Jak získat kontrolu nad infrastrukturou klientských počítačů pomocí Windows Vista

Běžnou otázkou, na kterou organizace často hledají odpověď, je: jaká je obchodní hodnota Windows Vista a jaké výhody tento systém přinese organizaci, která se jej rozhodne nasadit jako primární operační systém?

Tento článek je ze série článků, které je možné číst/odebírat v TechNet Flash zpravodaji.

Celá řada organizací začala s rozsáhlým nasazením a množství dalších již plné nasazení dokončila. Co tedy vedlo tyto organizace k přechodu z Windows® XP či Windows 2000 na Windows Vista?

V tomto článku se zaměříme na jeden z klíčových důvodů, proč organizace nasazují Windows Vista: správu konfigurace. Windows Vista přináší do oblasti správy konfigurace celou řadu výhod, přičemž v konečném důsledku tento systém umožní získat lepší kontrolu nad správou prostřednictvím standardizace všech klientských počítačů. Pro mnohé organizace je schopnost udržovat známý stav a blokovat nežádoucí změny více než pádným důvodem pro migraci na Windows Vista.

Neustálé problémy plynoucí z uživatelských změn, kterým organizace často čelí, ospravedlňují změny v aplikacích potřebné při převodu uživatelských účtů z účtů s právy místního správce na standardní uživatelská práva. Funkce Řízení uživatelských účtů (UAC) je pro mnohé první bezpečnostní funkcí, která je napadne v souvislosti s blokováním spouštění určitých aplikací či prováděním určitých akcí uživateli. Funkce UAC ve skutečnosti také zajišťuje, že aplikace jsou vyvinuty v souladu se standardem LUA (Least-Privileged User Accounts). To v podstatě znamená, že aplikace by měly zapisovat pouze do klíčů registru či souborů umístěných ve složkách aktuálního uživatele, neprovádět změny platné pro celý počítač (ale naopak pouze pro jednotlivé uživatele) a celkově pro svůj normální běh nevyžadovat účet správce.

Problémy plynoucí z používání výchozích účtů správce

Možná si myslíte, že myšlenka používat standardní uživatelské účty zní dobře z hlediska správce IT, ale obáváte se, že vaši uživatelé budou nespokojeni, když nebudou moci instalovat aplikace a provádět úlohy, které obvykle náleží správcům? Standardizace na správcovský účet pro každého uživatele nemůže být zas tak velký problém, ne? Podívejme se na několik atributů souvisejících s přístupem pomocí účtu správce a na potenciální problémy, které mohou nastat.

Uživatelé mohou sami instalovat software.

Co může pro někoho znít jako méně práce pro IT oddělení z hlediska požadavků na instalaci softwaru, je ve skutečnosti dosti problematické. Často nemáte žádný přehled, co kdo instaluje, a přitom správa softwaru se nevztahuje pouze na proces instalace. Jakmile je nainstalován, může škodlivý software ohrozit celkový stav i kontrolu počítače či dokonce způsobit nemalé problémy se zabezpečením či souladem dat s legislativními požadavky, o kterých možná vůbec nevíte. Konfigurace počítačů (úmyslně i neúmyslně) se s každou instalací neznámého softwaru přirozeně více a více odchylují od známého standardu, a omezují tak výkon, zabezpečení i schopnost podpory.

Procesy správy aktiv a licencí přestávají fungovat.

Využívání licencí na software je téměř nemožné kontrolovat, pokud mohou všichni uživatelé libovolně instalovat software. Kontrolní mechanismy inventarizace aktiv je možné obejít. Můžete se tak ocitnout v pozici, kdy nevíte, co bylo do počítače nainstalováno a zda vůbec máte na používaný software licenci.

Často dochází ke změnám či odstranění důležitých dat a souborů.

Dochází-li ke změnám či odstraňování dat a souborů, správa počítače je složitější. Při používání účtu správce mají uživatelé plný přístup k systému a často odstraní soubory, které jsou požadovány pro stabilitu a spolehlivost nebo dokonce samotné spuštění operačního systému, spouštění aplikací či provádění jiných každodenních úloh, což v konečném důsledku vede k vyšším nákladům na podporu a nižší produktivitě.

Soubory a data mohou být odstraněny či přepsány malwarem.

Malware představuje vysoké riziko pro uživatele, kteří prochází Internet s účtem s právy správce. Malware je často napsán tak, aby zneužíval uživatelské systémy, a jako vstupní bod do nich využívá právě webový prohlížeč. Omezení přístupu prohlížeče k systému tak zvyšuje celkové zabezpečení počítače proti malwaru.

Koncoví uživatelé mohou změnit základní konfiguraci systému.

Uživatelé se správcovskými účty mohou provádět akce jako instalovat ovladače, měnit nastavení brány firewall, zastavovat služby či deaktivovat antimalwarový software a přidávat uživatelské účty. Tyto změny nejenže ohrožují systém, ale také velmi komplikují průběžnou správu konfigurace a zvyšují rizika zabezpečení.

Uživatelé nejsou omezováni v připojování zařízení ke svým počítačům.

Povolení připojování neznámých zařízení (jako USB jednotky či přehrávače MP3) k počítačům může ohrozit zabezpečení důležitých dat. Při připojení neschváleného zařízení úložiště mohou uživatelé snadno ztratit či zcizit důležitá data, vědomě či nevědomě do počítače nahrát malware nebo využívat firemní prostředky pro své osobní účely. V mnoha případech mohou uživatelé například hromadně zkopírovat firemní soubory na externí pevný disk a opustit společnost s jejími důležitými daty.

Toto je jen několik příkladů, kdy je ucelená správa konfigurace ohrožována povolením místních správcovských účtů. Budeme-li pokračovat na téma správa konfigurace, může dojít i k dalším problémům. Ve většině případů k nim dochází tehdy, pokud správci IT nevyužijí možnosti implementace standardních uživatelských účtů.

Možnosti správy systémů jsou omezené.

Z principu určité samoobslužnosti vyplývající z používání místních správcovských účtů není software v mnoha případech distribuován či sledován centrálně. V takovém případě počítač požaduje ruční nastavení a konfiguraci. Zvažte možné problémy, až uživatel dostane nový počítač a bude v něm chtít provozovat stejné aplikace jako v původním. Tyto aplikace nebudou automaticky nainstalovány, aktualizovány ani podporovány, uživatel tak bude pravděpodobně velmi nespokojený.

Množství aplikací je napsáno tak, že vyžadují práva správce.

Dokonce i běžné komerční aplikace mohou vyžadovat práva správce. Je tomu tak proto, že vývojáři softwaru často pracují jako místní správci. Namísto vývoje pro nejnižší možná práva v souladu se specifikacemi programu Windows Vista Logo je množství aplikací navrženo tak, že předpokládají dostupnost práv správce.

Data a klíče registru (data za běhu programů, instalační data, data aplikací apod.) mohou být ukládána do náhodných umístění.

Takto napsané aplikace není jednoduché podporovat, protože každá funguje jiným způsobem. Jakmile něco přestane fungovat, je složité problém odstranit. Může být zcela nemožné identifikovat a migrovat nastavení aplikace či uživatelem vytvořené soubory při nasazení, například soubory neznámých typů uložené ve složce Program Files.

Tyto scénáře jsou jen zlomkem příkladů, jak obtížné může být udržet kontrolu nad prostředím, ve kterém se software i hardware mohou kdykoli změnit a kde nejsou dodržovány známé standardy. Nástroje jako Zásady skupiny a řešení pro správu konfigurace mohou pomoci chránit či rozpoznávat nesoulad s požadovanou konfigurací. Zároveň je také možné implementovat kontrolu na úrovni počítače i uživatelského účtu a vytvořit tak základ pro správu konfigurace a zajistit, že uživatelé nemohou provést změny či akce ohrožující systém.

Proaktivní řešení problémů

Po shrnutí potenciálních problémů vyplývajících z poskytnutí účtů s právy správce běžným uživatelům nyní uvedeme několik proaktivních možností, jak se jim vyhnout či je omezit.

Všichni uživatelé a vývojáři by měli pracovat jako standardní uživatelé.

Interně vyvinutý software musí být napsán tak, aby jej mohli používat standardní uživatelé. Pokud i samotní vývojáři budou mít pouze účty standardních uživatelů, pak aplikace, které vytvářejí, budou testovány a ověřovány v souladu s omezenými uživatelskými právy.

Omezte počet správců v prostředí.

Není možné zcela odstranit místní správcovské účty a často tento přístup znamená, že je třeba implementovat formální postupy pro správu aktiv, změn a konfigurace pro akce jako například instalace požadovaného softwaru. Protože název „uživatel s nejnižšími právy“ může v uživatelích zanechávat pocit, že jsou omezováni a kontrolováni, je třeba je na toto téma poučit a vysvětlit jim, co znamená standardní uživatel a jaké přínosy má tento princip na všech úrovních správy prostředí.

Binární soubory všech aplikací (EXE, COM, DLL, OCX) by měly být ukládány do chráněných složek.

Binární soubory aplikací by měly být ukládány do složky Program Files. Podobně, binární soubory operačního systému jsou chráněny ve složce C:\WINDOWS. Mimo tyto složky by neměly být uloženy žádné binární soubory. Systémové binární soubory pak nebudou přístupné standardním uživatelům ani malwaru. Binární soubory aplikací by neměly být ukládány do složky C:\WINDOWS ani jejích podsložek.

Nasazení a správa počítačů by měla být řízena a automatizována centrálně.

Infrastruktura správy systémů často závisí na tom, zda se počítače v prostředí nachází ve známém a spravovatelném stavu. Rutinní úlohy jako instalace aktualizací softwaru či distribuce softwarových aplikací pak získávají výhodu konzistence, testování je jednodušší a chyby jsou minimalizovány. Tyto výhody vedou k nižším nákladům souvisejícím se změnami a v důsledku také k nižšímu počtu žádostí o technickou podporu.

Operační systém by měl být implementován s využitím automatizovaného procesu pro spouštění softwaru s právy standardního uživatele.

 

Windows Vista i Windows Server® 2008 umožňují spouštět software, i když nebyl napsán pro standardní uživatele. Prostřednictvím funkce Řízení uživatelských účtů, virtualizace souborů a registru a systémových shim databází (integrované vrstvy mezi operačním systémem a aplikace, která umožňuje nekompatibilním aplikacím přistupovat k požadovaným prostředkům) mohou být aplikace spouštěny v kontextu standardního uživatele, i když byly navrženy pro práva správce.

Ručně vytvořte a implementujte vlastní aplikační shim databáze.

Pokud aplikace nelze automaticky spustit v novém operačním systému, nelze je přeprogramovat na běh v kontextu standardního uživatele či není k dispozici podporovaná verze, můžete nekompatibilitu omezit pomocí vlastního doplňkového kódu (shim). Nástroje jako Microsoft® Application Compatibility Toolkit 5.0 umožňují zjistit, proč není aplikace kompatibilní a které nekompatibilní prostředky jsou aplikací požadovány. Pomocí těchto informací můžete pak vytvořit vlastní shim databáze a namapovat doplňkový kód (shim) systému na konkrétní instance aplikace.  

Hardware počítačů by měl být co nejvíce konzistentní.

Z důvodu zjednodušení nasazení a správy je nejvhodnější pracovat se standardní hardwarovou konfigurací či seznamem schválených modelů. Tím se omezí náklady související s migrací, zjednoduší odstraňování potíží a usnadní případné vytváření nových bitových kopií.

Soubory antimalwarových signatur by měly být stahovány automaticky a instalovány okamžitě po stažení.

Zneužití nově objevených chyb zabezpečení se rozšiřuje rychle a antimalwarová řešení jsou důležitou součástí ochrany. Je proto vhodné používat jedno standardizované antimalwarové řešení a pomocí centrálně řízeného mechanismu zajistit, že bude vždy aktuální. Pokud v organizaci převažuje používání správcovských účtů, uživatelé často instalují nejrůznější antimalwarové programy proti různým rizikům jako třeba spywaru. I když mohou být úmysly uživatelů dobré, instalace více řešení může negativně ovlivnit výkon počítače a v konečném důsledku vést k žádostem o technickou podporu. 

Aktualizace a opravy operačního systému by měly být instalovány co nejdříve a automaticky.

Aktualizace mohou být velmi důležité pro zabezpečení, výkon a spolehlivost systému. Schopnost rychle instalovat tyto aktualizace často méně závisí na používání nejlepšího řešení pro správu aktualizací a více na schopnosti testovat a ověřovat změny vzhledem k omezené sadě standardních systémových konfigurací, které odpovídajícím způsobem reprezentují uživatelské počítače. Pokud mají uživatelé účty s právy správce a mohou tak nekontrolovatelně měnit své systémy, je velmi obtížné testovat a zjišťovat potenciální konflikty v klientských počítačích či předem určit, které aktualizace softwaru proběhnou úspěšně.

Budete-li se řídit těmito doporučeními, může být snazší implementovat standardní uživatelské účty a v konečném důsledku spravovat efektivněji klientskou infrastrukturu. Všechny tyto výhody pramení z osvědčených postupů v oblasti správy konfigurace a nepřímých přínosů vytváření uživatelských účtů ve standardním uživatelském kontextu. 

Problémy v kontextu Windows Vista

Tento článek jsme začali otázkou, proč by organizace měly migrovat své uživatele na Windows Vista. Závěry diskuse na téma správa konfigurace a standardní uživatelské účty do značné míry platí i pro starší Windows a jiné systémy. Různé uživatelské kontexty jsou k dispozici v operačním systému Windows již od verze Windows NT®. Co tedy nabízejí Windows Vista k řešení výše uvedených problémů a implementaci doporučených postupů?

Windows Vista umožňují práci v režimu standardního uživatele i s aplikacemi, které nejsou navrženy pro standardní uživatelské účty.

Jak jsme již uvedli výše, Windows Vista a Windows Server 2008 jsou první operační systémy Windows s integrovaným automatizovaným procesem pro spouštění softwaru jako standardní uživatel. Toto je možné díky virtualizaci souborů a registru, systémovému doplňkovému kódu (shim) a Řízení uživatelských účtů.

Správa Windows Vista je snazší ve srovnání s předchozími verzemi Windows.

Windows Vista zlepšují spravovatelnost prostřednictvím podrobnějších nastavení zásad skupiny pro soulad dat s legislativními požadavky, rozšířeného protokolování událostí a vylepšenému plánování úloh. Tyto atributy napomáhají definovat a udržovat standardní konfiguraci, rychleji odstraňovat problémy a spouštět úlohy na základě předdefinovaných pravidel pro opravy a aktualizace systémů.

Windows Vista usnadňují vytváření, správu a nasazení bitových kopií.

Nasazení Windows Vista bylo vylepšeno v mnoha ohledech, od rozdělení architektury operačního systému na samostatné součásti po poskytnutí flexibilních nástrojů pro vytváření a nasazení bitových kopií. Správa konfigurace využívá výhod možnosti vytvoření a používání jediné standardní bitové kopie nezávislé na jazyku a vrstvě HAL. Nástroje pro vytváření a správu balíčků bitových kopií operačního systému odstraňují potřebu neustálých aktualizací bitových kopií při každé změně konfigurace. Distribuce bitových kopií také byla vylepšena nástroji jako například Služba nasazení systému Windows pomocí vícesměrového vysílání v systému Windows Server 2008, což významně omezuje potřebu šířky přenosového pásma v souvislosti s přenosy bitových kopií klientských systémů přes síť.

Windows Vista umožňují snazší vzdálenou správu.

Protokol Vzdálená správa systému Windows (WRM) usnadňuje vzdálenou správu systému Windows Vista. WRM je implementace společnosti Microsoft protokolu WS-Management Protocol, který představuje oborový standard protokolu webových služeb pro chráněnou vzdálenou správu hardwarových a softwarových součástí. Protokol Vzdálená správa systému Windows (WRM) spolu s vhodnými softwarovými nástroje umožňuje správcům vzdáleně spouštět skripty a provádět další úlohy správy. Komunikace může být šifrována a ověřována, a jsou tedy účinně omezena rizika zabezpečení.

Windows Vista zlepšují chování softwaru (virtualizace souborů a registru, systémový doplňkový kód (shim), Řízení uživatelských účtů).

Dokonce i v případech, kdy aplikace není vyvinuta pro používání standardního uživatelského režimu, umožňují často funkce Řízení uživatelských účtů, virtualizace souborů a registru a systémový doplňkový kód (shim) spuštění aplikace bez omezení.

Implementací Windows Vista můžete uspokojit požadavek na zabezpečenější a spravovatelnější prostředí klientských počítačů, a to pomocí automatizovaných i ručních procesů. Dosáhnete také minimalizace provozních nákladů a zároveň zvýšení zabezpečení a spolehlivosti. Nové vývojové nástroje dále také výrazně usnadňují a zlevňují vytváření a nasazení bitových kopií Windows Vista oproti migracím předchozích operačních systémů.

Závěr

Používání standardních uživatelských účtů prostřednictvím služby Řízení uživatelských účtů ve Windows Vista spolu s osvědčenými postupy konfigurace a správy změn mohou zvýšit spolehlivost a zabezpečení klientských počítačů vaší organizace. Zdůraznili jsme skrytá rizika udělení práv správce všem uživatelům, protože tento postup zároveň znamená udělení práv správce libovolnému programu spuštěnému uživatelem. Je obzvláště důležité, aby programy přímo komunikující s Internetem, jako jsou například webové prohlížeče, e­mailové programy či klienti pro zasílání rychlých zpráv, nebyly spouštěny s právy správce, protože taková konfigurace významně zvyšuje rizika útoku na klientský počítač. Dodržením doporučení uvedených v tomto článku a migrací na Windows Vista můžete snadno dosáhnout a udržet kontrolu nad svými klientskými počítači.

Související materiály

Vylepšení a funkce pro správu ve Windows Vista
Objevte množství nových a vylepšených funkcí pro správu a odstraňování potíží navržených s cílem minimalizovat náklady na podporu a údržbu.

Správa životního cyklu Windows Vista
Naučte se minimalizovat celkové náklady na správu infrastruktury klientských počítačů pomocí této podrobné kolekce doporučených procesů a šablon dokumentů.

Podrobný průvodce nástrojem Řízení uživatelských účtů ve Windows Vista
Tento podrobný průvodce obsahuje pokyny pro používání nástroje Řízení uživatelských účtů v testovacím prostředí.

Požadavky na vývoj aplikací pro Windows Vista kompatibilních s nástrojem Řízení uživatelských účtů
Cílem tohoto článku je pomoci vývojářům aplikací s návrhem aplikací pro Windows Vista kompatibilních s nástrojem Řízení uživatelských účt.

Provozní průvodce systémem Windows Vista
Tato kolekce materiálů poskytuje informace pro správu a údržbu Windows Vista.

Plánovač úloh ve Windows Vista
Plánovač úloh ve Windows Vista zajišťuje řízenou bezobslužnou správu provádění úloh, spouštěných podle časového plánu nebo v reakci na události či změny stavu systému.

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Váš názor Další článek: Propouští už i Dell

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,