Windows 7

[Better together]
Failover Clusters BranchCache

PowerShell 2.0

Active Directory

Bitlocker2Go

MDT 2010

Offline Files

AppLocker

Strona | 1

DirectAccess

Group Policy

Pocztkowo mia nazw Blackcomb; w roku 2007 ogoszono nazw kodow Windows 7, wkrtce potem oznajmiono, i pod t nazw system ukae si rwnie oficjalnie. wiat po raz pierwszy usysza to w lutym roku 2000. Nazwa ta bya pocztkowo przeznaczona dla nastpcy Microsoft Windows XP, ktry mia zosta wydany pod koniec roku 2002. Windows 7 planowany by w wersjach serwerowej oraz dla stacji roboczych, jednake w sierpniu roku 2001 wydanie tego systemu zostao przesunite na lata 2003 - 2004, a nastpc Microsoft Windows XP oficjalnie zosta Microsoft Windows Vista, okrelany wtedy nazw kodow Longhorn. Windows 7 jest oznaczony nazw kodow "Windows NT 6.1". Oznaczenie to ma na celu zwikszenie kompatybilnoci programw napisanych na poprzednie wersje systemu z Windows 7.

Windows Server 2008 R2 nazwa nowego systemu operacyjnego Microsoftu z linii Windows Server. Windows Server 2008 R2 jest nastpc systemu Windows Server 2008. Oficjalna premiera Windows Server 2008 R2 zaplanowana jest na 22 padziernika 2009, mimo e system osign status RTM (gotowy do produkcji) ju 22 lipca 2009 roku. Pocztkowo istniay plotki, e nazwa bdzie brzmie Windows Server 7, ale ostatecznie system nazwano 2008 R2. Jest to pierwszy system Microsoftu wydany tylko w wersji 64 bitowej.

Strona | 2

Contents
1 Zaawansowana instalacja Windows 7 ..........................................................................................5 1.1 1.2 1.3 Wymagania systemowe .......................................................................................................5 Instalacja z nonikw USB ....................................................................................................5 Windows XP vs. Windows Vista/Windows 7.........................................................................6 Windows XP.................................................................................................................6 Windows Vista .............................................................................................................6 Windows 7...................................................................................................................6

1.3.1 1.3.2 1.3.3 2

System Windows 7 ......................................................................................................................7 2.1 2.2 Edycje Windows 7 ...............................................................................................................7 Zgodnod aplikacji oraz rozwizywanie problemw ze zgodnoci .......................................8 Dostpne narzdzia .....................................................................................................8

2.2.1 2.3 2.4

Co to jest rodowisko Aero? ................................................................................................9 Zmiany w interfejsie ..........................................................................................................11 Zarzdzanie urzdzeniami ..........................................................................................18 UAC ...........................................................................................................................21

2.4.1 2.4.2 2.5

BitLocker oraz BitLocker2Go ..............................................................................................28 BitLocker2 Go ............................................................................................................35

2.5.1 2.6

Microsoft Windows Virtual PC ...........................................................................................39 Wymagania Windows Virtual PC ................................................................................40 Pierwsze kroki w Windows Virtual PC.........................................................................41 Wsparcie dla USB i drukarek ......................................................................................44

2.6.1 2.6.2 2.6.3 2.7 2.8 3

Tryb XP i publikacja aplikacji ...........................................................................................45 Internet Explorer 8 ............................................................................................................47

Razem lepiej..............................................................................................................................51 3.1 3.2 3.3 3.4 3.5 Zarzdzanie serwerem z konsoli Windows 7 ......................................................................51 Przyczenie offline do domeny .........................................................................................51 Group Policy ......................................................................................................................55 AppLocker .........................................................................................................................61 Podstawy MDT 2008/2010 ................................................................................................70 Cykl ycia systemu operacyjnego................................................................................71 Platforma Microsoft Deployment Toolkit ...................................................................71 Desktop Deployment Planning Services......................................................................74

3.5.1 3.5.2 3.5.3

Strona | 3

3.5.4 3.6 3.7 3.8

Narzdzie DISM.exe ...................................................................................................74

Branch Cache.....................................................................................................................75 Direct Access .....................................................................................................................76 Wirtualizacja......................................................................................................................77 Technologie Wirtualizacji Microsoft ...........................................................................77

3.8.1 3.9

Windows Server Terminal Services ....................................................................................78 Wirtualizacja systemu Windows Server przegld funkcji ..........................................80 Architektura wirtualizacji systemu Windows Server ...................................................80 Wirtualizacja sprztowa .............................................................................................81 Architektura 64-bitowa ..............................................................................................81 Wsparcie dla 64-bitowych systemw komputerw wirtualnych .................................82 Podstawowe narzdzia do planowania wasnej wirtualnej infrastruktury ...................82 Okrelenie zastosowao ..............................................................................................85 Zalecenia dotyczce pooenia serwera......................................................................86 Konfiguracja maszyny wirtualnej ................................................................................86 Ograniczenia ..............................................................................................................88 Wymagania................................................................................................................90 Wirtualizacja - podsumowanie ...................................................................................91

3.9.2 3.9.3 3.9.4 3.9.5 3.9.6 3.9.7 3.9.8 3.9.9 3.9.10 3.9.11 3.9.12 3.9.13 3.10 4 5

Nowoci w klastrach ..........................................................................................................94

rda .......................................................................................................................................95 Index rysunkw .........................................................................................................................96

Strona | 4

1 Zaawansowana instalacja Windows 7

1.1 Wymagania systemowe
Procesor Pamid RAM Karta graficzna Pamid VRAM Ilod wolnego miejsca na twardym dysku Dodatkowo: Windows Touch dla Tablet PC wymaga specyficznego sprztu HomeGroup wymaga innych komputerw w sieci z Windows 7 Dla rozwizania BitLocker potrzebny jest Trusted Platform Module (TPM) 1.2 BitLocker To Go wymaga klucza USB Windows XP Mode wymaga dodatkowego 1 GB RAM, 15 GB wolnego miejsca na dysku oraz procesor umoliwiajcy wirtualizacj sprztow - Intel VT or AMD-V 1 GHz x86 lub szybszy lub x64 1 GB (32-bit) / 2 GB (64-bit) DirectX 9.0, WDDM 1.0 lub lepszy 128 MB 16 GB (32-bit) / 20 GB (64-bit)

1.2 Instalacja z nonikw USB

Umieszczenie instalacji systemu Windows 7 na miniaturowym dysku USB ma kilka zalet niewielki dysk USB jest znacznie wygodniejszy do przenoszenia, ni dysk DVD, instalacja systemu operacyjnego trwa znacznie krcej i dysk USB moe byd uywany do instalowania systemu Windows 7 na komputerach, ktre nie maj napdu DVD, takich jak niektre komputery przenone. W rzeczywistoci system Windows 7 moe byd nawet instalowany na komputerach przenonych, ktre maj dod skromne wyposaenie sprztowe. Dennis Chung (IT Pro Evangelist w firmie Microsoft) niedawno zaprezentowa wideo demonstrujce, jak prosto mona przygotowad dysk i uywad go do instalowania systemu Windows 7. Poniej przestawiono krtki przegld tego procesu: Po pierwsze potrzebne jest narzdzie DiskPart w systemie, ktry bdzie uywany do przygotowania miniaturowego dysku. Jest to darmowe narzdzie partycjonowania dysku, ktre prawdopodobnie ju jest zainstalowane w uywanym systemie Windows. Jeli nie, narzdzie DiskPart mona pobrad ze stron Microsoft. Uruchomid narzdzie DiskPart, wpisujc diskpart w menu Start. Uruchomid polecenie list disk, aby sprawdzid stan dysku. Uruchomid polecenie select disk 1, gdzie 1" jest liczb, ktra rzeczywicie odpowiada dyskowi USB. Uruchomid polecenie clean. Po wyczyszczeniu dysku miniaturowego uruchomid polecenie create partition primary.

Strona | 5

Aktywowad partycj wpisujc polecenie active Nastpnie trzeba skonfigurowad system plikw za pomoc formatu Fat32, uruchamiajc polecenie format fs=fat32 quick (opcja quick specyfikuje, e wykonywany bdzie szybki format, co przyspiesza proces). Wprowadzid polecenie assign, nadajc dyskowi USB liter, co uatwia uzyskiwanie dostpu w programie Windows Explorer Nastpnie naley skopiowad wszystko z instalacyjnego dysku DVD systemu Windows 7 do dysku USB (na przykad poprzez proste przecignicie i upuszczenie). Teraz naley umiecid dysk miniaturowy w komputerze, na ktrym ma byd zainstalowany system Windows 7, i przeprowadzid rozruch tego komputera. Przebieg instalacji jest typowy, ale proces trwa krcej.

Powysza procedura demonstrowana jest za pomoc nagrania wideo prezentowanego przez Dennisa Chung.

1.3 Windows XP vs. Windows Vista/Windows 7

MDT nie jest narzdziem nowym podczas rozwijania wersji Windows XP tworzona bya platforma pod nazw Business Desktop Deployment, wykorzystujc w wczesnym czasie RIS oraz SMS2003. MDT budowane jest z myl o zupenie nowej architekturze systemu Windows Vista, ktra radykalnie zmienia sposb i moliwoci wdraania systemw operacyjnych. 1.3.1 Windows XP

Windows XP tworzony by z myl o procesie instalacji z plikw, a sam system by tworzony w czasach, gdy nie mwio si jeszcze o wirtualizacji ani o edycji w trybie offline. 1.3.2 Windows Vista

Windows Vista powsta od razu z myl o nowych technologiach i przygotowany by z myl zarwno o wirtualizacji jak i manipulacji systemem w postaci dysku. Instalator Windows Vista to de facto plik obrazu gotowego systemu, przygotowanego narzdziem sysprep. Instalacja polega na nagraniu obrazu na dysk i uruchomieniu procesu konfiguracji. Ponadto architektura Windows Vista zostaa skomponentyzowana, dziki czemu moliwe jest atwe dodawanie/usuwanie komponentw systemu [aka Windows Features]. Oba te fakty przekadaj si na przystosowanie systemu do tzw. offline servicing, czyli moliwoci dokonywania czynnoci utrzymania *maintenance+ wyczonego systemu. Przez wyczony system ma si na myli gwnie pliki instalacyjne wim, do ktrych mona dodawad sterowniki, usuwad pewne komponenty, atwo dodawad/usuwad pliki czy *w ograniczony sposb+ cae aplikacje. W przypadku systemw serwerowych ma to z kolei olbrzymie znaczenie ze wzgldu na coraz szersze zastosowanie wirtualizacji, gdzie systemy s atwo dostpne w postaci plikw vhd. 1.3.3 Windows 7

Windows 7 rozwija wymienione moliwoci dodatkowo uatwiajc proces wdroenia. Oto skrcona lista zmian dotyczcych procesu wdroenia *deployment+ w Windows 7: Strona | 6

zmiany w procesie setupu takie jak np. przeniesienie ekranu rejestracji klucza na koniec instalacji, automatyczne tworzenie ukrytej partycji dla BitLocker, zmiany w ekranach konfiguracji tak, aby byy bardziej czytelne i zrozumiae natywne wsparcie dyskw vhd przez system modyfikacje w obsudze plikw wim, w tym w narzdziu imagex, dziki czemu operacje s duo szybsze i moliwa jest praca na kilku dyskach na raz. wprowadzenie jednego, spjnego narzdzia DISM w zamian za kilka narzdzi dla vista peimg, pkgmgr, intlcfg. modyfikacje w WinPE przyspieszajce dziaanie, oraz zawarcie DISM w pakiecie zwikszenie moliwoci User State Migration Tool, Application Compatibility Toolkit oraz Microsoft Assessment and Planning Toolkit

Dodatkowo zmodyfikowana zostaa usuga WDS w Windows Server 2008 R2, wprowadzajc nastpujce modyfikacje: Multicast with Multiple Stream Transfer - wielostrumieniowe transmisje multicast dziki ktrym klienci z mniejsz przepustowoci mog przeczyd si na wolniejsze strumienie nie ograniczajc czasu instalacji szybszych maszyn Dynamic Driver Provisioning moliwod dynamicznego wyboru sterownikw, znajdujcych si na serwerze WDS podczas instalacji WDS VHD Native Boot moliwod wrzucenia pliku vhd z Windows 7 na istniejcy system i uruchomienia z niego systemu

Wszystkie te zmiany opisane s bardzo oglnie tak, aby pokazad i caa platforma w tym sam system operacyjny - rozwija si, dajc coraz to nowsze moliwoci i uatwiajc proces wdroenia i migracji. Ciekawe informacje na temat zastosowania MDT 2010 mona znaled tutaj: http://blog.augustoalvarez.com.ar/2009/02/02/microsoft-deployment-toolkit-2010-beta-1-usingmdt-to-prepare-install-and-capture-customized-windows-7-images-part-iii/

2 System Windows 7
2.1 Edycje Windows 7
Ponisza tabela przedstawia edycje systemu Windows 7 (na podstawie microsoft.com oraz Wikipedia). Edycja Windows Starter 7 Opis Podstawowe zastosowanie domowe HomeGroup (uatwienia w udostpnianiu danych w sieci domowej) Nie ma moliwoci zmiany tapety Nie ma Windows Media Center (nie jest Dostpnod Rynki krajw rozwijajcych si (niedostpny w USA, Europie Zachodniej, Japonii itp.). Dostarczany

Strona | 7

moliwe odtwarzanie DVD)

wycznie komputerami i ograniczony konkretnych sprztu.

z nowymi do modeli

Windows 7 Home Premium

Cay wiat Podstawowe zastosowania domowe Obsuga Aero Multi-touch rozumienie dotyku ekranu (wymaga specjalistycznego sprztu) Funkcje multimedialne (odtwarzanie i nagrywanie DVD) HomeGroup Zaawansowane zastosowania domowe oraz Cay wiat mae firmy Moliwod korzystania z funkcjonalnoci domeny Windows oraz zaawansowane ustawienia sieciowe Kopie zapasowe Rozpoznawanie biecej lokacji uytkownika na potrzeby drukowania dokumentw (Location Aware Printing) Foldery offline "Tryb XP", pozwalajcy na uruchamianie programw dziaajcych wycznie na Windows XP wersja, posiadajca Cay wiat

Windows Professional

Windows Ultimate

7 Najbardziej zaawansowana komplet funkcji, np. DirectAccess BranchCache BitLocker

2.2 Zgodno aplikacji oraz rozwizywanie problemw ze zgodnoci

2.2.1 Dostpne narzdzia

Application Verifier to narzdzie weryfikacji dynamicznej do testowania aplikacji pracujcych w trybie uytkownika. Narzdzie to monitoruje dziaania podejmowane przez aplikacj, poddaje j rnorodnym obcieniom prbnym i testom i generuje raport potencjalnych bdw w dziaaniu i projekcie aplikacji. Strona | 8

Narzdzie Application Verifier mona stosowad do wykrywania bdw w dowolnych aplikacjach pracujcych w trybie uytkownika, ktre nie s oparte na kodzie zarzdzanym, w tym w sterownikach pracujcych w trybie uytkownika. Narzdzie to umoliwia znalezienie nawet subtelnych bdw, trudnych do wykrycia z uyciem standardowych metod testowania aplikacji i sterownikw. Standard User Analyzer to narzdzie uatwiajce programistom, specjalistom IT i uytkownikom diagnozowanie problemw z aplikacj uruchamian z uprawnieniami standardowego uytkownika. Narzdzie Standard User Analyzer wraz z dokumentacj sposobu jego uycia wchodzi w skad zestawu Application Compatibility Toolkit. W rozpoczciu dziaao zwizanych z zapewnieniem kompatybilnoci aplikacji z systemem Windows 7 moe byd pomocna prezentacja Developing Compatible Applications for Windows 7, w ktrej opisano najczciej wystpujce problemy z kompatybilnoci w systemach Windows XP, Windows Vista i Windows 7. Oficjalne listy typowych problemw z kompatybilnoci Windows 7 Application Quality Cookbook - Lista typowych problemw z kompatybilnoci w systemach Windows Vista i Windows Server 2008 oraz Windows 7 i Windows Server 2008 R2. Zawiera take opis rnic pod wzgldem niezawodnoci, wydajnoci i funkcjonalnoci oraz odniesienia do szczegowej dokumentacji technicznej i innej dokumentacji dla programistw. Windows Vista Application Compatibility Cookbook - Jeli aplikacja jeszcze nie pracuje poprawnie w Windows Vista lub w Windows Server 2008, to warto zaczd od lektury Windows Vista Application Quality Cookbook. Dokument ten zawiera list typowych problemw z kompatybilnoci aplikacji w systemach Windows XP i Windows Server 2003 oraz Windows Vista i Windows Server 2008.

2.3 Co to jest rodowisko Aero?

Cech charakterystyczn rodowiska pulpitu Aero jest przezroczystod przypominajca szko, subtelne animacje okien i ich nowa kolorystyka. rodowisko pulpitu Aero wprowadza okna wygldajce jak szklane, aby stworzyd wraenie otwartoci Jego charakterystyczne style wizualne cz wygld lekkich, przezroczystych okien z potnymi nowymi moliwociami graficznymi. Dziki temu mona cieszyd si atrakcyjnymi wizualnie efektami, a take korzystad z lepszego dostpu do swoich programw. Jedna z bardziej oczywistych wizualnie cech to szklane obramowanie okna, pozwalajce na skupienie uwagi na zawartoci otwartego okna. Rwnie zachowanie systemu Windows zostao zmienione o subtelne animacje towarzyszce minimalizowaniu, maksymalizowaniu i przesuwaniu okien, co sprawia wraenie pynnoci i braku oporu. Mona nawet dostroid kolor i wygld okien, menu Start i paska zadao, barwic przezroczyste okna. Mona wybrad jeden z dostpnych kolorw lub utworzyd swj wasny niestandardowy kolor za pomoc miksera kolorw. rodowisko pulpitu Aero umoliwia take podgld otwartych okien na pasku zadao. Wskazanie przycisku na pasku zadao powoduje wywietlenie miniaturowego podgldu okna, niezalenie od

Strona | 9

tego, czy zawartoci okna jest dokument, zdjcie, czy nawet odtwarzany klip wideo. Przeczanie si midzy oknami przy uyciu klawiszy Alt+Tab Po naciniciu kombinacji klawiszy Alt+Tab w celu przeczania si midzy oknami widoczne s podgldy okien dla kadego otwartego programu. Nastpujce wersje systemu Windows 7 zawieraj interfejs Aero: Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate

rodowisko pulpitu Aero jest niedostpne w systemach Windows 7 Home Basic i Windows 7 Starter. Otwierajc aplet System w Panelu sterowania, mona sprawdzid, ktra wersja systemu Windows 7 jest zainstalowana na komputerze. Nazwa uywanej aktualnie wersji systemu Windows 7 zostanie wywietlona w obszarze Wersja systemu Windows u gry okna apletu. Do wywietlania grafiki Aero konieczne jest zastosowanie kompozycji systemu Windows. W przypadku korzystania z kompozycji Uatwienia dostpu niektre cechy, takie jak przezroczystod i podgld miniatur, nie bd dostpne. Aby sprawdzid aktualnie uywan kompozycj, naley otworzyd aplet Personalizacja w Panelu sterowania. Aby wywietlenie grafiki Aero byo moliwe, skadniki sprztowe i karta wideo komputera musz speniad wymagania sprztowe. Naley sprawdzid, czy komputer spenia minimalne wymagania sprztowe niezbdne do uruchamiania interfejsu Aero: procesor: 1 GHz, 32-bitowy (x86) lub 64-bitowy (x64) 1 gigabajt (GB) pamici RAM karta graficzna wyposaona w 128 megabajtw (MB) pamici

Interfejs Aero wymaga rwnie procesora graficznego klasy DirectX 9, obsugujcego sterownik Windows Display Driver Model Driver oraz umoliwiajcego sprztowo technologi Pixel Shader 2.0 przy 32 bitach na piksel. Dla uzyskania jak najlepszych wynikw wskazane jest rwnie spenienie poniszych wymagao dotyczcych procesora graficznego: 64 megabajty (MB) pamici grafiki do obsugi jednego monitora o rozdzielczoci mniejszej ni 1 310 720 pikseli (na przykad 17-calowy monitor paskoekranowy LCD o rozdzielczoci 1280 1024) 128 MB pamici graficznej do obsugi jednego monitora o rozdzielczoci od 1 310 720 do 2 304 000 pikseli (na przykad 21,1-calowy monitor paskoekranowy LCD o rozdzielczoci maksymalnej 1600 1200) 256 MB pamici graficznej do obsugi jednego monitora o rozdzielczoci wikszej ni 2 304 000 pikseli (na przykad 30-calowy monitor paskoekranowy z panoramicznym wywietlaczem LCD o rozdzielczoci maksymalnej 2560 1600)

Strona | 10

2.4 Zmiany w interfejsie

System Windows 7 oferuje nowy, gruntownie przebudowany interfejs uytkownika, ktry opracowano z myl wszystko co najwaniejsze, powinno byd pod rk. Tu po zainstalowaniu Windows 7 ukazuje si nowy interfejs, pierwszym elementem, ktry rzuca si w oczy jest pasek zadao. Zosta on podniesiony, zaraz obok przycisku Start znalazy si ikony reprezentujce skrty do najwaniejszych (i ulubionych) aplikacji oraz ju otwarte okna. Uytkownik moe dowolnie przypinad (dodawad) kolejne elementy, tak, aby dostosowad pasek do potrzeb.

Rysunek 1. Nowy pasek zadao.

W systemie Windows Vista po najechaniu na element reprezentujcy otwart aplikacj w obszarze paska zadao wywietlaa si maa miniatura z podgldem na ywo caego jej obszaru. W Windows 7 funkcja ta zostaa rozwinita, po najechaniu na ikon rwnie widzimy miniatur, jednak z dodatkow opcj zamykania i jeeli uruchomione s jednoczenie dwie lub wicej instancji takiego programu prezentowana jest dana ilod miniatur. Takie rozwizanie uatwia prac z oknami, zwaszcza, e ikony w pasku zadao zostay pozbawione tekstowych opisw.

Rysunek 2. Podgld uruchomionych aplikacji.

Kolejn, bardzo przydatn w pracy na wielu oknach funkcj jest tzw. Aero Peek. Aby podejrzed zawartod danego okna aplikacji na tle pulpitu we wczeniejszych systemach musielimy zminimalizowad wszystkie okna, a nastpnie przywrcid poszukiwane okno. Chcc porwnad zawartod czy to strony internetowej czy wiadomoci email bd dokumentu miniatury rwnie nie wystarcz, dlatego po najechaniu na dane okno aplikacji, reszta jest ukrywana, aczkolwiek nie Strona | 11

minimalizowana. Reszta okien przypomina szko, a widoczne jest tylko wskazane okno. Podobnie dziaa przycisk Poka pulpit, ktry w systemie Windows 7 znajduje si w prawym, dolnym rogu ekranu, najechanie na niego powoduje ukrycie wszystkich okien, uwidaczniajc przestrzeo pulpitu. Obszar powiadomieo od dawna by elementem, ktry zawiera wiele elementw. Wraz z Windows 7 uytkownik moe dostosowad ktre i w jakiej sytuacji ikony maj si pojawiad. Domylnie, w obszarze powiadomieo prezentowane s ikony systemowe, za pozostae s ukrywane. Aby podejrzed ukryte ikony, naley wybrad ikon trjkta, po czym pokae si lista schowanych elementw wraz z opcj dostosowania.

Rysunek 3. Udoskonalony obszar powiadomieo.

Okno dostosowania umoliwia wskazanie pokazanie, ukrycie ikony i powiadomieo bd wybrania opcji pokazywania tylko powiadomieo.

Rysunek 4. Dostosowanie obszaru powiadomieo.

Strona | 12

Jeeli chcemy powrcid do opcji domylnych bd skonfigurowad tylko ikony systemowe naley uyd opcji dostpnych w lewej czci okna. Udostpniono opcj, ktra funkcjonalnie przypomina dziaanie obszaru powiadomieo ze starszych systemw Windows wszystkie ikony bd zawsze prezentowane. Ikony na nowym pasku zadao mog penid dodatkowe dwie interesujce funkcje: zarazem reprezentowad otwarte okna aplikacji, jak i prezentowad pasek postpu (np. w przypadku przegldarki Internet Explorer) oraz w ramach miniatury penid rol paska narzdzi (np. Windows Media Player).

Rysunek 5. Pasek narzdzi Windows Media Player i pasek postpu Internet Explorer.

Ciekaw funkcj jest tzw. Aero Shake, ktry umoliwia sprawne zarzdzanie otwartymi oknami w dod niekonwencjonalny sposb. Przy uruchomionych wielu oknach moemy atwo zminimalizowad wszystkie pozostae potrzsajc paskiem jednego z programw. Spowoduje to zminimalizowanie wszystkich pozostaych, za kolejne wykonanie tego ruchu czynnod odwrotn powrt do otwartych okien. Przesunicie jednego z okien w gr, d, w stron praw bd te lew spowoduje dopasowanie okna do dostpnej przestrzeni.

Strona | 13

Rysunek 6. Przesunicie okna aplikacji w jedn ze stron, powoduje dopasowanie jej do dostpnej przestrzeni.

Nowoci s tzw. jump list, ktre umoliwiaj szybki dostp do ostatnio edytowanych plikw z poziomu menu start oraz paska zadao, bez koniecznoci uruchamiania aplikacji. Rozwizanie umoliwia rwnie wykonanie zadania zwizanego z programem, jak na przykad zmian statusu komunikatora Windows Live Messanger. Jump list zawieraj take dodatkowe opcje, jak przypinanie/odpinanie ikon z danych list i paskw, zamykania okna czy programu.

Rysunek 7. Jump list w menu Start dla Windows Live Messenger.

Strona | 14

Rysunek 8. Jump list w menu Start dla Windows Media Player.

Znany z Windows Vista, tzw. Windows Sidebar zosta wycofany, jednak sama moliwod uruchamiania gadetw pozostaa. Nie s one alokowane na pasku bocznym, a bezporednio na pulpicie. Przebudowano okno personalizacji oddzielono obszar, w ktrym definiujemy rozdzielczod pulpitu, co jest wyranie zaznaczone w menu kontekstowym.

Rysunek 9. Menu kontekstowe.

Po wybraniu opcji Personalize ukazuje si nowe okno dostosowania do systemu powrciy wczeniej obecne, ale niewykorzystywane tematy, czy te kompozycje, ktre wpywaj na wygld pulpitu. Moemy wybierad z domylnie dostpnych bd pobrad dodatkowe.

Strona | 15

Rysunek 10. Nowe okno personalizacji.

Zmiany wprowadzono w Windows Explorer, ktry ewoluuje z kadym systemem Windows. Skupiajc si na najwaniejszej zmianie, trzeba podkrelid, e wraz z Windows 7 zmienia si koncepcja magazynowania danych w folderach uytkownika. Po uruchomieniu My computer, z poziomu lewej czci okna mamy dostp do najwaniejszych elementw, w tym nowych Libraries, ktre s swoistymi kontenerami na pliki. W ramach takiej biblioteki dokumentw mamy moliwod przechowywania danych z wielu folderw, co znacznie uatwia wyszukiwanie dokumentw, plikw muzycznych i materiaw wideo itp. z wielu miejsc jednoczenie.

Strona | 16

Rysunek 11. Dodawanie folderu do biblioteki

Innowacj jest Action Center czyli nowy modu Panelu Sterowania, ktry jest centrum opcji zwizanych z bezpieczeostwem oraz rozwizywaniem problemw. Jest dostpne z poziomu Panelu Sterowania, jak rwnie po klikniciu ikony flagi w ramach obszaru powiadomieo.

Rysunek 12. Panel sterowania.

Uytkownicy systemu Windows XP SP2 i nowszych z pewnoci pamitaj monity bezpieczeostwa, ktre byy wywietlane w postaci balonw. Teraz wanie za ich prezentowanie bdzie Strona | 17

odpowiedzialny Action Center, robic to w sposb bardziej przyjazny. Action Center agreguje rwnie elementy zwizane z wydajnoci i rozwizywaniem problemw kopia zapasowa, kreatory pomocy i skrt do badania wydajnoci (okna Windows Experience Index). 2.4.1 Zarzdzanie urzdzeniami

W Windows 7 zmienia si podejcie do korzystania z urzdzeo. Urzdzenia maj byd atwo instalowalne oraz zarzdzane z jednego miejsca, co jest istotne w dobie drukarek, skanerw, urzdzeo cyfrowych i urzdzeo mobilnych, ktre dodatkowo maj bd te musz byd cile zintegrowane z systemem operacyjnym. Dostp do sekcji dedykowanej urzdzeniom jest dostpny ju z poziomu menu Start, pod pozycj Urzdzenia i drukarki. Wszystkie zainstalowane w systemie urzdzenia zostay podzielone na najwaniejsze kategorie, do kadego z urzdzeo jest przypisana ikona. Po klikniciu na takie urzdzenie, z poziomu menu kontekstowego moemy wybrad konkretn akcj przegldania plikw, definiowania preferencji (np. przy drukarkach wybierajc jedn domyln) czy rozwizywania bdw.

Rysunek 13. Okno Urzdzenia I drukarki.

Zmieniono sposb dodawania nowych urzdzeo, z poziomu Urzdzenia i drukarki naley wskazad kontrol Dodaj urzdzenie, aby uruchomid nowy kreator. W ramach okna kreatora naley wskazad podczone, a nie skonfigurowane urzdzenie.

Strona | 18

Rysunek 14. Dodawanie nowego urzdzenia za pomoc kreatora dodawania urzdzenia.

Zapewne po przeczytaniu poprzedniego akapitu wielu czytelnikw zadaje sobie pytanie a jak dodad inne, specyficzne urzdzenia?. Jest to bardzo dobre pytanie, co zrobid jeeli chcemy dodad np. Microsoft Loopback Adapter w celu testw sieci w ramach rodowiska maszyn wirtualnych na naszym komputerze? Naley jak kiedy skorzystad z kreatora dodawania nowego urzdzenia, ktry w Windows 7 jest po prostu ukryty. W pasku uruchamiania naley wprowadzid hdwwiz.exe i przejd przez kolejne etapy wybierajc jak dawniej rodzaj sprztu, nastpnie producenta, a pniej konkretny model.

Strona | 19

Rysunek 15. Uruchomiony kreator Add Hardware Wizard w Windows 7.

Zupen nowoci jest Device Stage, czyli centrum konkretnego urzdzenia. Po podczeniu urzdzenia wywietlane jest specjalne okno, z linkami do najwaniejszych opcji np. w przypadku telefonu opcji synchronizacji, informacji o stanie baterii, liczby wiadomoci tekstowych itp. Urzdzenie musi byd z now technologi kompatybilne, pen, oficjaln list wspieranych produktw mona znaled na witrynie Microsoft. Windows 7 to nastpca systemu Windows Vista i oferuje nowe i rozszerzone funkcjonalnoci, w tym w zakresie graficznego interfejsu uytkownika, ktre sprawiaj, e uytkowanie Windows 7 jest jeszcze atwiejsze. W kolejnej czci z cyklu Akademia Windows 7 przedstawione zostan zmiany i ulepszenia w zakresie Zasad Grupy.

Strona | 20

2.4.2

UAC

UAC (User Account Control) jest pierwsz od lat prb zmuszenia uytkownika, eby pracowa nie uywaj praw administratora. Od czasw WindowsNT stopniowo wszyscy przyzwyczaili si do tego, e prawa administratora s praktycznie niezbdne w normalnej pracy. Sedno problemu ley gwnie w tym, e z praw takich nadzwyczaj chtnie korzystali dotd programici (zachceni zreszt przez narzdzia Microsoftu). W efekcie masowo powstaway aplikacje, ktre bez wysokich uprawnieo po prostu nie dziaay. Tu repozytorium informacji w C:\Program Files, tu par wpisw w rejestrze, tu odwoanie na skrty do sterownika, tu Raw socket itd. W efekcie, bez praw administratora aden profesjonalista nie by w stanie pracowad. W kolejnych systemach, z wersji na wersj stawao si to coraz trudniejsze. W Windows2000 pojawia si opcja Run As ale nikt poza pasjonatami jej nie traktowa powanie. Microsoft zacz zalecad codzienne korzystanie z dwch kont, ale nikomu nie chciao si w ten sposb funkcjonowad. Ju prostsze byo uywanie maszyn wirtualnych do wszelkich niestandardowych zachowao. Od strony technicznej, mechanizm UAC polega na tym, e uytkownik komputera dostaje dwa tokeny security. Oznacza to, e moe przestawid si jako administrator lub jako zwyky uytkownik, w zalenoci od potrzeb. Dziki temu na co dzieo pracuje bez uprawnieo, ale jeeli tylko s one potrzebne atwo jest je uzyskad nawet na pojedyncz operacj. Co wane, konto administratora w ogle jest wyczone i praktycznie nie ma potrzeby jego wczania. Aby uczulid uytkownika na sytuacje, w ktrych posuguje si on podniesionymi uprawnieniami kadorazowo wykorzystanie tokena administracyjnego wie si z zadaniem pytania czy wyraasz zgod i wiesz co robisz. Nie zwiksza to bezporednio bezpieczeostwa systemu. Nie po to jest ten mechanizm. To nie jest zabezpieczenie techniczne tylko efekt szerszego podejcia zorientowanego na ogln polityk codziennej pracy z komputerem. O ile przy czynnociach administracyjnych pytanie UAC o podniesienie praw wydaje si oczywiste i mao kopotliwe, o tyle w przypadku niektrych aplikacji trudno je zrozumied. Wynika to ze wspomnianego wczeniej faktu, e starsze aplikacje bez praw administratora nie funkcjonuj poprawnie. Wydaje si jednak, e podejcie odpowiedz za kadym razem, e jeste pewny i pracuj spokojnie jest zdecydowanie lepsze od podejcia zaloguj si na konto administratora i pracuj. Poza tym, ubocznym efektem widowiskowego zapytania o uprawnienia jest staa presja wywierana na twrcw aplikacji. Wiadomo, e prosta aplikacja do wystawiania faktur nie musi tak naprawd mied wysokich uprawnieo w systemie. Jeeli jest inaczej programista jak najszybciej powinien zajd si jej gruntownym przeprojektowaniem. Porednio wic, dziki zmuszeniu uytkownika do wyrzeknicia si praw administratora, w wiecie IT pojawiaj si coraz bezpieczniejsze aplikacje. Jeeli kto naprawd nie jest w stanie zaakceptowad staych pytao od UAC moe postpid na dwa sposoby. Wyczyd UAC i pracowad ze stale wysokimi uprawnieniami lub przeczyd polityki systemu tak, aby podniesienie uprawnieo odbywao si za kadym razem bez koniecznoci potwierdzenia. Ciekawym skutkiem uycia mechanizmw UAC jest zachowanie komputera przy uwierzytelnianiu przez sied. Jeeli to Windows Vista uwierzytelnia uytkownika, to przez sied nigdy nie da mu praw administratora. W efekcie, uytkownik bdcy lokalnie administratorem, przez sied nigdy nie uzyska jego praw. Funkcjonalnod t oczywicie mona wyczyd lub przenied obowizek uwierzytelniania na kogo innego. W standardowych przypadkach jest to Active Directory. Strona | 21

Podsumowujc kontrowersyjny mechanizm UAC, stwierdzid naley, e mimo wszystko jest on warty uycia. Kilka razy dziennie mona kliknd na przycisku Akceptuj a pozytywne skutki trudno przecenid. Wraz z Windows Vista pojawi si User Account Control, mechanizm systemowy ktry mia rozwizad wczeniej wymienione problemy i zachcid nawet najbardziej wymagajcego uytkownika, aby sign po konto standardowe (bo taka konwencja nazewnicza pojawia si w Vista). Po pierwsze, UAC daje atwy dostp do uprawnieo na zasadzie tylko w wymaganym czasie i to na koncie o niszych uprawnieniach, po drugie lista codziennych zadao konfiguracyjnych, ktre wymagaj wyszych uprawnieo zostaa przeanalizowana i skrcona, aby faktycznie byo wygodniej, po trzecie zachcid programistw do tworzenia aplikacji, ktre swobodnie dziaaj bez najwyszych uprawnieo (najczciej ich po prostu nie potrzeboway), po czwarte zapewnid wsteczn kompatybilnod, to znaczy udostpnid takie rozwizania w ramach UAC, aby rwnie starsze programy mogy byd uytkowane w nowym rodowisku. I po pite dad uytkownikowi moliwod wyboru tak, mona ten mechanizm wyczyd (co pociga za sob pewne zagroenia). Po szste, uytkownik wie co wymaga wyszych uprawnieo te zadania opatrzone s ikon tarczy. Wniosek, a waciwie cel wprowadzenia UAC uytkownik musi dziaad w kontekcie uprawnieo standardowych, jego aplikacje nie musz posiadad wysokich uprawnieo, co powoduje, e faktyczne ograniczenie poziomu uprawnieo znacznie wpywa na zmniejszenie poziomu strat jakie zoliwie oprogramowanie moe wyrzdzid. UAC nie ma odcinad uytkownika od uprawnieo, UAC ma za zadanie dawad najwysze (stosowne) uprawnienia tylko w wymaganej chwili i na wyrane zezwolenie uytkownika. Czy to si sprawdzio? Kady powinien na to pytanie odpowiedzied samodzielnie, gdy system Windows Vista z rozwizaniem UAC jest ju na rynku pewien czas, i kady mia okazj si z nim zapoznad. Gwne zarzuty, ktre byy kierowane wobec technologii User Account Control to ilod monitw, jakie UAC wywietla i tu przychodzi zmiana w systemie Windows 7. Uytkownikadministrator moe dostosowad sytuacj, w ktrej UAC zaprezentuje monit, wskazujc jeden z czterech dostpnych poziomw, o czym bardziej szczegowo w dalszej czci artykuu. Administrator logujc si do systemu Windows Vista/Windows 7 otrzymuje dwa etony (tokeny) dostpu: uytkownika standardowego, w kontekcie ktrego uruchamiany jest proces Explorer.exe i wszystkie procesy potomne (tak, wszystko dziaa bdc ograniczonym) oraz eton penego dostpu administratora. Ten drugi jest uywany, gdy uytkownik potwierdzi w monicie UAC, e zezwala na podniesienie uprawnieo (usuga Apllication Information uywa etonu penego administratora, aby wykonad zadanie bd uruchomid aplikacj z wyszymi uprawnieniami).

Strona | 22

Rysunek 16. Przykadowy monit UAC.

Aby zapobiec podszywaniu si pod monity UAC przez zoliwe oprogramowanie, wszystkie wywietlane s na tzw. bezpiecznym pulpicie (ang. Secure Dekstop), ktrego idea dziaania jest bardzo prosta interakcja moe zajd tylko pomidzy monitem wygenerowanym przez UAC. Bezpieczny pulpit to w rzeczywistoci przyciemniony zrzut ekranu, ktry wykonuje system operacyjny przed podniesieniem uprawnieo. Administrator moe dostosowad, w jakich sytuacjach zasada bezpiecznego pulpitu ma byd stosowana, ale o tym pniej. Istotnym punktem na licie wymagao, ktre UAC musi speniad to zapewnienie wstecznej kompatybilnoci dla aplikacji. Po pierwsze bdzie to wirtualizacja, i nie chodzi tu o produkty Virtual PC czy Hyper-V. Mechanizm UAC wirtualizacje dania do tzw. bezpiecznych lokalizacji: %ProgramFiles%; %Windir%; %Windir%\System32; HKEY_LOCAL_MACHINE\Software. Jeeli aplikacja bdzie chciaa zapisad informacj (plik) w jednym z tyche miejsc - danie zostanie przeniesione do lokalizacji \AppData\Local\VirtualStore\ w profilu uytkownika. Gdy uytkownik bdzie prbowa uzyskad dostp do tego pliku z poziomu programu, bdzie on widoczny w standardowym miejscu, gdzie aplikacja chciaa dokonad zapisu, za jeeli bdzie wyszukiwa danych z poziomu Eksploratora Windows, bd dostpne we wczeniej opisanej lokalizacji w profilu. Jest to funkcjonalnod, ktra dziaa dla 32-bitowych programw (64-bitowe aplikacje musz byd wiadome koniecznoci zapisu w poprawnym miejscu). Drug sytuacj, w ktrej wirtualizacja jest wyczana, jest przypadek, gdy aplikacja posiada tzw. manifest danego poziomu wykonywania (ang. requested execution level manifest ), ktry jest jednym z trzech elementw, ktry determinuje, w ktrym czasie uytkownik zobaczy monit Kontroli Konta Uytkownika. Monit UAC jest prezentowany, gdy system stwierdzi, e dana aplikacja bd czynnod wymaga wikszych uprawnieo, ni te w ktrych kontekcie dziaa obecnie uytkownik. W przypadku aplikacji wyrnia si trzy elementy, ktre wpywaj na to czy uytkownik zobaczy monit z pytaniem o podniesienie uprawnieo. Bd to: wczeniej opisany manifest danego poziomu wykonywania, informacje z waciwoci aplikacji bd rozpoznawanie (heurystyka). Manifest danego poziomu wykonywania musi zostad dodany przez twrc aplikacji i tak naprawd jest odpowiednio opracowanym kodem. Manifest okrela, na jakim poziomie uprawnieo aplikacja ma dziaad: Strona | 23

RunAsInvoker (asInvoker) uprawnienia standardowe, monit nie jest potrzebny i nie jest wywietlany. RunAsHighest (highestAvailable) uprawnienia wysze ni standardowe, monit jest wywietlany, ale w przypadku jego anulowania, aplikacja mimo wszystko rozpoczyna swoje dziaanie (pewne elementy mog byd niedostpne). RunAsAdmin (requireAdministrator) uprawnienia administratora s wymagane, monit jest wymagany i jest prezentowany.

Drug sytuacj, ktr analizuje system w kontekcie decydowania czy aplikacja wymaga innych uprawnieo ni standardowe s informacje z jej waciwoci. Trzeci element to heurystyka aplikacji, UAC potrafi ocenid, czy dana aplikacja, ktre nie zawiera manifestu jednak wymaga wyszych uprawnieo wykonywana jest analiza nazwy i meta danych w celu identyfikacji. Jest to funkcja uywana przy 32-bitowych aplikacjach, ktra tak naprawd dedykowana jest plikom instalatorw, ktre wymagaj wyszego poziomu dostpu.

Rysunek 17. Zakadka "Zgodnod".

Administrator moe zaznaczyd, e dana aplikacja ma dziaad w kontekcie najwyszych uprawnieo, zarwno dla siebie (zaznaczajc pole wyboru) bd dla wszystkich uytkownikw, korzystajc z opcji Change settings for All users. Administrator/uytkownik na podobnej zasadzie dziaania moe Strona | 24

uruchomid program z uprawnieniami podwyszonymi w tej danej chwili , wybierajc z menu kontekstowego opcj Run As Administrator, co jest szczeglnie przydatne dla linii komend (CMD.exe). Poniszy podzia jest wynikiem dostpnych opcji w Windows 7, i konsekwencj ewolucji zasady jak najnisze uprawnienia. Administrator wbudowane konto administratora, w Windows 7 domylnie wyczone. W Windows 2008 R2 konto administratora jest tworzone jako pierwsze i nie dziaa w trybie Admin Aproval. Ten Administrator konto uytkownika z uprawnieniami administratora (z przypisan wasn nazw). Ten rodzaj konta najczciej by uywany w Windows XP. Ten Administrator w trybie Admin Aproval konto uytkownika z przypisan nazw z atwym dostpem do uprawnieo administratora. Domylny rodzaj konta w Windows Vista i 7. Tryb Admin Aproval zosta wprowadzony, aby podnied poziom bezpieczeostwa tych uytkownikw, ktrzy jednak zdecydowali si pracowad na stworzonym koncie administratora. UAC daje takiemu uytkownikowi peen dostp na zasadzie per zadanie i podnosi poziom uprawnieo tylko jeeli jest taka potrzeba po klikniciu przycisku zezwolenia. Uytkownik standardowy konto uytkownika z przypisan wasn nazw z uprawnieniami standardowymi, z moliwoci wykonania zadao administratorskich, ale tylko w sytuacji gdy administrator wprowadzi swoje powiadczenia w monicie UAC. Najbardziej bezpieczny, a przez to zalecany rodzaj konta.

Jednym z celw jakie postawia sobie firma Microsoft udoskonalajc mechanizm User Account Control w Windows 7 to moliwod wygodnego dostosowania sytuacji, w ktrej monit z pytaniem o podniesienie uprawnieo jest prezentowany. W Windows Vista duego wyboru nie byo, UAC dziaa, wywietla monity, a jednym sposobem jego dostosowania jest dziaanie na konkretnych politykach w Zasadach grupy. W Windows 7 udostpniono tzw. suwak UAC, ktry suy do konfiguracji tego mechanizmu. Okno konfiguracji jest dostpne z poziomu Action Center, po klikniciu opcji User Account Control settings. Uytkownik, w tym przypadku administrator moe wybrad jedn z czterech opcji: Always notify me when: Programs try to install software Or make changes to my computer, I make changes to Windows settings jest to opcja, ktra funkcjonalnie odpowiada sytuacji z systemu Windows Vista. Gdy dokonywane s zmiany, zarwno w ustawieniach systemowych, jak I instalowane bd uywane s aplikacje, ktre wymagaj wyszych uprawnieo, to prezentowany jest monit UAC z prob o potwierdzenie bd odrzucenie dania. Default - Notify me only when programs try to make changes to my computer domylne ustawienie w Windows 7. Jeeli administrator zmienia ustawienia systemowe, monit UAC nie jest wywietlany. Firma Microsoft podpisaa elementy i aplikacje systemowe w taki sposb, aby nie wywietlay monitu (tylko dla tej opcji). Jeeli zmiana jest dokonywana przez element zewntrzny (np. aplikacj) monit jest wywietlany na bezpiecznym pulpicie .

Strona | 25

Notify me only when programs try to make changes to my computer (do not dim my desktop) bardzo zblione do poprzedniego, aczkolwiek w przypadku zastosowania, nie jest stosowany wczeniej opisany bezpieczny pulpit. Never notify me when: Programs try to install software Or make changes to my computer, I make changes to Windows settings ustawienie wycza cay mechanizm User Account Control (nie tylko monity!).

Rysunek 18. Ustawienia UAC

Dostpne ustawienia prezentuj si w sposb nastpujcy: Default Always notify me when: Programs try to install software or make changes to my computer, I make changes to Windows settings - domylne ustawienie, wyjanienie wczeniej. Always notify me (and do not dim my desktop) when : Programs try to install software or make changes to my computer, I make changes to Windows setting jak powyej, lecz z zastosowaniem bezpieczengo pulpitu.

Pozostae dwa poziomy s identyczne, ale aby je zastosowad naley zalogowad si na konto o uprawnieniach administratora. Dwa pierwsze s dostpne, ale ich wprowadzenie wymaga wprowadzenia powiadczeo administratorskich w monicie UAC. Dla User Account Control dostpnych jest dziewid polityk, ktre zostay opisane w poniszej tabeli.

Strona | 26

Nazwa polityki Dostpne opcje* User Account Control: Enabled; Disabled Admin Approval Mode for the Built-in Administrator account

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

Enabled; Disabled

Wyjanienie Ustawienie stosuje si tylko do wbudowanego konta Administrator, okrela, czy to konto ma pracowad w trybie Admin Aproval (zatwierdzania). Domylnie jest wyczone, I wbudowane konto zachowuje si jak w systemie Windows XP, gdzie wszystkie procesy dziaaj z najwyszymi uprawnianiami. Warto podkrelid, e domylne konto Administrator jest wyczone. Ustawienie pozwala aplikacjom UIAccess na automatyczne wyczenie bezpiecznego pulpit przy probie o podniesienie uprawnieo.

Elevate without prompting; Prompt for credentials on the secure desktop; Prompt for consent on the secure desktop; Prompt for credentials; Prompt for consent; Prompt for consent for non-Windows binaries

User Account Control: Behavior of the elevation prompt for standard users

Automatically deny elevation requests; Prompt for credentials on the secure desktop; Prompt for credentials

User Account Control: Enabled; Disabled Detect application installations and prompt for elevation User Account Control: Enabled; Disabled Only elevate executables that are signed and validated

User Account Control: Enabled; Disabled Only elevate UIAccess applications that are installed in secure locations User Account Control: Enabled; Disabled Strona | 27

Ustawienie definiuje, w jaki sposb uytkownicy-administratorzy dziaajcy w trybie Admin Aproval s pytani o zgod na podniesienie uprawnieo w monicie UAC. Domylnie, taki uytkownik-administrator musi tylko zatwierdzid poniesienie uprawnieo. W systemie Windows 7 domylnie monit UAC bdzie wywietlany dla nie-systemowych komponentw (np. zewntrznych aplikacji). Ustawienie determinuje w jaki sposb uytkownicy maj dostp do moliwoci wprowadzania powiadczeo administrator. Domyle ustawienie powoduje, e uytkownik w monicie UAC jest proszony o podanie hasa do konta administratora. Ustawienie pozwala okrelid czy ma dziaad heurystyka UAC, i stosowane jest, gdy uytkownik uruchamia instalacj aplikacji (wywietlany jest monit z prob o podanie powiadczeo bd zezwolenia na operacj). Ustawienie pozwala okrelid, e uruchamianie mog byd tylko aplikacje podpisane zaufanym certyfikatem. Domylnie wczona opcja (Disabled) umoliwia wywietlanie monitw UAC zarwno dla zaufanych, jak i niezaufanych programw. Ustawienie okrela, e tylko aplikacje uruchamianie z bezpiecznych lokalizacji maj dostp do interakcji z interfejsem uytkownika (UIAccess). Ustawienie pozwala okrelid, czy kady

Run all administrators in Admin Approval Mode

uytkownik o uprawnieniach administratora (z wyczeniem wbudowanego konta Administrator) ma dziaad w trybie zatwierdzania (Admin Aproval). User Account Enabled; Disabled Ustawienie pozwala okrelid, czy dania Control: Virtualizes zapisu do bezpiecznych aplikacji maj byd file and registry write wirtualizowane (w celu zapewnienia failures to per-user kompatybilnoci). Domylnie jest wczone, locations kade danie zapisu jest przenoszone do folderu w profilu uytkownika. * Ustawienie wyrnione pogrubion czcionk jest domylne w lokalnych zasadach zabezpieczeo. Mechanizm User Account Control dostpny w Windows Vista i Windows 7 to kluczowa technologia zabezpieczeo, realnie wpywajca na poziom zabezpieczenia komputera. Firma Microsoft projektujc system Windows 7 wzia pod uwag opinie klientw i spoecznoci, wprowadzajc nowy sposb konfiguracji sytuacji, w ktrej monity mechanizmu UAC s prezentowane uytkownikowi. Zmiany objy rwnie Zasady grupy, gdzie rozszerzono kilka z polityk.

2.5 BitLocker oraz BitLocker2Go

W najwikszym skrcie, Bitlocker scharakteryzowad mona jako metod kryptograficznej ochrony (szyfrowania) dyskw twardych. Dysk chroniony Bitlockerem, po woeniu do innego komputera jest cakowicie niedostpny do czasu podania klucza na przykad w postaci 48 cyfr. Mimo pojawiajcych si odruchowo oporw przed takim rozwizaniem, szczegy powinny przekonad nawet bardzo ostronego sceptyka. Bitlocker jest funkcjonalnoci, ktra niezalenie od oglnych i uniwersalnych zaoeo, w praktyce daje korzyd przede wszystkim uytkownikom komputerw przenonych. W praktyce wszystkim takim uytkownikom, jednak naley zdad sobie spraw, e sposb, w jaki Bitlocker pokae si na ekranie zaley dod mocno tak od sprztu, jak i od zaoonych standardw ochrony. Jak przy kadej nowej funkcjonalnoci, take i w przypadku mechanizmw Bitlocker, naley zdad sobie spraw, e nic nie jest za darmo. Koszty zwizane z Bitlockerem podzielid mona na kilka kategorii. Pierwszym kosztem jest koszt systemu operacyjnego. Windows 7 nie jest systemem darmowym i prawdopodobnie wszyscy zdaj sobie z tego spraw. Co wicej, Bitlocker dostpny jest jedynie w bardziej rozbudowanych (czyli niestety droszych) wersjach. Drugim aspektem s wymagania sprztowe. Bitlocker szyfruje i rozszyfrowuje kady zapisany na dysku sektor. Od dokumentw, poprzez aplikacje a po plik wymiany. To nie moe dziad si bez uycia procesora, a algorytmy kryptograficzne wymagaj zazwyczaj niemaej zoonoci obliczeniowej. Bitlocker obcia procesor bardzo nieznacznie, ale naley zdawad sobie spraw, e jednak obcia. Ostatnim (i tak naprawd najwaniejszym) wymaganiem dla Bitlockera jest wyposaenie sprztu w modu kryptograficzny zgodny ze specyfikacj TPM v 1.2. Brzmi to powanie, ale w chwili obecnej duo komputerw przenonych ma ju ten modu (na przykad IBM chwali si wyposaeniem w TPM prawie 20mln laptopw), a po drugie mona poradzid sobie i bez TPM, okaleczajc jednak Bitlockera w sposb odbierajcy mu cay urok. TPM jest skrtem od Trusted Platform Module i zosta opracowany przez Trusted Computing Group (http://www.trustedcomputinggroup.org). Zaoeniem byo wbudowanie mechanizmw kryptograficznych w sprzt w taki sposb, eby nikt nie by w stanie ich oszukad rcznie mieszajc w kluczach czy algorytmach. Dokadnie ta sama idea przywiecaa Strona | 28

twrcom kart procesorowych i dla uproszczenia mona o TPM myled wanie jako o takiej karcie wbudowanej w pyt gwn. W chwili obecnej moduy TPM produkowane s przez kilka firm, jednak w swoje pyty gwne wbudowuj je praktycznie wszyscy liczcy si producenci sprztu. Poza typowymi funkcjami kryptograficznymi (midzy innymi obsug RSA, SHA-1, HMAC i AES oraz generowaniem liczb losowych) TPM jest w stanie utworzyd sum kontroln dla wykonywanego przez procesor kodu. Oznacza to, e istnieje prosta metoda zapytania TPM czy aplikacja nie zostaa zmodyfikowana i czy nie rni si od zapamitanej wersji wzorcowej. Zapytanie takie moe dotyczyd nie tylko aplikacji typu *.exe, ale dowolnego fragmentu kodu, takiego, jak chodby BIOS pyty, BIOS karty graficznej, Master Boot Record czy Windows Boot Manager. Warto zauwayd, e TPM potwierdza rwnie wasn tosamod, przez co zastpienie go innym natychmiast zostanie wykryte. W chwili obecnej funkcjonalnoci oferowane przez TPM nie s jeszcze szeroko wykorzystywane, ale ich moliwoci s ogromne. Szansa sprawdzenia, czy kod na pewno nie zosta zmodyfikowany, moe byd niezwykle uyteczna chodby w takich zastosowaniach, jak wykrywanie szkodliwego oprogramowania czy kontrola oryginalnoci aplikacji. W przypadku mechanizmw BitLocker, kontrola wykonywanego kodu dotyczy najwczeniejszych etapw pracy komputera i startu systemu. Cay proces startu komputera jest rejestrowany przez TPM, a wyliczona suma kontrolna ma kluczowe znaczenie w dalszej pracy. atwo domylid si, e nawet najdrobniejsze zmiany w rodowisku (aktualizacja BIOSu, zmiana karty, dooenie dysku itp.) sprawi, e TPM nie potwierdzi oryginalnoci procesu uruchamiania systemu. BitLocker zosta jednak zaprojektowany ze wiadomoci, e sytuacje takie mog mied miejsce i w praktyce nie sprawiaj one adnych problemw z dostpem do zaszyfrowanych danych. Naley pamitad, e potwierdzenie przez TPM oryginalnoci kodu startowego nie polega na porwnaniu ze wzorcem. TPM adnego takiego wzorca nie ma i nie jest w stanie poinformowad, czy kod jest dobry czy zy. Jedyne co TPM zrobid moe, to obliczyd sum kontroln i podad j kademu zainteresowanemu. Do czego suma ta posuy, zaley wycznie od intencji twrcw rozwizania. Pozornie najprostszym dziaaniem byoby porwnanie takiej sumy z zapisan gdzie prawidow wartoci. Takie podejcie staoby si jednak byskawicznie obiektem atakw i metody pozwalajce omind mechanizmy BitLocker pojawiyby si prawdopodobnie ju kilka tygodni po premierze systemu. Zamiast tego, kad dan (nazywan SRK) otrzyman od TPM system uzna jako poprawn i uyje jej do rozszyfrowania zapisanego na dysku klucza VEK, ktry zostanie jeszcze szczegowo opisany. Efekt jest prosty jeeli TPM wyliczy poprawn wartod SRK (czyli kod uruchamiajcy komputer jest taki jaki byd powinien), system ma klucz VEK, a to ju prawie gwarancja sukcesu. Jeeli TPM policzy co innego, klucz VEK po rozszyfrowaniu do niczego si nie nadaje, a Windows 7 zwrci uytkownikowi uwag, e to, co poda TPM nie przypomina oczekiwanego wyniku. Taka metoda uwierzytelniania jest powszechna w wielu innych rozwizaniach. Wymienid tu mona chodby ochron plikw Office hasem, ochron plikw ZIP czy mechanizmy DRM dla mediw. Sprawdzanie poprawnoci hasa przez porwnanie ze wzorcem byoby proste do oszukania. Wystarczyoby podmienid wzorzec albo zmodyfikowad algorytm porwnywania. W uwierzytelnianiu dla ubogich kade haso jest dobre i kade z pen ufnoci zostanie uyte do rozszyfrowania informacji. Potem wystarczy sprawdzid tylko czy wynik ma jakikolwiek sens.

Strona | 29

Dziki TPM wiadomo ju, e system uruchamia si w swoim naturalnym otoczeniu, z niezmodyfikowanymi plikami startowymi i w tym samym komputerze. Dla wykonywanego kodu obliczona zostaje suma kontrolna. Suma kontrolna jest uyta do rozszyfrowania VEK i wynik jest sensowny. System ma VEK czyli Volume Encryption Key i to wanie jest klucz, ktrym odszyfrowad mona ca zabezpieczon partycj. Sterownik dostaje klucz i w niewidoczny dla uytkownika sposb rozszyfrowuje kady odczytany z partycji sektor. System startuje normalnie i w koocu wywietla standardowe okienko logowania. Jeeli uytkownik zna haso po prostu rozpoczyna prac jak co dzieo. W przypadku, kiedy dysk dostanie si w rce zodzieja lub szpiega najwygodniej zwykle jest zainstalowad nowy system z nowym hasem lub przeoyd dysk do innego komputera i po prostu przegrad pliki dokumentw. Mona rwnie uyd pyty CD, zmieniajcej haso administratora. W przypadku, gdy dysk zabezpieczony jest Bitlockerem tak si nie da. Zodziej ma zaszyfrowany kluczem VEK dysk, a klucz ten te jest zaszyfrowany przy uyciu SRK. Jedyn metod odszyfrowania VEK jest podanie poprawnego SRK. A ten klucz moe zostad wyliczony jedynie przez TPM. Sytuacja jest z punktu widzenia szpiega beznadziejna, poniewa nic innego, ni oryginalny TPM, nie policzy tej sumy. Podsuchanie czy podejrzenie sumy SRK te nie jest moliwe, poniewa wymagaoby zmiany w kodzie startowym, a zmiana taka nie pozostanie niezauwaona przez TPM. Podsumowujc mona stwierdzid, e chroniony mechanizmami Bitlocker system albo uruchomi si sam (normalnie) i wywietli standardow prob o Ctrl+Alt+Del, albo nie obliczy klucza niezbdnego do rozszyfrowania dysku. Ani jeden ani drugi przypadek nie da zodziejowi adnego dostpu do danych. Przy takim podejciu do szyfrowania, musi pojawid si pytanie "a gdzie zapisane s te wszystkie programy, ktrych uywa si zanim zostanie obliczony VEK?" I susznie. Zanim sterownik otrzyma poprawny VEK, jeden program musi skomunikowad si z TPM eby otrzymad SRK, drugi musi odczytad zaszyfrowany VEK z dysku (tego zaszyfrowanego), trzeci musi rozszyfrowad VEK przy pomocy SRK. Gdzie te programy i zaszyfrowany VEK trzeba zapisad. Na zaszyfrowanej partycji? W jej niezaszyfrowanym fragmencie? W MBR? Dane potrzebne systemowi do chwili wyliczenia VEK przechowywane s na jednej partycji (Boot . System Partition), a caa reszta systemu na drugiej (Windows Partition), ktra jest zaszyfrowana. Dziki temu wyliczenie VEK odbyd si moe bez uycia zaszyfrowanego dysku, a jak VEK ju jest znany dostp do partycji Windows nie stanowi problemu. Sytuacja jest jasna i znana wczeniej a dwie partycje na dysku nie s niczym niezwykym. Partycja boot nie powinna zawierad adnych istotnych danych i w efekcie okazuje si, e moe byd cakiem niewielka. Microsoft zaleca przeznaczenie na ni 1.5GB budujc j od podstaw. Eksperymenty z rozmiarem partycji s interesujce, jednak w warunkach innych ni laboratoryjne naley trzymad si zalecanego 1.5GB, poniewa ewentualne kopoty mogyby byd dod dotkliwe. Instalujc system od podstaw tworzona jest automatycznie partycja ukryta o rozmiarze 200MB. W sytuacji, kiedy od pocztku planowane jest uycie Windows 7, zaoenie partycji boot i partycji Windows nie jest duym kopotem. Mona to bez trudu zrobid z poziomu programu instalacyjnego w czasie instalacji systemu. Kopot pojawia si jednak w dwch przypadkach: jeeli komputer ma ju partycj na ktrej s dane lub jeeli partycja zostaa zaoona przez dostawc sprztu. W obu przypadkach partycja taka zajmuje zazwyczaj cay dysk i ani rozwizanie polegajce na kopiowaniu, Strona | 30

partycjonowaniu, formatowaniu i ponownym kopiowaniu, ani rozwizania firm trzecich nie s najlepszym pomysem. Z prostej instalacji systemu robi si czasochonna operacja polegajca na przegrywaniu danych tam i z powrotem. Microsoft podszed do tematu inaczej. Jeeli na dysku ju istnieje partycja z danymi i nie ma wolnego miejsca na partycj boot partycj z danymi naley zmniejszyd na przykad o 1.5GB. Uzyskane w ten sposb miejsce idealnie nada si na zaoenie potrzebnej partycji. W teorii jest to proste jednak praktyka dotychczas pokazywaa, e to niemoliwe. W Windows 7 jest inaczej, poniewa system wspiera zmniejszanie rozmiarw partycji. Jest to kolejna nowod, tym razem wygldajca na wymuszon potrzebami ochrony kryptograficznej. Moliwoci zmiany rozmiaru partycji w czasie instalacji s wane, jednak w przypadku tysica komputerw przenonych, w ktrych s ju partycje zaoone, zmniejszanie ich nie jest najlepszym pomysem. Microsoft zachca producentw sprztu do zakadania partycji boot i partycji systemowej. Wszystkie, mogce pracowad z Bitlockerem, komputery bd miay dwie gotowe do uycia partycje i nic nie trzeba bdzie na nich zmieniad. W systemie Windows Vista, wprowadzono ograniczenie stosowania Bitlockera wycznie do partycji systemowej. Jedna dua partycja na wszystkie dane jest rozwizaniem nierzadko spotykanym, jednak nie zawsze takie rozwizanie jest waciwe. Interfejs uytkownika systemu Bitlocker nie pozwala na zaszyfrowanie partycji innej ni systemowa, jednak narzdzia wykorzystujce wiersz poleceo umoliwiaj to bez kopotw. Co ciekawe, taki zaszyfrowany dysk pojawi si w graficznym interfejsie BitLocker i udostpni standardowe opcje ani sowem nie komentujc, e par chwil wczeniej udawa, e takiego dysku zaszyfrowad w ogle si nie da. Microsoft zapowiada rozszerzenie GUI o dyski inne ni systemowe w ServicePack1. Do niedawna twierdzono, e takie rozwizanie nie bdzie w ogle wspierane, wic postp powinien cieszyd. Niezalenie od tego czy dysk zaszyfrowano przez GUI czy z wiersza poleceo, tak skonfigurowany Bitlocker bardzo dobrze dziaa. Wiedzc ju, jak maj byd uoone partycje, skd bierze si klucz i do czego mona go uyd, warto bliej poznad sam sposb dziaania mechanizmw Bitlocker. Tak, jak wspomniano powyej, szyfrowany jest kady sektor dysku. eby nie przeszkadzao to w pracy systemu, wskazane jest, eby adna aplikacja nie bya w stanie zauwayd rnicy pomidzy dziaaniem na dysku zaszyfrowanym a niezaszyfrowanym. Z tego powodu sterownik FVE umieszczony jest bardzo nisko w strukturze systemu. W praktyce, pomidzy dyskiem a FVE znajduje si wycznie Volume Manager i sterowniki dysku (w tym sterowniki RAID). FVE dostaje dane, gdy tylko zostan one odczytane i od razu je deszyfruje. Kady inny element systemu operuje ju wycznie na danych rozszyfrowanych. Na danych rozszyfrowanych operuj w szczeglnoci mechanizmy takie, jak defragmentacja, cache, shadow copy czy systemowa kompresja NTFS. Oznacza to, e cay proces ochrony danych jest cakowicie niezauwaalny. Samo szyfrowanie i rozszyfrowanie danych jest ciekawym zagadnieniem z obszaru matematyki i kryptografii i zostanie jeszcze pokrtce wyjanione. Warto zwrcid uwag na to jak przebiega operacja zaszyfrowania i rozszyfrowania caego dysku. Jest to zupenie inne zagadnienie, ni dziaanie na pojedynczych sektorach w trakcie normalnej pracy. Pojedynczy sektor jest rozszyfrowywany natychmiast po daniu jego odczytania i szyfrowany tu przed zapisem. System w czasie pracy, z oczywistych powodw, dania zapisu i odczytu wysya w ogromnej iloci i operacje kryptograficzne wykonywane s tylko na tych sektorach, ktrych dotycz operacje.

Strona | 31

W przypadku, kiedy dysk nie jest chroniony, a administrator zechce ochron wczyd, konieczne jest przeprowadzenie operacji szyfrowania dla caego dysku. Generowany jest klucz VEK, uruchamia si sterownik FVE i sektor po sektorze dysk jest odczytywany, szyfrowany i zapisywany. Dla wspczesnych realiw, czyli szybkiego laptopa ocenionego przez Windows Vista na 4.8-4.9 i dla dysku 100GB, proces ten zajmuje kilka godzin intensywnej pracy. Poniewa aplikacje nie s wiadome, e w systemie dziaa Bitlocker, trwajce szyfrowanie dysku w aden sposb nie przeszkadza w ich dziaaniu. Co wicej, w czasie szyfrowania komputer mona restartowad, a sam operacje dowolnie wstrzymywad i wznawiad. Tak GUI, jak i wiersz poleceo Bitlockera dokadnie informuj o postpie caego procesu. Szyfrowanie partycji obejmuje kady jej sektor niezalenie od tego, czy jest on w danej chwili uywany czy oznaczony jako wolny. Jedn z zalet takiego podejcia jest nadpisanie danych w nieuywanych przez pliki sektorach. Podejcie takie pozwala lepiej chronid informacje, poniewa fakt, e fragment partycji jest w danym momencie nieuywany w aden sposb nie oznacza, e nie pozostay w nim adne wane informacje. Analogicznie do moliwoci zaszyfrowania caego dysku dopuszczalne jest rwnie jego rozszyfrowanie. Moe to byd czasem potrzebne i Windows Vista w aden sposb takiej operacji nie zabrania. Podsumowujc rozwaania na temat wntrza Bitlockera, zapamitad naleaoby w zasadzie tylko jedn, za to niezwykle wan informacj: uycie tego zabezpieczenia pozostaje cakowicie niewidoczne dla aplikacji. W praktyce oznacza to, e trudno podad jakiekolwiek przeciwwskazania dla zastosowania tak wygodnej i skutecznej metody ochrony danych. Jak ju zostao to wyjanione, dla rozszyfrowania partycji potrzebny jest VEK czyli Volume Encryption Key. Klucz VEK jest zapisany na niezaszyfrowanej partycji, ale sam zaszyfrowany jest kluczem SRK wyliczanym przez TPM na podstawie wykonywanego przez procesor kodu. Gdyby Bitlocker ogranicza si do takiej funkcjonalnoci, to jakakolwiek zmiana w komputerze lub systemie prowadziaby do otrzymania dysku, ktrego nikt nie umiaby rozszyfrowad, wcznie z wacicielem. Aby uniknd takich sytuacji, VEK mona obliczyd nie tylko t jedn metod przy uyciu TPM. W praktyce, klucz ten szyfrowany jest kilkoma rnymi metodami i dla kadej z nich zapisywany na partycji boot. Jeeli TPM policzy waciw sum, to VEK wyliczany jest automatycznie a partycja staje si dostpna. Jeeli moduowi TPM nie uda si wyliczyd waciwego klucza SRK, podejmowana jest prba odszyfrowania VEK zaszyfrowanego przy uyciu innego klucza, na przykad klucza liczbowego zoonego z 48 cyfr i wprowadzonego z klawiatury. Klucz VEK mona te podad na noniku USB. Wane tylko, eby system go dosta, a natychmiast umoliwi dostp do zaszyfrowanej partycji. Liczba takich kluczy pomocniczych jest ograniczona do kilkudziesiciu, co w praktyce powinno wystarczad. Moliwe jest rwnie zapisanie klucza VEK na partycji boot bez adnego szyfrowania, co oznacza w praktyce zdjcie jakiejkolwiek ochrony z dysku. Ale czasem to wanie jest niezbdne. Przykadowo - wiedzc, e instalowany bdzie Service Pack lub modyfikowany BIOS, w systemie mona wskazad, e na partycji boot ma si znaled VEK w formie jawnej. W takiej sytuacji system ma dostp do danych niezalenie od tego, co policzy TPM. Po zakooczeniu prowadzonych modyfikacji TPM liczy now sum kontroln, szyfruje ni jawn postad klucza VEK i zapisuje na dysku. Od tej pory znowu tylko TPM i oryginalny kod umoliwiaj automatyczne rozszyfrowanie dysku. Operacja taka jest prostsza i szybsza ni rozszyfrowanie caego dysku i zaszyfrowanie go ponownie.

Strona | 32

Warto wiedzied, e poza kluczem chronionym TPM, kluczem chronionym 48 cyframi, i kluczem w formie jawnej (chwilowo na partycji boot lub trwale na noniku USB) istniej jeszcze inne formy zapisania informacji potrzebnej do odszyfrowania partycji. W szczeglnoci s to klucze chronione przez napd USB, klucze chronione rwnoczenie przez TPM i napd USB oraz klucze chronione przez TPM i pin. W przypadku ostatnim, niezalenie od wyliczenia prawidowej wartoci przez TPM, konieczne jest podanie prawidowego pinu zoonego z 4 do 20 cyfr. Podobnie jak w innych obszarach Bitlockera, pin ten nie jest nigdzie zapisywany, wic nie istnieje moliwod odczytania go z dysku czy rejestru. Jeeli uytkownik poda dobry pin, dane (a w zasadzie VEK) zostan odszyfrowane poprawnie. Jeeli pin bdzie zy, to system nie uruchomi si. Ochrona przy pomocy nonika USB nie wydaje si szczeglnie skuteczna. Wprawdzie cay dysk jest zaszyfrowany, ale w przypadku kradziey notebooka, klucz USB prawdopodobnie bdzie znajdowa si w tej samej teczce, w ktrej przenoszony by komputer. Poczenie TPM z napdem USB jest moliwe, jednak trudno uznad, e poziom ochrony jest wyszy ni w przypadku samego TPM, podczas gdy wyranie wzrasta uciliwod zwizana z uyciem takiego rozwizania. W przypadku szyfrowania partycji innych ni systemowa, z powodw ograniczeo rozwizania, klucze nie mog byd chronione przez TPM. Uytkownikowi pozostaje klucz liczbowy, klucz zapisany na noniku USB lub klucz w rejestrze. Ta ostatnia opcja jest jedyn moliwoci automatycznego podczania zaszyfrowanej partycji. Skorzystanie z klucza w rejestrze sprawia, e dysk rozszyfrowywany jest bez ingerencji uytkownika, co w przypadku Bitlockera jest szczeglnie cenne. Klucz moe byd jednak zapisany w rejestrze tylko wtedy, kiedy rejestr (a wic i partycja systemowa) jest zaszyfrowany. Ostatnim ju miejscem, gdzie klucze mona przechowad, jest Active Directory. Tam zapisywane s (oczywicie po rozszerzeniu schemy) klucze liczbowe. Nie s one w aden sposb automatycznie wykorzystywane, jednak w razie potrzeby dobrze jest mied centralne repozytorium kluczy. Istniej rwnie mechanizmy repozytorium kluczy na serwerach Microsoft i jest to dostpna, jako jedno z rozszerzeo Ultimate Extras. Ciekawostk zwizan z kluczami liczbowymi jest ich wartod. Zoony z 48 cyfr klucz podzielony jest na 8 pl po 6 cyfr. Kada taka szeciocyfrowa sekcja zawsze jest mniejsza od 720896 i zawsze podzielna przez 11. Szyfrujc dysk, klucz taki mona wygenerowad automatycznie lub podad samodzielnie. Wymogi arytmetyczne sprawiaj jednak, e wasnorczne wymylanie takiego klucza nie jest czsto spotykane w praktyce. Zanim stanie si co zego, warto zapewnid sobie moliwod awaryjnego dotarcia do danych. Rozwayd mona kilka scenariuszy w zalenoci od tego czy zawiedzie mechanizm tworzenia kluczy przez TPM, czy sam system operacyjny na partycji, do ktrej udao si poprawnie wyliczyd klucze. W przypadku, kiedy poprawny klucz do odszyfrowania VEK nie zostanie wygenerowany przez TPM, system wywietli komunikat z prob o podanie klucza "rcznie". W praktyce, w takiej sytuacji najatwiej dotrzed do kluczy liczbowych (najlepiej w Active Directory) i podad taki klucz systemowi, ktry powinien bez dalszych kopotw dad si uruchomid. Jeeli system zostanie uruchomiony, stosunkowo atwo mona w TPM wygenerowad nowy SRK, ktry bdzie ju od tej pory dziaa automatycznie. W przypadku, kiedy system na zaszyfrowanej partycji przestanie si nadawad do uycia, w zasadzie najlepsz metod jest podczenie dysku do innego komputera. Dysk taki oczywicie nie zostanie Strona | 33

automatycznie udostpniony, jednak podajc waciwy klucz mona go podczyd do czasu najbliszego restartu. Tak podczony dysk mona albo rozszyfrowad albo po prostu zgrad z niego dane. Naley pamitad, e powodzenie operacji odzyskania danych zaley od tego, czy klucze zapasowe zostay wygenerowane i bezpiecznie zapisane. W przypadku GUI Bitlockera jest to dod atwe. Uycie narzdzi wiersza poleceo wymaga pamitania o tym, e kiedy moe si przydad awaryjna metoda dostpu. Od strony teoretycznej algorytmy kryptograficzne postawiy twrcw Bitlockera przed niemaym wyzwaniem. Wynika ono z tego, e naleao wybrad algorytm, ktry bdzie szybki i bezpieczny rwnoczenie. Bezpieczny oznacza tu midzy innymi, e wprowadzone przez atakujcego zmiany w zaszyfrowanym sektorze nie mog przeoyd si w aden przewidywalny sposb na jawn form jego zawartoci. Parametr ten nazywany jest dyfuzj i okrela, ile bitw postaci jawnej zmieni si w sektorze przy zmianie jednego bitu przed rozszyfrowaniem. Sytuacja idealna zakada, e zmieni si 50% bitw losowo rozoonych w caym sektorze. Ponadto, kluczowym wymaganiem byo, aby zaszyfrowane dane z sektora nie przekroczyy rozmiaru sektora. Jeden sektor ma zazwyczaj 512B i po zaszyfrowaniu nie moe powstad ani jeden bajt wicej, poniewa nie bdzie go gdzie zapisad. Zastosowanie jakiego egzotycznego, lub co gorsza wasnego, opracowanego w Microsoft algorytmu, sprawioby, e nikt nie ufaby takiemu rozwizaniu. Z drugiej jednak strony, ilod powszechnie stosowanych bezpiecznych algorytmw kryptograficznych jest na tyle niewielka, e moliwe byo kolejne ich weryfikowanie pod ktem zgodnoci z wymaganiami oraz pod ktem szybkoci dziaania. W obecnych komputerach, w czasie potrzebnym do odczytania jednego bajta danych, zegar procesora wykonuje okoo 40-60 taktw w zalenoci od sprztu. Przyjd mona, e okoo 35 taktw na samo szyfrowanie i rozszyfrowanie bajta informacji jest wartoci krytyczn, powyej ktrej uytkownik zacznie odczuwad problemy z wydajnoci systemu. Testy prowadzone w Microsoft objy rne rozwizania, takie jak algorytmy strumieniowe (cakowity brak dyfuzji), "Bear and Lion" (wymagajcy niemal 100 cykli na bajt), "Beast" (nieco szybszy jednak nie gwarantujcy dobrej dyfuzji danych), VIL (brak dyfuzji i dziwne wymagania zwizane z patentami), Mercy (zaprojektowany specjalnie do takich rozwizao, jednak zamany w 2001 roku), LRW (posiadajcy zbyt may, ograniczony do 16 bajtw blok, na ktrym operuje pojedynczy przebieg), CMC i EME (zaprojektowane do szyfrowania dyskw, jednak chronione patentami i tak naprawd szerzej nieznane, przez co sabo zbadane). W efekcie zdecydowano si na dobry i uznany algorytm AES-CBC, wymagajcy okoo 20 cykli na bajt. Wtpliwoci pozostawiaa kwestia dyfuzji danych. Aby rozwizad ten problem, opracowano wasny dyfuzor pracujcy z prdkoci okoo 10 cykli na bajt. Dyfuzor ten miesza dane, ktre nastpnie przekazywane s do zaszyfrowania algorytmem AES-CBC. Jak atwo udowodnid, rozwizanie takie z punktu widzenia analizy kryptograficznej jest nie sabsze ni sam AES-CBC, ktry powszechnie uznany jest za algorytm gwarantujcy dobre bezpieczeostwo. Algorytm dyfuzora jest znany i opublikowany jednak nie istniej jeszcze powane opracowania dotyczce jego skutecznoci. Zdajc sobie spraw, e w niektrych (gwnie rzdowych) rodowiskach, uycie jakiegokolwiek niezatwierdzonego algorytmu jest niedozwolone, Microsoft pozostawi moliwod wyczenia mechanizmw dyfuzora. Kooczc rozwaania na temat Bitlockera naley postawid zasadnicze - dla kadego waciciela informacji - pytanie "Czy to zabezpieczenie mona zamad?". Odpowied brzmi "Tak mona, bo nie Strona | 34

ma zabezpieczeo nie do zamania". W praktyce jednak, tak teoretyczna analiza zastosowanych rozwizao, jak i praktyczne badania wykazuj, e zamanie takie nie jest realne w dostpnych zwykym miertelnikom warunkach. Oznacza to, e tak naprawd, najsabszym ogniwem okazuje si haso uytkownika. Dobrze skonfigurowany Bitlocker moe byd zupenie niezauwaalny i rwnoczenie naprawd skutecznie chronid informacje. Prowadzi to do jedynego uzasadnionego w takiej sytuacji wniosku, e w przypadku komputerw przenonych, niezastosowanie Bitlockera tam, gdzie zastosowad go mona, jest bardzo ryzykownym pomysem. 2.5.1 BitLocker2 Go

Microsoft w Windows 7 wprowadzi rozszerzony mechanizm szyfrowania BitLocker, doczajc do niego funkcjonalnod BitLockerTo Go. Windows 7 Ultimate wspiera dodatkowo przenone noniki danych np. klucze USB, czy karty SDHC. Wraz ze standardowymi dyskami (partycjami) moliwymi do zaszyfrowania widoczne s rwnie inne noniki danych zwane dalej, dla wygody kluczami USB (BitLocker To Go):

Rysunek 19. Dyski moliwe do zaszyfrowania

Dostp do zakodowanych kluczy USB moliwy jest przez haso, ktre uytkownik podaje przed zaszyfrowaniem. Z GUI moliwe jest take podanie nastpujcych metod: karty inteligentnej, 48 cyfrowego BitLocker Recovery Key (do uywania klucza USB w systemie Windows Vista bez SP2, czy Windows Server 2008) oraz External Key (o tym tajemniczym kluczu na koocu). BitLocker wcza si poprzez kliknicie Turn On BitLocker lub poprzez polecenie manage-bde.exe (w Windows Vista polecenie to byo skryptem manage-bde.wsf uruchamianym przez cscript). Polecenie to moe byd z powodzeniem uznane, za jedyn suszn metod dostpu do BitLockera. W efekcie dla kadego uytkownika koocowego sprowadza si to do jednego: zaszyfrowad dysk/partycj/klucz. Szyfrowanie trwa dosyd dugo. Przy kluczu USB o rozmiarze 4 029 612 032 bajtw, kady 1% szyfrowania trwa ok. 10 sekund. To daje ok. 3,8 Megabajty /s. Przy kluczu USB o rozmiarze 256 Megabajtw szyfrowanie trwao ok. 2 minut.

Strona | 35

Szyfrowanie mona przerwad na chwil przekadajc klucz USB do innego komputera z BitLockerem dla zewntrznych dyskw np. Windows Server 2008 R2, szyfrowanie bdzie kontynuowane bezstratnie! Mona zaszyfrowad klucze USB zarwno z systemem plikw FAT32, jak i NTFS (BitLocker w Windows Vista wymaga NTFS), s jednak pewne rnice. Z punktu widzenia uytkownika Windows 7 rnic funkcjonalnych nie ma, natomiast gdy ten sam uytkownik zabierze swj klucz USB i bdzie prbowa uruchomid go na innych systemach, rnice te zaraz zobaczy. Warto wiedzied, e klucz USB z BitLocker To Go zadziaa na nastpujcych systemach operacyjnych: Windows Vista SP1, Windows XP SP3. Wszelkie prby uruchomienia klucza USB pod innymi systemami (Windows 2000, Windows XP SP2) kooczyy si pytaniem o sformatowanie klucza (Do you want to format it now?).

Rysunek 20. Windows XP SP3 i BitLocker To Go.

Rysunek 21. Windows Vista SP1 i BitLocker To Go.

Uzyskanie dostpu do klucza USB powoduje uruchomienie programu(BitLocker To Go Reader), z ktrego mona wybrane pliki: przenied do wybranego folderu, przenied na pulpit, skopiowad. S to jedyne opcje, ktre oferuje ten program.

Rysunek 22. BitLocker To Go Reader.

Strona | 36

Szyfrowanie klucza USB z systemem plikw FAT32 powoduje utworzenie wielu plikw (w tym przypadku 1017):

Rysunek 23. Pliki powstae po zaszyfrowaniu klucza USB z systemem plikw FAT32.

UWAGA: Przy systemie plikw NTFS na kluczu USB pliki te nie tworz si, nie mona zatem korzystad z klucza w ww. systemach, oprcz Windows 7 oczywicie. Pliki te to m.in.: autorun.inf (do uruchomienia pliku *.EXE), BitLockerToGo.exe (program uruchamiany na komputerze klienckim) enUSBltLockerToGo.exe.mui jzyk angielski plik *.ER o rozmiarze takim jak klucz USB, przypuszczalnie dziaa na zasadzie VHD plik *.BL 32 bajty, zapisane jest tylko kilka pierwszych bitw plik *.PD o zerowej dugoci pliki *.NG - o zerowej dugoci

Pierwsza prba zepsucia: Usunicie z klucza USB podczonego do systemu Windows Vista SP1 wszystkich plikw znajdujcych si na kluczu USB nie spowodowao uszkodzenia BitLockera pod Windows 7. Wrzucenie dodatkowych danych o wielkoci caego klucza USB spowodowao uszkodzenie BitLockera. Klucz USB nie prosi si nawet o formatowanie. W Disk Management USB widoczny by jako partycja RAW!

Rysunek 24. Klucz USB widziany, jako partycja RAW

Przy prbie formatowania otrzymuje si komunikat:

Strona | 37

Rysunek 25. Komunikat o braku moliwoci sformatowania klucza USB

Dopiero przeoenie klucza USB do Windows Vista SP1 (widad tam byo wszystkie nowo wrzucone dane) pozwolio na sformatowanie. Druga prba zepsucia: W drugiej prbie, wrzucenie niewielkiej iloci danych nie zaszkodzio BitLockerowi dane byy nadal dostpne. Dokopiowywanie danych porcjami sprawio, e klucz USB posiada NIEOKRELONY typ plikw (diskmgmt.msc nie poda adnej informacji), dao si go sformatowad z poziomu Windows 7. Trzecia prba zepsucia: Zagbiajc si w struktur klucza USB z BitLockerem, mona zauwayd, e w BootRecordzie dysk zaszyfrowany przyjmuje sygnatur MSWIN4.1, niezaszyfrowany przyjmuje natomiast MSDOS5.0. System plikw FAT. Podmieniony zosta zaszyfrowany BootRecord na BootRecord niezaszyfrowany (midzy Offset 4000, a 41F0). W efekcie na kluczu USB, teraz ju na kadym systemie operacyjnym widoczne jest 512 plikw o rnych rozmiarach, stanowicych Root Directory entries.

Rysunek 26. Odpowiedniki Root Directory Entries

Ponowna zmiana z biecego (niezaszyfrowanego) BootRecordu na zaszyfrowany spowodowa wywietlenie tego co jest widoczne na systemach Windows Vista SP1 i XP SP3, a co nie jest widoczne w Windows 7!

Strona | 38

Rysunek 27. Pliki widoczne pod Windows Vista stay si widoczne pod Windows 7

Wnioski nasuny si nastpujce:

Rysunek 28. Podsumowanie testw

Prosz nie traktowad tego, jako informacj absolutn s to tylko przypuszczenia potwierdzone testami! Po zaszyfrowaniu klucza USB, istnieje wiele opcji do zarzdzania kluczem USB (nie wspomnajc o moliwociach konsoli, ktre s nieporwnywalnie wiksze): Change the password Remove the password Add a smart card Save or print the recovery key again Automatically unlock the drive on this computer (only for fixed disks)

Ostatnia opcja jest wanie tym tajemniczym External Key pozwalajcym na uzyskanie dostpu do klucza USB bez koniecznoci podawania hasa.

2.6 Microsoft Windows Virtual PC

Jednym z najwaniejszych czynnikw branych pod uwag przy wdroeniach nowych systemw operacyjnych jest kompatybilnod z aktualnie uywanymi rozwizaniami i aplikacjami. Jedynym ze sposobw, ktrych mona uyd przy zapewnianiu zgodnoci jest jake powszechna i popularna w ostatnich latach dziedzina zwana wirtualizacj. Firma Microsoft oferuje wiele rozwizao w tym obszarze takich jak np. Hyper-V, Virtual Server czy inne, ktre s znane i doceniane na rynku.

Strona | 39

Wraz z premier Windows 7 oczekiwad moemy nowej, sidmej ju wersji aplikacji Virtual PC, ktra od teraz nazywad si bdzie Windows Virtual PC. Oprcz nieco zmienionej nazwy pojawio si kilka naprawd istotnych i interesujcych funkcji jak np. wsparcie dla emulacji urzdzeo USB czy tryb XP (ang. XP Mode). 2.6.1 Wymagania Windows Virtual PC

Pierwsze kroki, jakie naley poczynid, w celu poznania nowego Virtual PC jest pobranie aktualizacji oznaczonej identyfikatorem KB 958559. I to ju jest pierwsza istotna zmiana Windows Virtual PC jest w peni zintegrowany z systemem operacyjnym i nie wystpuje jako autonomiczna aplikacja. Jeeli w systemie jest ju zainstalowane Virtual PC w wersji 2007, zaleca si, aby je usund przed instalacj Windows Virtual PC. Naley poznad wymagania sprztowe, ktre stawia najnowsza odsona tego narzdzia: komputer, na ktrym dziaa system-gospodarza musi byd wyposaony w procesor wspierajcy wirtualizacj sprztowo musi wspierad technologi Intel-VT bd AMD-V, dodatkowo zaleca si, aby w BIOS komputera wyczyd opcj Trusted Data Execution. Nie naley zapomnied o innych wymaganiach - musimy posiadad odpowiedni edycj systemu Windows 7 (Windows Virtual PC dziaa tylko na Windows 7). W poniszej tabeli pokazano jak wyglda wsparcie dla konkretnych wersji i edycji Windows. Windows Virtual PC jest dostpny zarwno dla 32i 64-bitowych systemw-hostw. Warto zaznaczyd, e Windows Virtual PC nie wspiera 64-bitowych systemw-goci. Tabela przedstawia Windows Virtual PC i wsparcie dla poszczeglnych wersji i edycji.
Wersja Windows 7 Ultimate, Enterprise Tak Windows 7 Professional Windows 7 Home Basic, Home Premium Tak Windows Server 2008 R2 Windows Vista Business Windows Vista Ultimate, Enterprise Nie Windows XP Professional (SP3)

Wsparcie dla systemugospodarza Wsparcie dla Windows XP Mode Wsparcie dla systemgoci

Tak

Nie

Nie

Nie

Tak

Tak

Nie

Nie

Nie

Nie

Nie

Tak

Tak

Nie

Nie

Tak

Tak

Tak

Dyski VHD maszyn wirtualnych w Windows Virtual PC s kompatybilne z wybranymi rozwizaniami wirtualizacyjnymi Microsoft. W celu eksportu dysku VHD stworzonego w Virtual PC 2007 do nowej edycji, naley odinstalowad komponenty integracyjne starej wersji, a nastpnie po eksporcie zainstalowad ju te waciwe dla Windows Virtual PC. Podobnie to wyglda w sytuacji, gdy chcemy wyeksportowad dysk VHD z nowej odsony Virtual PC do Hyper-V usuwamy komponenty integracyjne (co istotne, proces wstecz z Hyper-V do Windows Virtual PC - jest niemoliwy).

Strona | 40

2.6.2

Pierwsze kroki w Windows Virtual PC

Gdy instalacja zakooczy si powodzeniem moemy przystpid do poznawania Windows Virtual PC. W profilu uytkownika pojawi si nowy folder nazwany Virtual Machine oraz w menu Start pojawi sie dodatkowy folder - Windows Virtual PC. Po otwarciu nowego folderu w menu Eksploratora Windows mona zauwayd opcj Create virtual machine, ktrej wybranie spowoduje uruchomienie kreatora tworzenia nowej maszyny. Naley nadad nazw oraz wskazad lokalizacj, w ktrej zostanie zapisana (domylnie: X:\Users\nazwa\AppData\Local\Microsoft\Windows Virtual PC\Virtual Machines\). W kolejnym kroku okrelamy wielkod przydzielonej pamici oraz decydujemy, czy maszyna wirtualna ma mied dostp do poczeo sieciowych systemu-gospodarza.

Rysunek 29. Ustawienia pamici i sieciowe.

Trzeci etap to definicja szczegw zwizanych z tworzonym dyskiem VHD jego nazw, lokalizacj przechowywania, moliwoci wskazania ju istniejcego dysku, opcji zaawansowanych i wczenia tzw. Undo Disk. Undo disk pozwala na zapisanie/odrzucenie zmian, ktre zaszy w obrbie maszyny wirtualnej w ramach jednej sesji. Jeeli uytkownik wskae opcj Create a virtual hard disk using advanced options uzyska moliwod utworzenia nowego dysku jako jednego z trzech rodzajw VHD: Dynamically expanding udostpniaj maszynie wirtualnej tyle miejsca, ile faktycznie potrzebuje. Jeeli wewntrz maszyny zostan dodane dane wielkod pliku VHD wzronie, co bdzie moliwe do zaobserwowania na systemie-hocie. Niestety zwolnienie danych na takim dysku nie spowoduje jego skurczenia. W tym celu bdzie trzeba uyd innych metod.

Strona | 41

Fixed size to dysk VHD z gry okrelon wielkoci, przypisan w chwili jego tworzenia. Jeeli maszynie wirtualnej bdzie brakowad miejsca do zapisu, bdzie trzeba powikszyd plik VHD innymi metodami wielkod pliku nie ronie dynamicznie. Differencing w tym scenariuszu wystpuj da dyski VHD podrzdny, i przypisany do niego dysk nadrzdny. Wszelkie zmiany s dokonywane na dysku podrzdnym (stworzonym) bez ingerencji w dysk bazowy, zwany nadrzdnym.

Rysunek 30. Wybr rodzaju dysku VHD.

Po zdefiniowaniu opcji maszyny i dysku nastpi proces tworzenia i zapisu wymaganych plikw, ktry moe potrwad kilka minut. Po zakooczeniu moemy przystpid do instalacji systemu operacyjnego. Aby wskazad plik .ISO bd odwoad si do nonika w napdzie optycznym, musimy przejd do opcji konkretnej maszyny, wskazujc przycisk Settings w pasku Eksploratora, nastpnie w nowym oknie naley przejd do sekcji DVD Drive, wskazad napd/plik, zamknd okno ustawieo i uruchomid maszyn (domylnie rozruch z nonika jest automatyczny).

Strona | 42

Rysunek 31. Ustawienia Windows Virtual PC

Aby sprawdzid podstawowe dane maszyny wirtualnej nie musimy uruchamiad konsoli ustawieo. Jako, e nowe Virtual PC integruje si w peni z systemem, w tym z Eksploratorem Windows, to najwaniejsze informacje dostpne w dolnej czci katalogu po zaznaczeniu maszyny s to: nazwa, status dziaania (wczona, wyczona, zahibernowana), lokalizacja pliku konfiguracyjnego i wirtualnego dysku, wielkod przypisanej pamici oraz lokalizacj i dat utworzenia. Po instalacji systemu operacyjnego na maszynie wirtualnej, kolejnym krokiem jaki naley wykonad jest zainstalowanie tzw. skadnikw integracji, ktre s charakterystyczne dla aplikacji wiadczcych benefity z wirtualizacji. Dziki zastosowaniu tych skadnikw, praca pomidzy maszyn wirtualn, a hostem jest zdecydowanie prostsza np. nie trzeba wykorzystywad skrtu klawiszowego CTR + ALT + lewa strzaka, w celu opuszczenia przez kursor okna maszyny moemy pynnie uywad myszy, zarwno na hocie, jak i gociu bez koniecznoci podejmowania dodatkowych czynnoci. Skadniki umoliwiaj take wykonywanie prostych operacji takich jak kopiowanie, wycinanie i wklejanie pomidzy systemem-gospodarzem, a maszyn wirtualn. Automatycznie mapowane s dyski hosta do maszyny wirtualnej, dziki czemu uytkownik ma atwy dostp do swoich danych bez stosowania takich zabiegw jak tworzenie folderw udostpnionych, jak to miao miejsce w poprzednich odsonach Virtual PC. Kolejne uatwianie jakie wprowadzaj skadniki integracji zwizane jest z drukarkami drukarki, ktre s doczone do systemu-hosta s dostpne rwnie z poziomu maszyny wirtualnej (w przypadku prby udostpnienia drukarki w ten sposb na starszych systemach naley zainstalowad sterowniki w systemie-gocia). I co najwaniejsze - gdy jest to kluczowa nowod - po instalacji integration components, w peni wspierane s urzdzenia USB. Czd z nich jak np. wczeniej wymienione drukarki czy urzdzania do przechowywania danych s udostpniane maszynie automatycznie. Jeeli chcemy skorzystad z innego rodzaju urzdzenia USB wewntrz maszyny wirtualnej, musimy udostpnid je rcznie. Aby zainstalowad skadniki integracji, naley w oknie maszyny z menu Tools wskazad pozycj Install Integration Components, nastpnie musimy przejd przez kolejne etapy instalatora i uruchomid Strona | 43

ponownie system-gocia w celu wprowadzenia zmian. Po ponownym uruchomieniu musimy wczyd funkcje oferowane przez skadniki integracji ponownie sigajc do menu Tools, jednak tym razem wskazujc opcj Enable Integration Features, nastpnie wprowadzajc powiadczenia uytkownika.

Rysunek 32. Menu Tools.

Skadniki integracji mona zainstalowad tylko na wspieranych przez Windows Virtual PC systemachgociach. S to: Windows XP z dodatkiem Service Pack 3, Windows Vista z dodatkiem Service Pack 1 oraz Windows 7. 2.6.3 Wsparcie dla USB i drukarek

Kolejn kluczow innowacj w Windows Virtual PC jest wsparcie dla urzdzeo USB urzdzenia USB wpite do hosta mog byd w peni dostpne bd udostpnione maszynie wirtualnej. Nim rozpoczniemy prac z opcjami zwizanymi z USB naley upewnid si, e na systemie-gociu zainstalowane zostay skadniki integracji uzyskamy dostp do penej funkcjonalnoci w zakresie wsparcia USB. Przy zainstalowanych skadnikach urzdzenia takie jak klucze/dyski USB, czytniki SmartCard/linii papilarnych s automatycznie udostpniane. Trzeba pamitad, i maszyna wirtualna moe korzystad z urzdzania USB na dwa sposoby moemy udostpnid urzdzenie bd je dodad. Udostpniajc urzdzenie bdzie ono dostpne z obu systemw, przykadowo jeeli jest to pendrive, na hocie jest widoczny jako Dysk wymienny, za na maszynie wirtualnej jako zmapowany udzia. Gdy dodamy urzdzenie USB bdzie dostpne tylko na systemie-gociu (Pendrive bdzie Dyskiem wymiennym). Lista urzdzeo moliwych do dodania jest dostpna po wskazaniu przycisku USB w oknie maszyny wirtualnej.

Rysunek 33. Lista urzdzeo moliwych do dodania

Opcja Shared oznacza, e dane urzdzenie jest wspdzielone pomidzy dwoma systemami. Jeeli chcemy, aby byo dostpne tylko dla maszyny wirtualnej klikamy na nie, nastpnie potwierdzamy chd dodania bdzie to przycisk Attach.

Strona | 44

Rysunek 34. Podczanie urzdzenia.

Po instalacji skadnikw integracji drukarki, ktre dodane s lokalnie s automatycznie przekierowane rwnie do maszyny wirtualnej bez jakiejkolwiek ingerencji ze strony uytkownika. W przypadku, gdy urzdzenie drukujce wykorzystuje interfejs USB mona je dodad w sposb podobny, jak klucz USB, o czym pisano wczeniej. Jeeli drukarka ma zostad przekierowana do Windows XP, ktry jest systemem-gociem, naley zaopatrzyd si w sterowniki do tego urzdzenia. Nastpnie trzeba skorzystad z opcji Add a printer w oknie Printers and Faxes. Przy konfiguracji musimy wskazad Local printer attached to this computer (pamitajc o odznaczeniu pola wyboru Automatically detect and install my Plug and Play printer ), pniej port TSXXX (gdzie XXX to numer wraz z opisem), pniej wskazad sterowniki i finalnie dodad urzdzenie.

2.7

Tryb XP i publikacja aplikacji

Tryb XP to poczenie funkcjonalnoci Virtual PC zwanej publikacj wirtualnych aplikacji i sposobu licencjonowania Windows XP z SP3. Dlaczego jest to tak kluczowa i podana funkcja? Jest istotna, poniewa zapewnia wrcz stuprocentow kompatybilnod aplikacji jeeli Twoja aplikacja dziaa na systemie Windows XP to zadziaa w peni rwnie na Windows 7 (dziki wykorzystaniu trybu XP). Niekompatybilne programy z Windows 7 instaluje si na dostpnej do pobrania specjalnej maszynie wirtualnej z Windows XP, nastpnie jest ona publikowana w Windows 7 dodawany jest skrt do menu Start o obrbie katalogu Virtual Windows XP Applications. Aplikacja tak naprawd dziaa na Windows XP, tylko jej graficzny interfejs uytkownika jest prezentowany w nowym systemie. Daje to moliwod korzystania z programu bez koniecznoci uytkowania go wewntrz okna Virtual PC. Aby skorzystad z XP Mode trzeba ze stron Microsoft pobrad specjalnie opracowany dysk VHD z Windows XP SP3. Naley zaznaczyd, e z tej funkcjonalnoci mog skorzystad legalni uytkownicy edycji Professional, Enterprise oraz Ultimate Windows 7. Plusem tego rozwizania jest to, i nie potrzebujemy dodatkowej licencji na Windows XP to dua zaleta trybu XP. Paczk z VHD najatwiej pobrad wybierajc opcj Virtual Windows XP, znajdujcej si w katalogu Windows Virtual PC w menu Start. Po zainstalowaniu dysku poprzez kreator moemy przystpid do konfiguracji rodowiska Windows XP. W pierwszym oknie naley zapoznad si z umow licencyjn i j zaakceptowad. Nastpnie, wprowadzamy haso, ktre zostanie przypisane do konta User w Windows XP. Zaleca si, aby zaznaczyd opcj, ktra spowoduje, e powiadczenia zostan ono zapamitane. Naley dokadnie

Strona | 45

zapamitad stworzone haso, gdy nie bdzie moliwoci jego odzyskania/zmiany. W przypadku utraty hasa tryb XP bdzie trzeba konfigurowad od nowa.

Rysunek 35. Wybr hasa

W trzecim oknie kreatora definiujemy ustawienia dotyczce polityki aktualizacji wirtualnego Windows XP. Ze wzgldw bezpieczeostwa zaleca si wczenie aktualizacji automatycznych.

Rysunek 36. Ustawienia polityki aktualizacji wirtualnego Windows XP.

Strona | 46

Po zatwierdzeniu ustawieo aktualizacji nastpi przygotowanie maszyny do pierwszego uruchomienia. Po uruchomieniu maszyny moemy przystpid do instalacji aplikacji, ktra ma zostad opublikowana w Windows 7. Po tej czynnoci w menu Start w ramach folderu Virtual Windows XP Applications powinien pojawid si skrt do zainstalowanego programu. Aby uruchomid aplikacj musimy wczeniej zamknd maszyn z Windows XP. Po przygotowaniu rodowiska aplikacja jest uruchamiana. Aby zainstalowana aplikacja w Windows XP moga zostad opublikowana w menu Start systemu Windows 7 skrt do niej musi znajdowad si w lokalizacji \Documents and Settings\All Users\Start Menu\Programs. Jeeli jest inaczej np. skrt do programu istnieje wewntrz profilu uytkownika, naley stworzyd skrt we wczeniej wymienionym folderze. Po skopiowaniu skrtu zauwayd bdzie mona charakterystyczne mignicie ekranu nastpi odwieenie listy opublikowanych wirtualnych aplikacji. Publikacja wirtualnych aplikacji jest moliwa jeeli system-gocia naley do listy wspieranych s to Windows XP Service Pack 3 Professional, Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 Enterprise i Windows 7 Ultimate. Jeeli uytkownik nie korzysta z XP Mode, a chciaby wykorzystad t technologi, powinien pobrad aktualizacj RAIL QFE dla posiadanego systemu gocia (Windows XP SP3, Windows Vista SP1). Jeeli systemem-gociem jest Windows XP SP3 jest polecane, aby korzystad z przygotowanego dysku VHD z systemem (dostpnego w ramach Centrum Pobierania Microsoft). Jeeli aplikacja, ktra zostaa zainstalowana na systemie Windows 7/Windows Vista SP1 nie jest dostpna na systemie-gospodarzu, trzeba dodad jej skrt do globalnego katalogu, ktry jest dostpny po wybraniu opcji Open All Users z menu kontekstowym dostpnego po klikniciu prawym przyciskiem myszy All Programs w menu Start.

2.8 Internet Explorer 8

Korzystanie z sieci Internet jest coraz bardziej skomplikowane, bardzo czsto zoliwe witryny na rne sposoby prbuj pozyskiwad dane osobowe i monitorowad zachowanie uytkownikw w trybie online. Wyudzanie informacji umoliwia przestpcom pozyskiwanie danych osobowych oraz innych informacji takich jak numer karty kredytowej. Udaj oni, e reprezentuj prawdziw organizacj, np. bank. Program Internet Explorer pomaga chronid przed takimi i innymi atakami. Dziki filtrowi SmartScreen program Internet Explorer 8 chroni przed nieumylnym instalowaniem zoliwego oprogramowania lub oprogramowania mogcego naruszyd bezpieczeostwo danych, prywatnod uytkownika. Jeli filtr SmartScreen dziaa, to odwiedzajc niebezpieczn witryn pojawi si komunikat:

Strona | 47

Rysunek 37. Dziaanie filtru Smart-Screen.

Akceleratory programu Internet Explorer 8 pomagaj szybko wykonywad codzienne zadania zwizane z przegldaniem bez koniecznoci przechodzenia do innych stron sieci Web. Naley podwietlid tekst na dowolnej stronie sieci Web i kliknd niebiesk ikon Akcelerator pojawiajc si nad wybranym tekstem. W zalenoci od potrzeby: aby znaled dojazd, przetumaczyd tekst lub znaled definicj wyrazw, przesad zawartod strony w wiadomoci e-mail, naley wybrad docelowy linki. Akcelerator Map with Live Maps umoliwia wywietlenie widoku miejsca na mapie bezporednio na stronie.

Rysunek 38. Acceleratory.

Strona | 48

Program Internet Explorer 8 to nowa wersja i niektre witryny sieci Web mog nie byd gotowe do tego, aby go obsugiwad. Kliknij przycisk Widok zgodnoci na pasku narzdzi, aby wywietlid witryn sieci Web tak, jakby bya wywietlana w programie Internet Explorer 7, co poprawi problemy z wywietlaniem, takie jak nieprawidowo wyrwnany tekst, obrazy lub pola tekstowe. Ta opcja dziaa w przypadku niektrych witryn, a pozostae mog byd nadal wywietlane przy uyciu funkcji programu Internet Explorer 8. Aby powrcid do przegldania witryny przy uyciu funkcji programu Internet Explorer 8, wystarczy ponownie kliknd przycisk Widok zgodnoci:

Rysunek 39. Widok zgodnoci (Compatibility view).

W programie Internet Explorer 8 mona utrzymywad list witryn, ktre powinny byd wywietlane przy uyciu funkcji Widok zgodnoci. Na Pasku poleceo wybierz opcj Narzdzia, a nastpnie wybierz opcj Ustawienia widoku zgodnoci , aby dodad witryny do tej listy lub je z niej usund. S te opcje umoliwiajce wywietlenie w Widoku zgodnoci wszystkich witryn sieci Web i witryn intranetowych. Program Internet Explorer 8 obejmuje cakowicie zmieniony pasek narzdzi Znajdowanie na stronie, ktry jest aktywowany poprzez nacinicie skrtu Ctrl-F lub wybranie polecenia Znajd na stronie z menu Edycja albo listy rozwijanej pola wyszukiwania. Nacinij klawisz Alt , jeli nie widzisz opcji menu Edycja.

Rysunek 40. Wyszukiwnie w Internet Explorer 8

Przegldanie InPrivate Sprawdzanie poczty e-mail w kawiarence internetowej lub kupowanie prezentu przy uyciu rodzinnego komputera nie pozostawia za sob adnych ladw aktywnoci internetowej. Funkcja Strona | 49

InPrivate zapobiega przechowywaniu przez przegldark danych historii przegldania, tymczasowych plikw internetowych, danych formularzy, plikw cookie oraz nazw uytkownika i hase, nie zostawiajc adnych wpisw w historii przegldania i wyszukiwania.

Rysunek 41. Przegldanie In-Private.

Filtrowanie InPrivate Uytkownicy czsto nie wiedz, e niektre treci, obrazy, reklamy i analizy pochodz z innych witryn sieci Web albo, e te witryny mog ledzid ich zachowanie w wielu rnych witrynach sieci Web. Filtrowanie InPrivate zapewnia uytkownikom dodatkowy poziom kontroli i moliwod wybrania, jakich informacji mog uywad inne witryny sieci Web do ledzenia aktywnoci zwizanej z przegldaniem. Filtrowanie InPrivate jest domylnie wyczone i musi byd wczane podczas kadej sesji. Aby uyd tej funkcji, wybierz z menu Bezpieczeostwo polecenie Filtrowanie InPrivate. Filtrowanie InPrivate zostao zaprojektowane do sprawdzania i blokowania wycznie treci innych firm czsto pojawiajcych si w odwiedzanych przez uytkownika witrynach. adne treci nie s blokowane, dopki nie zostan osignite odpowiednie poziomy, nie s te blokowane adne treci dostarczane bezporednio przez odwiedzan witryn. Zalenie od aktywnoci zwizanej z przegldaniem i odwiedzonych witryn czas, po ktrym taka tred bdzie automatycznie blokowana moe byd rny. W dowolnej chwili mona jednak dostosowad ustawienia zwizane z tym, jakie treci innych firm s blokowane lub dozwolone, uywajc opcji Ustawienia filtrowania InPrivate w menu Bezpieczeostwo.

Strona | 50

3 Razem lepiej
3.1 Zarzdzanie serwerem z konsoli Windows 7
Serwery systemu Windows 2008 R2 mog byd w prosty sposb zarzdzane z komputera dziaajcego pod kontrol systemu Windows 7 beta 1. Jednak najpierw trzeba pobrad zestaw narzdzi RSAT, ktry dostpny jest za porednictwem nastpujcego cza: Remote Server Administration Tools (RSAT) for Windows 7. Poniej przedstawiony zosta przegld narzdzi, ktre s pobierane za pomoc powyszego cza: Narzdzia administracji serwera Server Manager Narzdzia administracji rolami Narzdzia usug AD CS (Active Directory Certificate Services) Narzdzia usug AD DS (Active Directory Domain Services) Narzdzia usug AD LDS (Active Directory Lightweight Directory Services) Narzdzia usugi DHCP Server Narzdzia usugi DNS Server Narzdzia usug plikw Narzdzia Hyper-V Narzdzia usug terminalowych Narzdzia administracji funkcjami BitLocker Password Recovery Viewer Narzdzia usugi Failover Clustering Narzdzia zarzdzania zasadami grupy Narzdzia usugi NLB (Network Load Balancing) Narzdzia usugi SMTP Server Narzdzia usugi Storage Explorer Narzdzia usugi Storage Manager dla sieci SAN Narzdzia usug Windows System Resource Manager

3.2 Przyczenie offline do domeny

Idea prezentowanego mechanizmu jest prosta: moliwod dodania do domeny stacji, ktra nie ma poczenia z AD. Aby stacja zostaa dodana do domeny, operacja musi zostad wykonana w dwch krokach na kontrolerze domeny musi zostad powoane konto, a stacja kliencka musi zapisad informacj o tym, e ma uwierzytelniad si w domenie. Jest to oczywicie bardzo skrcony opis, istot jest jednak wykonanie czynnoci po obu stronach inaczej caod nie ma szansy zadziaad. Nie przez przypadek zostao uyte sformuowanie powoad konto (provision), poniewa wie si to z zapisaniem pewnych informacji o systemie, ktry to konto reprezentuje w przeciwieostwie do zaoenia konta, ktre jest po prostu zaoeniem obiektu bez adnej relacji z rzeczywist stacj.

Strona | 51

Do wymiany informacji musi zostad wykorzystane jakie medium zastpujce poczenie sieciowe, i w tym przypadku jest to may plik tekstowy. Co osigniemy, jeli wczymy stacj dodan do domeny bezpoczeniowo? nie zostan pobrane polisy GPO nie bdzie mona zalogowad si na adne konto domenowe nie da si skorzystad z adnych zasobw domenowych

A wic jaki jest scenariusz, w ktrym taka funkcjonalnod moe byd przydatna? Podstawowym zastosowaniem jest wykorzystanie tego mechanizmu podczas powoywania maszyn wirtualnych w centrach danych. Wirtualizacja staje si coraz bardziej powszechna i moliwod szybkiego utworzenia maszyny, ktra bdzie od razu dodana do domeny z odpowiedni nazw, moe okazad si pomocne. W pierwszym kroku naley 'powoad konto':
PS C:\>djoin /provision /domain "w2k8r2.domain" /machine "client01" /savefile "client01.djoin"

Nazwa pliku wynikowego moe byd dowolna i jest to prosty plik tekstowy, w ktrym zapisane s zakodowane informacje o hale konta i nazwie komputera. Ciekawostk i najwiksz zalet tego rozwizania jest fakt, e nazwa stacji klienckiej zostanie podczas operacji zmieniona na tak, jak zdefiniujemy podczas powoywania. Zapewnia to wygod podczas pracy z szablonami systemw wirtualnych. Podczas tej operacji kontroler domeny musi byd dostpny. Drugi krok mona wykonad na dwa sposoby - zalenie od scenariusza. Zaczn od mniej ciekawego kiedy stacja robocza dziaa, ale nie ma poczenia z domen. W takim wypadku naley po prostu wykonad komend:
PS C:\>djoin /requestODJ /loadfile client01.djoin /windowspath (Get-Item -path Env:\windir).value /localos

System wystarczy teraz zrestartowad i niezalenie od nazwy jak mia poprzednio - po restarcie mamy gotow do pracy, dodan do domeny maszyn o zadanej nazwie. Jednak podstawowy scenariusz, gdzie na prawd widad po co djoin zosta stworzony, to powoywanie maszyn wirtualnych z szablonu. Systemy zenkapsulowane s w plikach vhd, a Windows 7 posiada now, bardzo ciekaw funkcjonalnod - natywne wsparcie dla dyskw vhd. Oznacza to, e moemy za pomoc djoin przygotowad maszyny w trybie offline. W tym celu trzeba najpierw podczyd dysk vhd:
PS C:\> diskpart Microsoft DiskPart version 6.1.7000 Copyright (C) 1999-2008 Microsoft Corporation. On computer: W2K8R2BETA

DISKPART> select vdisk file="h:\w7.vhd" DiskPart successfully opened the virtual disk file. DISKPART> attach vdisk DiskPart successfully attached the virtual disk file.

Strona | 52

DISKPART> list volume Volume ### ---------Volume 0 Volume 1 Volume 2 Volume 3 Ltr --E D C F Windows 7 W2k8R2.b7oo NTFS NTFS NTFS Label ----------Fs ----Type ---------DVD-ROM Partition Partition Partition Size ------0 B 149 GB 24 GB 127 GB Status --------No Media Healthy Healthy Healthy System Boot Info --------

DISKPART> exit Leaving DiskPart... PS C:\> dir f: Directory: f:\ Mode ---d---d-r-d-r-d----a---a--LastWriteTime ------------2009-02-20 2009-02-20 2009-03-12 2009-03-12 2008-04-29 2008-04-29 11:03 15:24 16:13 16:27 21:43 21:43 Length Name ------ ---PerfLogs Program Files Users Windows 24 autoexec.bat 10 config.sys

Dysk F: to wirtualny system Windows 7 w pliku vhd. Teraz mona wykonad komend:
PS C:\>djoin /requestODJ /windowspath f:\windows /loadfile client01.djoin Loading provision data from file: .\client01.djoin

Offline domain join request completed successfully.

Warunkiem powodzenia jest, aby komputer, na ktrym podcza si dysk, by w domenie oraz aby uytkownik, ktry dodaje stacj, mia do tego uprawnienia. Po wykonaniu doczenia, naley nie zapomnied odczyd dysk wirtualny za pomoc diskpart:
DISKPART> select vdisk file="h:\w7.vhd" DiskPart successfully opened the virtual disk file. DISKPART> dettach vdisk DiskPart successfully dettached the virtual disk file. DISKPART> exit

Strona | 53

Leaving DiskPart...

Polecenie diskpart mona oskryptowad, tworzc plik wsadowy i wykonujc je z przecznikiem -s *ref 1+, dziki czemu cae rozwizanie mona ju dzi w peni zautomatyzowad. Jeli zajrzymy do pliku client01.djoin, zobaczymy tam jedynie krzaczki. Okazuje si, e ma on nieskomplikowan budow i po wyrzuceniu pierwszych dwch bajtw, reszta to zakodowane w base64 informacje. Na blogu Matthieu Suiche mona przeczytad szczegowe informacje, oraz pobrad narzdzie dinfo, ktre wywietla informacje zawarte w pliku wygenerowanym przez djoin:
PS E:\> .\dinfo /loadfile .\client01.djoin dinfo - v1.0.20090128 - Domain Information dinfo utility displays the contents of the provisioning file created by Microsoft djoin.exe tool.

Copyright (c) 2007 - 2009, Matthieu Suiche <http://www.msuiche.net> Copyright (c) 2008 - 2009, MoonSols <http://www.moonsols.com>

main: Loading provision data from file: .\client01.djoin main: Blob base64 decoded, unpickling... main: Blob decoded successfully, dumping...

Blob version: 1 Blob size: 864

Global Information: lpDomain: w2k8r2.domain lpMachineName: client01 lpMachinePassword: \.AqzuoU.rWTnv@;Z_8iQ jc=P`px&*bYCxVa'0ARgwAkVD`kA!`vY#i"mLZ6PgXlP8Z fYOw*%rM8xZ"eFCx7-m X`UT=@]86@Z!2VM(Sep0z#YN<uc2ZS

DomainDnsPolicy:="" Name:="" w2k8r2="" DnsDomainName:="" w2k8r2.domain="" DnsForestName:="" w2k8r2.domain="" DomainGuid:="" 8bfecf3f-0327-4600-b644-32afd280e175="" Sid:="" S-1-5-21-2489063379-3576466881-4189521548=""

Strona | 54

DcInfo:="" DomainControllerName:="" \\AD.w2k8r2.domain="" DomainControllerAddress:="" \\2002:ac00:1::ac00:1="" DomainControllerAddressType:="" 0x1=""! DomainGuid:="" 8bfecf3f-0327-4600-b644-32afd280e175="" DomainName:="" w2k8r2.domain="" DnsForestName:="" w2k8r2.domain="" Flags:="" 0xe00031fd="" DcSiteName:="" w2k8r2-central="" ClientSiteName:="" w2k8r2-central=""

Options:="" Options = "0x0"

Idealnym rozwizaniem byoby napisanie skryptu, ktry tworzyby dyski wirtualne przyrostowe z przygotowanego dysku bazowego, nastpnie by je podcza, wykonywa djoin i moemy w krtkim czasie stworzyd dowolnie wielkie rodowisko wirtualne. Pojawia si tutaj jednak powany problem: podczas zmiany nazwy, nie jest zmieniany SID systemu. Teoretycznie da si doczyd do domeny systemy z tym samym SIDem, ale jest to ryzykowne nie ma w zasadzie adnego dokumentu, ktry mwiby jakie bd tego konsekwencje, a z praktyki wiem, e niestety czasem pewne aplikacje dziaad nie chc. Naley wic mied nadziej, e do pojawienia si wersji finalnej, narzdzie zostanie zmodyfikowane tak, eby podmieniao SID systemu.

3.3 Group Policy

Group Policy (Zasady grupy) ju od kilku lat obecne w systemach Microsoft Windows uatwiaj administratorom centralne zarzdzanie konfiguracj komputerw i ustawieo uytkownika w rodowisku usugi katalogowej Active Directory. Moliwoci Zasad grupy ewoluoway z kadym kolejnym wydaniem systemu Windows. Pierwsza odsona technologii pojawia si w Windows NT jako System Policies, w zasadniczym stopniu Strona | 55

opieray si na szablonach ADM, ktre uywane byy do modyfikacji ustawieo rejestru. System Policies zawieray jednak powane zwaszcza patrzc z perspektywy dzisiejszych moliwoci - wady jak tzw. problem tatuowania (trwaego zapisania ustawieo w rejestrze, nawet po edycji takiej zasady) czy brak atwego tworzenia wasnych, niestandardowych szablonw ADM. Te i dodatkowe wady spowodoway, e firma Microsoft musiaa przystpid do przebudowania zasad dziaania System Polices, co faktycznie spowodowao, e w Windows 2000 wprowadzono rewolucj w zakresie jak ju oficjalnie nazwano Zasad grupy. To wanie Windows 2000 jest podstaw potnych moliwoci Group Policy, kady z nowych systemw Windows, zawiera nowe i udoskonalone polityki w stosunku do Windows 2000, i jak nietrudno si domylid liczba ustawieo rosa z systemu na system. W Windows 2000 liczba ta wynosia okoo 900, w Windows XP ju okoo 1400, Service Pack 2 dla tego systemu przynis kolejne 200 ustawieo. Windows Vista i Windows Server to ju prawie 2500 dostpnych ustawieo. Dodatkowo, na rynku oferowane byy rozwizania firm trzecich rozszerzajce podstawowe moliwoci Group Policy. W systemie Windows Server 2008 firma Microsoft dodaa Group Policy Preferences, ktre doday tysice nowych ustawieo (obejmujcych 20 rozszerzeo klienta). Podstaw Group Policy Preferences byo rozwizanie PolicyMaker firmy DesktopStandard, ktra w 2006 roku zostaa przejta przez Microsoft. Zasady grupy umoliwiaj zarzdzanie konfiguracj lokalnego komputera i jego uytkownikw poprzez lokalne obiekty zasad grupy. Do czasu wydania Windows Vista, kady system Windows posiada jeden lokalny obiekt zasad, ktry mg byd edytowany w celu dostosowania ustawieo na jednym, pojedynczym komputerze. Generowao to pewien problem konfiguracja komputera obejmowaa wszystkich uytkownikw. Dlatego w Windows Vista pojawiy si trzy odrbne lokalne zasady grupy, ktre zostay nazwane obiektami Multiple Local Group Policy (MLGPO). MLGPO umoliwiy administratorom hierarchiczne zastosowanie zasad grupy na poziomie komputera i na poziomie uytkownika, oczywicie w kontekcie komputera lokalnego. Pierwszy obiekt Group Policy ( Local Computer Policy ), stanowi najniszy poziom w tej hierarchii, pozwala definiowad ustawienia caego komputera lokalnego, co odpowiada moliwociom wczeniejszych wersji Windows. Drugi obiekt, Administrators/Non-Administrators Local Group Policy , pozwala definiowad ustawienia zasad, ktre zostan przypisane uytkownikowi na podstawie wyniku weryfikacji, czy konto uytkownika naley bd nie do lokalnych administratorw. Dziki temu obiektowi zasad grupy moemy przydzielid osobne polityki dla lokalnych administratorw (jeeli uytkownik przynaley do lokalnej grupy Administratorzy, dotyczy go obiekt zasad grupy dla grupy Administratorzy), i dla uytkownikw spoza grupy Administratorzy (wszyscy uytkownicy spoza grupy Administratorzy). Ostatnia z warstw MLGPO, User-specific Local Group Policy , umoliwia najbardziej precyzyjn kontrol konfiguracji na poziomie konkretnego uytkownika stosowana najczciej w przypadkach, gdy uytkownik wymaga konfiguracji wyjtkowej, np. na komputerach publicznych, gdzie konto jest wspdzielone pomidzy wieloma uytkownikami, i ze wzgldw bezpieczeostwa wymagana jest bardzo restrykcyjna konfiguracja.

Strona | 56

Warto rwnie wyrnid dwie zmiany, ktre zostay wprowadzone w architekturze Group Policy w Windows Vista i Windows Server 2008 nowy format zapisu szablonw administracyjnych ADMX oraz Central Store , czyli centralna lokalizacja, w ktrej skadowane s szablony administracyjne. Nowe szablony administracyjne bazuj na jzyku XML, co daje pewn elastycznod, plik ADM by przechowywany w ramach szablonu GPT, bdcego czci GPO, co powodowao zbdne zuywanie miejsca na kontrolerze domeny. Dziki wprowadzeniu nowego formatu, ju nic nie musimy przechowywad w obiekcie zasad grupy. Kolejn nowoci jest Central Store , centralne miejsce, w ktrym przechowywane s pliki ADMX, niwelujc koniecznod kopiowania tych plikw w kadym z GPO. Central Store umoliwi administratorom stworzenie jednego punktu, w ktrym przechowywane bd wszystkie pliki szablonw administracyjnych, umoliwiajc centralne zarzdzanie tymi zasobami, nie obciajc pojemnoci dyskowej i obniajc znacznie ruch sieciowy powicony na replikacj pomidzy kontrolerami. Nim przejdziemy do nowoci w Windows 7 i Windows Server 2008 R2, powrdmy do Group Policy Preferences. Preferencje zasad grupy oferuj 20 rozszerzeo klienta (CSE), ktre umoliwiaj administratorom, nie tylko w sposb atwy i intuicyjny konfigurowad nowe ustawienia (mapowanie dyskw i drukarek, modyfikacje rejestru, zarzdzanie zmiennymi rodowiskowym i wiele innych), ale dodaj moliwoci konfiguracji tych aspektw systemu, ktre byy niedostpne za pomoc polityk zasad grupy. Co wane, preferencje nie narzucaj ustawieo, uytkownik moe je zmieniad, w przeciwieostwie do polityk zasad grupy, ktre wymuszaj zdefiniowane ustawienia na klientach. Dodatkowo, definiowanie preferencji jest bardzo atwe, interfejs graficzny jest przejrzysty, najczciej oparty o czytelny formularz czy kreator. Dodatkow zalet preferencji zasad grupy jest obsuga aplikacji, ktre domylnie nie wspieraj polityk zasad grupy. Co istotne, Group Policy Preferences nie znajdziemy w ustawieniach lokalnych zasad grupy. Sowem podsumowania, preferencje zasad grupy s uzupenieniem dla polityk zasad grupy, i oczywicie mog byd stosowane rwnolegle. Systemy Windows 7 i Windows Server 2008 R2 przynosz kilka nowoci w zakresie Zasad grupy. Nim rozpoczniemy przygod z Group Policy w tych rozwizaniach, warto ze stron Centrum Pobierania Microsoft pobrad Remote Server Administration Tools (RSAT) , ktry jest zestawem narzdzi niezbdnych przy zdalnym zarzdzaniu Windows Server 2008 R2 (i wczeniejszych, wcznie z Windows Server 2003). Po instalacji RSAT, uytkownik uzyska dostp do Group Policy Management Console (GPMC), ktra pozwala na zarzdzanie zasadami grupy na poziomie domeny. Jeeli nie zainstalujemy RSAT w Windows 7, bdziemy mogli korzystad tylko z Local Group Policy Editor, umoliwiajcy zarzdzanie Group Policy na poziomie lokalnym. Jeeli uytkownik korzysta z Windows Server 2008 R2, nie zachodzi koniecznod pobierania RSAT, naley zainstalowad funkcj Group Policy Management poprzez konsol Server Manager. Pierwsz, i najbardziej kluczow zmian jest wsparcie dla PowerShell w kontekcie zarzdzania zasadami grupy administratorzy mog automatyzowad zadania zwizane z zasadami grupy np. Strona | 57

tworzyd, usuwad, importowad obiekty zasady grupy, czy przypisywad konkretne zasady do kontenerw usugi katalogowej Active Directory, wykorzystujc cmdlety, spord 25 udostpnionych w Windows Server 2008 R2. Administratorom umoliwiono rwnie stosowanie skryptw PowerShell przy uruchamianiu/zamykaniu bd logowaniu/wylogowaniu do/z systemu. Aby wykorzystad potg PowerShell, naley zainstalowad pakiet RSAT, ktry zawiera konsol Group Policy Management Console (GPMC), wraz z cmdletami. W Tabeli zaprezentowano wszystkie 25 cmdletw dla Group Policy wraz z krtkim opisem. Nazwa Backup-GPO Block-GPInheritance Copy-GPO Get-GPInheritance Get-GPO Get-GPOReport Get-GPPermissions Get-GPPrefRegistryValue Get-GPResgistryValue GetGPResultantSetofPolicy Get-GPStarterGPO Import-GPO New-GPLink New-GPO New-GPStarterGPO Remove-GPLink Remove-GPO RemoveGPPrefRegistryValue Remove-GPRegistryValue Rename-GPO Restore-GPO Set-GPLink Set-GPPermissions Set-GPPrefRegistryValue Set-GPRegistryValue Opis Wykonuje kopi zapasow jednego GPO bd wszystkich GPO w domenie. Blokuje dziedziczenie dla wskazanej domeny bd jednostki organizacyjnej. Kopiuje GPO. Pobiera status wasnoci blokowania dziedziczenia dla wskazanej domeny bd jednostki organizacyjnej. Pobiera informacje o GPO. Generuje raport GPO w formacie HTML lub XML we wskazanej lokalizacji. Pobiera poziom uprawnieo dla wskazanego GPO. Pobiera wartod rejestru, ktra zostaa ustawiona poprzez jedn lub wicej preferencji. Pobiera wartod rejestru, ktra zostaa ustawiona poprzez polityk. Przekazuje informacje Wynikowego zestawu zasad (RSoP) dla uytkownika bd komputera do pliku. Pobiera informacje o Starter GPO. Importuje ustawienia Zasad grupy z kopii zapasowej GPO do wskazanego GPO. Przypisuje istniejce GPO do miejsca, domeny bd jednostki organizacyjnej. Tworzy nowe GPO. Tworzy nowe Starter GPO. Usuwa przypisanie GPO do miejsca, domeny bd jednostki organizacyjnej. Usuwa GPO. Usuwa wartod rejestru, ktra zostaa ustawiona poprzez jedn lub wicej preferencji. Usuwa wartod rejestru, ktra zostaa ustawiona poprzez polityk. Przypisuje now nazw wywietlan do GPO. Przywraca GPO korzystajc z pliku kopii zapasowej GPO. Definiuje waciwoci dla danego przypisania GPO. Przydziela poziom uprawnieo dla grupy zabezpieczeo bd uytkownika do GPO. Konfiguruje wartod rejestru dla preferencji rejestru. Konfiguruje wartod rejestru dla polityki.

Korzystanie z cmdletw PowerShell znacznie skraca czas wykonywania zadao zwizanych z Group Policy, np. tworzc nowe GPO, jak w kilku krokach pokazano poniej. Strona | 58

Aby utworzyd nowe GPO naley uruchomid PowerShell, np. w menu Start wpisujc PowerShell. Po uruchomieniu okna PowerShell za znakiem zachty, naley wprowadzid komend importmodule grouppolicy. Nastpnie wprowadzid polecenie new-gpo nazwa nowego GPO, opcjonalnie dodajc dodatkowe parametry, jak StarterGPOName, -Comment, -Domain, -Server, -Name.

W Windows 7 i Windows Server 2008 R2 wprowadzono nowe elementy preferencji: Power Plan, Schedulded Task, Immediate Task oraz preferencje dla Internet Explorer 8. W Windows Server 2008 wprowadzono tzw. Starter GPO, czyli szablony, czy te wzorce dla tworzonych obiektw zasad grupy. Tworzc nowe GPO, administrator moe wskazad polityki bazowe jako wzorzec, co powoduje, e tworzenie GPO jest po prostu atwiejsze. Starter GPO mog byd eksportowane, co wane s niezwizane z konkretnym lasem czy domen, i pniej wdraane w innych rodowiskach. Wraz z Windows 7 i Windows Server 2008 R2 nie zachodzi potrzeba pobierania Starter GPO ze stron Centrum Pobierania firmy Microsoft, gdy s ju zintegrowane z systemem. W obu systemach domylnie znajdziemy systemowe Starter GPO dla scenariuszy: Windows Vista Enterprise Client (EC), Windows Vista Specialized Security Limited Functionality (SSLF) Client, Windows XP Service Pack 2 (SP2) EC oraz Windows XP SP2 SSLF Client.

Rysunek 42. Starter GPO dostpne w systemie Windows Server 2008 R2.

W Windows 7 i Windows Server 2008 R2 dodano rwnie ponad 300 szablonw administracyjnych. Dodatkowo, zmieniono sposb prezentacji wywietlania waciwoci danego szablonu Strona | 59

administracyjnego zamiast trzech oddzielnych zakadek, obecnie pozostaa tylko jedna, tak jak zaprezentowano na poniszym zrzucie ekranu. Dziki takiemu rozwizaniu, administrator ma podgld wszystkich waciwoci i informacji o danym szablonie administracyjnym w ramach pojedynczego okna, co faktycznie pozwala zredukowad czas, jaki naley powicid na konfiguracj. Dodatkowo, szablony administracyjne zapewniaj wsparcie dla dodatkowych typw wartoci rejestru QWORD oraz REG_MULTI_SZ. Korzyci pync z dodatkowego wsparcia jest moliwod uywania ustawieo szablonw administracyjnych dla aplikacji, ktre korzystaj z wczeniej wymienionych typw wartoci. Nie sposb nie wspomnied o AppLocker, czy ewolucji Software Restriction Policies, bdcych sposobem na kontrol nad aplikacjami na stacjach klienckich poprzez ustawienia Zasad grupy. SRP pojawiy si w Windows XP i Windows Server 2003, i niestety nie byy wykorzystywane powszechnie w rodowiskach IT, zwaywszy na pewne powane wady.

Rysunek 43. Waciwoci przykadowego szablonu administracyjnego.

W Windows 7 i Windows Server 2008 R2 wprowadzono AppLocker, funkcjonalnod, ktra celem dziaania jest bardzo zbliona do SRP, aczkolwiek od strony uytkowej zostaa bardzo usprawniona. W Windows 7 i Windows Server 2008 R2 kontynuowano ide rozwijania Zasad grupy. Gwn nowoci jest moliwod zarzdzania Group Policy z poziomu powoki skryptowej PowerShell, ktrej wersja druga jest dostpna ju po instalacji w Windows 7 i Windows Server 2008 R2.

Strona | 60

W nowych systemach rozszerzono moliwoci Zasad grupy dodajc nowe polityki, wprowadzajc Starter GPO (bez koniecznoci pobierania), czy dodajc nowe szablony administracyjne.

3.4 AppLocker
Poczwszy od Windows XP i Windows Server 2003 pojawia si nowod (SRP), czyli modu umoliwiajcy administratorom na zezwalanie, ktre aplikacje moe uruchomid uytkownik - poprzez Zasady Grupy (Group Policy). Software Restriction Policies posiaday jedn wad, ktra spowodowaa, e to rozwizanie nie byo uytkowane w tak duym stopniu, w jakim mogoby funkcjonowad zoonod. Sama konfiguracja bya skomplikowana, po drugie, konfiguracja musiaa byd okresowo weryfikowana i najczciej zmieniana, jako, e kada aktualizacja programu powodowaa ciche ominicie restrykcji (w kontekcie roli opartej na kryptograficznym odcisku, ang. Hash rule). W Windows 7 i Windows Server 2008 wprowadzono AppLocker, czyli ewolucj Software Restriction Policies. AppLocker zosta stworzony, aby naprawid niedogodnoci, ktrymi charakteryzoway si Software Restriction Policies celem bya atwod konfiguracji i atwod dziaania, bez koniecznoci czstej rekonfiguracji. Software Restriction Policies zostay wprowadzone w Windows XP oraz w rwnolegej rodzinie systemw serwerowych Windows Server 2003. Celem wprowadzenia tej technologii byo zapewnienie administratorom spjnego narzdzia do blokowania moliwoci uruchomienia aplikacji, skryptw, plikw instalacyjnych czy takich elementw, jak kontrolki ActiveX, co przekadao si na podwyszenie standardu bezpieczeostwa na stacjach koocowych, uniemoliwiajc uytkownikom instalacj nieznanego i niesprawdzonego oprogramowania. Wprowadzanie restrykcji programowych mogo byd wykonywane na podstawie czterech rl (celowo zachowano angielskie nazewnictwo): Hash rule regua bazujca na danych z kryptograficznego odcisku palca aplikacji. Zastosowanie restrykcji na bazie tej reguy, miao pewne zalety rola obowizywaa niezalenie czy zostaa zmieniona nazwa czy lokalizacja programu. Podstawowa wada regua obowizywaa tylko dla jednej wersji aplikacji. Certificate rule regua bazujca na certyfikacie, umoliwiaa zdefiniowanie zasady, ktra zezwalaa/blokowaa uruchomienie tylko tej aplikacji, ktra bya podpisana certyfikatem (wasnym czy firm trzecich). Path rule regua opierajca si na lokalizacji. Zezwalaa/blokowaa dostp tylko do tych aplikacji, ktre znajdoway si w konkretnym miejscu (folderze). Cenn funkcjonalnoci tej reguy bya moliwod odwoania si do systemowego rejestru. Internet Zone rule regua bazujca na strefie internetowej, z ktrej zostaa pobrana paczka Instalatora Windows (pliki .msi).

Pierwszym krokiem, ktry naleao wykonad w celu definicji restrykcji byo utworzenie nowej polityki, nastpnie konfiguracja konkretnych elementw skadajcych si na Software Restriction Policies Enforcement, Designated File Types czy Trusted Publisher. Czy to jest wygodne? Software Restriction Policies jest rozwizaniem przydatnym, aczkolwiek trudnym w konfiguracji, dlatego warto zainteresowad si nowym AppLocker w Windows 7 i Windows Server 2008 R2. Wraz z Windows 7 i Windows Server 2008 R2 zmieniono podejcie do tworzenia i definicji ustawieo restrykcji aplikacji narzdzie musi byd atwe w obsudze. Co wane, AppLocker nie zastpuje Software Restriction Policies, jest ich ewolucj, jest dostpny w wybranych edycjach systemu Strona | 61

Windows 7 Enterprise oraz Ultimate. Posiadacze niszych edycji (ktre wspieraj Group Policy) mog nadal korzystad z Software Restriction Policies. AppLocker jest konfigurowany, podobnie jak SRP, poprzez Group Policy. Aby uruchomid interfejs konfiguracji AppLocker, naley uruchomid konsol Local Group Policy Editor, w celu edycji polityk lokalnych. W sekcji Computer Configuration naley rozwind wze Windows Settings, nastpnie Application Control Policies, a w koocu AppLocker.

Rysunek 44. Konsola Local Group Policy Editor - AppLocker

Ju na pierwszy rzut oka da sie zauwayd, i interfejs AppLocker jest duo bardziej przyjazny uytkownikowi, ni SRP. Gwn stron funkcjonalnoci podzielono na trzy czci: Getting Started opisuje AppLocker i zawiera cza do zasobw dodatkowych, druga Overview wywietla podsumowanie dot. regu, trzecia opcje zwizane z egzekwowaniem danych kolekcji regu oraz opcja wczenia kolekcji regu DLL. Restrykcje mog byd tworzone w obrbie czterech kolekcji regu: Executable Rules pozwala tworzyd reguy odnoszce si do aplikacji bd ich zbiorw (plikw .exe i folderw zawierajcych pliki wykonywalne). Windows Installer Rules umoliwia tworzenie regu zwizanych z plikami instalatora Windows (.msp oraz .msi). Script Rules umoliwia tworzenie regu odnoszcych si do plikw-skryptw (.ps1; .bat; .cmd; .vbs; .js). DLL Rules umoliwia tworzenie regu nawizujcych do bibliotek DLL bd kontrolek ActiveX.

Tworzc nowe reguy naley opierad si na zasadach: biaych list tworzc nowe reguy naley tworzyd zasady zezwolenia, i w przypadku koniecznoci blokady danej aplikacji utworzyd wyjtek w ramach tej zasady;

Strona | 62

czarnych list, czyli zasada gdzie blokuje si konkretne obszary, chcc zezwolid na uruchomienie aplikacji, tworzy si dla niej wyjtek.

AppLocker umoliwia uruchomienie tych elementw, ktre zostay dozwolone, dlatego administrator powinien stale pilnowad listy regu Co istotne, stworzone reguy moemy importowad oraz eksportowad z/do pliku XML. Aby zaimportowad/wyeksportowad stworzone regu, naley wybrad opcj Import Policy... bd Export Policy..., z poziomu menu kontekstowego, dostpnego z poziomu AppLocker, jak zaprezentowano na poniszym zrzucie.

Rysunek 45. Importowanie/eksportowanie polityk.

Z tego samego menu moemy wskazad opcj Clear Policy, ktra spowoduje usunicie wszystkich zdefiniowanych regu. Wybranie tej opcji to powrcenie do opcji domylnych, przy ktrych AppLocker nie jest aktywny. Na samym wstpie do konfiguracji naley zaznaczyd, e stworzenie roli nie spowoduje jej natychmiastowego zastosowania nim nowe zasady zostan wprowadzone, naley uruchomid usug AppID Service. Bez jej uruchomienia, tu po wprowadzeniu regu i pierwszych testach moe spotkad nas niespodzianka nie dziaa. W celu uruchomienia usugi naley uruchomid konsol Services, wpisujc Services.msc w polu wyszukiwania w ramach menu Start. Zaleca si, aby zwaszcza przy pierwszym spotkaniu z AppLocker t usug uruchamiad manualnie.

Strona | 63

Rysunek 46. Uruchamianie usugi AppID

W celu zablokowania bd dozwolenia uruchomienia danej aplikacji, naley wybrad kolekcj Executable Rules. Nastpnie z menu kontekstowego naley wybrad opcj Create Default Rules, w wyniku czego zostan stworzone nastpujce, domylne reguy: (Default Rule) Microsoft Windows Program Files Rule dla grupy/uytkownika Everyone ta regua zezwala wskazanej grupie uytkownikw, na wykonywanie aplikacji znajdujcych si w folderze Program Files i jego podfolderach. (Default Rule) Microsoft Windows dla grupy/uytkownika Everyone ta regua zezwala wskazanej grupie uytkownikw, wykonywanie aplikacji znajdujcych si w folderze Windows i jego podfolderach. Podsumowujc: umoliwia uruchamianie aplikacji systemowych. (Default Rule) Administrators dla grupy/uytkownika BUILTIN\Administrators ta regua umoliwia grupie lokalnych administratorw wykonywanie wszystkich aplikacji, niezalenie od ich lokalizacji.

Aby stworzyd wasn, now polityk, naley wybrad opcj Create New Rule.... Po chwili uruchamia si kreator Create Executable Rules. Naley zapoznad si z prezentowanymi informacjami, nastpnie wskazad opcj Next.

Strona | 64

Rysunek 47. Pierwszy etap kreatora Create Executable Rules

Na drugiej stronie kreatora, zatytuowanej Permissions, wybieramy czy regua bdzie dozwalad (Allow) czy te zabraniad (Deny). Na tym etapie warto zaznaczyd, i wyszy priorytet maj reguy zabraniajce. Moemy przypisad regu Deny dla aplikacji X przypisujc j do wszystkich uytkownikw, pniej stworzyd Allow dla aplikacji X przypisujc do uytkownika Y, mimo to, uytkownik Y nie bdzie mia moliwoci uruchomienia aplikacji X. Po drugie, regu przypisujemy do konkretnego uytkownika bd grupy. Nie istnieje moliwod przypicia jej do danej strefy sieci Internet, wpisu rejestru czy komputera.

Rysunek 48. Rules Drugi etap kreatora strona Permissions.

Strona | 65

Kolejna, trzecia strona kreatora zostaa nazwana Condidtions. Na tym etapie naley wskazad podstawow regu restrykcji (na podstawie ktrej bdzie odbywad si identyfikacja pliku wykonywalnego). Dostpne s trzy metody: File hash umoliwia identyfikacj aplikacji po kryptograficznym odcisku palca danego programu. Metoda znana z Software Restriction Policies, podstawowa wada kada aktualizacja aplikacji wymusza rekonfiguracj roli. Path umoliwia wskazanie konkretnej aplikacji bd folderu i podfolderw w celu zezwolenia bd zabronienia uruchamiania plikw wykonywalnych w nich si znajdujcych. Kolejna rola znana z Software Restriction Policies, podstawowa, ale oczywista wada regua jest zwizana cile z lokalizacj program moe byd nadal uruchomiony, jeeli znajdzie si w innej lokalizacji. Publisher kluczowa nowod oferowana przez AppLocker. Umoliwia tworzenie regu w oparciu o dane z podpisu cyfrowego aplikacji. Administrator ma moliwod utworzenia reguy w oparciu o regu Publisher wybierajc odpowiedni dla rodowiska zakres wydawcy, nazwy produktu, nazwy pliku i wersji pliku. Funkcja podobna do Certificate rule z Software Restriction Policies, aczkolwiek udoskonalona i bardziej uyteczna, zwaszcza, i zdecydowana wikszod programw komaptybilne podpisy cyfrowe posiada.

Rysunek 49. Etap Condidations wskazywanie metody rozpoznawania aplikacji.

Strona | 66

Dla celw pokazowych, wybierzemy opcje Publisher, w celu zaprezentowana dziaania nowej funkcjonalnoci. Przyjmijmy, e administrator chce udostpnid moliwod uruchamiania wszystkich skadnikw pakietu Microsoft Office, z wyjtkiem programu PowerPoint. Aby wykonad to zadanie naley wskazad plik .exe dowolnej aplikacji z rodziny Microsoft Office, wybierajc przycisk Browse..., a nastpnie konkretny plik, jak to zostao pokazane poniej.

Rysunek 50. Etap Publisher aplikacja Word, skadnik pakietu Microsoft Office

Jako, e naszym celem jest restrykcja na poziomie rodziny produktw (pakiet Microsoft Office), musimy zmienid zakres na Product name:, gdzie w wartociach znajduje si 2007 MICROSOFT OFFICE SYSTEM. Takie ustawienie spowoduje, e bd uruchamiane pliki, ktre zostay podpisane przez wydawc MICROSOFT CORPORATION wraz z adnotacj o nazwie produktu 2007 MICROSOFT OFFICE SYSTEM. Gdy wykonalimy wszystkie niezbdne kroki, moemy nasz wybr zatwierdzid przyciskiem Next, tym samym przechodzc do nastpnego etapu. Kolejna strona Exceptions pozwala wskazad wyjtki dla tworzonej reguy. W naszym przypadku, chcemy z reguy wyczyd program PowerPoint. Aby wykorzystad potencja AppLocker, z listy rozwijanej wybieramy Publisher, nastpnie przycisk Add. W nowym oknie, po wskazaniu kontrolki Browse..., wybieramy plik POWERPNT.EXE. Jako, e celem dwiczenia jest zablokowanie moliwoci uruchomienia PowerPoint, czytelnik musi zmienid zakres na File name: POWERPNT.EXE. Po

Strona | 67

zdefiniowaniu takich ustawieo, zatwierdzamy przyciskiem OK., nastpnie, gdy powrcimy do kreatora, wskazujemy Next.

Rysunek 51. Tworzenie wyjtkw dla definiowanej roli.

W ramach ostatniego etapu opcjonalnie dodajemy opis nowej reguy, prac kreatora finalizujemy wybierajc przycisk Create. Naley upewnid si, e o ile tworzylimy usunlimy dwie, spord trzech domylnych regu: (Default Rule) Microsoft Windows Program Files Rule oraz jeeli pracujemy na koncie nalecego do grupy lokalnych administratorw: (Default Rule) Administrators . Naley upewnid si rwnie, e dziaa usuga AppID Service. Po implementacji rozwizania AppLocker naley si spodziewad zwikszonej liczby telefonw do dziau wsparcia technicznego, aczkolwiek najwaniejsze problemy w konfiguracji mona rozpoznad poprzez dziennik zdarzeo dla AppLocker, dostpnego z poziomu Event Viewer, jak to zostao pokazane na zrzucie ekranu.

Strona | 68

Rysunek 52. Dziennik zdarzeo dla AppLocker.

Jedn z ciekawszych opcji dostpnych w AppLocker jest tryb Audit Only, ktry po aktywacji umoliwia administratorom sprawdzenie, ktre aplikacje nie uruchomiby si, jeeli dana regua zostaaby uaktywniona. Aby wczyd tryb Audit Only, naley w ustawieniach AppLocker, wskazad tryb na licie rozwijanej dla danej kolekcji restrykcji w opisanym przypadku dotyczy to Executable rules. Gdy uytkownik zainicjuje program, ktrego dotyczy rola (w trybie Audit Only) zostanie stworzony odpowiedni wpis w dzienniku zdarzeo.

Rysunek 53. Wczanie trybu Audit Only dla kolekcji restrykcji Executable rulet.

Strona | 69

Kreator Automatically Generate Executable Rules umoliwia automatyczne utworzenie regu dla aplikacji znajdujcych si w danej lokalizacji (np. folderze Program Files). Gdzie ta opcja znajdzie swoje zastosowanie? Na komputerach wzorcowych, gdzie tworzymy konfiguracj wzorcow, w celu dalszego wdroenia. Aby utworzyd regu automatycznie, naley w ramach sekcji rl wskazad z menu opcj Automatically Generate Rules... W nowym oknie wprowadzid dane: 1) Folder do analizy 2) Uytkownika bd grup, dla ktrych reguy s tworzone 3) Nazw dla zestawu regu.

Rysunek 54. Automatyczne tworzenie rl.

W kolejnym kroku wskazujemy preferencje dot. metody restrykcji. Domyln jest Publisher, aczkolwiek naley pamitad, i nie wszystkie programy posiadaj zgodny podpis cyfrowy, z ktrego AppLocker mgby skorzystad w tym celu wskazujemy metod alternatywn. Chwil pniej nastpuje szacowanie ile regu musi zostad stworzonych, zapoznajemy si z podsumowaniem i wybieramy przycisk Create, ktry rozpocznie proces tworzenia polityk. Tak stworzone zasady na komputerze wzorcowym, mog zostad wyeksportowane wczeniej opisanym sposobem, w celu dalszej implementacji. AppLocker jest dostpny w dwch edycjach Windows 7: Enterprise oraz Ultimate, jak rwnie we wszystkich edycjach Windows Server 2008 R2.

3.5 Podstawy MDT 2008/2010

Microsoft Solution Accelerators jest zbiorem narzdzi i dokumentacji tworzonych przez Microsoft, ktre jak nazwa wskazuje pomagaj przyspieszyd wdroenie danego rozwizania. Caa rodzina MSA podzielona jest na kilka kategorii * Suits +, ktre mona przejrzed na stronach TechNet (j.ang.). Oglnie kady z dziaw zawiera dokumenty pozwalajce szczegowo zapoznad si z praktykami przeprowadzania migracji, zawiera informacje w jaki sposb zabezpieczad wybrane systemy, Strona | 70

instrukcje w jaki sposb zaprojektowad infrastruktur, narzdzia, ktre pomagaj to przeliczyd i wiele, wiele innych. Niniejszy artyku ma na celu uszeregowanie pojd i informacji dotyczcych narzdzia z czci Desktop Microsoft Deployment Toolkit, ktre pozwala na zbudowanie platformy umoliwiajcej szybkie wdraanie systemw operacyjnych wraz z aplikacjami. 3.5.1 Cykl ycia systemu operacyjnego

Cykl ycia systemu mona w przyblieniu sprowadzid do czterech etapw: instalacja systemu utrzymanie [maintenance] podniesienie wersji systemu [opcjonalnie] wycofanie systemu

Rysunek 55. Cykl ycia systemu operacyjnego.

W czasie, najbardziej rozcignitym etapem jest utrzymanie. To jednak instalacja nowego systemu oraz podniesienie wersji s krytycznym momentem na podjcie wielu decyzji zakup nowych komputerw, przejcie na now wersj, etc. Obecnie istnieje na rynku wiele rozwizao, ktre oferuj czciowe lub cakowite wsparcie tych etapw. Aby pomc klientom, Microsoft tworzy wasne narzdzia, ktre pomagaj proces instalacji oraz migracji zautomatyzowad i co bardzo wane s one dostpne bez dodatkowych opat. 3.5.2 Platforma Microsoft Deployment Toolkit

Mwic o MDT *poprzednio nazywajcym si BDD Bussines Desktop Deployment + naley myled o platformie bardziej, ni o narzdziu, poniewa do utworzenia caego rozwizania wykorzystuje si szereg aplikacji i usug dostpnych bezporednio w systemie operacyjnym lub do cignicia ze stron Microsoft Download. Narzdzia te umoliwiaj budow rodowiska automatycznej lub pautomatycznej instalacji oraz co przewanie waniejsze podniesienia wersji systemw.

Strona | 71

Podstawowym problemem jest mnogod aplikacji, aplikacyjek, programw, usug *...+. Kady z nich ma swoj nazw a co za tym idzie akronim. W efekcie poznanie i zrozumienie, ktry element, w jaki sposb zaley od innego, kiedy si uywa ktrego elementu, czy jak to si ma do caoci - jest wcale nieatwym zadaniem. Dodatkowym elementem utrudniajcym poznanie caego rozwizania s nazwy zmieniajce si w czasie, ktre czasem w dokumentacji pojawiaj si zamiennie, powodujc dodatkowe niejasnoci. Dla tego najistotniejszym jest, aby poznad ogln ide i podstawowe skadniki caego rozwizania: Microsoft Deployment Toolkit [MDT] Workbench stanowi podstawowy komponent caego rodowiska, pozwalajc na definiowanie elementw dostpnych do instalacji oraz definiowalnego zestawu zadao do wykonania na kadym instalowanym systemie. Dziki MDT Workbench moliwa jest automatyzacja i personalizacja instalowanego systemu oraz aplikacji dodatkowych. Dodatkowym atutem takiego rozwizania jest moliwod dostosowania wszystkich instalowanych systemw do istniejcych w firmie standardw stacji roboczych. Cae rozwizanie moe zawierad niemal nieograniczon liczb konfiguracji. Za pomoc MDT *jako platformy+ mona zrealizowad dwa podstawowe scenariusze: Light Touch Installation [LTI] instalacja wymagajca minimalnej interwencji ze strony administratora np. wybrania rodzaju systemu i instalowanych aplikacji. Mona nazwad ten scenariusz pautomatycznym. Zero Touch Installation [ZTI] instalacja w peni automatyczna, inicjowana zdalnie. Windows Deployment Services [WDS] usuga systemu Windows Server 2008 *opcjonalnie mona pobrad wersj dla Windows Server 2003+, realizujca funkcj PXE *Preboot Execution+ oraz dystrybucji obrazw systemw w trybie multicast. Dziki wykorzystaniu transmisji multicast czas instalacji obrazu na duej iloci maszyn jest duo krtszy, w porwnaniu do tradycyjnego sposobu dystrybucji stacja-po-stacji [unicast lub z nonika fizycznego+. Usuga wykorzystywana jest w scenariuszu LTI lub opcjonalnie jako wsparcie w scenariuszu ZTI. W poprzedniej wersji nosi nazw Remote Installation Services *RIS+. System Center: Configuration Manager [SCCM] 2007 w kontekcie MDT jest to narzdzie suce do inicjalizacji zadania dla stacji. Dziki SCCM moliwe jest utworzenie scenariusza ZTI. W poprzedniej wersji nosi nazw System Management Server *SMS+ 2003. SMS moe rwnie stanowid podstaw scenariusza ZTI, naley jednak doinstalowad komponent integrujcy noszcy nazw Operating System Deployment *OSD+ Feature Pack. Windows Automation Installation Kit [WAIK] jest zbiorem programw pomagajcych w utrzymaniu i tworzeniu spersonalizowanych obrazw systemw operacyjnych. Dziki WAIK moliwa jest praca z obrazami systemw w trybie offline - np. dodawanie nowych sterownikw, wczanie/wyczanie funkcjonalnoci systemu Vista *tzw. Windows Features+, dodawanie/usuwanie plikw do instalacji. Dziki moliwoci wykonywania tych operacji na pliku obrazu, nie trzeba wielokrotnie odtwarzad obrazw z powodu np, nowego modelu komputera w firmie, do ktrego nie ma sterownikw. User State Migration Tool [USMT] to narzdzie pozwalajce na wykonanie kopii plikw uytkownika *tzw. profilu+ a nastpnie odzyskanie ich nawet jeli wersje systemw si rni. Dziki USMT moliwe jest tworzenie scenariuszy migracji systemw operacyjnych. Windows Preinstallation Environment [WinPE] may system operacyjny oparty o kernel Windows. WinPE utworzy by specjalnie do celw instalacji i nie naley traktowad go jako

Strona | 72

dystrybucji LiveCD, jednak mona go personalizowad i dodawad do niego niektre narzdzia *-> WAIK+, dziki czemu moe suyd jako may system pomagajcy przy procedurach odzyskiwania. Przykadem kompleksowego rodowiska opartego o WinPE jest Microsoft Diagnostic and Recovery Tools[DaRT] znanego wczeniej jako ERD Commander. DaRT dostpny jest bez dodatkowych opat dla klientw Software Assurance [SA] w ramach Microsoft Desktop Optimization Pack[MDOP]. Oglny schemat powizania poszczeglnych komponentw prezentuje poniszy rysunek:

Rysunek 56. Oglny schemat komponentw koncepcji.

Ponadto dostpny jest szereg innych narzdzi, dokumentw i projektw, ktre mog byd pomocne podczas procesu planowania lub inwentaryzacji dostpnych w ramach Microsoft Solution Accelerators: Application Compatibility Toolkit [ACT] zestaw narzdzi niezwykle przydatny w etapie przygotowywania si do migracji. Suy do weryfikacji kompatybilnoci aplikacji z systemem Vista/w7 oraz Internet Explorer 8. W skad wchodz rwnie narzdzia pozwalajce samodzielnie tworzyd poprawki dla aplikacji, Microsoft Assesment and Planning Toolkit [MAPT, czasem MAP] podobnie do ACT jest to zestaw narzdzi przydatnych na etapie planownia, sucy do bezagentowej inwentaryzacji i raportowania na temat zainstalowanych systemw i aplikacji. Office Migration Planning Manager [OMPM] skrypty pozwalajce przetestowad zgodnod starszych plikw Microsoft Office do wersji 2007. Informacje wrzucane s do SQL dziki czemu moliwe jest wygenerowanie raportw kompatybilnoci.

Strona | 73

3.5.3

Desktop Deployment Planning Services

Dla klientw Software Assurance firma Microsoft oferuje 1-15 dniow pomoc w planowaniu wdroenia midzy innymi na temat, o ktrym traktuje niniejszy artyku. Szczegowe informacje znajduj si na stronie Desktop Deployment Planning Services. 3.5.4 Narzdzie DISM.exe

Program DIMS.exe (Deployment Image Servicing and Management) jest nowym narzdziem wiersza poleceo, ktrego mona uyd do obsugi obrazu systemu Windows lub do przygotowania obrazu systemu Windows PE. Narzdzie DISM zastpuje narzdzia Package Manager (pkgmgr.exe), PEimg i Intlcfg uywane w systemie Windows Vista. Program DISM czy funkcje tych trzech narzdzi, a take udostpnia nowe funkcje, ktre ulepszaj obsug w trybie offline. Narzdzia DISM mona uywad do obsugi systemu Windows Server 2008 i systemu Windows Vista z zainstalowanym pakietem SP1 (Service Pack 1). Podczas uywania narzdzia z systemem Windows 7 i Windows Server 2008 R2 uzyskiwane s dodatkowe funkcje. Narzdzie DISM mona stosowad do: dodawania, usuwania bd wyliczania pakietw i sterownikw wczania lub wyczania funkcji systemu Windows stosowania zmian w oparciu o sekcj obsugi trybu offline pliku odpowiedzi instalacji nienadzorowanej unattend.xml konfigurowania ustawieo midzynarodowych aktualizowania obrazu systemu Windows do innej wersji przygotowania obrazu Windows PE korzystania z zalet lepszego rejestrowania obsugi poprzednich systemw operacyjnych, takich jak Windows Vista SP1 i Windows Server 2008 obsugi wszystkich platform (32-bitowe, 64-bitowe i Itanium) obsugi 32-bitowego obrazu z hosta 64-bitowego i obsugi 64-bitowego obrazu z hosta 32bitowego wykorzystywania starych skryptw narzdzia Package Manager

Aby obsugiwad obraz systemu Windows w trybie offline, obraz musi zostad zastosowany lub zainstalowany. Obrazy WIM mog byd w narzdziu DISM instalowane przy uyciu poleceo Windows Image (WIM) lub mog zostad zastosowane i ponownie przechwycone przy uyciu narzdzia ImageX. Polecenia mog byd take uywane do wywietlenia listy indeksw lub zweryfikowania architektury instalowanego obrazu. Po zaktualizowaniu obrazu, obraz musi zostad odinstalowany i naley zatwierdzid lub odrzucid wprowadzone zmiany. Podstawowa skadnia dla prawie wszystkich poleceo narzdzia DISM jest taka sama. Po zainstalowaniu obrazu systemu Windows administrator moe wyspecyfikowad dowolne opcje

Strona | 74

narzdzia DISM, stosowane z poleceniem, ktre bdzie aktualizowad obraz i lokalizacj zainstalowanego obrazu. W jednym wierszu poleceo mona uyd tylko jednego polecenia obsugi. Jeli obsugiwany jest uruchomiony komputer, mona zastosowad opcj /online, zamiast specyfikowad lokalizacj zainstalowanego obrazu (Windows Image). Poniej przedstawiona zostaa podstawowa skadnia narzdzia DISM: DISM.exe {/image:< path_to_image > | /online} [dism_options] {servicing_command} [< servicing_argument >]

3.6 Branch Cache

Driven by challenges of reducing cost and complexity of Branch IT, organizations are seeking to centralize applications. However, as organizations centralize applications the dependency on the availability and quality of the WAN link increases. A direct result of centralization is the increased utilization of the WAN link, and the degradation of application performance. Recent studies have shown that despite the reduction of costs associated with WAN links, WAN costs are still a major component of enterprises operational expenses. The BranchCache feature in Windows Server 2008 R2 and Windows 7 Client reduces the network utilization on WAN links that connect branch offices and improve end user experience at branch locations, by locally caching frequently used content on the branch office network. As remote branch clients attempt to retrieve data from servers located in the corporate data center, they store a copy of the retrieved content on the local branch office network. Subsequent requests for the same content are served from this local cache in the branch office, thereby improving access times locally and reducing WAN bandwidth utilization between the branch and corpnet. BranchCache caches both HTTP and SMB content and ensures access to only authorized users as the authorization process is carried out at the servers located in the data center. BranchCache works alongside SSL or IPSEC encrypted content and accelerates delivery of such content as well. BranchCache can be implemented in two ways: The first involves storing the cached content on a dedicated BranchCache server located in the branch office which improves cache availability. This scenario will likely be the most popular and is intended for larger branch offices where numerous users might be looking to access the BranchCache feature simultaneously. A BranchCache server at the remote site ensures that content is always available as well as maintaining end-to-end security for all content requests. The second deployment scenario centers around peer content requests and is intended solely for very small remote offices, with roughly 5-10 users that dont warrant a dedicated local server resource. In this scenario, the BranchCache server at corpnet receives a client content request, and if the content has been previously requested at the remote site will return a set of hash directions to the contents location on the remote network, usually another workers computer. Content is then served from this location. If the content was never requested or if the user who previously requested the content is off-site, then the request is fulfilled normally across the WAN

Strona | 75

3.7 Direct Access

One common problem facing most organizations is remote connectivity for their mobile users. One of the most widely used solutions for connecting remote users is a virtual private network (VPN) connection. Depending on the type of VPN, users may need to install VPN client software on their mobile computer and then establish the VPN connection over the Internet. The DirectAccess feature in Windows 7 and Windows Server 2008 R2 allows Windows 7 client computers to directly connect to intranet-based resources without the complexity of establishing a VPN connection. The user has the same connectivity experience both in and outside of the office. The following figure contrasts the current VPN-based solutions with the DirectAccess solution.

Rysunek 57. Prezentacja Direct Access.

DirectAccess was designed as a seamless, always-on remote access solution that removes user complexity, gives you easy and efficient management and configuration tools, and does not compromise the secure aspects of remote connectivity. To do this, DirectAccess incorporates the following important features: Authentication. DirectAccess authenticates the computer, enabling the computer to connect to the intranet before the user logs on. DirectAccess can also authenticate the user and supports two-factor authentication using a smart card.

Strona | 76

Encryption. DirectAccess uses Internet Protocol security (IPsec) for encrypted communications across the Internet. Access control. IT can configure which intranet resources different users can access using DirectAccess. IT can grant DirectAccess users unlimited access to the intranet, or only allow them to access specific servers or subnets. Additionally, you can apply custom security policies to specific applications. For example, you can require an application sending and receiving sensitive data to use IPsec encryption, while requiring that other applications use IPsec authentication or no IPsec protection. Integration with Network Access Protection (NAP). NAP, built into Windows Server 2008 R2 and Windows 7, can be used with DirectAccess to verify that client computers meet your system health requirements, such as having security updates and anti-malware definitions installed, before allowing them to make a DirectAccess connection. Separation of intranet and Internet traffic. By default, only traffic destined for your intranet is sent through the DirectAccess server. With a traditional VPN, Internet traffic is typically also sent through your intranet, slowing Internet access for users. You can also change this default behavior to match that of a typical VPN.

Another difference between DirectAccess and VPNs is that DirectAccess connections are established before the user is logged on. This means that you can manage a remote computer connected by DirectAccess even if the user is not logged on; for example, to apply Group Policy settings. However, for the user to access any intranet resources, they must be logged on. DirectAccess provides the following benefits: Seamless connectivity. DirectAccess is on whenever the user has an Internet connection, giving users access to internal network resources whether they are traveling, at the local coffee shop, or at home. Remote management. IT administrators can connect directly to DirectAccess client computers to monitor them, manage them, and deploy updates, even when the user is not logged on. This can reduce the cost of managing remote computers by keeping them up-todate with critical updates and configuration changes. Improved security. DirectAccess uses IPsec for authentication and encryption. Optionally, you can require smart cards for user authentication. DirectAccess integrates with NAP to perform compliance checking on client computers before allowing them to connect to internal resources. IT administrators can configure the DirectAccess server to restrict the servers that users and individual applications can access.

For more information, see http://www.microsoft.com/directaccess.

3.8 Wirtualizacja
3.8.1 Technologie Wirtualizacji Microsoft

Microsoft dysponuje szerokim portfolio w dziedzinie wirtualizacji. Rozwizania wirtualizacji mog byd zintegrowane lub funkcjonowad niezalenie od siebie umoliwiajc tym samym realizacj wielu scenariuszy jednoczenie.

Strona | 77

Ponisza tabela przedstawia rozwizania Microsoft oraz przypisane do nich typy wirtualizacji: Tabela 1. Technologie Wirtualizacji Microsoft Technologia Microsoft Windows Server 2008 R2 Hyper-V Virtual Server 2005 R2 Terminal Services SoftGrid Application Virtualization XPM + MED-V: Windows Virtual PC Windows Vista Enterprise Centralized Desktop (VECD) Typ wirtualizacji Server Hardware Server Software Presentation Application Desktop Desktop

3.8.1.1 Windows Server 2008 R2 Hyper-V Windows Server 2008 R2 Hyper-V jest wbudowan w system operacyjny, opart na platformie Windows Server 2008, technologi hostowania maszyn wirtualnych wykorzystujc do tego celu wirtualizacj sprztow. Windows Server 2008 R2 Hyper-V wykorzystuje wirtualizacj w oparciu o rozwizanie hypervisor, uruchamiane bezporednio na warstwie sprztu w celu umoliwienia bezporedniego dostpu do trudnych do zwirtualizaowania wywoao procesora(w). Oprcz tego Hyper-V:

Umoliwia uruchomienie 32/64 bitowych maszyn jednoczenie Umoliwia obsug wieloprocesorowych maszyn wirtualnych Wspiera du ilod pamici Wspiera Virtual LAN

Hyper-V wymaga procesora 64 bitowego ze wsparciem wirtualizacji sprztowej (zwykle nazywane jest to VT/V). Data Execution Protection (DEP) musi byd dostpne i wczone. 3.8.1.2 Virtual Server 2005 R2 SP1 Virtual Server 2005 jest oprogramowaniem sucym do wirtualizacji oprogramowania. Umoliwia utworzenie wielu scenariuszy rodowisk informatycznych, poczwszy od rozbudowanego rodowiska redundantnego, rodowisko testowe np. do testw aplikacji i rozwizao, po hostowanie rozwizao, ktre dziaaj w rodowiskach produkcyjnych. Virtual Server uruchamiane jest, jako usuga na Windows Server 2003 oraz Windows Server 2008, umoliwia administracj i zarzdzanie maszynami wirtualnymi w rodowiskach produkcyjnych. Virtual Server moe byd take uruchomiony na systemach takich jak Windows XP i Windows Vista, gwnie do celw nie produkcyjnych, tj. testowanie i analiza aplikacji. Virtual Server 2005 R2 SP1 jest moliwy do pobrania ze strony Microsoft, za darmo: http://www.microsoft.com/technet/virtualserver/default.mspx.

3.9 Windows Server Terminal Services

Usugi terminalowe umoliwiaj hostowanie aplikacji klienckich, wykorzystujc do tego wirtualizacj prezentacyjn (ang. presentation virtualization). Usugi terminalowe s rozwizaniem dostpnym ju od systemu Windows Server 2000, take Windows Server 2003, Windows Server 2008.

Strona | 78

Wszystkie uruchamiane aplikacje, rwnie systemy operacyjne, w rzeczywistoci dziaaj na serwerze udostpniajcym usugi terminalowe. Uytkownicy mog podczyd si do aplikacji poprzez maszyn z systemem Windows wykorzystujc do tego celu aplikacj Remote Desktop (Pulpit Zdalny) lub, poprzez rozwizanie nieco lejsze, terminal z systemem Windows. Klawiatura i myszka s obsugiwane, w czasie sesji terminalowej, przez serwer, a transmisja wideo przekazywana jest do klienta, wykorzystujc poczenie sieciowe. 3.9.1.1 Microsoft Application Virtualization Microsoft Application Virtualization umoliwia tworzenie wyizolowanych rodowisk, w ktrych zwirtualizowane programy wykonuj si na stacjach klienckich uytkownikw. Aplikacje nie zmieniaj ustawieo na stacjach, na ktrych s uruchamiane, nie zmieniaj take wpisw w rejestrze. Rozwizanie wirtualizacji aplikacji pozwala uniknd sytuacji, w ktrych okrelone aplikacje nie mog ze sob wsppracowad lub dana aplikacja nie wsppracuje z systemem operacyjnym uytkownika. Aplikacje zainstalowane przy wykorzystaniu rozwizania App-V mog byd dystrybuowane na dwa sposoby: Instalacja Aplikacje s buforowane na stacji klienckiej uytkownika wykorzystujc tradycyjne metody dystrybucji oprogramowania. Streaming Aplikacje s dynamicznie dostarczane na stacj klienck uytkownika na danie, nastpnie s buforowane dla pniejszego uytku.

Microsoft SoftGrid Application Virtualization jest czci Microsoft Desktop Optimization Pack. Wicej informacji o Microsoft Application Virtualization znajduje si na stronie: http://www.microsoft.com/systemcenter/softgrid/default.mspx. 3.9.1.2 XPM + MED-V: Windows Virtual PC Windows Virtual PC umoliwia w prosty sposb tworzenie wirtualnych maszyn, nie jest wykorzystywany w rodowiskach serwerowych. Tryb Windows XP w Windows Virtual PC, pozwala uytkownikom z maych i rednich firm uruchamiad bezporednio z pulpitu Windows 7 wiele aplikacji biurowych napisanych dla Windows XP. Tryb Windows XP jest dostpny w wersjach Windows 7 Professional i Windows 7 Ultimate jako oprogramowanie przeznaczone do pobrania albo wstpnie instalowane w nowych komputerach. Wraz z udostpnion dzi wersj RC Windows 7 Microsoft wydaje wersje beta trybu Windows XP Mode oraz Windows Virtual PC. W przypadku wikszych firm, w ktrych funkcje administracyjne maj duy wpyw na czny koszt uytkowania systemu, oprogramowanie Microsoft Enterprise Desktop Virtualization (MED-V), doczone do Microsoft Desktop Optimization Pack (MDOP), zawiera funkcje zarzdzania wirtualnymi komputerami Windows, w tym scentralizowane zasady bezpieczeostwa oraz uproszczone mechanizmy administracyjne i wdroeniowe. 3.9.1.3 Windows Vista Enterprise Centralized Desktops (VECD) VECD umoliwia wirtualizacj rodowisk na klientw korporacyjnych, ktrzy chc hostowad stacje klienckie uytkownikw, jako wirtualne maszyny w centralnej lokalizacji. Dziki VECD moliwe jest zainstalowanie w centrali wielu kopii Windows Vista Enterprise, a nastpnie udostpnienie kadej z nich uytkownikom poprzez wirtualne maszyny hostowane na Virtual Server 2005 R2 SP1. Organizacje mog wybrad, czy chc tworzyd jedn wirtualn maszyn dla jednego uytkownika, czy

Strona | 79

pozwolid uytkownikowi korzystad jednoczenie z kilku wirtualnych maszyn. Wicej informacji znajduje si na stronie: http://www.microsoft.com/windows/products/windowsvista/enterprise/fdcoverview.mspx. 3.9.2 Wirtualizacja systemu Windows Server przegld funkcji

Dziki wbudowanej technologii wirtualizacji, system Windows Server 2008 pozwala firmom zredukowad koszty, poprawid wykorzystanie sprztu, zoptymalizowad infrastruktur oraz zwikszyd poziom dostpnoci serwera. Technologia wirtualizacji serwera Windows uywa platformy opartej na 64-bitowej technologii hypervisor, co zwiksza niezawodnod i skalowalnod. Wirtualizacja serwera pomaga firmom zoptymalizowad i skonsolidowad wykorzystanie zasobw sprztowych. Technologia ta wykorzystuje takie komponenty platformy Windows Server 2008, jak klastry pracy awaryjnej, aby zapewnid wysok dostpnod, a take komponenty platformy Network Access Protection (NAP), aby umoliwid kwarantann komputerw wirtualnych w zej kondycji. Inn form wirtualizacji jest tzw. wirtualizacja prezentacji, polegajca na wyodrbnieniu warstwy prezentacji aplikacji, (czyli interfejsu uytkownika) od systemu operacyjnego. W systemie Windows Server 2008 funkcje bramy usug terminalowych oraz funkcja RemoteApp usug terminalowych umoliwiaj scentralizowany dostp do aplikacji wraz z integracj zdalnych aplikacji na komputerach klientw, lub atwy dostp do tych samych zdalnych programw przy uyciu wyszukiwarki sieci Web. Funkcja usug terminalowych umoliwia rwnie dostp do zdalnych terminali i aplikacji za zapor internetow. 3.9.3 Architektura wirtualizacji systemu Windows Server

Wirtualizacja systemu Windows Server jest oparta na 64-bitowej technologii hypervisor. Hypervisor to minimalna warstwa oprogramowania, ktre znajduje si midzy systemem operacyjnym a sprztem. Hypervisor umoliwia bezproblemowy dostp do pamici fizycznej i zasobw procesora wielu wirtualnym komputerom. W poczeniu ze sprztem obsugujcym wirtualizacj, czyli procesorami stosujcymi technologi Intel VT oraz AMD Pacifica, wirtualizacja wykorzystujca hypervisor prowadzi do uzyskania wysokiej wydajnoci i niemal nieograniczonej skalowalnoci maszyn wirtualnych. Architektura wirtualizacji zostaa przedstawiona na rysunku poniej.

Strona | 80

Rysunek 58. Architektura wirtualizacji Windows Server.

3.9.4

Wirtualizacja sprztowa

Jako e hypervisor uywany w wirtualizacji systemu Windows Server korzysta z technologii VT i Pacifica, wikszod pracy zwizanej z wirtualizacj wielu systemw operacyjnych wykonywana jest przez sprzt systemu, nie za przez stos wirtualizacji i hypervisor. Platformy wirtualizacji, ktre korzystaj z programowej emulacji sprztu, czsto przerywaj prac maszyn wirtualnych, wykonujc biece tumaczenia dao sprztu i przeksztacajc je w form zgodn ze rodowiskiem wirtualizacji. Technologie sprztu Intel VT i AMD Pacifica sprawiaj, e wiele z tych tumaczeo staje si zbdnych dziki wczeniu rozszerzeo wirtualizacji do architektury x86. Oznacza to, e platformy wirtualizacji, ktre zaprojektowano dla VT i Pacifica, maj mniejsze wymagania sprztowe, a wirtualne komputery dziaaj wydajniej. Wsppraca pomidzy elementami wirtualizacji sprztu a komponentami wirtualizacji oprogramowania w wirtualizacji systemu Windows Server prowadzi do uzyskania platformy wirtualizacji o wysokiej wydajnoci. 3.9.5 Architektura 64-bitowa

Hypervisor uywany w wirtualizacji systemu Windows Server oparty jest na technologii 64-bitowej. Wirtualizacj systemu Windows Server naley uruchamiad na wersjach x64 systemu Windows Server 2008. Zapewnia ona niemal nieograniczon skalowalnod komputerw wirtualnych. Architektura 64bitowa moe adresowad znacznie wiksz ilod pamici ni platformy wirtualizacji oparte na architekturach 32-bitowych, za serwer-host moe pomiecid nawet do 1 terabajta fizycznej pamici RAM. Kademu komputerowi wirtualnemu w architekturze wirtualizacji systemu Windows Server mona przypisad nawet 32 GB RAM-u.

Strona | 81

Funkcja dynamicznego przypisywania sprztu, ktr omawiamy w dalszej czci tego rozdziau, pozwala na przypisanie kademu komputerowi wirtualnemu zmiennej wartoci RAM ponad 32 GB w zalenoci od jego potrzeb. Dziki temu wirtualizowane bd bardziej wymagajce zadania, co pozwoli w peni korzystad z moliwoci obsugi wielu wirtualnych komputerw i systemw operacyjnych. Dziki tej elastycznoci w przypisywaniu zasobw, wiele systemw wirtualnych moe byd poczonych na jednym komputerze-hocie, a kady z nich moe funkcjonowad bez wikszego uszczerbku na wydajnoci. 3.9.6 Wsparcie dla 64-bitowych systemw komputerw wirtualnych

64-bitowy hypervisor stosowany w wirtualizacji systemu Windows Server obsuguje zarwno 32bitowe, jak i 64-bitowe wirtualne systemy operacyjne. Niektre aplikacje mog byd dostpne tylko w wersjach 32-bitowych, a inne mog byd dostpne tylko w wersjach 64-bitowych (na przykad aplikacja biznesowa moe byd dostpna w wersji 32-bitowej, za Microsoft Exchange Server 2007 dostpny jest tylko, jako aplikacja 64-bitowa). Zarwno 32-bitowe, jak i 64-bitowe komputery wirtualne mog funkcjonowad rwnolegle na tym samym serwerze wirtualizacji systemu Windows Server. Ta elastycznod jest podstawow zalet hypervisor uywanego w wirtualizacji systemu Windows Server. 64-bitowy hypervisor tworzy podstaw wirtualizacji, ktra wspiera wszelkie przysze cieki wzrostu, ktrymi zamierza podad firma. 3.9.7 Podstawowe narzdzia do planowania wasnej wirtualnej infrastruktury

Wirtualizacja nie jest now technologi, jednak obecnie rozszerza si ona na wiele nowych obszarw, daleko poza oryginaln platform opracowan przez IMB w latach 60. XX wieku. Podstawow przyczyn jej gwatownego rozwoju jest moliwod zastosowania technologii wirtualizacyjnych do ograniczenia kosztw centrw danych i dziaao IT. Wraz ze wzrostem kosztw energii i rosncym zapotrzebowaniem na usugi IT w rnych dziaach organizacji, moe si okazad, e zaczniemy borykad si z problemem koniecznej rozbudowy serwerw przy utrzymaniu kosztw dziaania na moliwie niskim poziomie. Wirtualizacja moe tu pomc. Za Microsoft i inni producenci oprogramowania rozwijaj nowe technologie, w tym wirtualizacj serwerw, komputerw biurkowych i aplikacji, ktra sprawi, e wirtualne zasoby stan si szerzej dostpne. Microsoft Assessment and Planning Toolkit (MAP) naley do rodziny Microsoft Solution Accelerators. Solution Accelerators to bezpatne, godne zaufania zasoby, ktre pomagaj w aktywnym planowaniu, dostarczeniu i obsugiwaniu infrastruktury IT od komputerw biurkowych do serwerw, od urzdzeo fizycznych do wirtualnych. Solution Accelerators, opracowane we wsppracy z ekspertami branowymi i testowane w rzeczywistych rodowiskach klienckich, oferuj odpowiedni poziom narzuconych wskazwek i automatyzacji, aby osignd wysok wydajnod i zbudowad infrastruktur IT. Zasoby te skupiaj si na kluczowych problemach firm rnej wielkoci, takich jak ocena i planowanie infrastruktury, wirtualizacja, komunikacja i wsppraca oraz bezpieczeostwo i zgodnod.

Strona | 82

Wypuszczony ostatnio na rynek zestaw narzdzi MAP Toolkit jest narzdziem do oceny caej sieci, opracowanym do pomocy w szybkim uzyskaniu podstawowej orientacji dotyczcej wasnych serwerw i komputerw biurkowych, z uwzgldnieniem kwestii koniecznoci aktualizacji lub migracji do nowych technologii jak Hyper-V, Microsoft Application Virtualization, Windows Server 2008, Windows Vista, Office 2007 i SQL Server.

Rysunek 59. Microsoft Assessment and Planning Toolkit.

MAP sam generuje raporty dotyczce oceny gotowoci (ang. readiness-assessment) i propozycje, oszczdzajc nam wiele pracy, ktr musielibymy wykonad sami. MAP Toolkit obsuguje scenariusze zarwno dla serwerw, jak i dla komputerw biurkowych, wraz z ocen koniecznoci aktualizacji komputerw biurkowych i planem wprowadzenia Microsoft Application Virtualization.

Rysunek 60. Przykadowa propozycja migracji wygenerowana przez program.

Strona | 83

S trzy podstawowe funkcje, ktre przy planowaniu wirtualizacji serwera mog pomc w okreleniu, ktre fizyczne komputery s dobrymi kandydatami do wirtualizacji: spis serwerw, zbieranie miar wydajnoci oraz zalecenia dotyczce miejsca wirtualizacji. Wiele duych firm ma u siebie jaki rodzaj infrastruktury zarzdzania serwerami, na przykad System Center Operations Manager. W rodowisku, w ktrym nie ma penej bazy, jakie serwery pracuj i co na nich dziaa, funkcja Server Inventory pozwoli na szybkie naszkicowanie jasnego obrazu. Server Inventory umoliwia okrelenie, jakie maszyny pracuj przy uyciu z Active Directory, skanowania zakresu adresw IP oraz zwykego importowania listy maszyn zapisanej w pliku. Mona te jednoczenie wykorzystad wiele metod wyszukiwania, np. maszyny spoza Active Directory.

Rysunek 61. Wybr metody wyszukiwania komputerw.

W miar znajdowania maszyn, MAP Toolkit prbuje poczyd si z kad z nich i uzyskad ponad 50 klas danych za porednictwem narzdzia Windows Management Instrumentation (WMI). Na podstawie tych danych mona wygenerowad kilka rnych typw raportw. W przypadku konsolidacji serwerw za pomoc wirtualizacji najbardziej interesujce s raporty tworzone przy wyborze rl specyficznych dla migracji oraz usug zwizanych z Windows Server 2008 /R2. Nawet jeli nie migrujemy obecnie do Windows Server 2008/R2, dwa raporty tworzone w tym scenariuszu s wartociowe przy okrelaniu rodzaju sprztu dziaajcego w naszym rodowisku (w tym typu i szybkoci procesora, wielkoci dyskw oraz zainstalowanej pamici), a take rl oprogramowania przypisanych do kadego serwera (serwery DNS, kontrolery domen i usugi terminala). Raporty te s dostarczane w postaci skoroszytw programu Microsoft Excel, mona wic atwo jednoznacznie okrelid, ktre konkretnie maszyny nadaj si do wirtualizacji. Raporty ze spisem serwerw podaj dane dotyczce kilku atrybutw, ktre mona wzid pod uwag przy wyborze serwerw do wirtualizacji. Na przykad moemy sobie yczyd, aby wirtualizowane komputery dziaay pod kontrol systemu operacyjnego obsugiwanego przez platform wirtualizacji Strona | 84

Hyper-V. W skoroszycie Excel WS2008HardwareAssessment, utworzonym w procesie inwentaryzacji serwerw, mona na arkuszu Server Inventory przeanalizowad kolumny Current Operating System i Service Pack, aby stwierdzid, czy s jakie systemy wymagajce aktualizacji. 3.9.8 Okrelenie zastosowa

Kolejnym etapem poszukiwania kandydatw do wirtualizacji jest pomiar stopnia obcienia konkretnych maszyn. Performance Metrics Wizard w narzdziach MAP Toolkit rejestruje liczniki wydajnoci maszyn z podanej listy kandydatw do wirtualizacji. Rejestrowane jest wykorzystanie procesora, operacje we/wy na dysku oraz wykorzystanie sieci.

Rysunek 62. Performance Metrics Wizard.

Ta czd narzdzia zostaa zaprojektowana do obserwacji maszyn przez dod dugi czas (do miesica), co daje pewn elastycznod przy wyborze sposobu jego uycia. Jeli mamy ju pogld na to, gdzie wystpuje najwysze obcienie w naszym rodowisku (na przykad moemy dysponowad cotygodniowym oknem przetwarzania wsadowego), to moemy ustalid czas dziaania kreatora w cigu kilku godzin w tym wanie czasie. Jeli jednak nie jestemy pewni, kiedy wystpuje najwyszy poziom wykorzystania maszyn lub chcemy obserwowad maszyny, ktre maj rne czasy szczytowego wykorzystania, to moemy uruchomid kreator na kilka dni lub tygodni, aby zarejestrowad dane z komputerw. Pozwala to na automatyczn identyfikacj okresw szczytowego wykorzystania maszyn na podstawie wikszego zbioru danych. Korzystajc z informacji pochodzcych z wczeniejszego spisu, mona wykorzystad moliwoci sortowania i filtrowania programu Excel do utworzenia listy maszyn, ktre chcemy monitorowad. Performance Metrics Wizard przyjmie t list jako paski plik, zawierajcy jedn maszyn na wiersz. Kopiujemy list nazw maszyn z Excela do nowego, pustego pliku tekstowego w Notatniku Strona | 85

i zapisujemy j. Gdy zostanie wywietlony monit, importujemy ten plik do kreatora i ustalamy czas zakooczenia okresu zbierania danych o wydajnoci. Kreator przejdzie do trybu zbierania danych i bdzie co pid minut pobiera liczniki wykorzystania z podanych maszyn. Gdy Performance Metrics Wizard zakooczy prac, utworzy szczegowy raport w Excelu, podajcy wszystkie obserwowane maszyny i wszystkie miary wydajnoci w rnych kategoriach wykorzystania: dla procesora, dysku fizycznego, dysku logicznego i sieci. Korzystajc z tych informacji, mona ucilid swoj list kandydatw do wirtualizacji. Mona wybrad za cel maszyny o wyjtkowo niskim wykorzystaniu i sprbowad konsolidacji kilku z nich jako maszyn wirtualnych (VM) na pojedynczym hocie. Lub te poczyd te informacje z danymi ze spisu, aby znaled maszyny, ktre obsuguj usugi krytyczne dla firmy, wymagajce najwyszej dostpnoci. Wirtualizacje mona wykorzystad do rozszerzenia moliwoci wznowienia dziaania po katastrofie w rodowiskach wymagajcych wysokiej dostpnoci. Po wykonaniu analizy mona przejd do ostatniego kroku, w ktrym generujemy zalecenia dotyczce pooenia maszyny wirtualnej. 3.9.9 Zalecenia dotyczce pooenia serwera

Server Virtualization and Consolidation Wizard pozwala okrelid konfiguracj hipotetycznego hosta wirtualizacji w kontekcie procesora, sieci, podsystemu dyskw i pamici. Korzystajc z danych o wydajnoci zebranych przez kreator Performance Metrics Wizard, Server Virtualization and Consolidation Wizard oblicza odpowiednie mapowanie goci VM na hosty VM. Dziki temu kady host bdzie waciwie wykorzystany bez ryzyka nadmiernego uytkowania podczas szczytw. Po zakooczeniu dziaania kreatora Server Virtualization and Consolidation Wizard otrzymujemy szczegowy arkusz w Excelu z dokadnym opisem mapowania VM goci na fizyczne hosty VM. Dla kadej maszyny wirtualnej i hosta pokazano przewidywane operacje we/wy dysku, operacje we/wy sieci oraz wykorzystanie procesora. W miar dodawania VM goci do maszyn hostw fizycznych, przydzielane s nowe maszyny hosty, gdy poprzednie hosty osigaj swoj maksymaln pojemnod. Dla kadego nowego hosta pojawia si komunikat informujcy, dlaczego musia on zostad przydzielony. Jeli kilka hostw otrzyma ten sam komunikat, mona rozwayd ponowne uruchomienie kreatora Placement Wizard z inn konfiguracj hostw, aby sprbowad zwikszyd liczb goci przypisanych do kadego hosta. Jeli, na przykad, kilka hostw wywietla komunikat o osigniciu limitu pamici, mona ponownie uruchomid kreator, okrelajc wiksz ilod pamici RAM przy konfiguracji hosta. Pozwoli to na zwikszenie liczby goci VM, ktre mona przypisad do kadego hosta. 3.9.10 Konfiguracja maszyny wirtualnej Kada strona kreatora Server Virtualization and Consolidation Wizard pozwala na skonfigurowanie wanego komponentu hipotetycznej konfiguracji komputera, ktry bdzie wykorzystany do modelowania pojemnoci komputera hosta maszyny wirtualnej. Modele s dostarczane zarwno przez Virtual Server 2005 R2, jak i Hyper-V. Na pierwszej stronie kreatora bdziemy pytani o to, jakiej technologii wirtualizacji chcemy uyd.

Strona | 86

Rysunek 63. Wybr technologii wirtualizacji wykorzystywanej przy zalecaniu pooenia.

Na stronie konfiguracji procesora (CPU) s dostpne modele dla kilku rodzin procesorw, zarwno AMD, jak i Intel. Jeli nie jest dostpny model dla uywanego przez nas procesora, trzeba wybrad najbardziej do niego pasujcy. Na tej stronie mona te skonfigurowad licznik fizycznych procesorw, rdzeni i hiperwtkw na rdzeo. Zauwamy, e jeli jako platform wirtualizacji wybierzemy Hyper-V, do wyboru s tylko procesory 64 bitowe.

Strona | 87

Rysunek 64. Konfiguracja CPU hosta.

Trzecia strona kreatora pozwala skonfigurowad podsystem dyskowy w kategoriach liczby stacji dyskw i technologii RAID, wyznaczajc cakowity dostpny obszar dyskowy hosta oraz wartod przepustowoci systemu dyskowego. Przepustowod jest podawana automatycznie na podstawie technologii interfejsu oraz wybranej szybkoci RPM (Reliability and Performance Monitor) dysku. W narzdziu MAP Toolkit nie ma bezporedniej obsugi modelowania pamici sieciowej SAN (Storage Area Network) ani NAS (Network Attached Storage). Zgrubne przyblienie mona uzyskad po wybraniu technologii dyskowej SCSI i skonfigurowaniu poziomu RAID podobnie do konfiguracji SAN, przy wykorzystaniu dyskw podobnej szybkoci. Przyblienie to bdzie wystarczajce do pocztkowego planowania. 3.9.11 Ograniczenia Przy mapowaniu wirtualizowanych komputerw goci na hostach fizycznych, bierze si pod uwag szed czynnikw okrelajcych, czy god zmieci si w pozostajcej do dyspozycji pojemnoci komputera hosta: wykorzystanie procesora wykorzystanie we/wy sieci wykorzystanie we/wy podsystemu dyskw pamid przestrzeo dyskowa obsuga systemu operacyjnego gocia w okrelonej technologii wirtualizacji

Strona | 88

Wykorzystanie procesora, sieci i podsystemu dyskw jest dod oczywiste. Pomiary wykorzystania na kandydacie na fizycznego gocia wirtualizacji s przeksztacane na odpowiednie wykorzystanie na komputerze hosta wirtualizacji, ktre nastpnie jest dodawane do istniejcego wykorzystania hosta. Jeli wynikowe wykorzystanie sumaryczne jest mniejsze od ustalonego limitu, to god zostaje przypisany do hosta. W przeciwnym przypadku god nie bdzie umieszczony, natomiast bd sprawdzani inni gocie, aby sprawdzid, czy bd pasowad. Dla przykadu przyjmijmy, e zebralimy metryki wydajnoci dotyczce komputera z procesorem Pentium 4 1.2 GHz, na ktrym wykorzystywane jest 32% procesora. Jeli skonfigurujemy hosta wirtualizacji z procesorem quad-core Intel Xeon z serii 5300, to oryginalny pomiar wykorzystania procesora przez potencjalny komputer gocia zostanie ekstrapolowany na odpowiednie przewidywane wykorzystanie komputera hosta. To nowe wykorzystanie bdzie nisze od oryginalnej pomierzonej wartoci, z uwagi na nowsz architektur procesora, inn szybkod zegara i dodanie wikszej liczby rdzeni. Przeciwna sytuacja wystpi, jeli skonfigurujemy komputer host ze sabszym procesorem ni ma komputer god. Wtedy przewidywane wykorzystanie po ekstrapolacji na hosta bdzie wysze. W obu przypadkach nowe ekstrapolowane wykorzystanie procesora zostanie wykorzystane do obliczenia cakowitego wykorzystania procesora w miar przypisywania do hosta goci. Warto pokrtce omwid, jak decydujemy w kwestiach wykorzystania pamici i przestrzeni na dysku. Cakowita pamid fizyczna zainstalowana na kadym potencjalnym gociu wirtualizacji jest rezerwowana na maszynie hocie. Ponadto niewielka ilod pamici (512 MB) zostaje zarezerwowana dla samego hosta. Gdy cakowita pamid fizyczna hosta zostanie wyczerpana z uwagi na przypisanie mu goci i konieczn nadwyk, na komputerze hocie nie mona umiecid wicej goci wirtualizacji. Podobnie obsugiwana jest przestrzeo dyskowa: cakowita ilod fizycznego miejsca na dysku kadego potencjalnego gocia wirtualizacji jest rezerwowana na maszynie hocie. Dodatkowo 50 GB obszaru dyskowego pozostaje zarezerwowane na wasne potrzeby hosta wirtualizacji. Gdy cakowite wykorzystanie dysku przez wszystkie przypisane komputery goci wraz z obszarem zarezerwowanym dla hosta osignie wartod okrelon podczas konfiguracji hosta, nie mona przypisad wicej goci. Na podstawie wybranej platformy wirtualizacji trzeba sprawdzid, czy system operacyjny dziaajcy na komputerze gociu jest obsugiwany przez platform wirtualizacji. Przykadowo 64-bitowy system operacyjny nie jest obsugiwany jako god na Virtual Server 2005 R2, wic nie mona go umiecid, jeli zostaa wybrana taka technologia wirtualizacji. Po kilkakrotnym uruchomieniu kreatora Server Virtualization and Consolidation Wizard mona atwo porwnad wyniki rnych wariantw wyboru sprztu dla maszyny hosta wirtualizacji. Przy kadym uruchomieniu kreatora mona wybrad inne opcje procesora, dysku i pamici, aby znaled rozwizanie najlepsze dla swojego rodowiska. Trzeba zwracad uwag na kolumn Last Placement Failed Reason (Przyczyna ostatniego nieudanego umieszczenia) na arkuszu Consolidation Recommendations (Zalecenia konsolidacji) skoroszytu Excela zawierajcego konsolidacj serwera. Przyczyny te bd stanowid wskazwki do okrelenia powodu, dla ktrego na okrelonym hocie nie mona umiecid wicej maszyn goci. Jeli kilka hostw wywietla t sam przyczyn, na przykad przekroczenie przez gocia pamici, jaka jest maksymalnie Strona | 89

dostpna na hocie, to zwikszenie iloci pamici w konfiguracji hosta moe zmniejszyd ogln liczb potrzebnych hostw. 3.9.12 Wymagania Jedn z zalet MAP Toolkit jest fakt, e narzdzie to nie wymaga zainstalowania na analizowanym komputerze adnego oprogramowania. Wszystkie operacje wykonywane s zdalnie. Jest jednak kilka czynnikw, ktre trzeba wzid pod uwag, aby wszystko dziaao prawidowo. Aby kreatory Inventory Wizard i Performance Metrics Wizard wykonay do kooca swoje dziaania, na komputerze docelowym musi byd otwartych kilka portw i musz byd one dostpne z komputera, na ktrym zainstalowano narzdzie MAP Toolkit. Szczegowe wymagania omawia Getting Started Guide (Przewodnik dla pocztkujcych). Porty uwierzytelniania DCOM i WMI musz byd otwarte na komputerach, ktre opisujemy. Jeli w sieci pomidzy komputerami bdcymi celem opisu oraz komputerem, na ktrym dziaa MAP Toolkit, zainstalowano zapory sieciowe, to musz byd one tak skonfigurowane, aby przepuszczay ten ruch. MAP Toolkit zosta zaprojektowany do inwentaryzacji w rodowiskach obejmujcych do 100 000 komputerw i do zbierania miary wydajnoci z 3000 komputerw naraz. Domylnie narzdzie to instaluje prywatn instancj SQL Server 2005 Express Edition. W zwizku z ograniczeniem wielkoci pliku bazy danych SQL Server Express do 4 GB, konfiguracja ta pozwala na spisanie danych na temat okoo 20 000 komputerw przed osigniciem limitu na rozmiar plikw, wprowadzonego przez SQL Server Express. Aby podczas spisu wsppracowad z wiksz liczba komputerw, trzeba zmodyfikowad niektre z ustawieo domylnych. Praca w wikszych rodowiskach wymaga korzystania z penej wersji Server, takiej jak SQL Server 2005 Standard Edition. Przed zainstalowaniem MAP Toolkit, trzeba zainstalowad now instancj SQL Server 2005 i nazwad ja "MAPS." Nastpnie trzeba normalnie uruchomid instalator MAP Toolkit na tym samym komputerze. MAP Toolkit wymaga lokalnej instancji pakietu SQL Server i automatycznie wykryje lokaln instancj "MAPS" serwera bazy danych, instalujc si na nim, zamiast instalowad SQL Server Express Edition. W jeszcze wikszych rodowiskach mona wykorzystad funkcj skalowania, ktra pozwala na to, aby wiele pomocniczych komputerw z zainstalowanym narzdziem MAP Toolkit wykonao wsplnie du inwentaryzacj, zapisujc zebrane dane w jednej centralnej bazie danych. Konfiguracja taka wymaga take wykorzystania SQL Server Standard Edition, aby uniknd ograniczenia wielkoci pliku do 4 GB. Szczegy dotyczce instalacji narzdzia w tej konfiguracji oraz sposobu edycji aocuchw poczeo bazy danych w tym trybie pracy mona znaled w przewodniku Getting Started Guide. Funkcj skalowania mona take uyd do umieszczenia program SQL Server na innej maszynie ni ta, na ktrej zainstalowano MAP Toolkit. Wszystkie programy do przypieszania rozwizao (Solution Accelerators), takie jak narzdzie Microsoft Assessment and Planning Toolkit znacznie poprawi obsug projektw IT, zwalniajc nas z tego obowizku. MAP Toolkit zaoszczdzi wielu uytkownikom setki godzin pracy, ktre musieliby powicid na wdroenia Hyper-V.

Strona | 90

Microsoft Assessment and Planning Toolkit mona bezpatnie pobrad z witryny microsoft.com/map. Inne narzdzia przypieszajce wirtualizacj, Virtualization Solution Accelerators mona uzyskad pod adresem microsoft.com/vsa. Zachcamy te do odwiedzin na blogu zespou MAP Toolkit Team, pod adresem blogs.technet.com/mapblog, gdzie mona znaled wicej wskazwek i obejrzed pokazowe wideo. 3.9.13 Wirtualizacja - podsumowanie Beginning with Windows Server 2008, server virtualization using Hyper-V technology has been an integral part of the operating system. Windows Server 2008 R2 introduces a new version of Hyper-V. Hyper-V in Windows Server 2008 R2 includes five core areas of improvement for creating dynamic virtual data centers: Increased availability for virtualized data centers Improved management of virtualized data centers Increased Performance and Hardware Support for Hyper-V Virtual Machines Improved Virtual Networking Performance A simplified method for physical and virtual computer deployments by using .vhd files

Increased Availability for Virtual Data Centers One of the most important aspects of any data center is providing the highest possible availability for systems and applications. Virtual data centers are no exception to the need for consolidation, high availability and most of all sophisticated management tools. Hyper-V in Windows Server 2008 R2 includes the much-anticipated Live Migration feature, which allows you to move a virtual machine between two virtualization host servers without any interruption of service. The users connected to the virtual machine being moved might notice only a slight slowing in performance for a few moments. Otherwise, they will be unaware that the virtual machine was moved from one physical computer to another. Cluster Shared Volumes (CSV). With Windows Server 2008 R2, Hyper-V uses Cluster Shared Volumes (CSV) storage to simplify and enhance shared storage usage. CSV enables multiple Windows Servers to access SAN storage using a single consistent namespace for all volumes on all hosts. Multiple hosts can access the same Logical Unit Number (LUN) on SAN storage. CSV enables faster live migration and easier storage management for Hyper-V when used in a cluster configuration. Cluster Shared Volumes are available as part of the Windows Failover Clustering feature of Windows Server 2008 R2. Improved Cluster Node Connectivity Fault Tolerance. Because of the architecture of CSV, there is improved cluster node connectivity fault tolerance that directly affects virtual machines (VMs) running on the cluster. The CSV architecture implements a mechanism, known as dynamic I/O redirection, where I/O can be rerouted within the failover cluster based on connection availability. Enhanced Cluster Validation Tool. Windows Server 2008 R2 includes a Best Practices Analyzer (BPA) for all major server roles, including Failover Clustering. This analyzer examines the best practices configuration settings for a cluster and cluster nodes.

Strona | 91

Dynamic VM storage. Windows Server 2008 R2 Hyper-V supports hot plug-in and hot removal of storage. By supporting the addition or removal of Virtual Hard Drive (VHD) files and pass-through disks while a VM is running, Windows Server 2008 R2 Hyper-V makes it possible to reconfigure VMs quickly to meet changing workload requirements. This feature allows the addition and removal of both VHD files and pass-through disks to existing SCSI controllers for VMs.

Improved Management of Virtual Data Centers Even with all the efficiency gained from virtualization, virtual machines still need to be managed. The number of virtual machines tends to proliferate much faster than physical computers because machines typically do not require a hardware acquisition. Therefore, management of virtual data centers is even more imperative than ever before. Windows Server 2008 R2 includes the following improvements that will help you manage your virtual data center: Reduced effort for performing day-to-day Hyper-V administrative tasks by using the Hyper-V Management Console. Enhanced command-line interface and automated management of Hyper-V administrative tasks by using PowerShell cmdlets. Improved management of multiple Hyper-V servers in a virtual data center environment by using System Center Virtual Machine Manager 2008.

Increased Performance and Hardware Support for Hyper-V Virtual Machines Hyper-V in Windows Server 2008 R2 now supports up to 64 logical processors in the host processor pool. This is a significant upgrade from previous versions and allows not only greater VM density per host, but also gives IT administrators more flexibility in assigning CPU resources to VMs. Also new, Hyper-V processor compatibility mode for Live Migration allows Live Migration across different CPU versions within the same processor family, (e.g.Intel Core 2-to-Intel Pentium 4 or AMD Opteron-to-AMD Athlon) enabling migration across a broader range of server host hardware. The new Hyper-V also adds performance enhancements that increase virtual machine performance and power consumption. Hyper-V now supports Second Level Address Translation (SLAT), which uses new features on todays CPUs to improve VM performance while reducing processing load on the Windows Hypervisor and new Hyper-V VMs will also consume less power by virtue of the new Core Parking feature implemented into Windows Server 2008 R2. Improved Virtual Networking Performance The new Hyper-V leverages several new networking technologies contained in Windows Server 2008 R2 to improve overall VM networking performance. Two key examples are the new VM Chimney (also called TCP Offload) and the use of Jumbo Frames. VM Chimney allows a VM to dump its network processing load onto the NIC of the host computer. This works the same as in a physical TCP Offload scenario, Hyper-V now simply extends this Strona | 92

functionality into the virtual world. This benefits both CPU and overall network throughput performance, and its fully supported by Live Migration. VM Chimney is disabled by default in Windows Server 2008 R2, primarily for short-term hardware compatibility reasons. But combined with compatible hardware, currently including vendors like Intel, VM Chimney significantly reduces the host servers CPU burden when dealing with VM network traffic. This translates into better host system performance and a simultaneous boost to VM network throughput. Like TCP Offloading, support for Jumbo Frames was also introduced with Windows Server 2008. Hyper-V in Windows Server 2008 R2 simply extends this capability to VMs. So just like in physical network scenarios, Jumbo Frames add the same basic performance enhancements to virtual networking. That includes up to 6 times larger payloads per packet, which improves not only overall throughput but also reduces CPU utilization for large file transfers. Simplified Method for Physical and Virtual Computer Deployments Historically, different methods have been used to deploy operating systems and applications to physical and virtual computers. For virtual computers, the .vhd file format has become a de facto standard for deploying and interchanging preconfigured operating systems and applications. Hyper-V in Windows Server 2008 R2 supports two important updates concerning .vhd files. First, administrators can now add and remove vhd files, as well as pass-through disks attached to a virtual SCSI controller on a running VM, without requiring a reboot. This offers more flexibility when it comes to handling storage growth needs without requiring additional downtime. It also provides more flexibility in data center backup scenarios as well as new scenarios in complex Exchange and SQL Server deployments. Windows Server 2008 R2 also supports the ability to boot a computer from a .vhd file stored on a local hard disk. This allows you to use preconfigured .vhd files for deploying virtual and physical computers. This helps reduce the number of images you need to manage and provides an easier method for test deployment prior to deployment in your production environment. Increased Performance and Hardware Support for Hyper-V Virtual Machines. Hyper-V in Windows Server 2008 R2 adds new performance enhancements that increase virtual machine performance and power consumption. Hyper-V now supports Second Level Address Translation (SLAT), which uses new features on todays CPUs to improve VM performance while reducing processing load on the Windows Hypervisor. New Hyper-V VMs will also consume less power by virtue of the new Core Parking feature implemented in Windows Server 2008 R2. Improved Virtual Networking Performance. The new Hyper-V leverages several new networking technologies contained in Windows Server 2008 R2 to improve overall VM networking performance. Two key examples are TCP Offload support and the use of Jumbo Frames. TCP Offload allows a VM to dump its network processing load onto the NIC of the host computer. This works the same as in a physical TCP Offload scenario, Hyper-V extends this functionality into the virtual world. This benefits both CPU and overall network throughput performance, and its fully supported by Live Migration.

Strona | 93

Like TCP Offloading, support for Jumbo Frames was also introduced with Windows Server 2008. Hyper-V in Windows Server 2008 R2 simply extends this capability to VMs. So just like in physical network scenarios, Jumbo Frames add the same basic performance enhancements to virtual networking. That includes up to 6 times larger payloads per packet, which improves not only overall throughput but also reduces CPU utilization for large file transfers.

3.10 Nowoci w klastrach

Windows Server 2008 R2 has been designed as a best-of-breed enterprise operating platform, capable of handling the most demanding data center workloads and delivering the latest next-gen network productivity experience to end-users across even the largest networks. To address these challenges, Microsoft has designed Windows Server 2008 R2 with several new feature categories in mind, to not only enhance the clustering that Windows Server 2008 provides, but extend this into brand new scenarios. Increased Availability for Virtual Data Centers One of the most important aspects of any data center is providing the highest possible availability for systems and applications. Virtual data centers are no exception to the need for consolidation, high availability and most of all sophisticated management tools. Hyper-V in Windows Server 2008 R2 includes the Live Migration feature, which allows you to move a virtual machine between two virtualization host servers without any interruption of service. The users connected to the virtual machine being moved might notice only a slight slowing in performance for a few moments. Otherwise, they will be unaware that the virtual machine was moved from one physical computer to another. Live Migration Support through Cluster Shared Volumes Live Migration uses the new Cluster Shared Volumes (CSV) feature within Failover Clustering in Windows Server 2008 R2. The CSV volumes enable multiple nodes in the same failover cluster to concurrently access the same logical unit number (LUN). While CSVs are currently employed mainly for Live Migration, their benefits will extend beyond that single scenario. For one, theyre easy to configure using simple NTFS rather than some other proprietary format. That means administrators wont have to reformat their SANs to take advantage of CSVs. It also means administrators will have an easier time showing users only a single data repository rather than a small forest of silosno more drive letter metaphors for end-users just convenient networked storage. And last, CSVs dont require config and management tools of their own. Windows Server administrators used to the tools in Windows Server 2008 can continue using those same consoles and theyll simply work with CSVs in R2. Improved Cluster Node Connectivity Fault Tolerance Because of the architecture of CSV, there is improved cluster node connectivity fault tolerance that directly affects VMs running on the cluster. The CSV architecture implements a mechanism, known as dynamic I/O redirection, where I/O can be rerouted within the failover cluster based on connection availability. Strona | 94

Enhanced Cluster Validation Tool Windows Server 2008 R2 includes a Best Practices Analyzer (BPA) for all major server roles, including Failover Clustering. This analyzer examines the best practices configuration settings for a cluster and cluster nodes. Improved Migration of Cluster Workloads Administrators can migrate cluster workloads currently running on Windows Server 2003 and Windows Server 2008 to Windows Server 2008 R2. The migration process: Supports every workload currently supported on Windows Server 2003 and Windows Server 2008, including DFS-N, DHCP, DTC, File Server, Generic Application, Generic Script, Generic Service, iSNS, MSMS, NFS, Other Server, TSSB, and WINS. Supports most common network configurations.

4 rda
http://TechNet.microsoft.com http://blog.augustoalvarez.com.ar/2009/02/02/microsoft-deployment-toolkit-2010-beta-1-usingmdt-to-prepare-install-and-capture-customized-windows-7-images-part-iii/ Microsoft Technet: Grzegorz Tworek, Paula Januszkiewicz, Nataniel Zielioski, Autor: Jay Sauls i Baldwin Ng Akademia Windows 7: ukasz Foks

Strona | 95

5 Index rysunkw
Rysunek 1. Nowy pasek zadao...........................................................................................................11 Rysunek 2. Podgld uruchomionych aplikacji. ...................................................................................11 Rysunek 3. Udoskonalony obszar powiadomieo. ...............................................................................12 Rysunek 4. Dostosowanie obszaru powiadomieo. .............................................................................12 Rysunek 5. Pasek narzdzi Windows Media Player i pasek postpu Internet Explorer. ......................13 Rysunek 6. Przesunicie okna aplikacji w jedn ze stron, powoduje dopasowanie jej do dostpnej przestrzeni. .......................................................................................................................................14 Rysunek 7. Jump list w menu Start dla Windows Live Messenger. ..................................................14 Rysunek 7. Jump list w menu Start dla Windows Media Player.......................................................15 Rysunek 8. Menu kontekstowe. ........................................................................................................15 Rysunek 9. Nowe okno personalizacji................................................................................................16 Rysunek 10. Dodawanie folderu do biblioteki....................................................................................17 Rysunek 10. Panel sterowania...........................................................................................................17 Rysunek 11. Okno Urzdzenia I drukarki. .........................................................................................18 Rysunek 12. Dodawanie nowego urzdzenia za pomoc kreatora dodawania urzdzenia..................19 Rysunek 13. Uruchomiony kreator Add Hardware Wizard w Windows 7. .......................................20 Rysunek 14. Przykadowy monit UAC. ...............................................................................................23 Rysunek 15. Zakadka "Zgodnod". ....................................................................................................24 Rysunek 16. Ustawienia UAC.............................................................................................................26 Rysunek 17. Dyski moliwe do zaszyfrowania ....................................................................................35 Rysunek 18. Windows XP SP3 i BitLocker To Go.................................................................................36 Rysunek 19. Windows Vista SP1 i BitLocker To Go. ............................................................................36 Rysunek 20. BitLocker To Go Reader. ................................................................................................36 Rysunek 21. Pliki powstae po zaszyfrowaniu klucza USB z systemem plikw FAT32. .........................37 Rysunek 22. Klucz USB widziany, jako partycja RAW..........................................................................37 Rysunek 23. Komunikat o braku moliwoci sformatowania klucza USB ............................................38 Rysunek 24. Odpowiedniki Root Directory Entries.............................................................................38 Rysunek 25. Pliki widoczne pod Windows Vista stay si widoczne pod Windows 7 ...........................39 Rysunek 26. Podsumowanie testw ..................................................................................................39 Rysunek 27. Ustawienia pamici i sieciowe. ......................................................................................41 Rysunek 28. Wybr rodzaju dysku VHD. ............................................................................................42 Rysunek 29. Ustawienia Windows Virtual PC .....................................................................................43 Rysunek 30. Menu Tools. ..................................................................................................................44 Rysunek 31. Lista urzdzeo moliwych do dodania ............................................................................44 Rysunek 32. Podczanie urzdzenia. ................................................................................................45 Rysunek 33. Wybr hasa ..................................................................................................................46 Rysunek 34. Ustawienia polityki aktualizacji wirtualnego Windows XP. .............................................46 Rysunek 35. Dziaanie filtru Smart-Screen. ........................................................................................48 Rysunek 36. Acceleratory. .................................................................................................................48 Rysunek 37. Widok zgodnoci (Compatibility view). ..........................................................................49 Rysunek 38. Wyszukiwnie w Internet Explorer 8 ...............................................................................49 Rysunek 39. Przegldanie In-Private..................................................................................................50 Rysunek 40. Starter GPO dostpne w systemie Windows Server 2008 R2..........................................59 Strona | 96

Rysunek 41. Waciwoci przykadowego szablonu administracyjnego. .............................................60 Rysunek 42. Konsola Local Group Policy Editor - AppLocker ..............................................................62 Rysunek 43. Importowanie/eksportowanie polityk. ..........................................................................63 Rysunek 44. Uruchamianie usugi AppID ...........................................................................................64 Rysunek 45. Pierwszy etap kreatora Create Executable Rules ............................................................65 Rysunek 46. Rules Drugi etap kreatora strona Permissions. .........................................................65 Rysunek 47. Etap Condidations wskazywanie metody rozpoznawania aplikacji. .......................66 Rysunek 48. Etap Publisher aplikacja Word, skadnik pakietu Microsoft Office ............................67 Rysunek 49. Tworzenie wyjtkw dla definiowanej roli. ....................................................................68 Rysunek 50. Dziennik zdarzeo dla AppLocker. ...................................................................................69 Rysunek 51. Wczanie trybu Audit Only dla kolekcji restrykcji Executable rulet. ...............................69 Rysunek 52. Automatyczne tworzenie rl..........................................................................................70 Rysunek 53. Cykl ycia systemu operacyjnego. ..................................................................................71 Rysunek 54. Oglny schemat komponentw koncepcji. ....................................................................73 Rysunek 55. Prezentacja Direct Access. .............................................................................................76 Rysunek 56. Architektura wirtualizacji Windows Server. ...................................................................81 Rysunek 57. Microsoft Assessment and Planning Toolkit. ..................................................................83 Rysunek 58. Przykadowa propozycja migracji wygenerowana przez program. ..................................83 Rysunek 59. Wybr metody wyszukiwania komputerw. ..................................................................84 Rysunek 60. Performance Metrics Wizard. ........................................................................................85 Rysunek 61. Wybr technologii wirtualizacji wykorzystywanej przy zalecaniu pooenia. ..................87 Rysunek 62. Konfiguracja CPU hosta. ................................................................................................88

Strona | 97

with partnership of

Edited by:
Paula Januszkiewicz Strona | 98
Paula.Januszkiewicz@iscg.pl | mobile: +48 604 140 915
ISCG Sp. z o.o. | Al. Jerozolimskie 174 | 02-486 Warszawa tel. +48 (22) 571 67 80 | fax. +48 (22) 571 67 81