Microsoft právě uvádí na trh nové verze operačních systémů Windows 7 a Windows Server 2008 R2. Je pravděpodobné, že s články o jejich vlastnostech a funkcích se budete nyní setkávat velmi často. My se ale zaměříme na jinde opomíjené nové vlastnosti a funkce, které jsou podstatné především z pohledu využití v podnicích a různých organizacích. Zejména tam, kde Windows plní roli operačního systému jak pro stolní počítače, tak i pro servery. Sloganem „Better together“ Microsoft poukazuje na optimalizovanou spolupráci Windows 7 a Windows Serveru 2008 R2. Co konkrétně tedy přináší jejich kombinace z pohledu organizací? Jak dobře spolu nové verze Windows dovedou spolupracovat?


Před odpovědí na otázku spolupráce „stolních“ a serverových Windows začněme stručným popisem nejdůležitějších či nejzajímavějších novinek ve Windows 7.

Rychlost

V porovnání s Windows Vista v podstatě zachovává nároky na hardware, avšak je rychlejší. Spouštění služeb na pozadí bylo optimalizováno, a skutečně tedy umožňuje uživateli ihned po loginu začít pracovat na aplikacích, které jsou již v systému dostupné i přesto, že stále na pozadí probíhá načítání jiných systémových služeb a zpracování úloh typu kontrola update apod. V celkovém pojetí se na odpovídajícím hardwaru jeví i rychlejší než Windows XP.

User Account Control

Výrazné změny doznala ve Windows 7 i technologie UAC tolik diskutovaná ve Windows Vista. Pro bližší vysvětlení UAC (User Account Control) je technologie povolování změn v systému či spouštění aplikací vyžadujících administrátorská práva nebo běh v privilegovaném módu. Nyní ve Windows 7 je možné nastavit čtyři různé úrovně ochrany, a to od maxima, kdy je třeba potvrdit každou změnu v systému i v nastavení, až po vypnuto. Přednastavena je střední vyšší úroveň, kdy je žádáno potvrzení pouze pro změny, které provádí nikoliv uživatel, ale nějaká aplikace.


User Account Control Settings

Indexování souborů

Zlepšení doznalo také indexování souborů – integrovaný Desktop Search uvedený prvně ve Windows Vista, kde však měl podstatný vliv na chod PC díky velké náročnosti na systémové zdroje. Nyní ve Windows 7 už indexování nespotřebovává přes dvacet procent výkonu systému a skutečně využívá pouze volný strojový čas. Zároveň je k této funkci do Windows 7 integrován tzv. Federated Search, služba, která umožňuje přidat další lokální vyhledávací zdroje (např. i SharePoint).

Virtualizace

Další velice zajímavou vlastností Windows 7 je nativní podpora VHD (Virtual Hard Drive, soubor virtuálního disku známý již od prvních verzí Microsoft Virtual PC a Microsoft Virtual Server), a to včetně funkce „boot from VHD“, kdy je možné přímo při spuštění PC nastavit, aby zavedení systému proběhlo z virtuálního disku (tedy z jediného souboru typu VHD) místo ze zvoleného oddílu na fyzickém disku. Přibyl i virtuální WiFi adaptér, který poskytuje uživateli možnost vytvořit na jednom fyzickém WiFi zařízení více virtuálních WiFi adaptérů a pomocí sdílení adaptéru fyzického tak navázat v jednom čase připojení s více WiFi přípojnými body.

Centrum zabezpečení

Pro koncového uživatele je rozhodně přínosem i nový Action Center, nástupce služby Windows Security Center (Centrum zabezpečení) z Windows Vista. Ve Windows 7 rozšiřuje původní funkcionalitu monitorující pouze stav zabezpečení operačního systému a stav antivirového softwaru o důležité události a nastavení systému, jako například firewall, windows update, zálohování, chybové stavy systému a podobně.

Další novinky

Vylepšený power management, který prodlužuje životnost baterie u notebooku a snižuje spotřebu u stolních PC, volitelně doinstalovatelný XP mód (nyní zatím ve verzi Release Candidate) umožňující spuštění starších aplikací, které nemohly běžet na Vistě, širší schéma skupinových politik umožňující více nastavení systému, širší možnosti nastavení zálohování a mnoho dalšího jistě potěší všechny administrátory. Společně s vylepšeními v oblasti uživatelského rozhraní, jako je živý náhled aplikací ve spodní liště, absence panelu miniaplikací, které je nyní možno umísťovat kdekoliv na plochu, WDM (Windows Desktop Manager), rovnání pozic oken pomocí kombinací kláves nebo tažení myší a mnoho dalšího, je systém Windows 7 i z pohledu uživatele opět o něco příjemnější.
Z pohledu organizací se samozřejmě jako nejzajímavější jeví novinky v oblasti centrální správy a bezpečnosti, pojďme se tedy proto podívat namátkou na pět z nich.

Direct Access

Jedním z hlavních trendů posledních let v oblasti informačních technologií je kromě konsolidací, optimalizací, snižování nákladů, virtualizací, green IT apod. také rostoucí tlak na mobilitu uživatele a na možnosti přístupu ke zdrojům nejen na portálech a publikovaných umístěních, ale i přímo uvnitř firemních sítí, které nejsou běžným způsobem přístupné. Ne vždy však v takových případech IT vidí přístup pomocí klasické VPN jako optimální a využití možnosti publikace některých služeb či dat přímo ven, mimo prostředí interní sítě, není vždy vítáno zase z pohledu pracovníků starajících se o bezpečnost.


Struktura DirectAccess
S příchodem nových verzí serverových a desktopových operačních systémů Windows Server 2008 R2 a Windows 7 se administrátorům dostává do rukou nová možnost, jak s tímto požadavkem naložit a při zachování dostatečné míry bezpečnosti umožnit externím uživatelům používat interní zdroje bez nutnosti konfigurace a navazování klasické VPN.
Aby bylo možné využít tuto funkcionalitu, je nutné použít na klientské straně systém ve verzi alespoň Windows 7 Enterprise nebo Ultimate a na serverové straně Windows Server 2008 R2. Server musí být vybaven dvěma síťovými adaptéry, z nichž jeden je propojen s vnitřní sítí a druhý s externím prostředím internetu. Direct Access server pak komunikuje s klientem pomocí IPv6 skrze oblíbený HTTPS tunel. Vzhledem k možnosti využití různých druhů certifikátů je kombinace těchto technologií velmi bezpečná a mohla by se v dohledné době dočkat širších nasazení.

Branch Cache

Stejně jako rostou požadavky na mobilitu uživatelů, rostou bohužel i datové objemy. Stále více se pracuje s multimédii, grafikou (jen velikost například fotografií se díky rostoucím rozlišením fotoaparátů za posledních pět let přibližně zdesetinásobila), interaktivním obsahem formulářů, webových stránek a podobně. Rychlost datových připojení roste samozřejmě také, ale ne vždy je jednoduché ve společnosti provést upgrade infrastruktury, která vždy stojí nemalé peníze. Kapacita datových linek však většinou není vytěžována stoprocentně v čase, nýbrž nárazově přetěžována v případech, kdy jsou přenášeny velké datové objemy na žádost uživatele či aplikace.
Windows 7 ve spojení s Windows Serverem 2008 R2 se snaží tuto situaci řešit přenesením komunikace do časů, kdy není datová linka vytěžována, a umístěním vzdálených dat do lokální zóny, která je již na vysoce propustných datových linkách, a to dvěma způsoby.
První, distribuovaná cache, využívá plošné rozmístění dat mezi koncové klientské stanice, druhý, hostovaná cache, využívá k umístění dat nějakého k tomu určeného bodu, například lokálního pobočkového serveru. V obou případech však data přenášená po síti WAN mezi centrálou a prvním klientem, který si je vyžádal, zůstávají lokálně uložena a v případě, že jsou požadována klientem ze stejné zóny, jsou mu poskytnuta po místní síti LAN přesto, že původní požadavek směřoval do vzdáleného úložiště.


User Account Control Settings


Branch Cache

XP Mode

Pro organizace, které používají Windows Vista, je XP Mode ve Windows 7 zřejmě zanedbatelná věc. Naopak pro ty, kteří doposud používají Windows XP například z důvodu nekompatibility jejich aplikací s novými operačními systémy Windows, jde možná o řešení problému.
S příchodem Windows Vista došlo ke změně architektury systému zcela zásadním způsobem a zároveň s tím i k posílení bezpečnostních mechanismů, které brání neoprávněným modifikacím systémových souborů, zápisům do míst na systémovém disku, která jsou určena pouze pro operační systém, a podobně. Mnoho aplikací, které byly napsány tak, že například používaly místo relativních odkazů na systémové proměnné konkrétní hodnoty (typicky zápisy do C:\ apod.), nebylo schopno s touto změnou dále fungovat. XP Mode pro ně přináší řešení.
XP Mode není přímou součástí systému Windows 7, ale je volitelnou součástí, která je zdarma ke stažení. Na bázi Microsoft Virtual PC nabízí možnost provozování starých aplikací ve virtuálním prostředí běžícího podkladového systému Windows XP. Uživateli může být buď prezentován v plné formě alternativního desktopu, nebo uživatel pracuje pouze s rozhraním aplikace a virtualizovaný OS Windows XP běží v silent mode na pozadí primárního Windows 7.

BitLocker To Go

V roce 2008 odpovědělo na anketu Computer Crime and Security Survey organizace Computer Security Institute 42 procent respondentů z řad enterprise IT profesionálů, že jejich organizace již zaznamenala krádež mobilního zařízení. Kromě odcizení notebooku dnes hrozí kompromitace citlivých dat i například u odcizení mobilního telefonu nebo výměnných datových úložišť.
Systém Windows Vista na tento nevalný trend odpověděl BitLockerem, vestavěnou možností šifrování dat na disku s pomocí hardwarové podpory TPM čipu, Windows 7 k funkci BitLockeru přidává ještě možnost BitLocker To Go – možnost šifrování výměnných médií. Z hlediska organizace je pozitivní i fakt, že zabezpečení výměnných médií může být vynuceno skupinovou politikou, tedy uživatelé koncových počítačů například nemohou zapsat na výměnné médium žádná data, dokud toto médium není zašifrováno BitLockerem To Go. Tedy nehrozí situace, že by někdo funkci z lenosti nepoužil. Ostatní výměnná média, ze kterých je pouze čteno, být šifrována v momentě připojení k PC samozřejmě nemusí. Skupinovou politiku lze použít i na konfiguraci modelu zabezpečení zařízení a definici, jaké podmínky musí být splněny pro práci se zabezpečeným zařízením – například použití hesla, certifikátu, domain user credentials apod.
V momentě, kdy dojde k zašifrování výměnného média, vytvoří se na něm skrytý oddíl. Do něj se ukládají přímo data potřebná k rozšifrování a zároveň program BitLocker To Go Reader, který umožňuje čtení takto zašifrovaných výměnných médií na starších operačních systémech Windows.

AppLocker

Local security policy
Další zajímavou novinkou je funkce AppLocker. Pomocí této funkce může administrátor poměrně jednoduchým způsobem nastavit, že kromě povolených a jasně definovaných aplikací si uživatel na stanici žádnou jinou aplikaci nespustí.
Stejně jako většina funkcí Windows použitelných v enterprise prostředí lze samozřejmě i tento nástroj ovládat pomocí skupinových politik. Lze definovat buď přímo konkrétní aplikace, nebo pomocí různých parametrů určit, které aplikace mohou být instalovány či spouštěny a které ne.
Zde je důležité upozornit, že rozšířené možnosti zabezpečení a specializované funkce systému Windows 7 budou k dispozici pouze ve vyšších edicích. Proto pozor při výběru licence.
Na českém trhu budou v prodeji čtyři edice Windows 7, a to Home Premium a Ultimate pro domácí uživatele, Professional a Enterprise pro podniky (vždy v obou verzích 32 i 64bit). Verze Enterprise je obdobně jako u Windows Vista dostupná pouze pro zákazníky s programem Software Assurance.

Autor je technologickým specialistou divize Windows Client ve společnosti Microsoft.