. Můžeš ručit za tohoto klienta? Splňuje naši politiku aktualizací? Mohu vstoupit? Aktualizace instalovány. Měl by být klient omezen na základě „zdraví“ systému? IAS Server a.k.a Radius server Client has NAP client (Windows Vista client) Přístup povolen. Klient Network Access Device (DHCP, VPN) IAS Server Klient má povolen plný přístup do intranetu.

Spolupráce NAP a SMS Klient má povolen plný přístup do intranetu. Firemní síť Síť s omezeným přístupem SMS server SMS server Zde je tvůj balíček s aktualizací. Požaduji balíček s aktualizací. Klient není aktualizován Vyřiď mu že si má nainstalovat aktualizace. Ručím za klienta. Ano, splňuje politiku. Můžeš ručit za tohoto klienta? Splňuje naši politiku aktualizací? Mohu vstoupit? Aktualizace instalovány. Mohu vstoupit? Aktualizace nejsou instalovány. Měl by být klient omezen na základě „zdraví“ systému? This is the guts of NAP regardless of whether or not SMS is installed. This will be in the hands of MSIT in the fall. Máš povolený omezený přístup dokud nebudou instalovány aktualizace. Klient je v karanténě, nutno instalovat aktualizace. Přístup povolen. Klient Network Access Device (DHCP, VPN) IAS server Klient má povolen plný přístup do intranetu.

Skupinová politika dnes Široce využívaná technologie… Zákazníci kteří používají služby Active Directory využívají také Skupinovou politiku 90%+ velké organizace 60%+ střední organizace Široké možnosti nastavení OS a aplikací Více než 1800 registry-based nastavení Další v oblastech zabezpečení, IE atd. Zákazníci požadují další možnosti nastavení pomocí skupinové politiky

Výměnná datová úložiště Představují vážný bezpečnostní problém USB klíče, MP3 přehrávače, CD/DVD vypalovačky Skupinová politika (per Computer a per User) Lze nastavit zákaz instalace zařízení Lze nastavit přístup (Read, Write a Execute) Třídy Removable Storage Device CD/DVD Pásky USB zařízení Windows Portable Devices (WPD) Další externí výměnná zařízení Terminálový provoz – nastavení pouze per Computer

Windows Firewall a IPsec Inteligentnější firewall Specifikace povolených aplikací a portů Definovat „bezpečná“ připojení – bypass firewall Povolit připojení pouze ze specifických skupin Active directory Vynucená izolace Omezení přístupu k síťovým zdrojům při nesplnění podmínek Jednoduchá správa Jednotná konzola pro nastavení Windows Firewall a IPsec Omezení duplicit

Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Efektivní správa, instalace a migrace Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

Současná situace - výzvy Klonování je nejvíce používaná a doporučená metoda nasazení OS Současné výzvy Snížení počtu vzorů pro klonování (images) Ve Windows neexistuje standardní formát pro uložení vzoru RIS, ADS, XPe, SMS OSD Různé soubory pro automatizaci instalace (unattend/answer files) Obtížná údržba vzorů pro klonování Malé využití Windows PE u zákazníků

Windows Imaging Cíle návrhu Vytvořit jednotný formát pro nasazení Windows OS Formát nezávislý na architektuře, fungující napříč HW platformami které jsou podporovány OS Windows Nezávislý na OS Snížení nároků na diskový prostor Umožnit nedestruktivní aplikaci OS

Windows Imaging Základní komponenty Windows Imaging Format (WIM) Obsahuje strukturu souborů Install.wim a boot.wim Nástroje Nástroje (Ximage pro manipulaci s WIM soubory) API API které umožňuje vytvářet nástroje pro manipulaci s WIM soubory Podpůrné technologie File system filters (WIM FS Filter), boot filters atd.

Nové vlastnosti Windows Imaging Modularita Založený na souborech HW nezávislý Různé cílové HDD Nedestruktivní upgrade Několik instalací OS v jediném WIM souboru Každý soubor se vyskytuje ve WIM jen jednou Komprese – malá velikost WIM Bootovatelný Snadná offline správa WIM – vysoká flexibilita Soubor lze rozdělit na více medií (CD, DVD) Snadné přidávání/ubírání dalších komponent – ovladačů, oprav, jazykových modulů,… Snadné přizpůsobování instalací potřebám zákazníka Vyšší spolehlivost Jazyková nezávislost

Komponenty Windows Vista Modularita Komponenty Windows Vista Komponenty OS Windows Vista se instalují a spravují nezávisle Common Components Optional Components Komponenty jsou základní jednotky pro distribuci popsané v XML Zdroje (Zápisy v systém. registru, soubory,…) Konfigurovatelné vlastnosti Závislosti XML manifest definuje komponenty obsažené v instalaci Shell File System Net- working Media Player Audio

Instalační skripty pro instalaci Windows Instalace Windows XP: Více textových souborů (answer files) pro různé scénáře Zastaralá syntaxe Nutno znát různé postupy a nástroje

Instalační skripty pro instalaci Windows Instalace Windows Vista: Jediný soubor s popisem instalace (XML answer file) Snadné zákaznické přizpůsobení Jediný nástroj – System Image Manager

Fáze klonové instalace Off-line WinPE On-line konfigurace (Generalize/ Specialize) První boot nového OS (AuditSystem/ AuditUser) OOBE OOBE nastavení Přijmutí EULA Registrace Jméno systému Vytvoření uživatelů Nastavení konektivity Regionální nastavení Přidávání balíčků Aktualizace Ovladače Zadávání dat Výběr instalace Příprava disku Aplikace image Příprava pro boot Konfigurace komponent Boot do základního OS Aplikace licenčních souborů Konfigurace “Unattend.xml” Common components Optional Components Vytvoření „unikátního“ systému Využívá se SysPrep

System Image Manager Novinka! Nástroj pro vytváření skriptových souborů automatizujících Windows instalaci (unattend.xml) Detekuje možná nastavení z instalačního vzoru Zobrazí obsah distribučního místa obsahujícího balíčky, ovladače a aplikace Umožní provést veškerá nastavení, runonce příkazy Plně skriptovatelné API Off-line aktualizace

Windows PE 2.0 Mini OS vybudovaný z Windows Vista komponent Původně (Windows PE 1.0 – Windows XP nebo Windows Server 2003) vznikl jako náhrada DOS boot diskety Vista – Windows PE 2.0 Nástroj pro nasazení, obnovení a diagnostiku OS Vista Není náhrada OS Vista Omezení ve Win32 API, nelze instalovat .NET Framework, nefunkční služba Server, neumožňují běh 16bit aplikací (a 32bit aplikací na Vista 64bit), restart každých 24 hodin, …

Windows PE 2.0 - cíle návrhu Vytvořit odlehčený systém Malý OS (< 100 MB, < 60 MB komprimovaný), rychlý boot Flexibilní Nástroje pro zákaznické úpravy image On-line a off-line driver injection, off-line aplikace aktualizací a SP Výkonný Multitasking, multithreading Obsahuje síťování, část Win32 API, standardní ovladače Nástroje pro práci s disky, podporu WMI, VBScript, VSH Diskpart, Drvload, Net, Netcfg Boot z DVD, CD, USB, síťe, RAM disku Scratch space in memory – aplikace mohou zapisovat dočasné soubory při boot z CD/DVD

Scénáře využití Nasazení Windows Vista IBS – Image-based setup Každá instalace Windows Vista se instaluje pomocí WinPE Náhrada textové části instalace WDS – Windows Deployment Services Náhrada technologie RIS WinPE klient nastartuje pomocí PXE, připraví systém pro klonování a spustí klonování WinRE – Windows Recovery Environment Aplikace založená na WinPE nastaruje z neviditelného oddílu na disku nebo z výměnného média Provede opravu instalace, system rollback, re-imaging, … SMS v4 bude používat Vista WinPE jako nástroj pro nasazení OS Každý firemní zákazník který bude mít zakoupené Windows Vista může používat Windows PE 2.0 http://www.microsoft.com/technet/windowsvista/deploy/winpe.mspx

Spolehlivost a kontrola Spuštění, provoz a vyšší bezpečnost Chráněné uživatelské účty HW ochrana dat Anti-spyware, IE 7.0 NAP Efektivní správa, instalace a migrace Instalace bezpečnostních záplat vyžaduje o 50% méně restartů Snížení počtu instalačních „image“ Rychlejší migrace uživatelských účtů Vysoký výkon a stabilita Odpověď na úkoly s nejvyšší prioritou Rychlejší spuštění a probuzení PC Diagnostika a řešení HW, SW problémů za běhu

Práce s informacemi Náhled, třídění a vyhledávání informací Rychlejší vyhledávání až o 80% Žádné ztracené soubory Třídění dat pomocí nových intuitivních nástrojů Snadná spolupráce a sdílení Snazší a bezpečnější sdílení dat Podpora připojení peer-to-peer Online prezentace, data a komunikace Nový uživatelský zážitek Moderní, jasný a profesionální vzhled Snazší na ovládání – zvyšování produktivity uživatele Přizpůsobení dle výkonu HW

Platforma nové generace Mobilní přístup, synchronizace dat kdekoliv a kdykoliv Bezpečné a snadné vyhledávání a využívání PC sítí Automatická adaptace laptopů do sítí Jednotná synchronizace dat s různými zařízeními Propojení informací, aplikací a systémů Kompatibilita s existujícími aplikacemi Win32 Podpora nejnovějšího SW, HW a služeb Rychlejší a snažší vývoj nových aplikací Tvorba nových aplikací pomocí WinFX Nové vývojářské možnosti: Windows Presentation Foundation (Avalon), Windows Communication Foundation (Indigo), Windows Workflow Foundation

Windows Vista - časová osa Červenec 2005 beta, zapojení IT Duben 2006 zapojení koncových uživatelů Zima 2006 uvedení produktu na trh

Beta testování Windows Vista http://www. microsoft Beta testování Windows Vista http://www.microsoft.com/betaexperience Zdroje pro IT profesionály http://www.microsoft.com/technet/windowsvista www.microsoft.com/cze/technet/

Dotazy / atd… www.microsoft.com/cze/technet/