Což takhle dát si Vistu ?

Po více než roční odmlce Microsoft opět vzkřísil tradici TechNet konferencí. Poslední "štace" po Košicích a Bratislavě proběhla včera v Praze. Hlavním bodem programu byly Windows Vista – Microsoft prezentoval největší novinky nového OS. Dále byl představen nový release Windows Server 2003 R2, Exchange Serveru 2003 SP2 a některé novinky v SQL Serveru 2005.

Jako doplněk proběhly i prezentace Office InfoPath 2003 a Windows XP Media Center Edition 2005.

Nejzajímavější byly bezesporu prezentace novinek, které čekají uživatele Windows Vista, i v dalších blocích však byly novinky, které stojí za pozornost. Ve stručnosti Vás seznámím s jejich výčtem, tak jak jsem si je stačil během konference zaznamenat.

Windows Vista

Šiřitelům názoru, že Vista budou jen "přemalované xp-čka" doporučuji zejména tuto část. Popisy budou stručné, více informací naleznete pod odkazy na konci článku.

  • Změna v zabezpečení služeb
    Každá služba bude mít nově přiřazen vlastní SID, což značně zprůhlední nastavování práv zejména pro scénáře kdy služby komunikují s jinými počítači. Nebude nutné nastavovat službám speciální doménový účet nebo lokální účet který bude mít na všech počítačích stejné uživatelské jméno a heslo. Práva se prostě nastaví na SID příslušné služby.
  • Nový bezpečnostní mechanismus "User Account Control" (UAC)
    Zcela nový bezpečnostní mechanismus pro ochranu před zneužitím administrátorských funkcí. Princip spočívá v tom, že každý uživatel, i když je ve skupině Administrators, standardně pracuje v módu běžného uživatele. Pokud uživatel spustí funkci, která vyžaduje práva administrátora, systém ho upozorní a vyžádá si potvrzení této akce (každý GUI prvek, většinou tlačítko, pod kterým se skrývá takovýto typ akce je opatřen známou ikonou štítu).
  • BitLocker Drive Encryption
    Jedná se o novou technologii pro šifrování dat na disku, která zajišťuje jejich bezpečnost i když je počítač vypnutý nebo bootuje. K tomu je nutný speciální mikročip TMP zabudovaný na základní desce. BitLocker podporuje dva TMP módy:
    • "TPM only" – pro uživatele je celý mechanismus zcela transparentní.
    • "Startup key" – uživatel musí pro přihlášení k počítači zadat kód, což může učinit buď vložením USB klíče obsahujícího kód, zadáním na klávesnici.

V případě, že počítač není vybaven čipem TPM, stačí mít tzv. TCG-compliant BIOS (TCG=Trusted Computing Group) a použít mód "USB Flash Drive key" – uživatel před zapnutím počítače vloží USB disk kterým počítač odemkne.

  • další zabezpečení IE 7.0
    Ve Vistě bude IE obsahovat "Protected mode", což je ochrana proti přístupu k citlivým částem systému (přímo souvisí s mechanismem UAC). Dovolí například přistupovat do registru pouze ve větvi HKEY_CURRENT_USER a ne HKEY_LOCAL_MACHINE. Pro zachování funkčnosti starších aplikací bude součástí IE i tzv. "Compatibility Layer", který by měl zajistit správné "přesměrování" nepovolených operací.
    Zajímavý bude i  "Phishing filter" – nová funkce sloužící k odhalení podvodných stránek lákajících čísla kreditních karet apod. – implementované anti-phishingové algoritmy budou uživatele varovat před vstupem na podezřelé stránky.
  • sloučení administrátorské konzole pro firewall a IPsec
  • nová bezpečnostní platforma "Network Access Protection"
    NAP umožní lepší ochranu sítě kontrolou připojovaných počítačů. Zařazením NAP serverů do sítě (musí to být Longhorn server, nástupce 2003 Serveru) bude možno kontrolovat před připojením do sítě každý počítač – zda není napaden viry apod., ale i například zda má instalované všechny požadované bezpečnostní záplaty. NAP servery bude možno integrovat se SMS (Systems Management Server) a zajistit i automatickou instalaci požadovaného SW na daný počítač.
  • vylepšení ve skupinových politikách
    Bude možno například definovat politiku pro výměnná média – která média a jakým způsobem lze na počítači použít.
  • Windows Imaging
    Byl vytvořen nový jednotný formát (.WIM) pro klonování operačního systému. Mezi nejdůležitější vlastnosti nového formátu, které stojí za to vyjmenovat, patří
    – je HW nezávislý
    – je komponentově orientovaný, založený na souborech, používá instalační skripty ve formátu XML
    – umožňuje nedestruktivní upgrade
    – umožňuje offline správu imagí

Práci s WIM soubory bude umožňovat program Ximage.

  • Windows PE
    Microsoft vyvinul "mini" verzi pro účely instalace, diagnostiky a recovery. PE by se měly stát náhradou za DOS-ové boot diskety. Systém bude určitá omezení související s hlavním účelem této verze. Budou například omezena použití Windows API nebo nepůjde instalovat .NET framework, systém by se prý rovněž měl samovolně restartovat každých 24 hodin. Využití Windows PE vidí Microsoft v oblastech IBS (Image Based Setup) , WDS (Windows Deployment Services) , WinRe (Windows Recovery Environment) a rovněž by ho měl využívat SMS (Systems Management Server) pro instalaci OS.

Exchange Server 2003 SP2
SP2 obsahuje zejména řadu vylepšení pro mobilní klienty Exchange Serveru, za pozornost však stojí i nová technologie označená jako "SENDER ID". Tato technologie má zabránit zasílání spamu s podvrženými e-mailovými adresami. Princip spočívá v tom, že organizace zveřejní v rámci svého DNS speciální typ záznamu, který bude obsahovat adresy SMTP serverů, které smí odesílat e-maily pro danou doménu. SMTP server (který samozřejmě musí tuto technologii podporovat) se při přijímání e-mailu od jiného SMTP serveru dotáže do DNS a zkontroluje IP adresu serveru, který se s ním spojil. V případě nesouhlasu IP adresy bude moci e-mail odmítnout. V případě, že by se tato nebo podobná technologie ujala, mohlo by to výrazně přispět k bezpečnosti na Internetu.

Windows Server 2003 R2
R2 označuje druhý release verze 2003. Jak prezentovali zástupci Microsoftu, verze serverových systémů by se měly stabilizovat na 4-letém cyklu s meziverzí "R2" po dvou letech. R dvojka obsahuje mimo jiné

  • vylepšení DFS – údajně je kompletně přepracován a obsahuje nový způsob replikace, tzv. RDC (Remote Differential Compression); například při změně nadpisu v 5 MB PPT prezentaci by se prý měly replikovat jen změny, tedy data v řádu KB.
  • vylepšení print managementu
  • MMC konzoli v nové verzi 3.0
  • Active Directory Federation Services – zajímavé řešení pro sdílení identit, a to i mezi organizacemi. Mohlo by být ideálním rešením pro Single Sign On, což bylo prezentováno i jako živá ukázka.

Další zdroje:
http://www.microsoft.com/technet/windowsvista/security/uacppr.mspx
http://msdn.microsoft.com/ie/default.aspx?pull=/library/en-us/IETechCol/dnwebgen/ProtectedMode.asp
http://www.microsoft.com/technet/itsolutions/network/nap/default.mspx
http://www.microsoft.com/WindowsServer2003/R2/Identity_Management/ADFSwhitepaper.mspx

2 Comments

  1. Chtel jsem napsat komentar, ale nakonec mi z toho vylezl zacatek flame Linux vs. Windows, tak jsem ho radsi smazal. Pravdou (IMO) zustava, ze Windows resi problemy na spatne urovni.

  2. Díky za věcný přístup, rozhodně si nechceme zvyšovat návštěvnost vyvoláním flamewar linuxáků a windowsáků (i tak jich je na netu dost). Článek měl hlavně informační účel. Každopádně ale například iniciativa ohledně “SENDER ID” je podle mně zajímavá a využitelná bez ohledu na platformu. Věcné a fakticky “vyfutrované” příspěvky porovnávající například způsob řešení na jiných platformách nicméně uvítáme.

Comments are closed.