На седьмом небе с Windows Se7en. Windows 7 глазами IT-специалиста
Владимир «turbina» Ляшко (v.turbina@gmail.com)
Windows 7 задолго до появления первых сборок вызвала огромный интерес среди IT-специалистов и простых пользователей. И хотя архитектура, построенная на коде Vista и Win2k8, осталась, в общем, неизменной, в «семерке» и сопутствующих инструментах сделано ряд действительно полезных усовершенствований. Они позволят администратору получить действительно легкоуправляемую и безопасную систему.
Новое в инструментах развертывания
Прежде всего, произошли изменения в инструментах для сборки системы. Самым заметным стало включение средства миграции пользовательской среды USMT (User State Migration Tool) в состав Windows AIK (Windows Automated Installation Kit, Пакет автоматической установки Windows). Предназначено оно для быстрого переноса файлов, настроек ОС и приложений, а также параметров пользователей при масштабном развертывании ОС от Microsoft.
Версия USMT 4.0 получила ряд новых возможностей. Теперь к утилитам ScanState (сбор файлов и параметров) и LoadState (перенос данных) добавлена новая – UsmtUtils - их дополняющая. UsmtUtils обладает всего двумя параметрами. При помощи /ec можно получить список поддерживаемых алгоритмов шифрования (AlgIDs) в текущей системе. А /rd удаляет ссылку на каталог, используемый в аргументе команды из базы, сформированной ScanState. Последнее полезно при удалении жестких ссылок, заблокированных по разным причинам. Нужная информация для ScanState/LoadState по-прежнему находится в нескольких XML-файлах переноса: MigApp.xml, MigUser.xml, MigDocs.xml, Config.xml (создается при помощи /genconfig).
Теперь при переносе учетной записи не требуется обязательное подключение к домену, ScanState способен производить сбор данных из неработающей системы (например, используя Windows PE), более точно определять требуемый для миграции размер раздела и время.
В сценарии Config.xml появились новые параметры и секции. Например, секция <ErrorControl> позволяет указать системные файлы, ошибки чтения/записи которых можно игнорировать, не прерывая операцию. При запуске с ключом /genconfig в Config.xml создается секция, в которой описаны наиболее типичные ситуации. Две функции MigXmlHelper.FileProperties и MigXmlHelper.GenerateDocPatterns могут быть использованы для контроля миграции файлов по определенным критериям (размер, время создания и модификации и т.д.) и поиска документов пользователя на компьютере. Получить полный список файлов, которые будут перенесены, можно при помощи специального ключа /listfiles. Новый раздел <ProfileControl> предоставляет возможность изменять членство в локальной группе в ходе миграции.
Перенос пользовательских данных при установке системы - самая ответственная часть. Главное – ничего не потерять, и сделать так, чтобы пользователь, загрузившись в новую ОС, сразу мог приступить к работе. Весь процесс выглядит следующим образом. Сначала данные каталогизируются, затем копируются в безопасное место и после установки ОС возвращаются обратно. Учитывая, что объем данных каждого пользователя может превышать несколько Гб, это потребует дополнительного места для их хранения и ресурсов. В итоге, развертывание системы на этом этапе сильно замедляется. В новом WAIK вместо переноса всей информации используется так называемая миграция жестких ссылок (Hard Link Migration), активируемая параметром /hardlink. Это позволяет в значительной степени сократить объемы копируемых данных, а значит, уменьшить время на развертывание и восстановление системы.
ScanState c:\store /o /c /i:migapp.xml /i:miguser.xml /nocompress /hardlink
Отныне в c:\store будут храниться жесткие ссылки на каждый пользовательский файл. При переносе ОС жесткий диск будет очищен (кроме файлов, заблокированных такими ссылками). Учитывая, что данные, по сути, не копируются, процесс происходит заметно быстрее. За Hard Link Migration в XML-файлах отвечает секция <HardLinkStoreControl>.
Еще один новый ключ /vsc команды ScanState позволяет использовать службу теневого копирования (Volume Shadow Copy) для захвата файлов, заблокированных другими приложениями. Для шифрования данных в третьей версии USMT использовался алгоритм 3DES, – теперь через параметр /encrypt можно указать AES с ключом 128/192/256 бит.
Новая версия WAIK поддерживает унифицированную командную утилиту DISM (Deployment Image Servicing and Management), используемую для построения и обслуживания WIM-образов Vista SP1, Win2k8, Win2k8 R2 и Windows 7. DISM функционально заменяет Package Manager (pkgmgr.exe), PEimg и Intlcfg, которые, кстати, никуда не делись и также входят в состав Windows 7 и Win2k8 R2. Можно добавлять или удалять драйвера к монтируемым или уже работающим образам (ранее драйвер необходимо было интегрировать перед началом развертывания). Кроме WIM, возможна работа и с VHD-образами. Следует отметить, Windows 7 позволяет монтировать VHD-диски виртуальных машин, а функция VHD Boot – легко переходить в виртуальную среду и обратно. WAIK поддерживает развертывание Windows 7 и Win2k8 R2 в дополнение к существующим WinXP SP3, Vista SP1 и Win2k3.
Рядовые пользователи для копирования всех настроек и переноса данных на внешний источник могут воспользоваться утилитой Windows Easy Transfer.
Сетевые возможности
Все нововведения в сетевых протоколах, которые были доступны в Vista и Win2k8, интегрированы и в Windows 7. Например, поддержка SMB 2.0 означает ускоренное копирование файлов по сети за счет пакетной отправки данных, когда подтверждение дается на группу, а не каждый пакет, как это было в SMB 1.0. Изменения в стеке TCP/IP позволяют устанавливать динамический размер буфера, тогда как в SMB 1.0 буфер был фиксированный (64 Кб), что замедляло передачу больших потоков данных. В результате, средняя скорость копирования файлов увеличилась приблизительно в 3 раза! Также SMB 2.0 различает символические ссылки NTFS и позволяет их использовать в названиях сетевых ресурсов. При обмене данными с ОС не ниже Vista, SMB 2.0 устанавливается автоматически; иначе используется устаревшая версия протокола.
В Windows 7 появилась интересная функция BranchCache, позволяющая повысить скорость работы сети и снизить время загрузки приложений и нагрузку на внешний канал за счет кэширования данных. Выглядит это так. Пользователь открыл страницу или скачал файл с сервера головного офиса, – его копия сохраняется в кэше. Когда другой пользователь, входящий в эту же сеть, запрашивает аналогичный файл, сервер проверяет запрашиваемые данные на предмет их возможного кэширования. Если это подтверждается, то обратно, вместо повторной передачи всей информации, отправляется только хэш, по которому находятся кэшированные данные. BranchCache поддерживает стандартные протоколы HTTP/HTTPS и SMB, что позволяет взаимодействовать с широким спектром приложений.
Новая технология может работать в одном из двух режимов:
Hosted cache – кэшируемые данные хранятся на отдельном сервере, работающем под управлением Win2k8 R2. Этот режим удобен для больших сетей.
Distributed cache – распределенный кэш, когда данные кэшируются на клиентских компьютерах и по (широковещательному) запросу пересылаются на другие системы.
При построении BranchCache учтены все требования безопасности. Так, сервер выдаст хэш, только убедившись, что данный клиент имеет право получить искомый файл. При запросе производится сверка версий, гарантируя, что будет доставлена только самая последняя редакция файла.
Ранее для подключения мобильных систем к корпоративной сети использовалась технология VPN, и сам процесс требовал некоторой подготовки пользователя, не говоря уже о том, что админ должен был все правильно настроить. При наличии в компании клиентских систем Windows 7 и сервера Win2k8 R2 для доступа к ресурсам внутренней сети можно использовать новую функцию DirectAccess, позволяющую устанавливать защищенное соединение по протоколам IPsec и IPv6, применяя для шифрования трафика алгоритм 3DES или AES. Схема такой связи внешне похожа на VPN. Главным отличием DirectAccess от VPN является установление соединения в фоновом режиме без участия пользователя. Это делает работу прозрачной, максимально простой и удобной. Системный администратор может управлять удаленной системой путем обновления групповых политик, которые применяются до входа пользователя в систему. Кроме авторизации компьютера, поддерживается многоуровневая проверка подлинности пользователя (пароль, смарт-карта). Теперь доступ к ресурсам внутренней сети для каждого пользователя можно настраивать отдельно.
Нельзя не отметить, что Windows 7 автоматически находит сетевые принтеры и настраивает устройства. Более того, для каждой сети можно задать свой принтер по умолчанию. Ранее это требовало вмешательства со стороны админа/пользователя, а в некоторых случаях – применения скриптов и сторонних утилит.
Благодаря седьмой версии протокола RDP, клиент Remote Desktop Client получил новые возможности. Среди них - поддержка технологий Aero Glass, Direct2D и Direct3D 10.1, DirectShow, Media Foundation. Увеличена производительность, уменьшены задержки звука и многое другое. Удаленный рабочий стол весьма быстро реагирует на события даже во время просмотра видео в высоком качестве.
Технологии безопасности
Одной интересных новинок в Windows 7 можно назвать AppLocker, позволяющий управлять работой приложений. Используя его, админ может четко задать программы, которые разрешается запускать на пользовательских компьютерах. Технология контролирует все типы файлов, которые могут нанести вред системе: исполняемые и установочные файлы (exe, msi, msp), скрипты (bat, cmd, vbs, js) и библиотеки (dll, ocx). Прежде для этих целей приходилось задействовать несколько запутанные политики ограниченного использования программ SRP (Software Restriction Policies). Настройка AppLocker производится при помощи групповых политик на сервере Win2k8 R2. При построении правила можно указать путь к файлу, хэш и цифровую подпись.
Если приходится делить компьютер с другими пользователями, которые любят менять настройки или способны удалить чужой файл, на помощь придет функция «PC Safeguard», которая активируется установкой переключателя «Turn On PC Safeguard» в свойствах обычной (не админской) учетной записи. После выхода из системы все изменения в настройках будут отменены, а новые файлы – удалены (после регистрации в системе или создании нового файла пользователь предупреждается об этом). Есть возможность выделить каждому пользователю логический диск определенного размера. Ранее, чтобы получить функциональность PC Safeguard, необходимо было устанавливать отдельную утилиту Windows SteadyState (go.microsoft.com/fwlink/?LinkID=117104). Сейчас эта функция встроена, и возможно, получит большую популярность.
BitLocker, при помощи которого можно полностью зашифровать системный раздел или раздел с данными (начиная с Vista SP1), получил в Windows 7 дальнейшее развитие. Во время установки автоматически происходит создание двух разделов (загрузочного и системного), необходимых для работы BitLocker. Напомним, некогда пользователь должен был позаботиться об этом самостоятельно. Новая технология, получившая название BitLockerToGo, позволяет шифровать и внешние носители (флешки или жесткие диски), отформатированные в FAT/FAT32, ExFAT или NTFS. Доступ к зашифрованным носителям возможен по паролю или смарт-карте с любого компьютера. Правда, если это будет не Windows 7, то удастся лишь чтение данных. Сам BitLocker для выбранного раздела или сменного носителя теперь можно включить в контекстном меню, выбрав пункт «Turn On BitLocker» (не надо искать его в «Панели Управления»). Обратная операция по расшифровке флешки также не трудна.
Изменения в Windows Firewall
Первые версии Windows не имели встроенных средств блокировки сетевого трафика, но многочисленные эпидемии показали необходимость в этом. Начиная с WinXP SP1, пользователи получили Windows Firewall, который с SP2 активируется по умолчанию. Хотя первое, что делает любой юзер после установки системы, – отключает WF. И все потому что он кишит ошибками, не удобен в настройке (можно только включить или отключить WF; доступно всего два статических профиля: доменный и стандартный) и ограничен в плане функциональности (например, умеет фильтровать лишь входящий трафик). Vista получила обновленный WF, ставший одним из компонентов «Центра обеспечения безопасности Windows».
К главным его особенностям стоит отнести: возможность фильтрации исходящего трафика, способность выявлять некоторые типы сетевых атак, обеспечение контроля доступа программ в сеть, поддержка IPv6 и IPsec, настройка параметров через объекты групповой политики Group Policy Object (GPO). WF в Vista получил три динамических профиля настроек (domain, private, public), которые можно привязывать к интерфейсам. При подключении к сети система идентифицирует эту сеть и применяет наиболее подходящий профиль. Если в сети обнаружен контроллер домена, устанавливается domain, а самым защищенным является public. Чтобы при последующем подключении к сети был установлен тот же профиль, в системе запущена специальная служба Network Location Awareness (NLA), сохраняющая информацию о сети в своей базе данных. В Висте единственное (но очень неприятное) ограничение связано с тем, что в единицу времени может быть активен только один профиль. Если компьютер подключен сразу к нескольким сетям, применяется наиболее ограничивающий профиль.
Это часто вызывает проблемы с подключением. Внешне настройки WF в Windows 7 не изменились, но теперь может быть активно несколько профилей. В настройках шаблонов Private и Public пользователь может заблокировать все входящие соединения для программ, не включенных в список разрешенных (Block all incoming connections, including those in the list of allowed programs), – обеспечивая максимальную защиту. Дополнительно можно получать уведомления при попытке новой программы выйти в интернет (Notify me when Windows Firewall blocks a new program). Так же легко отключить WF для определенного профиля.
Еще одно удобство связано с настройками. Ранее все изменения сохранялись в активном профиле, и при применении другого профиля их приходилось повторять. Теперь можно задать профили, для которых производится изменение. В Vista, чтобы задать несколько портов, их необходимо было перечислять через запятую; в новой версии можно указывать диапазон.
Кроме того, сторонние разработчики получили обновленный API, позволяющий легко задействовать возможности WF или добавить свои функции.
Управление UAC
В Windows работа с правами администратора сулит множество удобств – все действия разрешены, не требуется никаких дополнительных разрешений для установки программ, обновления системы, доступа к разделам жесткого диска и прочее. Минус – любой вирус, запущенный из-под привилегированной учетной записи, выполняется с правами администратора, т.е. имеет доступ фактически к любому компоненту системы. В Unix проблему решили уже давно. В Windows серьезно с этим начали бороться в Vista, где впервые применен механизм, получивший название UAC («Управление учетными записями пользователя»). При активном UAC администраторы работают в системе фактически с правами обычного пользователя. Если же для выполнения задачи требуются права администратора, то выдается запрос на подтверждение повышения привилегий (в специальном режиме Secure Desktop, не позволяющем программно нажать кнопку).
И только в этом случае конкретное приложение будет выполнено с правами администратора. Большим минусом UAC является его «забывчивость»: он «не запоминает» программу, и потому запрос повторяется при каждом запуске. Механизм достаточно прост и в то же время эффективен, но именно работа UAC вызывала и вызывает наибольшее раздражение у пользователей Vista своими постоянными запросами во время установки новой программы и при запуске исполняемого файла. Настройки работы UAC в Vista отсутствуют как класс, можно лишь включить/отключить и заставить админа каждый раз вводить пароль для подтверждения своих полномочий. В Unix к такому привыкли, но пользователь Windows все-таки избалован. Поэтому первое, что делает юзер сразу после установки Vista, - отключает UAC. Здесь можно порекомендовать утилиту TweakUAC (www.tweak-uac.com), которая помимо отключения и включения UAC, позволяет перевести его в «тихий» режим. В этом случае UAC включен, но запросы по большинству незначительных параметров не будут выводиться и досаждать пользователю.
Разработчики прислушались к мнению пользователей, и в Windows 7 появилось четыре варианта настроек UAC. Они находятся в «Control Panel – System and Security – Change User Account Control setting»:
Always notify – запрос выдается в любом случае (как в Vista);
Default (установлен по умолчанию) - оповещение производится только в том случае, если системные настройки изменяются программно, если же действие производит зарегистрировавшийся пользователь, UAC не задает вопросов;
Notify me only when programs try to make changes to my computer – похож на предыдущий, только Secure Desktop при вызове UAC не используется;
Never notify you – отключить UAC.
Последние два пункта отмечены как не рекомендуемые, но скажем, что работа в Default довольно комфортна. Кстати, в настоящее время UAC никак не реагирует, если приложение, запущенное пользователем, пытается изменить настройки UAC. Это позволяет незаметно его отключить, и данную ошибку планируют устранить в RC1.
Сложная прическа
Изменений в Windows 7 достаточно много. Простой прической Vista здесь не обошлось. У администратора появилось больше возможностей по организации удобной и безопасной среды – алгоритм многих функций и элементов перестроен кардинально. Но реализовать некоторые из них удастся только при наличии новой версии сервера Win2k8 R2 (Windows Server 7). Поговорим о нем в одном из следующих номеров.
INFO
Подробнее о WAIK читай в статье «Самосборные окна» в январском номере ][ за 2009 год. После публикации Windows 7 Beta Microsoft получила более полумиллиона рационализаторских предложений от пользователей-тестеров со всего мира.
Набрав в поле поиска меню «Пуск» текст winver, можно увидеть окно «О системе», где отображена вся информация о версии и номере сборки Windows 7, включая дату истечения срока активации.
DirectAccess можно настроить так, чтобы через сервер проходил только трафик, предназначенный для корпоративной сети.
WWW
Бета-версию Windows AIK для Windows 7 можно загрузить с technet.microsoft.com/library/dd349343.aspx.
Блог разработчиков Windows 7 - blogs.msdn.com/e7ru.
|
