Самое сложное (а, возможно, и неблагодарное) занятие – рассказывать о какой-либо новинке специалистам, разбирающимся в сути вопроса на порядки лучше самого "популяризатора". Вот почему сегодняшний материал о нововведениях Windows Vista непосредственно для IT-специалистов будет не более чем вектором, дающим определение той или иной инновации, который призван лишь указать вам направление дальнейших поисков подробностей о заинтересовавшем моменте.
Даже для конечных пользователей инновации, реализованные в Windows Vista – бескрайнее поле новой информации и неизведанный край для экспериментов, а что уж там говорить про специалистов. Тем не менее, при разработке семейства операционных систем Windows Vista значительное внимание было уделено вопросам повышенной надежности, безопасности, эксплуатационной эффективности, чётким процедурам упорядочения и просмотра данных, благодаря чему специалисты могут теперь сосредоточиться на наиболее важных аспектах эксплуатации оборудования. Заложенная в Windows Vista совокупность новых и улучшенных функций для корпоративных ПК, в том числе мобильных и сетевых технологий, улучшенное быстродействие и надежность, могут обеспечить более быстрое развёртывание оборудования и меньшую стоимость его обслуживания по сравнению с предыдущими версиями Windows, а в конечном итоге – облегчить жизнь как специалистам, так и конечным пользователям.
Развертывание. Новые инструменты и сценарии
Модернизация архитектуры и изменения в ядре привели к превращению структуры Windows Vista в модульную конструкцию, что обеспечивает возможность настройки платформы, обслуживания индивидуальных компонентов и минимизации объема тестирования на этапе развертывания. Кроме того, можно устанавливать языки в качестве дополнительных компонентов, не используя для каждого из них отдельный образ, что уменьшает количество образов для разных стран. Версия Windows Vista Enterprise позволяет специалистам создать образ диска, содержащий интерфейс пользователя на всех языках, при этом пакеты многоязыкового интерфейса пользователя (MUI) доступны только корпоративным пользователям Windows Vista Enterprise и Windows Vista Ultimate.
Единый многоязыковой образ диска может быть развернут в любой стране мира на компьютере любого типа - настольном, портативном, планшетном ПК, пользователь может выбирать для себя любой язык из числа установленных. В настоящее время в Windows Vista реализована поддержка 36 языков.
В основе процесса установки Vista - технология создания образа диска на базе нового файлового формата
WIM (Windows Imaging Format), не зависящего от типа оборудования и разбивающего систему на модули для упрощения настройки и развертывания. Новый формат WIM поддерживает хранение нескольких образов в одном файле, то есть, в одном файле может быть несколько выпусков Windows Vista. Как вы скоро сможете убедиться на практике, благодаря этому Microsoft будет поставлять по всему миру одинаковый двоичный файл для 32-разрядных и 64-разрядных архитектур.
Уменьшение размеров файла достигается за счет использования внутреннего сжатия в формате WIM, а также работы в режиме одного экземпляра. Дополнительным преимуществом формата WIM является возможность обслуживания образа, включая добавление и удаление дополнительных компонентов, например, исправлений и драйверов, в автономном режиме без загрузки компьютера или создания нового образа, что приводит к сокращению количества поддерживаемых компанией образов.
Системы Windows Vista будут поддерживать обновление с предыдущих версий, при этом новая программа установки с помощью образа и встроенные функции переноса при установке Windows Vista позволят оставлять на жестком диске данные пользователей, файлы профилей и состояния системы (Nondestructive imaging). Вначале устанавливается Windows Vista, затем в новую систему переносятся данные, параметры и приложения. Кроме того, если на любом этапе обновления до Windows Vista, вплоть до первого входа в систему, происходит сбой, выполняется откат внесенных изменений и восстановление исходных установок пользователя
Удаленная и автоматическая установка Windows Vista осуществляется с помощью файлов автоматической установки в формате
XML (Extensible Markup Language), при этом на протяжении развертывания нужен только один файл автоматической установки (в отличие от, например Unattend.txt, Winbom.ini или Sysprep.inf для предыдущих версий Windows). С помощью формата XML появляется возможность большей автоматизации процесса проектирования и развертывания систем, благодаря унифицированному доступу к параметрам компонентов специальные средства вроде диспетчера образов системы могут создавать, обрабатывать и проверять файлы автоматической установки.
Отличный способ упрощенного развертывания, тестирования, диагностики и восстановления системы в безопасной и гибкой среде - технология
Windows PE (Preinstallation Environment). Windows PE представляет собой операционную систему на базе Win32 с минимальной конфигурацией, многие средства развертывания разработаны именно на основе Windows PE. Запустить Windows PE можно с жесткого диска, съемного носителя, флэш-памяти USB и даже из сети (Preboot Execution Environment, PXE).
Одна из самых больших проблем при развертывании новой среды на настольных компьютерах в компаниях, существенно замедляющая процесс обновления – это перенос приложений. Перенос приложений в новую среду Windows Vista осуществляется с меньшим количеством усилий. Стоит отметить поддержку виртуализации параметров файлов и реестра в режиме пользователя с ограниченным доступом, это позволяет старым, выполняющим запись по защищенным Windows Vista адресам (например, в папку Windows) приложениям и дальше работать без изменения, благо конечное место расположения виртуализуется.
Помимо этого, за счет расширенной поддержки командной строки и скриптов Windows Vista позволяет производить удаленное, автоматическое и повторяющееся развертывание. В дополнение стоит отметить, что Windows Vista обеспечивает быстрое восстановление операционной системы с помощью стандартного образа, поддерживает среду сетевой загрузки PXE, проверяет согласованность перед его развертыванием.
Комплексный набор средств и технологий развертывания, поставляемых с Windows Vista, позволяет планировать, тестировать, компоновать и развертывать настольные системы компаний с учетом в соответствии с упорядоченными по этапам задачами. К основным приложениям планирования переноса можно отнести следующие:
- Интерфейсы API для независимых поставщиков - SDK (Software Development Kit) для Windows Vista содержит набор интерфейсов API для независимых поставщиков ПО
- Software Inventory Analyzer - средство для инвентаризации всех приложений, установленных на настольных компьютерах компании. Заносит их в централизованное хранилище и выполняет анализ по базе данных совместимости.
- Обработка аналитических отчетов с сведениями о проблемах совместимости приложений и способах их устранения. Пользователь может самостоятельно откорректировать эти сведения
- Устранение несовместимостей - на основе проведенного анализа Windows Vista создает специальные базы данных совместимости и тестирует работоспособность исправлений
Системы Windows Vista поддерживают возможность создания эталонных и стандартных образов (The Perfect Desktop) для установки на настольных компьютерах. Поскольку Vista состоит из отдельных компонентов, диспетчер образов системы может сформировать образ требуемой конфигурации путём создания файла автоматической установки, в котором вместе с обязательными указаны дополнительные компоненты, например, языковые пакеты. Специалист может установить нужные приложения на базовом ПК, а затем создать образ для распространения. На этом этапе используется диспетчер образов системы (System Image Manager) и ImageX.
- Слой абстрагирования от оборудования (HAL) - розничные версии Windows Vista могут быть независимы от этого слоя
- Настройка образов - создание образа с требуемой конфигурацией путем добавления, обновления и удаления дополнительных компонентов, включая языки, драйверы и пакеты обновления
- Обслуживание образа в автономном режиме – возможно исправление и обслуживание автономного образа без создания нового образа
- Файлы автоматической установки - автоматизация процесса установки путем создания и редактирования XML файлов автоматической установки
- Создания образа настольной системы - образ создается для архивации или дальнейшего распространения, после помещения эталонного образа в общий дистрибутивный ресурс пользователи могут устанавливать его на своих компьютерах, а специалисты внедрять на настольных ПК
- Создание образов с помощью скриптов (сценариев)
На этапе развертывания эталонный или стандартный образ развертывается удаленно или локально с помощью съемного носителя или с помощью сетевой загрузки с настольного ПК. В состав Windows Vista входит ряд средств для переноса пользовательских данных и параметров после установки операционной системы на настольном ПК, при этом Vista анализирует совместимость приложений, информация о которой подготовлена на этапе планирования, и на этом основании определяет приложения и данные для перемещения без осложнений.
- Способы загрузки - загрузка из сети (PXE), с компакт-диска, DVD-диска, винчестера или флэщ-накопителя
- Безопасное развертывание в удаленном режиме
- Поддержка сервера РХЕ - удаленная установка операционной системы с помощью среды РХЕ
- Обновление настольных ПК "на месте", включая обновление данных и параметров, с применением метода полной переустановки операционной системы, с хранением данных локально или на общем сетевом ресурсе
- Поддержка скриптов, благодаря чему администратор может автоматизировать крупномасштабные проекты по развертыванию методом полной переустановки, установки или переноса
- Установка важных обновлений с помощью образа позволяет в момент установки добавлять важные обновления в состав стандартного образа
Различные сценарии развертывания могут выбираться в зависимости от особенностей заказанной среды или конфигурации техники. Привёденные ниже примеры иллюстрируют новые возможности недорогого, упрощённого и быстрого процесса развертывания Windows Vista.
Инсталляция на новые ПК
- С помощью средств проектирования специалист включает в образ Windows Vista нужные драйверы и дополнительные компоненты
- Образ операционной системы вместе с необходимыми компании приложениями устанавливается на тестовом ПК, затем образ записывается на общий сетевой ресурс или съемный носитель
- Пользователь может установить Windows Vista с носителя или, нажав клавишу F12, начать загрузку из сети
- Пользователь отвечает на несколько вопросов, касающихся языка, на котором происходит установка, и некоторых его предпочтений
Обновление: полная переустановка
- Выполняются первые два выше описанных действия
- Пользователь устанавливает Windows Vista локально со съемного носителя
- Вопросы пользователю не задаются, настройка осуществляется переносом всех данных, параметров и приложений пользователя в новую систему Windows Vista: в большинстве случаев существующие данные перемещаются на общий сетевой ресурс, выполняется форматирование локального винчестера, затем образ Windows Vista устанавливается на чистый жесткий диск, а данные и параметры пользователя возвращаются в новую систему
Развертывание с помощью двух компьютеров: перенос
То же самое, что в предыдущем случае, при обновлении, только в корпоративной среде данные передаются со старого ПК, а операционная система устанавливается на чистом винчестере нового ПК. По аналогии, в домашних условиях Windows Vista устанавливается на новую систему, а затем данные и параметры перемещается напрямую со старого компьютера.
Совместимость приложений
Так или иначе и частным пользователям, и компаниям придётся столкнуться с вопросом совместимости приложений с Windows Vista - как уже установленных, так и предполагаемых к установке в перспективе. На этапе разработки Vista вопросу совместимости приложений уделялось много внимания, при этом группой разработчиков Windows Vista было протестировано более 800 приложений от 150 независимых поставщиков на предмет совместимости с пробными сборками операционной системы. При этом изменения, повышающие общую безопасность, были внесены непосредственно в базовую файловую структуру Windows Vista, а системные процессы Windows Vista спроектированы с возможностью автоматической обработки преобразований в новые файловые структуры.
Для обеспечения совместимости функции контроля учетных записей пользователей (User Account Control, UAC) некоторые приложения приходится модернизировать. Для этого в Windows Vista были реализованы следующие усовершенствования:
- Автоматическое внесение базовых изменений в режиме совместимости с помощью помощника по совместимости программ Windows Vista - Program Compatibility Wizard, Assistant, and Properties Tab. Обнаружив приложение, которое должно выполняться в режиме совместимости с Windows XP, Windows 2000 или любой другой более ранней версией Windows, Windows Vista автоматически, без какого-либо вмешательства со стороны пользователя, назначает соответствующий режим совместимости
- Набор средств Microsoft Application Compatibility Toolkit (ACT) 5 позволяет понять особенности установленных приложений, определить те, которым требуются изменения для совместимости, создать и развернуть исправления для таких приложений. В наборе ACT 5 реализованы специальные обработчики для Windows Vista (Inventory Collector Evaluator, Windows Vista User Account Control Evaluator и Update Compatibility Evaluator), функции сбора данных и настройки конфигурации, упорядочения данных, устранения проблем, анализа данных
- Web-служба Application Compatibility Exchange предоставляет данные о тестировании приложений, полученные от независимых поставщиков и клиентов, в её каталоге собраны результаты тысяч тестирований, там можно найти сведения, необходимые для планирования тестирования собственных приложений
- Комплекс "переходных" технологий для переноса. С помощью виртуальной машины, виртуального сервера и сервера терминалов Microsoft можно и дальше работать с важными приложениями в виртуальной среде операционных систем ранних версий
Прогнозируя появление проблем с совместимостью и анализируя информацию, можно планировать изменения в среде прикладного ПО. В настоящее время для Windows Vista известны следующие проблемы с совместимостью и способы их устранения:
- Изменения, вносимые в новые версии операционной системы - проверка версии операционной системы, проблемы с совместимостью, возникающие из-за изменений состава операционной системы, решаются запуском приложений в соответствующих режимах совместимости с помощью "помощника по совместимости программ Vista" (Program Compatibility Wizard, Assistant, and Properties Tab).
Изменения, необходимые по соображениям безопасности
- Защита системных файлов и защищенных разделов реестра Windows Vista для повышения безопасности и устойчивости.
- Большинство старых приложений, которые ссылаются на эти элементы, во время сеанса работы автоматически перенаправляются на временные адреса. Если приложение требует сохранения своих данных в защищенных областях системы, его необходимо модернизировать.
- Контроль учетных записей пользователей и настройка прав обычного пользователя. Приложения должны поддерживать новые разрешения обычного пользователя Windows Vista
- Запуск Internet Explorer в защищенном режиме с меньшим объемом прав для защиты целостности Windows Vista. Возможно, придется внести изменения в web-приложения и приложения интрасети с учетом необходимости их выполнения в более ограниченной среде
- Нововведения операционной системы - 64-разрядная версия Windows Vista. 16-разрядные приложения и 32-разрядные драйверы 64-разрядной версией Windows Vista не поддерживаются. Поскольку автоматическое перенаправление для разделов реестра и системных файлов в 64-разрядной среде не предусмотрено, новые 64-разрядные приложения должны соответствовать стандартам Windows Vista
- Новые системные интерфейсы API предоставляют доступ к уровням операционной системы Windows Vista для антивирусного ПО и файрволлов. Приложения, которые выполняют эти функции, необходимо модифицировать, используя новые системные интерфейсы API
Дополнительные решения помогают устранять сложные проблемы совместимости, выполнять перенос и развёртывание приложений. Необходимость в них возникает при переходе на Windows Vista с дальнейшим использованием важных бизнес-приложений, не совместимых с новой операционной системой.
Технология виртуальной машины Virtual PC 2007 позволяет одновременно использовать на одном компьютере несколько операционных систем, сохранить предыдущую Windows для запуска несовместимых приложений на период, пока разработчики не внесут в них необходимых изменений. Virtual PC 2007 будет доступна пользователям в начале 2007 года.
Службы терминалов для размещения приложений позволяют разместить старые приложения на сервере терминалов и предоставить доступ к приложениям Vista и даже рабочему столу практически любому ПК в сети. Для подключения к этой среде компьютеров под управлением Windows Vista служит функция удаленного рабочего стола (Remote Desktop).
Подсистема для приложений на базе UNIX (Subsystem for UNIX-based Applications, SUA, компонент Windows Vista Enterprise)
- поставщик служб платформы для приложений на базе UNIX. Компонент SUA относится к следующему поколению подсистем POSIX (Portable Operating System Interface) и похож на подсистему Interix, поставлявшуюся с Windows Services for UNIX 3.5, а также на предыдущие подсистемы POSIX, которые входили в состав Windows 2000 и Windows NT 4. Эта подсистема и сопутствующие средства позволяют создавать среду, напоминающую любую систему UNIX.
Подсистема SUA упрощает интеграцию между средами Windows и UNIX/Linux, позволяет использовать на платформе Windows знакомые средства и служебные программы для UNIX. SUA помогает переместить приложения UNIX в среду Windows путем их повторной компиляции на компьютере Windows. Заказчикам, взаимодействующим с устаревшими системами UNIX, подсистема SUA обеспечивает передачу нагрузки на платформу Windows.
Расширенные функции подсистемы SUA включают в себя:
- Поддержку 64-разрядных вычислений (в отличие от предыдущих подсистем POSIX)
- Поддержку подключений к Oracle и Microsoft SQL Server из приложений баз данных через интерфейсы Oracle Call Interface (OCI) и Open Database Connectivity (ODBC)
- Поддержку двух сред UNIX: SVR-5 и BSD
- Дополнительные служебные программы и пакет SDK можно загрузить из интернета
Решение для развертывания настольных систем - Microsoft Desktop Optimization Pack for Software Assurance, содержит инструкции по планированию, разработке, тестированию и развертыванию Windows Vista и Microsoft Office 2007, включая обеспечение и тестирование совместимости приложений. Решение для развертывания настольных систем включает в себя инструкции, образцы шаблонов и технологические файлы; инструкции по развертыванию представлены в виде руководств для функциональных групп, где описываются все процессы развертывания. Инструкции организованы в соответствии с представленной ниже структурой функциональных групп и процессов.
Управление
Ряд новых и усовершенствованных функций, реализованный в Windows Vista для управления и устранения неполадок, обеспечивает снижение расходов на поддержку, упрощение управления конфигурацией, улучшение централизованного управления и снижение расходов на обновление.
В Windows Vista имеются встроенные средства диагностики, которые автоматически обнаруживают и анализируют стандартные неполадки, а затем помогают пользователям самостоятельно их устранять. К числу таких неполадок относятся дисковые сбои, снижение производительности, разрыв подключения к сети и неправильное завершение работы системы. Специалисты при необходимости могут добавлять в справочную службу User Assistance материалы, посвященные приложениям и ресурсам внутренней сети. Справочную службу можно настроить таким образом, чтобы пользователи подключались непосредственно к внутреннему центру поддержки.
Удаленный помощник (Remote Assistance), впервые появившийся в Windows XP, позволяет центру поддержки быстрее устранять неполадки за счет возможности видеть и контролировать компьютеры пользователей по сети. В Windows Vista удаленный помощник стал быстрее, меньше загружает сеть и может работать через протокол NAT.
Для решения проблем производительности в состав Windows Vista включены новые счетчики производительности и улучшенная консоль производительности, что позволяет сотрудникам службы поддержки получать детальное представление о внутреннем состоянии Windows Vista и локализовать сложные, устойчивые проблемы. В Windows Vista поддерживается объединенный журнал событий, открыть который можно в окне программы просмотра событий - Event Viewer. Многие компоненты, ранее хранившие журналы в текстовых файлах, теперь регистрируют события в журнале событий Windows Vista. В окне переработанной программы просмотра событий можно фильтровать и сортировать события, управлять типами регистрируемых событий, находить события и выполнять базовые задачи диагностики.
Важным нововведением в составе Windows Vista стала функция контроля учетных записей пользователей - User Account Control (UAC), позволяющая пользователям с обычными учетными записями запускать большинство приложений и выполнять стандартные действия по настройке системы. Ограничив круг обладателей административных учетных записей администраторами, можно предотвратить случаи несанкционированного изменения параметров системы и установки неразрешенных приложений, которые могут содержать вирусы и шпионские программы.
Функция защиты ресурсов Windows - Windows Resource Protection (WRP), обеспечивает дополнительную защиту от внесения потенциально опасных изменений в конфигурацию системы:
- Защита параметров системного реестра от случайного изменения пользователями или несанкционированным ПО
- Защита системных файлов и параметров от изменений, инициированных любым процессом, кроме доверенного установщика Windows
- Защита приложений (например, Internet Explorer) от потенциально ненадежных или вредоносных расширений COM (Component Object Model) сторонних разработчиков
В Windows Vista расширена область применения параметров групповой политики (Group Policy), которая теперь включает беспроводные сети, съемные запоминающие устройства, Internet Explorer, принтеры и управление питанием. Предусмотрены параметры групповой политики для настройки всех новых функций Windows Vista.
Консоль управления групповой политикой - Microsoft Group Policy Management Console (GPMC), теперь интегрирована в состав Windows Vista. Windows Vista поддерживает несколько объектов локальной групповой политики, позволяя администраторам настраивать разные политики для отдельных пользователей одного компьютера Windows Vista.
Windows Vista расширяет возможности администратора по части автоматизации задач, уменьшая количество времени на управление ПК. Планировщик заданий - Task Scheduler, полностью совместим с Windows XP и в Windows Vista стал более мощным. Как и раньше он позволяет запускать задания в установленные моменты времени или при загрузке компьютера С помощью планировщика заданий можно назначать запуск заданий в случаях:
- При наступлении события (например, нехватка свободного места на диске)
- При входе пользователя в систему
- Простой компьютера - через планировщик заданий можно запускать задания по обслуживанию системы (дефрагментацию жесткого диска и архивацию компьютера) в то время, когда компьютер не используется
Также поддерживается последовательный запуск заданий, С целью повышения безопасности и снижения объема работ обслуживания по истечении сроков действия паролей, учетные данные для учетных записей можно хранить в домене Active Directory, а не на локальном компьютере.
Служба Web Services for Management (WS-Management) в комбинации с соответствующими программными средствами позволяет администратору удаленно запускать сценарии и выполнять другие задачи управления. Для ограничения рисков обмен данными может шифроваться и подвергаться проверке подлинности. Выпускаемые Microsoft средства управления, например Systems Management Server (SMS) 2003, применяют WS-Management для безопасного управления оборудованием и программным обеспечением.
На консоли управления (MMC) собран ряд средств администрирования для Windows 2000, Windows Server 2003, Windows XP и Windows Vista. Windows Vista предоставляет возможность запускать несколько задач параллельно, причем средства администрирования продолжают работать даже после начала выполнения сложной или длительной задачи.
Для своевременного обновления программного обеспечения в Windows Vista обеспечивается эффективное использование пропускной способности сети, появилась возможность отслеживать успешные и неудачные обновления, а также усовершенствован агент обновления Windows (WUA).
Кроме того, особенностью платформы Windows Vista является то, что она позволяет обходиться без перезагрузки компьютера или, по крайней мере, снижать воздействие перезагрузки, если она неизбежна. Эта технология используется установщиком Windows, поэтому необходимость перезагружать компьютер после установки или удаления программы с помощью компонента "Установка и удаление программ" возникает реже.
Управление обновлениями улучшается за счет применения новой версии служб Software Update Services (SUS) — Windows Server Update Services (WSUS). В среде, где используется компонент "Автоматическое обновление", с помощью служб WSUS администратор может выполнить развертывание всех обновлений. Агент обновления Windows теперь является автономным приложением. Интерфейс агента обновления Windows не меняется в зависимости от источника загрузки обновлений, поэтому пользователям не приходится учиться работать с двумя средствами.
Повышенная безопасность
Windows Vista построена с учётом технологий безопасности из состава Windows XP с SP2, однако в ее архитектуру внесены изменения, лучше защищающие от непрерывно совершенствующихся угроз. Проектирование и разработка Windows Vista осуществлялись в соответствии с жесткими требованиями процесса SDL, который обеспечивает существенное снижение количества и серьёзности имеющих отношение к безопасности ошибок в конструкции и программном коде. В состав Windows Vista включены новые функции, обеспечивающие многоуровневую защиту.
Windows Vista поддерживается службами Windows Update, автоматического обновления и Microsoft Update, а также программой проверки обновлений для программного обеспечения, в рамках которой обновления перед выпуском подвергаются всестороннему тестированию. Операционная система разработана таким образом, чтобы отвечать требованиям стандарта Common Criteria, что необходимо для получения сертификата Evaluation Assurance Level 4 и прохождения проверки на соответствие стандарту обработки правительственных данных 140-2 (Federal Information Processing Standard 140-2).
В состав Windows Vista входят функции, позволяющие предотвращать установку вредоносных программ или выявлять и удалять их прежде, чем они нанесут какой-либо ущерб. Защитник Windows - Windows Defender, (ранее Microsoft AntiSpyware) поможет обнаружить, удалить или заблокировать шпионские и другие нежелательные программы в режиме реального времени. В процессе обновления или перехода на Windows Vista используется основная подпись средства удаления вредоносных программ, позволяющая найти и удалить вирусы и другое вредоносное ПО. Дополнительные сведения о корпоративном решении для борьбы с вредоносными программами Microsoft Client Protection можно найти
здесь.
Один из наиболее действенных способов устранения угроз безопасности - ограничение количества приложений с доступом к сети. С помощью встроенного персонального межсетевого экрана Windows Vista - Windows Firewall, администратор может разрешить определенному приложению функционировать локально, но заблокировать возможность обмена данными по сети.
Windows Firewall взаимодействует с новой технологией ограничения полномочий служб Windows - Windows Service Hardening, которая помогает предотвратить использование системных служб Windows для выполнения непредусмотренных действий в файловой системе, реестре или сети. Поддерживается фильтрация входящего и исходящего трафика, применение сетевых правил ограничения полномочий системных служб. С помощью таблиц управления доступом (ACL) службам можно разрешить производить запись только в определенные области файловой системы и реестра.
Клиент защиты сетевого доступа - Network Access Protection (NAP), в Windows Vista помогает защититься от атак из сети путём составления списка требований к состоянию клиентских компьютеров и проверки соблюдения этих требований при подключении ПК к сети.
В Windows Vista функции управления межсетевым экраном и безопасностью протокола интернета Internet Protocol Security (IPSec) собраны на консоли "Брандмауэр Windows в режиме повышенной безопасности" (Windows Firewall with Advanced Security), повышающей наглядность конфигурации системы безопасности и позволяющей централизованно фильтровать входящий и исходящийо трафик, а также настраивать параметры изоляции сервера IPSec и домена.
При разработке функций безопасности Internet Explorer 7 в составе Windows Vista на первом плане стояло достижение двух основных целей: защиты пользователей от вредоносных программ и обеспечения безопасности их данных. Более жёсткая система безопасности Internet Explorer 7 пресекает попытки запуска вредоносных программ. Элементы управления междоменными сценариями предотвращают попытки манипулирования содержимым в одном домене с помощью сценария из другого домена в интернете. Кроме того, в Internet Explorer 7 реализован новый механизм безопасности под названием ActiveX Opt-In, помогающий не допустить непреднамеренного использования элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались.
В защищенном режиме (доступен только в Windows Vista) Internet Explorer 7 защищает пользователей от загруженных вредоносных программ, запрещая им производить запись в какие-либо ресурсы из зоны "Мой компьютер" кроме временных файлов интернета, в этом режиме Internet Explorer 7 не может вносить изменения в пользовательские и системные файлы и параметры. Защищенный режим Internet Explorer также обеспечивает безопасность просмотра на вкладках: для содержимого, находящегося вне текущей зоны безопасности, вместо вкладок открываются новые окна.
В Internet Explorer 7 реализован ряд усовершенствований, направленных на защиту личных данных пользователей.
- Строка состояния безопасности - предоставляет визуальные сведения о безопасности и надежности web-узлов
- Фильтр фишинга - повышает безопасность работы в интернете путём предупреждения пользователя о подозрительных страницах, которые занимаются несанкционированным сбором данных
- Адресная строка во всех окнах. Наличие адресной строки в каждом окне позволяет пользователям получать сведения об истинном источнике той информации, которую они видят
- Команда удаления журнала IE даёт возможность одним нажатием кнопки очистить журнал использования и все личные данные
64-разрядные версии Windows Vista защищают компьютеры от переполнения буфера за счет поддержки реализованной в 64-разрядных процессорах функции предотвращения выполнения данных. 64-разрядные версии Windows также поддерживают технологию Microsoft PatchGuard, которая предотвращает внесение исправлений в ядро Windows программами, не имеющими соответствующих полномочий.
Все драйверы режима ядра, выполняющиеся на компьютере под управлением 64-разрядной версии Windows Vista, должны быть подписаны разработчиком. Подписание драйверов не является гарантией безопасности, однако позволяет распознавать и предотвращать многие атаки. В комбинации с поддержкой функции DEP на аппаратном уровне подписание драйверов делает 64-разрядную версию Windows Vista надежной и безопасной.
Управление идентификацией пользователей и правами доступа
В Windows Vista реализован ряд функций, позволяющих проверять подлинность пользователей и контролировать доступ к устройствам, приложениям и данным. Контроль учетных записей пользователей (UAC) в Windows Vista представляет собой набор инфраструктурных технологий, позволяя пользователям запускать приложения и задачи, имея обычный набор прав, при этом доступ административного уровня требуется только для процессов, выбранных пользователем или IT-отделом.
В Windows Vista большинству приложений присваивается "административный" или "обычный" маркер. Если приложение не является административным, то Windows Vista по умолчанию запускает его в качестве обычного. Перед запуском административного приложения Windows Vista запрашивает у пользователя разрешение на выполнение приложения с повышенными правами. По умолчанию запрос отображается, даже если пользователь входит в состав локальной группы "Администраторы"; любой администратор работает в качестве обычного пользователя до тех пор, пока определенное приложение или компонент системы не затребует при запуске учетных данных администратора.
Сегодня наиболее распространенным способом проверки подлинности является применение паролей, однако подобная одноуровневая проверка имеет ряд недостатков. Благодаря модернизации архитектуры Windows Vista поддерживает добавление альтернативных способов проверки подлинности, например, на основе биометрических характеристик и маркеров. Модель поставщиков учетных данных значительно проще фильтров GINA (Graphical Identification and Authorization), при этом несколько поставщиков могут функционировать параллельно.
Усовершенствованные функции управления правами в составе Windows Vista позволяют сохранять контроль над объектами интеллектуальной собственности и предоставлять доступ к конфиденциальным данным только уполномоченным пользователям. Для разработки прав и условий использования цифрового содержимого предназначен язык XrML (Extensible Rights Markup Language).
С помощью функций аудита в Windows Vista можно отслеживать действия пользователей. В Windows Vista реализован встроенный механизм сбора и пересылки важных событий аудита на центральную консоль с целью упорядочения и анализа данных аудита в рамках всей компании.
Управление учетными данными (например, паролями и сертификатами) и оборудованием (например, смарт-картами для хранения учетных данных) в Windows Vista также содержит средства для управления учетными данными перемещаемых пользователей, в том числе новую службу DIMS (Digital Identity Management Service) и новый процесс подачи заявки на сертификат. С помощью таких ресурсов, как автоматическое средство сброса персональных идентификационных номеров (PIN), проще развёртывать смарт-карты.
В составе Windows Vista реализованы криптографические службы Crypto Next Generation (CNG). Первый выпуск CNG позволяет добавлять в Windows новые алгоритмы для использования с протоколами Secure Sockets Layer/Transport Layer Security (SSL/TLS) и IPSec. Кроме того, Windows Vista содержит новый процессор системы безопасности, обеспечивающий принятие решений о доверии для таких служб, как управление правами.
Средство шифрования диска
BitLocker, прежде называвшееся полным шифрованием тома — это функция защиты данных на аппаратном уровне для предотвращения доступа к корпоративным и личным данным на потерянных или украденных системах. Шифрование всего системного тома Windows не позволяет без соответствующих полномочий взломать защиту системы и файлов Windows с целью использования данных на потерянных или украденных компьютерах.
Оптимальным хранилищем для ключа шифрования с точки зрения функции BitLocker является чип доверенного платформенного модуля TPM версии 1.2. Если технология развертывается в системе без такой микросхемы, ключ шифрования записывается на USB-флэшку, в этом случае пользователь должен при каждой загрузке системы подключать к ней USB-носитель. Преимущество чипа ТРМ заключается во встроенной защите от подделки.
Служба управления правами Windows Rights Management Services (RMS) помогает компаниям контролировать и защищать важные цифровые данные за счет интеграции смарт-карт, а также поддержки ключей большей длины и специальных средств обмена информацией при взаимодействии типа "бизнес-бизнес" (B2B). В состав Windows Vista входит встроенный клиент RMS.
Файловая система EFS (Encrypting File System) служит для шифрования файлов и папок на уровне пользователя. Например, если на одном компьютере работают два пользователя, то с помощью файловой системы EFS каждый из них может шифровать свои данные так, чтобы они были недоступны другому. В составе Windows Vista управление файловой системой EFS по сети улучшено за счет возможности хранения ключей EFS на смарт-картах.
Чтобы не допустить разглашения или кражи конфиденциальных данных и объектов интеллектуальной собственности, администратор с помощью групповой политики Windows Vista может заблокировать установку съемных запоминающих устройств (флэш-память USB, внешние жесткие диски и пр.).
Расширенные сетевые функции
В Windows Vista многие сетевые функции усовершенствованы с целью повышения качества и безопасности клиентского доступа к ресурсам при сохранении на минимальном уровне усилий по их настройке. Windows Vista обеспечивает расширенные возможности при работе в сети как для администраторов, которые несут ответственность за развертывание, обслуживание и безопасность сетевых ресурсов, так и для конечных пользователей.
Оптимизировать производительность сети администраторам поможет включенный в состав Windows Vista стек TCP/IP нового поколения, развитая архитектура которого обеспечивает автоматическую настройку для повышения эффективности работы на протяжении длительного промежутка времени.
Стек TCP/IP нового поколения поддерживает двухуровневую архитектуру IP, в которой протоколы IPv4 и IPv6 совместно используют общий транспортный уровень и уровень кадрирования. Протоколы IPv4 и IPv6 включены по умолчанию, для IPv6 не нужно устанавливать отдельные компоненты. Стек TCP/IP нового поколения автоматически определяет сетевую среду и настраивает основные параметры, такие как окно приема TCP.
Поддержка протокола IPv6 в Windows Vista позволяет компаниям обслуживать более широкий диапазон сетевых адресов, обходясь при этом без применения технологии NAT и других временных решений. Протокол IPv6 обеспечивает расширение адресного пространства, значительно превышающее возможности IPv4, и полностью поддерживает протокол IPSec. С помощью переходного механизма, обеспечивающего туннелирование трафика IPv6 через инфраструктуру IPv4, компания может осуществить развертывание протокола IPv6, не выполняя коренного обновления своей сети. Протокол IPv6 в составе Windows Vista поддерживает технологию Teredo, которая делает возможными глобальную адресацию и сквозной обмен данными между приложениями с поддержкой протокола IPv6 на разных клиентских компьютерах Teredo.
Чтобы предотвратить нежелательный трафик между интерфейсами для виртуальной частной сети (VPN), сервера терминалов и конфигураций, допускающих вход в систему нескольких пользователей, стек TCP/IP нового поколения поддерживает отделения маршрутизации. На компьютере может быть несколько отделений маршрутизации, которые изолированы друг от друга.
В некоторых ситуациях трафик из интернета может быть перенаправлен через VPN-подключение в частную внутреннюю сеть.
Интерфейсы, используемые в стеке TCP/IP для обеспечения безопасности TCP/IP (фильтрация трафика локальных узлов), обработки с помощью межсетевого экрана, обработки с помощью фильтра и хранения данных фильтра пакетов, были заменены новым модулем — платформой фильтрации Windows (WFP) для фильтрации на всех уровнях стека протоколов TCP/IP. В стеке TCP/IP нового поколения реализована поддержка динамической диагностики, включая поддержку базы управляющей информации TCP Management Information Base II (MIB-II), а также улучшены функции ведения журнала системных событий и трассировки. Средство диагностики сетей Windows позволяет определять проблемы, оказывающие отрицательное воздействие на подключение к сети, и выполняет действия для автоматического устранения таких проблем.
Мобильные пользователи часто подключаются к интернету или корпоративным сетям по беспроводным каналам связи из гостиниц, конференц-центров и аэропортов, при этом специалисты должны настроить параметры защиты данных, которые не были бы слишком обременительными для пользователей и администраторов. В Windows Vista реализована собственная архитектура беспроводных сетей под названием Native WiFi, являющаяся составной частью базового сетевого стека. При создании беспроводной сети Windows Vista по умолчанию выбирает наиболее безопасные параметры из числа поддерживаемых платой NIC.
В Windows Vista для сохранения унифицированной конфигурации на разных настольных системах реализован ряд усовершенствований, таких как улучшенные возможности обнаружения и создания беспроводных сетей и подключения к ним через интерфейс сетевого центра; служба единой регистрации в беспроводной сети, проверяющая доступность сети перед тем, как пользователь проходит проверку подлинности в домене Active Directory; поддержка последних протоколов безопасности IEEE на основе стандарта 802.11, включая Wi-Fi Protected Access 2 (WPA2); нейтрализация распространенных атак на беспроводные сети; улучшенная управляемость за счет применения объектов групповой политики для беспроводной связи и запускаемых из командной строки команд настройки и устранения неполадок; средства диагностики.
Беспроводные сети типа "компьютер-компьютер" создаются в Windows Vista с помощью специального мастера, при отображении списка доступных сетей в нем четко отмечаются беспроводные сети, которые не являются защищенными. Подключаясь к беспроводной сети, Windows Vista проверяет характеристики платы беспроводного сетевого интерфейса и выбирает самые безопасные параметры.
Развернуть профили единой регистрации на клиентских компьютерах администратор может с помощью групповой политики или через интерфейс командной строки. После настройки профиля единой регистрации перед входом в систему Windows нужно пройти проверку подлинности по стандарту 802.1x. Встроенная архитектура WiFi в Windows Vista обеспечивает широкую поддержку последних протоколов безопасности, включая WiFi Protected Access (WPA), WiFi Protected Access 2 (WPA2), Extensible Authentication Protocol (EAP), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) и Wired Equivalent Privacy (WEP). Путё применения предварительного ключа и протоколов WPA-PSK и WPA2-PSK можно повысить безопасность домашних сетей и сетей малых компаний.
Благодаря структуре EAPHost операционная система Windows Vista поддерживает механизмы проверки подлинности, разработанные поставщиками оборудования или другими компаниями. Для защиты беспроводных сетей от атак наиболее распространенных типов в Windows Vista было изменено поведение клиентов беспроводной связи. Теперь клиент активно сканирует меньшее количество сетей и делает это лишь в случае получения соответствующего указания от пользователя; клиент автоматически подключается только к сетям, которые пользователь явным образом затребовал или указал в качестве предпочтительных, и уведомляет пользователя, если тот собрался установить соединение с незащищенной сетью. В Windows Vista беспроводные сети логически эквивалентны своим проводным аналогам и управляются практически теми же методами.
С помощью оснастки "Групповая политика" из состава консоли управления ММС администраторы могут настраивать поведение клиентов беспроводной связи при подключении к беспроводным сетям и во время работы в них. В состав Windows Vista входит улучшенный сетевой интерфейс командной строки Netsh, помогающий автоматизировать управление беспроводными подключениями, использовать сценарии и устранять возникающие неполадки.
В Windows Vista предусмотрены средства для диагностики беспроводных сетей, являющиеся частью расширяемой инфраструктуры диагностики сетей (NDF). При неудачной попытке подключиться к сетевому ресурсу пользователю предоставляются не трудные для понимания сообщения об ошибках, а четкие инструкции по решению проблемы. При наличии такой возможности Windows Vista устраняет неполадку автоматически; в противном случае пользователь получает простые указания, которые он выполняет самостоятельно, не обращаясь в службу поддержки.
В составе Windows Vista реализован агент защиты сетевого доступа, предоставляющий сетевым серверам доступа и одноранговым узлам сведения о состоянии работоспособности и конфигурации клиента. В ограниченной сети клиент может быть направлен в распоряжение специальных служб для установки исправлений и описаний вирусов или выполнения других действий, необходимых для удовлетворения требований политики работоспособности. Кроме того, NAP применяется для защиты сети от опасных клиентов удаленного доступа, а также опасных клиентов, подключающихся по локальной сети через проводные и беспроводные каналы связи, которые прошли проверку подлинности по стандарту 802.1х.
Реализация новой парадигмы обмена информацией ставит перед компаниями комплекс серьезных задач, включая снижение риска проникновения вредоносных программ, защиту конфиденциальности и целостности данных и объектов интеллектуальной собственности предотвращение несанкционированного доступа, снижение эксплуатационных расходов, выполнение требований законодательных актов и отраслевых норм. Вариант протокола IPSec в составе Windows Vista позволяет администраторам создавать политики безопасности на учетных данных пользователей или компьютеров, использовать групповую политику для централизованного распространения этих политик в соответствии с потребностями компании, создавать политики брандмауэра Windows на базе протокола IPSec.
Механизм качества службы (QoS) на основе политик в составе операционных систем Windows Vista и Windows Server Longhorn предотвращает перегрузку сети за счет централизованного управления пропускной способностью узла. Например, в случае если обмен данными с приложением для управления ресурсами предприятия (ERP), обслуживающим филиалы компании, имеет самый высокий приоритет в глобальной сети, время отклика при вводе данных ERP или получении к ним доступа для сотрудников филиала будет оставаться стабильно небольшим независимо от загруженности глобальной сети другим трафиком. Теперь IT-отделы компаний имеют возможность создавать гибкие политики QoS для назначения приоритетов и/или регулирования исходящего сетевого трафика без внесения изменений в приложения. Эти политики применяются к исходящему трафику на основании одного из следующих критериев или их комбинации: отправляющее приложение, развертывание через групповую политику (например, группа пользователей или компьютеров), исходный IP-адрес/ IP-адрес назначения, исходный порт/порт назначения, протокол.
Надёжность
Улучшения в области надежности, реализованные в Windows Vista, можно разделить на следующие группы:
- Windows Vista поддерживает новую технологию, которая устраняет многие причины зависаний, аварийных сбоев, перезагрузок и пр.
- Простое восстановление после сбоя при запуске автоматически производит диагностику и восстанавливает работоспособное состояние системы. Встроенные средства диагностики Windows Vista обнаруживают многие стандартные аварийные ситуации и устраняют их автоматически или предоставляют необходимые инструкции пользователю
- Постоянное повышение надежности - усовершенствованный инструментарий Windows Vista позволяет получать точное представление о происходящих сбоях, постоянно добиваясь повышения надежности
При разработке Windows Vista ставилась задача снизить частоту сбоев и их влияние на работу пользователя. В новой операционной системе устранены многие стандартные причины сбоев и зависаний, а усовершенствованный инструментарий помогает лучше ориентироваться в ситуациях, когда система перестает отвечать на запросы. Чаще всего перезагрузка производится при установке приложений и обновлений для программного обеспечения. Новая технология в составе Windows Vista помогает сократить количество перезагрузок при установке приложений и обновлений для ПО. Во-первых, благодаря библиотекам динамической компоновки (DLL), которые могут выполняться параллельно, некоторые обновления для приложений способны установить новую версию файла, даже если имеющаяся на диске версия находится в использовании. При следующем запуске приложения старый файл заменяется обновленной версией. Во-вторых, новый диспетчер перезагрузки позволяет установщику определять приложения, блокирующие доступ к файлам, которые нужно заменить. Операционная система отправляет таким приложениям команду сохранить свои данные и завершить работу. Происходит обновление файлов, а затем приложения запускаются повторно без перезагрузки всей системы.
Драйверы в Windows Vista функционируют надежнее, чем в предыдущих версиях Windows. Возможность отмены операций синхронного ввода-вывода позволяет драйверам правильно восстанавливать работу в случае блокирования при попытке выполнения ввода или вывода данных. Windows Vista содержит новые интерфейсы API, с помощью которых приложения могут отменять ожидающие запросы ввода-вывода, если доступ к ресурсу не удается получить на протяжении длительного периода времени. Идентифицировать и исправлять драйверы помогает новый инструментарий Kernel Hang Reporting, который собирает данные, необходимые для сортировки и диагностики.
Любой программный код, который выполняется в режиме ядра (включая многие типы драйверов), способен повредить ядро, причем последствия этого могут проявиться не сразу. Windows Vista защищает системные параметры от повреждений и непреднамеренных изменений, из-за которых система может работать неправильно или вообще не запускаться. Функция защиты ресурсов Windows (WRP) не разрешает изменять важные системные параметры, файлы и папки никому, кроме доверенного установщика. Кроме того, Windows Vista не дает повреждать реестр некачественно разработанным драйверам.
Средство восстановления при запуске из состава Windows Vista обеспечивает автоматическую диагностику и восстановление систем, которые не удается загрузить. Обнаружив сбой при запуске, система активирует средство восстановления при запуске, которое автоматически производит диагностику и предпринимает попытку возвращения системы в работоспособное состояние. В большинстве случаев средство выполняет все необходимые действия без какого-либо участия со стороны пользователя.
В состав Windows Vista входят встроенные средства диагностики (набор функций для контроля и измерения, устранения неполадок и анализа) для решения внешних проблем, влияющих на поведение операционной системы. Поддерживающая эти средства структура называется инфраструктурой диагностики Windows (WDI) и является новым компонентом Windows Vista. При помощи WDI реализовано несколько сценариев для диагностики наиболее распространенных и дорогостоящих для пользователя ПК неполадок.
В корпоративной среде администратор может отключить любой сценарий диагностики либо компонент, отвечающий за разрешение проблем, в любом сценарии. Все встроенные сценарии диагностики записывают события в журнале. Эти события содержат данные о неполадках, которые были автоматически устранены средствами диагностики, а также сведения для специалистов, необходимые для решения оставшихся проблем.
Большинство встроенных функций Windows Vista имеют политику восстановления, которая позволяет пользователю продолжать работу после того, как произошел сбой службы и она была автоматически запущена. Исключением являются ключевые службы, без которых операционная система не может функционировать. Когда происходит сбой службы, выявляются все явные и неявные зависимости, а затем соответствующие службы перезапускаются в надлежащем порядке.
Многие ключевые компоненты Windows Vista регистрируют сведения о возникающих сбоях и их причинах. Эти данные вместе с другой информацией о конфигурации и использовании системы помогают разработчикам, специалистам и автоматизированным средствам оценить надежность и определить корректирующие действия в случае возникновения неполадок.
Расширенный инструментарий Windows Vista включает в себя средства для составления отчетов о зависаниях, обнаружения взаимоблокировок и выявления утечек памяти. Среди них стоит отметить такой интересный компонент как "Анализ надежности" - Reliability Analysis Component (RAC), средство помощи в управлении стабильностью систем компании. Он группирует, анализирует и сопоставляет неполадки на уровне операционной системы и приложений, а также рассчитывает показатель общей стабильности системы на протяжении длительного периода времени. Кроме того, компонент RAC отслеживает все важные изменения системы, которые способны повлиять на ее стабильность (например, обновления Windows, установка приложений и драйверов).
Компонент RAC сообщает сведения о проблеме и ее причинах, а также результаты анализа пользователю, приложениям, которые осуществляют мониторинг состояния, например, диспетчеру Microsoft Operations Manager, и выборочно, с разрешения пользователя - системе отзывов о продуктах Microsoft. Монитор надежности отображает данные, собранные компонентом RAC, в виде диаграммы и пересчитывает показатель стабильности с учетом событий, способных повлиять на стабильность системы (сбой драйверов, установка ПО и пр.).
Выбор оборудования
Требования к компонентам ПК, на которых будет устанавливаться Windows Vista, были изложены ещё в первой публикации из этой серии статей, поэтому нет смысла ещё раз перечислять эти характеристики. Отмечу лишь, что для полной реализации преимуществ Windows Vista в области отображения графики рекомендуется использовать видеокарту на графическом чипе с поддержкой модели Windows Display Driver Model (WDDM).
Драйверы, необходимые для работы оборудования, можно загружать с использованием образов, составленных с помощью Package Manager, или по сети с помощью утилиты командной строки PnPUtil.exe в сочетании с приложениями для распространения ПО. Драйверы также могут быть переданы на клиентские ПК Windows Vista с локального хранилища Driver Store, предопределённого сетевого ресурса или через Windows Update. Благодаря поддержке утилит Sysprep и Unattend.XML, администраторы могут добавлять драйверы в образы операционной системы.
Групповые политики для установки новых устройств - новая функция в Windows Vista, она позволяет администраторам точным образом определить устройства, инсталлируемые по признаку специфического идентификатора, по классу устройства или в зависимости от производителя устройства. Также новой функцией в Windows Vista является групповая политика для съёмных устройств -
Group Policy for Removable Storage, благодаря которой администраторы регулируют возможность перемещения данных на съёмные накопители. Некоторым пользователям, к примеру, может быть разрешено только считывание с устройств вроде оптических приводов, флэш-карт или внешних винчестеров.
Чтобы помочь компаниям в планировании компьютерной среды, Microsoft разрабатывает инструкции по выбору аппаратного обеспечения. Последнюю версию инструкции можно найти на странице
www.microsoft.com/technet/windowsvista/evaluate/hardware/
entpguid.mspx.
Вот, пожалуй, на сегодня и всё. Такие специфические нововедения как Microsoft .NET Framework 3.0, Windows Presentation Foundation (WPF), Windows CardSpace, Windows Communication Foundation (WCF) и Windows Workflow Foundation (WF), имеющие отношение, главным образом, к разработчикам приложений, мы рассмотрим уже в другой части.
Предыдущие публикации по теме Windows Vista:
Выражаем благодарность российскому представительству компании NVIDIA за систему, любезно предоставленную для экспериментов с Windows Vista.
Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.