Sedmica za administratore

Windows 7 beta 1

marin-frankovic

Windowsi 7 za sobom dižu mnogo prašine. Ugodno sučelje, napredne mogućnosti, sve je to lijepo i zanimljivo, no pogledajmo što donose za IT stručnjake i administratore, osobe koje će to instalirati i održavati…

Već ste mogli pročitati niz tekstova na temu operacijskog sustava Windows 7, ali većina njih se odnosila na stvari koje krajnji korisnici prvo uoče, na sučelje ili novu traku s zadaćama, a nije bilo teksta koji bi IT stručnjacima, administratorima i sistemskim inženjerima koncizno i sažeto objasnio novosti koje se kriju ispod haube, u samoj jezgri. U tekstu donosimo pregled pet najvažnijih poboljšanja koja dolaze instalacijom novog klijentskog operativnog sustava.

Zaključavanje aplikacija

Administratori Windows sustava odavno imaju na raspolaganju alate pomoću kojih na klijentskim računalima u domeni mogu zabraniti pokretanje ili instalaciju aplikacija. Nažalost, ti alati su bili duboko zakopani u postavkama Group Policyja, rijetko su se koristili i bilo ih je prilično komplicirano natjerati da rade onako kao je sam Microsoft zamislio. Budimo iskreni, Software Restriction Policy je nešto što se jako malo koristilo, a onda i kada se koristilo, napredniji korisnici su ga u određenim situacijama mogli i zaobići. applocker

U Windowsima 7 Microsoft je preimenovao taj skup alata u novo ime – AppLocker. AppLocker je još uvije skup postavki Group Policyja, ali sada dolazi s čarobnjakom s kojim je puno lakše onemogućiti instalacije i pokretanje neželjenih aplikacija. Čarobnjak čak može dohvatiti popis trenutno instaliranih aplikacija na računalo te od tog popisa napraviti pravila koja ne dozvoljavaju pokretanje ničega što nije na popisu. Ono što se promijenilo je to da više ne postoje pravila koja brane ili dozvoljavaju određene aplikacije. Sada postoje samo pravila koja dozvoljavaju pokretanje ili instaliranje aplikacija. Dakle, sve što nije dozvoljeno, zabranjeno je.

Kontrolirajte instalacije aplikacija kroz AppLocker

AppLocker može stvarati pravila iz certifikata kojeg je aplikaciji dodijelio sam proizvođač pa se tako pravila mogu stvarati na osnovu verzije, imena aplikacije, imena datoteke i slično. Pravila se dodjeljuju pojedinom korisniku ili grupi, a nije moguće dodjeljivanje pravila grouppolicyza računala, određene zapise u registryu ili internetskim zonama. Naravno, moguće je stvaranje iznimki za EXE datoteke, postavljanje "audit-only" načina rada koji omogućava testiranje pravila prije primjene, te izvoz i uvoz pravila.

Ukoliko se unutar istog GPO-a koristi i Software Restriction Policy i AppLocker, AppLocker ima prednost, a SRP se u potpunosti ignorira. AppLocker postavke se primjenjuju na svim verzijama Windows Servera 2008 R2 i na nekim verzijama Windowsa 7. Operacijski sustavi stariji od Windowsa 7 nisu podržani od strane AppLockera i tu bi trebalo koristiti Software Restriction Policy.
Dobar stari Group Policy doživio je unaprjeđenja u novoj verziji

Enkripcija za van

BitLocker enkripcija diskova je poznata još iz Windows Viste, a uz Service Pack 1 BitLockeru je dodana mogućnost enkriptiranja bilo kojeg diska, dakle ne samo sistemskog. Windowsi 7 pak donose mogućnost enkripcije prijenosnih memorijskih uređaja (bilo da se radi o USB stickovima, punokrvnim diskovima u vanjskim kućištima ili čak SD i sličnim memorijskim karticama).
Ukoliko poželite koristiti BitLocker To Go na nekom obliku vanjske memorije, na raspolaganju su vam dvije metode zaštite podataka – parafraza (duža lozinka, preporuka je preko 20 tak znakova) ili pametna kartica (certifikat). Nakon što je memorija enkriptirana, imate mogućnost spremanje recovery-ključa na drugu neenkriptiranu lokaciju ili ga možete poslati na ispis. Enkripcija 2 GB USB sticka traje otprilike desetak minuta, dok je enkriptiranje 160-megabajtnog vanjskog diska traje otprilike 90 minuta. bitlockerSvaki sljedeći put kada takvu memoriju spoji te na vaše računalo, morate upisati parafrazu ili ubaciti pametnu karticu da bi vam podaci bili dostupni.
Podatke enkriptirane enkripcijom  BitLocker To Go možete koristiti i na sustavima Windows Vista i Windows XP. Nakon što enkriptiranu memoriju ubacite u stariji sustav, morate pokrenuti malu aplikaciju BitLockerToGo.exe koja će od vas tražiti pravilnu parafrazu ili pametnu karticu i tek nakon toga dozvoliti pristup podacima. BitLocker To Go se može kontrolirati i kroz postavke  Group Policyja na način da administrator može definirati kolika je minimalna dužina parafraze te čak zabraniti pisanje po vanjskim memorijama koje nisu zaštićene enkripcijom. BitLocker je ovime postao još korisniji alat u borbi zaštite podataka od zlonamjernih korisnika.

Konfiguracijsko sučelje BitLOckera omogućava uključivanje zaštite za bilo koji disk

Upravljanje instalacijama

Deployment Image Servicing and Management (DISM) je novi alat razvijen za potrebe modifikacije instalacijskih slika Windows 7 sustava ili za pripremu Windows 7 PE (Preinstallation Environment) okruženja. DISM je zamjena za alate koji su se do sada mogli koristiti u sustavu Windows Vista, kao što su upravitelj paketima (pkgmgr.exe), Win PE komandno linijski alat (PEimg.exe) te alat za konfiguriranje internacionalnih postavki (Intlcfg.exe).
DISM omogućava administratorima sve one pogodnosti starih komandnolinijskih aplikacija, ali i puno više od toga. Primjerice, moguće je dodavanje ili micanje 32-bitnih i 64-bitnih pogonskih programa te jezičnih paketa. Bolje je upravljanje postavkama operacijskog sustava te je dana daleko veća kontrola, a bolje se logiraju informacije nužne za kasnije razumijevanje (ne)uspjelog procesa. Što se tiče kompatibilnosti, može koristiti skripte napisane starijim verzijama Pkgmgr aplikacije, te se mogu modificirati instalacije, uvjetno rečeno, starijih operacijskih sustava kao što su Windows Vista i Windows Server 2008.

Moćna ljuska 2.0

powergui_main S novom verzijom operacijskog sustava dolazi i nova verzija popularnog administratorskog komandnolinijskog alata, Powershell 2.0. Gradeći na uspjehu prijašnje verzije, verzija 2.0 donosi brojna poboljšanja. Koristeći već ugrađene takozvane cmdlete i skripte, administratori mogu direktno iz komandne linije upravljati servisima kao što su Active Directory Domain Services, BitLocker enkripcija, DHCP servis, Group policy postavke, Windows backup alat te Remote Desktop servisi. Svi oni koji žele i više od toga, mogu napisati vlastite skripte, funkcije i cmdlete te na taj način proširiti funkcionalnost i korisnost ionako moćnog alata.

U Powershellu 2.0 dodani su novi cmdleti, tako da ih sad ima preko 100, a omogućeno je i udaljeno upravljanje, konkretno može se jedna komanda pokretati na proizvoljnom broju računala jednim potezom. Dodano je i grafičko sučelje (Integrated Scripting Environment) koje olakšava stvaranje i pokretanje skripti, a kad već spominjemo pokretanje, ne smijemo zaboraviti mogućnost pokretanja u pozadini ili asinkrono.

Besplatno, a odlično

Group Policy je dobro poznati i općeprihvaćen alat pomoću kojeg administratori domene upravljaju sigurnosnim postavkama računala i korisnika, instaliraju softver, modificiraju okruženje u kojem korisnici rade te mijenjaju postavke računala u domeni. Najveća prednost ovog alata je to što je u potpunosti besplatan, odnosno dolazi kao dio instalacije serverskog operacijskog sustava, vrlo je jednostavan za korištenje, a upravljanje je svedeno na samo jednu konzolu te pruža dijagnostičke alate i alate za planiranje Group policy postavki.
Novosti koje dolaze uz Windowse 7 najviše su povezane s novostima u Windows Serveru 2008 R2. Naime, oba sustava dijele praktično isti kod. Group Policy preference omogućavaju administratorima da sada na jednostavniji način upravljaju mapiranim diskovima, registry postavkama, lokalnim korisnicima i grupama bez potrebe da to rade kroz skripte. Ovim se i smanjuje broj potrebnih Group Policy objekata. Koristeći GP preference moguće je upravljati power management opcijama, scheduliranim zadacima, zadacima koji se trebaju trenutno izvršiti te postavkama Internet Explorera 8. Razlika između GP postavki i GP preferenci je u tome što su GP preference stalne, a GP postavke se primjenjuju samo dok je policy aktivan, odnosno kade se policy makne, postavke računala se vraćaju na inicijalne vrijednosti.
Spomenimo i Starter Group Policy objekte, bazične postavke Group Policyja koje u sebi već sadrže postavke najčešće vezane uz točno određenu rolu (File server, DC i druge). Prilikom stvaranja vlastitih Group Policy objekata, administratori u njih mogu uključiti neke od postojećih Starter GP objekata i na taj način olakšati upravljanje i djelovanje GPO-a. Neke Starter GP objekte već imamo unutar Windows Servera 2008 R2 i Windowsa 7, a dodatni se mogu preuzeti s Microsoftovih web-stranica ili adminUACistrator uvijek može kreirati vlastite.

Što je s UAC-om?

I UAC (User Account Control) je modificiran na način da više ne ometa korisnika u radu kao prije. Sad korisnik može birati između nekoliko razina obavijesti, ili pak može u potpunosti isključiti UAC, što se nikako ne preporuča. Sve se može namjestiti uz pomoć klizne trake u sklopu Control Panela. 

Napomena: Članak je preuzet iz posebnog izdanja WinDays Mreža 2009, objavljenog u travnju 2009, izdavač BUG d.o.o.