Блог
Наш блог
Статья взята с блога Игоря Шаститко Итак, тема установки Windows 8 второй системой на ПК, с сохранением существующих разделов, установленных на ПК операционных систем и данных, набирает обороты по мере того, как больше и больше народа планирует установить себе Windows 8 и ничего не сломать. В предыдущем посте/видео я предложил инструкцию для варианта установки Windows 8/Windows Server 8 второй системой с применением виртуального диска VHD . Предлагаемая в этом посте видео-инструкция расскажет о том, каким образом можно использовать новую функцию Windows 8 – Windows To Go – для установки Windows 8 на внешний USD драйв (USB флешку или внешний USB диск) с получением аналога системы LiveCD. Т.е. в данном случае вы получаете внешний USB носитель, на котором будет установлена практически не ограниченная в своей функциональности (не работает поддержка TPM в шифровании дисков и выключены по умолчению режимы сна) загрузочная Windows 8, и, используя который, вы сможете загрузить с USB любой подручный компьютер под Windows 8 (при условии, конечно, что этот компьютер имеет требуемые технические характеристики для работы Windows 8). Такой USB носитель с установленной на нем Windows 8 в режиме Windows To Go вы можете подключить к любому ПК, загрузиться с него и получить «вашу» портабельную Windows 8, с вашими настройками и приложениями. Windows To Go очень удобно использовать для тестирования Windows 8 на различном железе, использования Windows 8 как второй системы, применения установленной на USB диске Windows 8 для демонстраций. Примером последнего варианта применения Windows To Go могут служить некоторые доклады на прошедшей недавно конференции Microsoft SWIT 2012 , где именно представленный на видео диск использовался для демок Windows 8 некоторыми докладчиками, которые по тем или иным причинам не могли установить Windows 8 непосредственно на свои ноуты. И от общих слов о пользе Windows To Go для установки Windows 8 второй системой или создания своего портабельного диска USB с Windows 8 перейдем к практике. Первое, что требует объяснения – это общие шаги начальной установки Windows 8 НА USB носитель и, особенно, как идет дальнейшая первичная настройка установленной на USB Windows 8 и особенности использования такого портабельного USB драйв с Windows 8 при переходе от одного ПК к другому. Общая идея установки Windows 8 на внешний USB драйв проста – существующий инсталляционный образ Windows 8, который находится на установочном диске в виде файла install.wim, развертывается при помощи специальных утилит Windows 8 на подготовленный внешний USB диск. Все это делается непосредственно из-под уже установленного экземпляра Windows 8. После развертывания образа на USB выполняется загрузка требуемого ПК с подготовленного носителя. При этом Windows 8, первый раз стартуя с внешнего USB накопителя, выполняет аналогичные «обычной» Windows 8 операции первичной настройки – поиск устройств, запрос ключа (который вы можете получить при загрузке ISO образа Windows 8), ввод имени ОС и собственно, создание учетной записи пользователя (локальной – если нет подключения к Интернет в процессе установки или связанной с LiveID – если подключение есть), начальную настройку окружения пользователя. Этот процесс занимает около 20 минут. Далее работа Windows 8 при загрузке с USB на том же ПК будет аналогична работе «обычной» Windows 8, загружаемой с локального диска. Если загрузить Windows 8 с такого USB устройства на другом ПК, то портабельная Windows 8 начинает работу с обнаружения устройств, что занимает около 3-5 минут, в зависимости от отличий оборудования между оригинальным ПК и тем ПК, на котором теперь стартует Windows 8. Предварительная установка вами драйверов на Windows 8 в режиме Windows To Go на первом, «эталонном» ПК для возможных «будущих» устройств на других ПК – существенно ускоряет процесс поиска устройств при первых стартах портабельной Windows 8 на новых ПК. После обнаружения устройств вы уже на новом ПК получаете доступ к тому окружению пользователя и тем программам, которые вы уже настроили и установили в свою портабельную Windows 8 в режиме Windows To Go. Поиск оборудования будет выполняться Windows 8 в режиме Windows To Go каждый раз, когда вы загружаете Windows 8 с USB накопителя на новом компьютере. Как выглядит весь процесс установки Windows 8 второй системой на внешний USB накопитель в режиме Windows To Go и дальнейшая загрузка/работа с данным внешним UBS накопителем – смотрите в этой подробной видеоинструкции: [youtube http://www.youtube.com/watch?v=8H4FiktkjGM?version=3&rel=1&fs=1&showsearch=0&showinfo=1&iv_load_policy=1&hd=1&wmode=transparent] Видео инструкция по установке Windows 8 на USB HDD/flash диски для создания портабельной Windows To Go И, собственно, представленные в видео операции в хронологической последовательности: Загрузите ПК в Windows 8 (те же операции в Windows 7 не дают желаемого результата) Установите в Windows 8 утилиты для установки из комплекта Windows Assessment and Deployment Kit (ADK) for Windows® 8 Consumer Preview – они устанавливаются в режиме онлайн, выбираете в мастере установки только нужные: Deployment Tools и Windows Preinstallation Environment (Windows PE) Подключите к своему ПК тот USB драйв, на который будем устанавливать Windows 8. Помните, все данные на нем будут удалены в процессе установки Подключите к своему ПК USB флеш или установите DVD диск, на котором находятся установочные файлы Windows 8 (требуется файл install.wim, как создать загрузочный USB флеш для установки Windows 8 смотрите здесь ), если у вас образ ISO с установкой Windows 8 уже находится на дисках ПК – просто смонтируйте его встроенными средствами Windows 8 двойным кликом мышки на ISO файл. Запомните букву диска, где у вас находятся установочные файлы Windows 8 В режиме пуск находите иконку утилит командной строки Deployment and Imaging Tools Environment Windows Kits и запускаете ее с правами администратора (по нажатию правой кнопки мыши). Этот шаг требуется для того, чтобы в командной строке были прописаны пути ко всем требующимся утилитам, например – imagex.exe В открывшемся окне командной строки вводим команду diskpart . Стартует утилита работы с дисками В приглашении diskpart> вводим команду list disk . Эта команда показывает нам список дисков, которые подключены к вашему компьютеру. Находим среди них подключенный USB диск, на который будем устанавливать Windows 8. Запоминаем его номер. В примере это Disk 1 В приглашении diskpart> вводим команду select disk 1 (где 1 – это номер вашего диска, в примере и в видео у нас используется диск 1), чтобы выбрать текущий диск, над которым будут проводиться дальнейшие операции. Не ошибитесь, поскольку в дальнейшем все данные с этого диска будут удалены. Можете также ввести команду list partition , чтобы увидеть список разделов на данном диске и лишний раз убедиться в правильности вашего выбора диска. Если вы ошиблись с номером – просто повторите команду select disk с правильным номером диска. Вводим команду clean – полная очистка диска Вводим команду list part – чтобы убедиться, что диск очищен и никаких разделов на нем не осталось Вводим команду create partition primary – создаем на выбранном диске основной раздел Вводим команду list part – чтобы убедиться, что раздел создан и он один Вводим команду select part 1 – выбираем созданный раздел для дальнейших операций (не ошибитесь) Вводим команду format fs=ntfs quick – форматируем выбранный раздел в NTFS, ожидаем окончания операции Вводим команду active – делаем раздел активным (иначе грузиться не будет) Вводим команду assign letter=E – назначаем созданному разделу букву, данном примере используется Е, вы можете указать любую другую, которая у вас свободна или можете сделать это позже через Disk Management Вводим команду exit – выходим из утилиты diskpart Возвращаемся к командной строке Deployment and Imaging Tools Environment Переходим в командной строке к диску с установочными файлами Windows 8 (у меня это диск F: ) – вводим команду F: На диске установки переходим в каталог sources, где находится требуемый файл install.wim – вводим команду cd \sources Вводим команду imagex /apply install.wim 1 E:\ – где E: это та буква, которую вы назначили созданному ранее разделу. Это и есть основная операция установки – она развертывает образ Windows 8 в режиме Windows To Go на указанный диск. Дожидаемся окончания операции, в зависимости от скорости и типа USB накопителя время выполнения может быть от 15 минут до 2х часов. USB диски показывают лучшую производительность, нежели USB флеш. Вводим команду bcdboot e:\windows /s e: /f ALL – где Е: , как и в предыдущей команде, буква, назначенная созданному разделу. Эта команда записывает на указанный раздел загрузчик, что позволит системе стартовать с него. Перегружаем ПК, заходим в его BIOS, включаем загрузку с USB drive Дожидаемся обнаружения всех устройств, конфигурируем Windows 8 на USB драйве. Устанавливаем обновления и драйвера, при этом не только для текущей ПК, но и для других ПК, на которых, вы, возможно, будете использовать полученную портабельную Windows 8. Далее весь процесс начального старта портабельной Windows 8 на каждом новом ПК вы можете увидеть на предложенном выше видео .
Наш блог
В данной статье приведены пошаговые инструкции, которые помогут начать работу с Windows Intune™ , и объясняется, как можно поделиться своими впечатлениями, опубликовать комментарии и отзывы для рабочей группы Windows Intune. Чтобы войти в Windows Intune, перейдите на веб-страницу входа в службу Windows Intune (http://go.microsoft.com/fwlink/?LinkID=195424). Если платформа Microsoft Silverlight не установлена, при первом открытии веб-сайта службы будет предложено загрузить и установить Silverlight. Выполните вход с использованием идентификатора администратора-владельца, созданного при регистрации в Windows Intune, а затем добавьте идентификатор Live ID в качестве администратора. После входа в систему следующее показанное окно определяется количеством подписок. Одна подписка. При наличии одной подписки открывается Консоль администрирования Windows Intune, в которой показан обзор состояния управляемых компьютеров. В области «Доска объявлений» приведены различные ссылки для начала работы, а в других областях содержатся сведения о состоянии программного обеспечения, обновлениях для системы безопасности и отслеживаемых системных оповещениях. Несколько подписок. При наличии нескольких подписок открывается диалоговое окно выбора учетной записи Windows Intune, в котором отображается список учетных записей и их сводные индикаторы работоспособности. Можно использовать поле «Поиск», чтобы найти компанию по названию, или отсортировать список в алфавитном порядке по названию компании. Когда будет найдена требуемая учетная запись, можно щелкнуть имя, чтобы открыть Консоль администрирования Windows Intune. В области «Доска объявлений» приведены различные ссылки для начала работы, а в других областях содержатся сведения о состоянии программного обеспечения, обновлениях для системы безопасности и отслеживаемых системных оповещениях. После этого установите клиентское программное обеспечение Windows Intune на компьютерах, чтобы управлять ими. Для установки клиентского программного обеспечения можно использовать один из следующих способов. Непосредственная загрузка Войдите в службу Windows Intune с компьютера, которым требуется управлять, загрузите пакет установщика Windows для установки клиентского программного обеспечения в соответствии с архитектурой компьютера, а затем запустите пакет установщика Windows на компьютере. Общая сетевая папка. Загрузите пакет установщика Windows с клиентским программным обеспечением и сохраните его в сетевую общую папку, а затем запустите этот пакет на компьютере. USB-устройство флэш-памяти. Скопируйте пакет установщика Windows для установки клиентского программного обеспечения на USB-устройство флэш-памяти и установите клиентское программное обеспечение Windows Intune с USB-устройства на каждом клиентском компьютере. Обеспечьте безопасность файлов установки и загруженного пакета при любом способе развертывания. Пакет установки клиентского программного обеспечения Windows Intune уникален для учетной записи и подписан для его связывания с подпиской Windows Intune. Убедитесь в том, что только администраторы Windows Intune в организации имеют доступ к этим файлам. После установки клиентского программного обеспечения Windows Intune клиентский компьютер связывается с Центром обновления Майкрософт и загружает дополнительные агенты. Компьютер автоматически регистрируется в учетной записи Windows Intune и через некоторое время должен отобразиться в рабочей области Компьютеры в консоли Консоль администрирования Windows Intune. После этого клиентское программное обеспечение планирует загрузку остальных агентов клиента, включая агенты для защиты от вредоносных программ и наблюдения. Весь процесс загрузки агентов может занять до 8 часов. После загрузки и установки всех агентов клиентский компьютер полностью зарегистрирован в службе. В Консоль администрирования Windows Intune можно просматривать сведения, которые передает клиентский компьютер, такие как состояние защиты от вредоносных программ, данные инвентаризации оборудования и программного обеспечения и состояние обновления. Дополнительные сведения об установке клиентского ПО Windows Intune см. в статье Deploying the Windows Intune Client Software (Развертывание клиентского ПО Windows Intune) (http://go.microsoft.com/fwlink/?LinkID=151517). После добавления клиентских компьютеров в службу рекомендуется распределить их по группам, чтобы облегчить управление ими. Возможности группирования компьютеров в Windows Intune обладают достаточной гибкостью, чтобы настроить схему распределения компьютеров по группам в соответствии с требованиями. В списке ниже приведены три примера объединения компьютеров в группы. Группы на основе географического местоположения. Если компьютеры находятся в географически различных точках, можно создать группы, представляющие различные географические регионы, например «Новосибирск», и добавить компьютеры в эти группы. Группы на основе отделов. Распределение компьютеров по группам в зависимости от отделов, в которых они установлены, или функций, которые они выполняют (например, «Бухгалтерия»), может облегчить управление. Группы на основе оборудования. Группирование компьютеров на основе физических характеристик, например «Настольные», «Портативные» и «Планшетные», может помочь при планировании развертывания обновлений, определении времени установки обновлений, применении политики и принятии других управленческих решений. Можно добавить компьютер в несколько групп, что позволит использовать элементы всех описанных выше способов при планировании распределения по группам и просматривать компьютеры в любом упорядочивании, которое подходит для организации. Однако рекомендуется использовать простую структуру групп и добавлять новые группы только по мере необходимости. После настройки службы Windows Intune можно ознакомиться с функциями в Консоль администрирования Windows Intune. Служба Windows Intune позволяет легко находить нужные функции и содержит ссылки на разделы справки по областям, которые нуждаются в пояснениях. Рекомендуется сначала ознакомиться со следующими возможностями. Определение политики. Используйте рабочую область Политика для настройки применения обновлений, поведения клиента защиты от вредоносных программ, отображения контактной информации поддержки в интерфейсе клиента и других параметров. Распространение обновлений. Используйте рабочую область Обновления для выбора и утверждения обновлений для распространения, а также для передачи обновлений на компьютеры или в группы компьютеров. Создание отчета. Откройте рабочую область Отчеты и просмотрите доступные отчеты Windows Intune. Обратите внимание, что каждый отчет содержит фильтры, которые позволяют включать в отчеты только необходимые результаты. Удаленная помощь. Чтобы предоставить пользователю удаленную поддержку, попросите его отправить запрос на удаленную помощь с консоли Windows Intune Center на своем компьютере. Чтобы настроить получателей уведомлений по электронной почте при запросе помощи пользователями, откройте рабочую область Администрирование . В качестве получателя уведомлений можно указать адрес электронной почты любого пользователя; получатели уведомлений могут не быть администраторами службы. Уведомления об оповещениях. Настройте уведомления об оповещениях в Консоль администрирования Windows Intune для приема уведомлений по электронной почте, чтобы видеть, как Windows Intune ведет информирование о состоянии управляемых клиентских компьютеров. Экспорт данных. Определите представление, которое требуется экспортировать из Консоль администрирования Windows Intune для дальнейшего анализа, и создайте с помощью команды Экспорт файл данных с разделителями-запятыми, который можно открыть в таком приложении, как Microsoft Excel. В процессе знакомства с Windows Intune корпорация Майкрософт предлагает поделиться впечатлениями, отправить комментарии и оставить отзывы. Для взаимодействия с группой разработчиков Windows Intune и другими участниками создано несколько каналов. Сообщите нам ваше мнение. Справка. Откройте справку Windows Intune (http://go.microsoft.com/fwlink/?LinkID=151519), чтобы получить подробные сведения о настройке клиентского ПО на компьютерах, которыми следует управлять, и работе с такими компьютерами в рабочих областях Windows Intune. Форумы. Перейдите на сайт Windows Intune Forums (Форумы Windows Intune) по адресу http://go.microsoft.com/fwlink/?LinkId=183570, чтобы принять участие в обсуждении и поделиться комментариями с другими пользователями Windows Intune, а также найти ответы на часто задаваемые вопросы. Видеоматериалы. В качестве справочных материалов, которые помогут начать работу, мы предлагаем серию коротких обучающих видеороликов. Они расположены на сайте Windows Intune Client TechCenter (Технический центр Windows Intune Client) (http://go.microsoft.com/fwlink/?LinkId=186377). Блог группы Windows Intune. Посетите Windows Intune team blog (Блог группы Windows Intune) (http://go.microsoft.com/fwlink/?LinkId=183569). Узнайте, что говорят создатели Windows Intune. Здесь вы найдете интересные сведения, которые публикуются регулярно.
Наш блог
Корпорация Майкрософт берет на себя обязательства по защите конфиденциальности, поставляя программное обеспечение, которое обеспечивает необходимую производительность, мощность и удобство работы на персональном компьютере. Настоящее заявление о конфиденциальности содержит описание способов сбора и использования данных в Microsoft Application Virtualization 4.6 с пакетом обновления 1 (SP1) (App-V). В частности, в заявлении о конфиденциальности описаны функции пакета обновления 1 (SP1), используемые для отправки сведений другим сторонам, включая корпорацию Майкрософт. Это заявление не относится к другим сайтам, продуктам или службам корпорации Майкрософт в Интернете или доступным автономно. Решение App-V позволяет преобразовывать приложения в виртуализированные службы, доступные в сети, что позволяет динамически предоставлять программное обеспечение без необходимости его установки и без конфликтов, сводя к минимуму затраты на тестирование совместимости приложений. Пользователи и среды приложений больше не связаны с тем или иным компьютером, а сами компьютеры больше не связаны с конкретными пользователями; это обеспечивает гибкость ИТ и скорость реагирования на требования бизнеса, также существенно снижая стоимость управления ПК, включая затраты на перенос приложений и операционных систем. Сбор и использование сведений Собираемые сведения будут использоваться корпорацией Майкрософт, управляемыми ей дочерними компаниями и представительствами для обеспечения работы используемых функций и предоставления услуг или проведения транзакций по запросу или авторизации пользователя. Эти сведения также могут быть использованы для повышения качества продуктов и услуг корпорации Майкрософт. Корпорация Майкрософт может направлять определенную необходимую служебную корреспонденцию, например приглашения, напоминания об оплате, сведения о технических проблемах и оповещения о проблемах безопасности. Некоторые службы корпорации Майкрософт могут периодически направлять подписчикам письма, которые считаются частью предоставляемых услуг. Время от времени корпорация Майкрософт может запрашивать отзывы пользователей, приглашать к участию в опросах или направлять рекламные сообщения для информирования о других продуктах и услугах, предоставляемых корпорацией Майкрософт и ее дочерними компаниями. В целях повышения удобства и степени персонализации взаимодействия с корпорацией Майкрософт сведения, собранные в рамках одной из служб корпорации Майкрософт, могут объединяться со сведениями, собранными в рамках других ее служб. Собранные сведения также могут дополняться сведениями, полученными от других компаний. Например, возможно использование сведений от других компаний, которые позволяют корпорации Майкрософт определить общую географическую область на основе IP-адреса компьютера для настройки определенных служб в соответствии с географическим расположением. Переданные пользователем личные сведения не будут передаваться третьим сторонам, за исключением случаев, описанных в настоящем заявлении. Корпорация Microsoft иногда привлекает другие компании для предоставления ограниченного набора услуг от ее имени, таких как упаковка, отправка и доставка покупок и прочих почтовых отправлений, ответы на вопросы клиентов о продуктах и услугах, обработка регистрации на мероприятиях и статистический анализ работы служб. Этим компаниям будут переданы только те личные сведения, которые необходимы для оказания услуг; при этом им запрещается использовать эти сведения в каких-либо других целях. Корпорация Майкрософт может получать доступ к информации о пользователе или раскрывать такую информацию, включая содержимое корреспонденции, в следующих случаях: (а) в случаях, предусмотренных законодательством, либо по запросу правоохранительных органов, либо в рамках судебного процесса; (б) в целях защиты прав или собственности корпорации Майкрософт или ее клиентов, включая принудительное исполнение соглашений или политики, регулирующей использование служб; (в) в рамках добросовестного предположения, что доступ к личным сведениям или их раскрытие необходимы для защиты личной безопасности сотрудников корпорации Майкрософт, ее клиентов или общества в целом. Кроме того, корпорация Microsoft вправе разглашать личные сведения при проведении корпоративных операций, таких как слияние или продажа активов. Сведения, которые собираются и передаются в службу Microsoft App-V, могут храниться и обрабатываться в США или любой другой стране, где осуществляется деятельность корпорации Майкрософт и ее дочерних компаний, филиалов или поставщиков услуг. При сборе, использовании и хранении информации из стран Европейского Союза, Европейской экономической зоны и Швейцарии корпорация Майкрософт придерживается политики безопасности, сформулированной Министерством торговли США. Сбор и использование сведений о компьютере При использовании программного обеспечения с функциями работы в Интернете просматриваемые веб-сайты и используемые интернет-службы получают сведения о компьютере («стандартные сведения о компьютере»). Корпорация Майкрософт использует стандартные сведения о компьютере для предоставления интернет-служб, повышения качества продуктов и услуг, а также для статистического анализа. Стандартные сведения о компьютере обычно включают IP-адрес, версию операционной системы, версию браузера, а также параметры языка и региональных стандартов. В некоторых случаях стандартные сведения о компьютере могут также включать ИД оборудования с указанием изготовителя устройства, наименования устройства и его версии. Если определенная функция или служба отправляет сведения в корпорацию Майкрософт, также отправляются и стандартные сведения о компьютере. Подробные сведения о конфиденциальности для каждой функции, программного обеспечения или службы App-V, указанной в настоящем заявлении о конфиденциальности, содержат описание характера собираемой дополнительной информации и ее использования. Безопасность сведений Корпорация Майкрософт прилагает все усилия для обеспечения защиты сведений пользователей. Для защиты сведений от несанкционированного доступа, использования и раскрытия применяется ряд технологий и процедур обеспечения безопасности. Например, предоставленные сведения хранятся на компьютерах с ограниченным доступом, расположенных в охраняемых помещениях. Изменения данного заявления о конфиденциальности Время от времени корпорация Майкрософт будет обновлять данное заявление о конфиденциальности, чтобы отразить изменения в продуктах и услугах, а также учесть отзывы клиентов. При внесении изменений будет изменена дата последнего изменения в верхней части этого заявления. Если в настоящее заявление будут внесены существенные изменения или же будут изменены принципы использования личных сведений, будет размещено уведомление о таких изменениях до начала их действия, или же будет направлено непосредственное уведомление по электронной почте. Рекомендуется регулярно просматривать данное заявление, чтобы хорошо представлять себе, каким образом корпорация Майкрософт обеспечивает защиту сведений. Дополнительные сведения Корпорация Майкрософт приветствует отзывы об этом заявлении о конфиденциальности. В случае возникновения вопросов или сомнений в том, что корпорация Майкрософт придерживается изложенных правил, обратитесь по следующему адресу. Microsoft Privacy Microsoft Corporation One Microsoft Way Redmond, Washington 98052 USA Специальные функции Далее в этом документе рассмотрены следующие специальные функции. Программа улучшения качества программного обеспечения Как работает эта функция. В рамках программы улучшения качества программного обеспечения (CEIP) выполняется сбор базовых сведений о конфигурации оборудования и использовании программного обеспечения и служб корпорации Майкрософт для выявления тенденций и типичных способов использования. В рамках программы улучшения качества программного обеспечения также выполняется сбор сведений о типе и количестве возникших ошибок, производительности программного обеспечения и оборудования и скорости работы служб. Корпорация Майкрософт не собирает имена, адреса и другие контактные данные пользователей. Собираемые, обрабатываемые и передаваемые сведения. Дополнительные сведения о сведениях, собираемых, обрабатываемых и передаваемых в рамках программы улучшения качества программного обеспечения, см. в заявлении о конфиденциальности программы улучшения качества программного обеспечения по адресу http://go.microsoft.com/fwlink/?LinkID=52097 . Использование сведений. Эти сведения используются корпорацией Майкрософт для повышения качества, надежности и производительности программного обеспечения и служб Майкрософт. Выбор и управление. Принять участие в программе улучшения качества программного обеспечения предлагается в ходе установки. После согласия участвовать в программе можно в любой момент отказаться от участия, выполнив следующие действия. На главной панели инструментов выберите пункт "Справка". Выберите команду "Параметры отзыва заказчика". Служба отчетов об ошибках корпорации Майкрософт Как работает эта функция. Служба отчетов об ошибках корпорации Майкрософт представляет собой службу, которая позволяет сообщать корпорации Майкрософт о неполадках при работе с решением App-V и получать сведения, которые помогают избежать этих неполадок или решить возникающие проблемы. Собираемые, обрабатываемые и передаваемые сведения. Дополнительные сведения о сведениях, собираемых, обрабатываемых и передаваемых службой отчетов об ошибках корпорации Майкрософт, см. в заявлении о конфиденциальности службы отчетов об ошибках корпорации Майкрософт по адресу http://go.microsoft.com/fwlink/?LinkID=184782 . Использование сведений. Сведения отчетов об ошибках используются для решения проблем, возникающих у пользователей, и для повышения качества программного обеспечения и услуг корпорации Майкрософт. Важная информация. App-V не изменяет параметры службы отчетов об ошибках корпорации Майкрософт. Если отправка отчетов об ошибках была включена ранее, описанные выше сведения будут передаваться. Корпоративные клиента могут использовать групповую политику, чтобы настроить работу со службой отчетов об ошибках корпорации Майкрософт на компьютерах. Параметры конфигурации позволяют отключать службу отчетов об ошибках корпорации Майкрософт. Техническая информация для администраторов о настройке групповой политики для службы отчетов об ошибках корпорации Майкрософт доступна по адресу http://go.microsoft.com/fwlink/?LinkId=35776 . Ускорители пакетов приложений Как работает эта функция. Пользователи могут использовать ускорители пакетов приложений для автоматического создания пакетов сложных приложений без установки соответствующих приложений. Программа App-V Sequencer позволяет создавать ускорители для каждого виртуального пакета. Эти ускорители пакетов в дальнейшем можно использовать для автоматического повторного создания тех же пакетов. Для упрощения и автоматизации создания пакетов сложных приложений также можно использовать ускорители пакетов, созданные корпорацией Майкрософт или сторонними разработчиками. Собираемые, обрабатываемые и передаваемые сведения. Ускорители пакетов приложений могут содержать такие сведения, как имена компьютеров, сведения учетных записей пользователей и сведения о приложениях в составе файла ускорителя пакета. Если планируется передача ускорителей пакетов приложений пользователям за пределами организации, следует проверить все параметры и удостовериться в том, что ускорители пакетов не содержат личных сведений или сведений компании. Для просмотра содержимого можно открывать файлы ускорителей пакетов в любом средстве просмотра XML-файлов. Ниже описаны способы просмотра и удаления сведений о компьютерах и пользователях из файлов ускорителей пакетов перед тем, как передать эти файлы пользователям за пределами организации. Имя пользователя . При входе на компьютер, на котором выполняется программа App-V Sequencer, следует использовать универсальную учетную запись пользователя, например администратор . Не следует использовать учетную запись, основанную на имени существующего пользователя. Имя компьютера . Для компьютера, на котором выполняется программа App-V Sequencer, следует указать общее имя, не позволяющее идентифицировать компьютер. URL-адрес сервера . Используйте параметры по умолчанию для сведений о конфигурации URL-адреса сервера на вкладке Развертывание в консоли программы App-V Sequencer. Приложения . Если не нужно передавать другим пользователям список приложений, установленных на компьютере, на котором выполнялась программа Sequencer при создании ускорителя пакетов, необходимо удалить файл appv_manifest.xml . Этот файл находится в корневом каталоге пакета виртуальных приложений. При использовании функции работы с ускорителями пакетов приложений никакие сведения не передаются в корпорацию Майкрософт.
Наш блог
Введение Количество мобильных пользователей в последнее время все больше растет, они ведут активную работу за пределами своего офиса, но им все равно необходимо получать доступ к сетевым ресурсам организации. Несмотря на то, что они имеют возможность подключаться к Интернет, получить доступ к ресурсам интрасети у них не получается, так как у удаленных клиентов не будет доступа к ресурсам офиса из-за работы корпоративных брандмауэров. Пользователи обычно подключались к своим ресурсам при помощи виртуальных частных сетей (VPN). Но у них есть несколько недостатков, таких как: выполнение подключения в несколько этапов (нужно ожидать завершения проверки подлинности, которое может затянуться на несколько минут), вероятны проблемы c фильтрацией VPN-трафика, после разрыва соединения приходится заново устанавливать VPN-подключение. По этим причинам вместо виртуальных частных сетей пользователи обычно выбирают только шлюзы приложений,такие как Microsoft Outlook Web Access (OWA) , для доступа к внутренней электронной почте Microsoft Exchange и прочее. Но для открытия своих документов, которые расположены в интрасети , все равно приходится использовать VPN-подключение. В связи с появлением нового компонента – DirectAccess в операционных системах Windows 7 и Windows Server 2008 R2 отпадает необходимость использования виртуальных частных сетей. DirectAccess – это новый компонент операционных систем Windows 7 и Windows Server 2008 R2, который обеспечивает для сотрудников равные возможности доступа к корпоративной сети вне зависимости от того, работают они удаленно или на рабочем месте в офисе.При помощи DirectAccess пользователи, которые работают удаленно от интрасети,могут получать доступ к общим папкам, приложениям и веб-сайтам корпоративной сети, без подключения к виртуальной частной сети (VPN). DirectAccess позволяет устанавливать двухстороннюю связь с корпоративной сетью всякий раз, когда переносной компьютер пользователя с включенной функцией DirectAccessподключается к Интернету, – даже до того, как пользователь войдет в систему.Благодаря DirectAccess пользователям никогда не придется думать о том,подключены ли они к корпоративной сети. DirectAccess имеет свои преимущества и для ИТ-специалистов: сетевые администраторы могут управлять удаленными компьютерами за пределами офиса, даже когда эти компьютеры не подключены к виртуальной частной сети (VPN). С помощью функции DirectAccess организации,уделяющие большое внимание нормативным требованиям, могут обеспечить их соблюдение и для переносных компьютеров. Общие термины Интранет (Intranet, интрасеть) – в отличие от сети Интернет, это внутренняя частная сеть организации. Как правило , Интранет – это Интернет в миниатюре, который построен на использовании протокола IP для обмена и совместного использования некоторой части информации внутри организации. Чаще всего под этим термином имеют в виду только видимую часть Интранет – внутренний веб-сайт организации. Интранет – это как бы «частный» Интернет, ограниченный виртуальным пространством отдельно взятой организации. Интранет допускает использование публичных каналов связи, входящих в Интернет (VPN), но при этом обеспечивается защита передаваемых данных и меры по пресечению проникновения извне на корпоративные узлы. Брандмауэр или межсетевой экран – это комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.Основной задачей межсетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевые экраны также часто называют фильтрами, так как их основная задача – не пропускать пакеты, не подходящие под критерии, определённые в конфигурации. VPN (Virtual Private Network – виртуальная частная сеть) – RFC4026 – название семейства технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети. Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия, уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии. IPsec (IP Security) – RFC4301 – набор протоколов для обеспечения защиты данных,передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. IPv6 (Internet Protocol version 6) – это новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт использования адреса длиной128 разрядов вместо 32. Teredo – RFC4380 – представляет собой технологию транзита IPv6, которая обеспечивает подключение по протоколу IPv6 через IPv4 для узлов, расположенных в IPv4 за счет преобразования сетевых адресов (NAT), в связи с чем протоколу IPv6 временно назначается частный адрес IPv4. IP-HTTPS – это новый протокол для Windows 7 и Windows Server 2008 R2, который разрешает хостам, расположенным за веб-прокси или брандмауэром устанавливать связь путем туннелирования пакетов IPv6 в IPv4 в сессии HTTPS. HTTPSиспользуется вместо HTTP, при этом сервером веб-прокси не будет предпринята попытка анализировать этот поток данных и завершить соединение. В настоящее время эффективность IP-HTTPS не настолько хорошо продумана, как другие протоколы связи DirectAccess. Существуют несколько шагов, которые могут быть приняты для улучшения производительности. Возможность IPsec-шифрования между серверомDirectAccess и клиентом DirectAccess может быть отключена для дальнейшего повышения эффективности работы этого протокола. В настоящее время, компанияMicrosoft изучает дополнительные пути повышения эффективности этого протокола для будущих версий Windows. Triple DES (3DES) – RFC1851 – симметричный блочный шифр, созданный на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора. 3DESиспользуется чаще, чем DES, который легко ломается при помощи современных технологий. NAP (Network Access Protection) – технология компании Microsoft, предназначена контролировать доступ к сети, построенной на основе главного компьютера, исходя из информации о состоянии системы клиентского компьютера. Впервые была использована в Windows XP Service Pack 3, Windows Vista и Windows Server 2008. ISATAP – представляет собой технологию, которая используется для обеспечения связи IPv6 между хостами IPv6/IPv4 через интернет-протокол IPv4-only. ISATAPможет быть использован для обеспечения подключения DirectAccess по протоколуIPv6 для функционирования хостов ISATAP в интрасети. NAT-PT устройства могут быть развернуты для доступа клиентам DirectAccess толькоIPv4-ресурсов интрасети. NAT-PT обычно настраивается для обеспечения охвата конкретныхDNS имен. После развертывания NAT-PT вносит необходимые преобразованияIPv6-в-IPv4, позволяющие клиентам DirectAccess иметь доступ к любым ресурсомIPv4, расположенным в указанном пространстве имен. Несмотря на то, что вWindows Server 2003 включена поддержка протокола IPv6, многие интегрированные приложения не поддерживают протокол IPv6. Таким образом, устройству NAT-PTтребуется доступ к ресурсам, которые запущены на серверах под управлениемWindows Server 2003. Кроме того, ресурсам, расположенным на серверах под управлением не-Windows операционных систем необходим NAT-PT в том случае, если сервер и его приложения поддерживают подключение по протоколу IPv6. Поскольку операционные системы WIndows 7 и Windows Server 2008 R2 не обеспечивают функциональностьNAT-PT, конфигурация NAT-PT выходит за рамки этого документа. DSCP (Differentiated Services Code Point, Точка кода дифференцированных услуг) –это поле в заголовке IP-пакета, которое используется в целях классификации передаваемой информации. HTTPS (Hypertext Transfer Protocol Secure) – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, «упаковываются» в криптографический протокол SSL или TLS, тем самым обеспечивая защиту этих данных. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443. PKI (Public Key Infrastructure, Инфраструктура открытых ключей) – технология аутентификации с помощью открытых ключей. Основные механизмы PKI – установление доверия, система именования субъектов, обеспечивающая уникальность имени в рамках системы, связь имени субъекта и пары ключей (открытый и закрытый) с подтверждением этой связи средствами удостоверяющего центра, которому доверяет субъект, проверяющий правильность связи. 6to4 – это переходный механизм, позволяющий передавать IPv6 пакеты черезIPv4-сети и не требующий создания двусторонних туннелей. Он, как правило,используется, когда конечный пользователь или сайт хотят получить соединение сIPv6-Интернетом, но не могут получить его от провайдера. Исключения NRPT . Всегда существуют некоторые имена, которые необходимо рассматривать отдельно от всех других имен. Эти имена не должны преобразовываться с помощью серверов DNS интрасети. Для того чтобы эти имена были разрешены DNS-серверами,необходимо добавить их в качестве исключения NRPT в настройках TCP/IPуказанного клиента. Если ни один DNS-сервер не указан в записях NRPT, то эта запись является исключением. Если имя DNSсоответствует записи в NRPT, которая не содержит адресов серверов DNS или вообще не соответствует записи в NRPT, то клиент DirectAccess посылает запросы имен с указанными настройками TCP/IP клиентов на DNS-сервер. Если на следующих серверах нет совпадений суффиксов имен записи NRPT для имен интрасети, то сервер создает NRPT-исключения: WPAD сервера; Сетевые сервера; Сервера карантина Требования и соображения инфраструктуры Далее предоставлены следующие требования в инфраструктуре для развертывания DirectAccess: Active Directory. Должен быть развернут хотя бы один сервер глобального каталога.Рабочие группы не поддерживаются. Групповые политики. Групповые политики рекомендуются для обеспечения централизованного администрирования и развертывания настроек клиентов DirectAccess. При установке, мастер установки DirectAccess создает объекты и настройки групповых политик для клиентов DirectAccess и серверов DirectAccess. Контроллер домена/DNS. Хотя бы один контроллер домена должен работать под операционной системой Windows Server 2008 SP2 или Windows Server 2008 R2. Public key infrastructure (PKI) необходима для выдачи сертификатов компьютеров для проверки их подлинности при использовании Network Access Protection (NAP).Внешних сертификатов не требуется. SSL-сертификаты для IP-HTTPS, установленные на DirectAccess должны иметь точку распространенияCLR, доступную из Интернета и в поле Subject должны содержать либо публичныйIPv4-адрес, присвоенный сервером DirectAccess, либо полное доменное имяDirectAccess сервера с IPv4 корпоративной сети, которое должно быть разрешено на Интранет DNS-сервере. ПолитикиIPsec. DirectAccess использует политики IPsec, которые настраиваются и управляются при помощи брандмауэра Windows в режиме повышенной безопасности. Разрешенные эхо-запросы трафика ICMPv6. Необходимо создать отдельные входящие и исходящие правила, которые разрешают эхо-запросы ICMPv6. Входящие правила необходимы для разрешения сообщений эхо-запросов ICMPv6 и применены для всех профилей.Исходящие правила разрешают сообщения эхо-запросов ICMPv6 и применяются для всех профилей, также рекомендуется для включения исходящих блоков. КлиентыDirectAccess, которые используют Teredo IPv6 для подключения к интрасети,используют ICMPv6 сообщения при создании схем связи. ТехнологииIPv6. IPv6 и технологии преобразования ISATAP, Teredo и 6to4 должны быть доступны для использования сервера DirectAccess. Необходимо удалить именаISATAP на каждом из DNS-серверов, работающих под управлением Windows Server 2008 и более поздних версий. Подключение к интрасети с помощьюDirectAccess Благодаря компонентуDirectAccess можно забыть обо всех ограничениях использования виртуальных частных сетей при помощи автоматической установки двухстороннего соединения между клиентскими машинами и корпоративной сетью. Эта функция основана на таких стандартизированных технологиях, как протоколы IPSec и IPv6. Для проверки подлинности компьютера и пользователя DirectAccess использует протокол IPSec,что позволяет ИТ-администраторам управлять компьютером даже до того, как пользователь войдет в систему. Для шифрования обмена данными через Интернет вDirectAccess также используются такие методы, как Triple DES (3DES) и AES. Технология IPSec Протоколы IPsec работают на сетевом уровне (уровень 3 модели OSI). Другие широко распространённые защищённые протоколы сети Интернет, такие как SSL и TLS, работают на транспортном уровне (уровни OSI 4 – 7). Это делает IPsec более гибким,поскольку он может использоваться для защиты любых протоколов, базирующихся наTCP и UDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP (уровень OSI 4) для обеспечения надёжной передачи данных. IPsec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе,защищающем локальную сеть. Заголовок любого пакета, проходящего через границу,анализируется на соответствие политикам безопасности, то есть критериям,заданным администратором. Пакет может быть либо передан дальше без изменений,либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) – безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA. Параметры политик безопасности и безопасных соединений хранятся в двух таблицах: базе данных политик безопасности (SPD – Security Policy Database) и базе данных безопасных соединений (SAD – Security Association Database). Записи в SPD определяют, в каких случаях нужно включать шифрование или контроль целостности, в то время как в SAD хранятся криптографические ключи, которые будут использованы для шифрования или подписи передаваемых данных. Если согласно SPD передаваемый пакет должен быть зашифрован, но в SAD нет соответствующего SA, реализацияIPsec по протоколу IKE согласовывает с другой стороной создание нового SA и его параметры. Политики IPSec позволяют выбрать надежный алгоритм шифрования 3DES, обеспечивающий большую безопасность,чем алгоритм DES. Если компьютеры предприятия являются частью домена Active Directory, для проверки подлинности основного режима IPSec можно использовать стандартный метод (Kerberos V5). Внедрять сертификаты открытого ключа для связей в интрасети не обязательно. Для компьютеров, подключенных к Интернету,не рекомендуется использовать протокол Kerberos V5 для проверки подлинности. В противном случае при согласовании основного режима каждый участник политикиIPSec посылает учетную запись компьютера в незашифрованном формате другим участникам. Учетная запись компьютера остается незашифрованной до тех пор, пока не будут зашифрованы все учетные данные на этапе проверки подлинности во время согласования основного режима. Злоумышленник может отправлять пакеты протоколаIKE, что повлечет раскрытие отвечающей стороной IPSec учетной записи компьютера и членства в домене. Поэтому для защиты компьютеров, подключенных к Интернету,рекомендуется использовать проверку подлинности с помощью сертификата. Фильтры IPSec находятся на уровне IP-стека сетевого протокола TCP/IP и, следовательно, могут анализировать все входящие и исходящие пакеты IP. За исключением небольшой задержки, необходимой для согласования доверительных отношений между двумя компьютерами, безопасность IPSec является прозрачной для приложений конечного пользователя и служб операционной системы. Технология IPv6 Еще в Windows Server 2008был полностью реализован протокол IPv6, хотя по-прежнему поддерживается и протокол IPv4. Протокол IPv6 устанавливается и включается по умолчанию, его можно настроить посредством панели управления (в Центре управления сетями и общим доступом щелкните компонент Управление сетевыми подключениями ).Если программное обеспечение на компьютере при обмене данными использует иIPv6-, и IPv4-адреса, сетевые функции в Windows Server 2008 сначала пытаются установить соединение по протоколу IPv6 (хотя это зависит от применяющихся правил выбора адресов, определенных в RFC 3484). В результате обеспечивается лучшая подключаемость приложений с поддержкой IPv6. Windows Server 2008 также обеспечивает полную поддержку политик безопасности протокола IP (IPsec) для трафика IPv6. Введение в протоколе IPv6поля «Метка потока» позволяет значительно упростить процедуру маршрутизации однородного потока пакетов. Поток – это последовательность пакетов, посылаемых отправителем определённому адресату. При этом предполагается, что все пакеты данного потока должны быть подвергнуты определённой обработке. Характер данной обработки задаётся дополнительными заголовками. Допускается существование нескольких потоков между отправителем и получателем. Метка потока присваивается узлом-отправителем путём генерации псевдослучайного 20-разрядного числа. Все пакеты одного потока должны иметь одинаковые заголовки, обрабатываемые маршрутизатором. При получении первого пакета с меткой потока маршрутизатор анализирует дополнительные заголовки,выполняет предписанные этими заголовками функции и запоминает результаты обработки (адрес следующего узла, опции заголовка переходов, перемещение адресов в заголовке маршрутизации и т. д.) в локальном кэше. Ключом для такой записи является комбинация адреса источника и метки потока. Последующие пакеты с той же комбинацией адреса источника и метки потока обрабатываются с учётом информации кэша без детального анализа всех полей заголовка. Время жизни записи в кэше составляет не более 6 секунд, даже если пакеты этого потока продолжают поступать. При обнулении записи в кэше и получении следующего пакета потока,пакет обрабатывается в обычном режиме и для него происходит новое формирование записи в кэше. Следует отметить, что указанное время жизни потока может быть явно определено узлом отправителем с помощью протокола управления или опций заголовка переходов, и может превышать 6 секунд. Существуют различные типы адресов IPv6: одноадресные (Unicast), групповые (Anycast) и многоадресные(Multicast). Адреса типа Unicastхорошо всем известны. Пакет, посланный на такой адрес, достигает в точности интерфейса, который этому адресу соответствует. Адреса типа Anycastсинтаксически неотличимы от адресов Unicast, но они адресуют группу интерфейсов. Пакет, направленный такому адресу, попадёт в ближайший (согласно метрике маршрутизатора) интерфейс. Адреса Anycast могут использоваться только маршрутизаторами. Адреса типа Multicastидентифицируют группу интерфейсов. Пакет, посланный на такой адрес, достигнет всех интерфейсов, привязанных к группе многоадресного вещания. Triple DES (3DES) Triple DES (3DES) –симметричный блочный шифр, созданный Уитфилдом Диффи, Мартином Хеллманом и Уолтом Тачманном в 1978 году на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора. Скорость работы 3DES в 3 раза ниже, чем уDES, но криптостойкость намного выше – время, требуемое для криптоанализа 3DES,может быть в миллиард раз больше, чем время, нужное для вскрытия DES. 3DESиспользуется чаще, чем DES, который легко ломается при помощи современных технологий (в 1998 году организация Electronic Frontier Foundation, используя специальный компьютер DES Cracker, разбила DES за 3 дня). 3DES является простым способом устранения недостатков DES. Алгоритм 3DES построен на основе DES,поэтому для его реализации можно использовать программы, созданные для DES. Для обеспечения максимальной защиты от криптографических атак объем данных, зашифрованных одним ключом сеанса с помощью стандарта DES (Data Encryption Standard, стандарт шифрования данных) или Triple DES (3DES, тройной DES), не должен превышать 100МБ. В среде с высоким уровнем безопасности присутствует возможность использования времени жизни ключей сеанса MD5 или алгоритма SHA-1 (Secure Hash Algorithm) для получения более короткого времени, чем значения по умолчанию,чтобы обеспечить усиленную защиту против криптографических атак в будущем. В некоторых сценариях могут существовать действующие ограничения на время жизни ключей. Чем короче время жизни ключа, тем больше ресурсов процессора используется для его обновления. Это может ограничить число активных сопоставлений безопасностиIPSec, используемых компьютером, или пропускную способность для трафика,защищенного IPSec. Неоднократная смена ключа сеанса может привести к раскрытию общего секрета Диффи-Хелмана. Поэтому требуется установление предельного числа ключей сеанса быстрого режима, которые могут быть получены на основе согласования основного режима. При включенном параметре«Основной ключ безопасной пересылки (PFS)» предел для ключей сеанса не используется. Задание в качестве предела ключа сеанса значения 1 идентично включению PFS основного ключа. Если заданы и срок жизни основного ключа, и предел ключа сеанса, то новое согласование основного режима выполняется по достижении любого из этих пределов. По умолчанию политика IPSec не ограничивает количество ключей сеанса. Группы Диффи-Хелмана используются для определения длины основных простых чисел (материала для ключа), используемых при обмене ключами. Криптографическая надежность любого полученного ключа частично зависит от силы группы Диффи-Хелмана, на которой основаны простые числа. Группа 2048 (высокая)надежнее, чем группа 2 (средняя), которая в свою очередь надежнее, чем группа 1 (низкая). При использовании более надежной группы ключ, получаемый при обмене Диффи-Хелмана, является более надежным, и злоумышленнику сложнее получить его. IKE согласовывает использование группы, гарантируя невозможность сбоя согласования по причине несовпадения групп Диффи-Хелмана на сторонах соединения. Если включен параметр PFSосновного ключа, новый ключ Диффи-Хелмана согласовывается при первом согласовании сопоставления безопасности быстрого режима. Этот новый ключ устраняет зависимость ключа сеанса от обмена данными Диффи-Хелмана,выполняемого для основного ключа. У инициирующей и отвечающей сторон должен быть включен режим PFS для ключей сеанса, иначе происходит сбой согласования. Для согласования сопоставлений безопасности основного и быстрого режимов используется одна и та же группа Диффи-Хелмана. При включении PFS-ключей сеансов группа Диффи-Хелмана(несмотря на то, что она задается как часть согласования сопоставления безопасности основного режима) влияет на все смены ключа во время установки ключа сеанса. Туннельный режим IPSec Клиенты устанавливают туннель IPSec для передачи трафика IPv6 на сервер DirectAccess, который выступает в роли шлюза для доступа к интрасети. При использовании туннельного режима IPSec зашифровывает заголовок IP и полезные данные, тогда как в режиме транспорта зашифровываются только полезные данные IP. Туннельный режим обеспечивает защиту всего пакета IP, рассматривая его как полезные данные AH или ESP. При использовании туннельного режима весь пакет IP инкапсулируется в заголовок AHили ESP и в дополнительный заголовок IP. IP-адреса внешнего заголовка IPуказывают конечные точки туннеля, а IP-адреса инкапсулированного заголовка IPуказывают исходную точку и точку назначения пакета. Туннельный режим IPSecполезен для защиты трафика между различными сетями в том случае, когда трафик проходит через промежуточную сеть, не имеющую доверительных отношений. Однако туннельный режим используется главным образом для обеспечения взаимодействия со шлюзами или конечными системами, которые не поддерживают туннелированиеL2TP/IPSec или PPTP. Форсированное туннелирование По умолчанию удаленные клиенты DirectAccess имеют доступ к сети Интернет, Интранет, и их локальной подсети одновременно. Клиенты DirectAccess настроены для отправки всех имен запросов интрасети на DNS-сервера интрасети и неизвестные запросы или исключения для DNS-серверов провайдера. Это стандартный режим работыDirectAccess. Для того, чтобы форсировать весь интранет- или интернет-трафик, исходящий от клиентаDirectAccess, можно использовать форсированное туннелирование. Можно включить форсированное туннелирование при помощи следующего параметра групповой политики: Конфигурация компьютера\Административные шаблоны\Сеть\Сетевые подключения\ Маршрутизировать весь трафик через внутреннюю сеть. Когда форсированное туннелирование включено, весь трафик клиента DirectAccess становится трафикомIPv6 и будет перенаправлен в интрасеть над туннелем IP-HTTPS. Клиенты с включенным форсированным туннелированием по-прежнему будут иметь доступ ко всем ресурсам в их локальной сети, такие как сетевые принтеры, но любой сетевой трафик за пределами локальной подсети будет трафиком IPv6. Туннели IPSecобеспечивают безопасность только для трафика IP. Туннель предназначен для защиты трафика между двумя IP-адресами либо между двумя подсетями IP. Если туннель используется между двумя компьютерами, а не между двумя шлюзами, адресIP за пределами полезных данных AH или ESP совпадает с IP-адресом внутри полезных данных AH или ESP. На следующем рисунке отображен клиент DirectAccess,устанавливающий соединение с сервером DirectAccess. Клиент DirectAccess устанавливает следующие туннели IPSec: Туннель IPSec ESP с использованием сертификата компьютера. Первый туннель от клиента DirectAcecss к серверуDirectAccess обеспечивает доступ к IPv6-адресам DNS-серверов и контроллеров домена AD DS. Это туннель IPsec ESP с использованием сертификата компьютера для первой аутентификации и пользователя (NTLMv2) для второй аутентификации. Учетные данные пользователя (NTLMv2) используются для того,чтобы заставить использовать AuthIP и обеспечивают клиента DirectAccess доступом к DNS и контроллеру домена, прежде чем они могут быть использованы Kerberos на втором туннеле. Туннель IPSec ESP с использованием сертификата компьютера и учетных данных пользователя. Этот туннель позволяет выбрать метод проверки подлинности по умолчанию для подключений IPSec на локальном компьютере. Изначально используется способ проверки подлинностиKerberosV5. Среди других ограничений, которые можно выбирать, есть ограничение подключений к компьютерам или пользователям, присоединенным к домену, а также ограничение подключений к компьютерам, у которых есть сертификат от указанного центра сертификации. К примеру, текущий туннель создается для того, чтобы клиент Microsoft Outlook мог загрузить электронную почту с сервера Microsoft Exchange в интрасети. После создания туннелей к серверу DirectAccess клиент может отправлять по ним трафик в интрасеть. СерверDirectAccess можно настроить таким образом, чтобы он контролировал, какие приложения могут запускать удаленные пользователи и к каким ресурсам в интрасети им предоставлен доступ. Клиенты DirectAccessмогут подключаться к ресурсам в интрасети с использованием двух типов защитыIPsec: end-to-end и end-to-edge. End-to-End – сквозная защита Защита end-to-endзначительно повышает безопасность и понижает административные расходы в том случае, если развернуто IPsec-шифрование в вашей корпоративной сети. Эта защита также может предусматривать дополнительные расходы для приобретения аппаратного обеспечения IPsec, сетевых адаптеров и пр. Поэтому, прежде чем разворачиватьIPsec для любого частного случая, следует тщательно проанализировать потенциальные угрозы, от которых может избавить политика IPsec. Защита безопасностиend-to-end устанавливает доверие и безопасность от одноадресного источникаIP-адреса на адрес назначения IP-адреса (peer-to-peer). Можно использовать эту возможность IPSec при обеспечении серверных сценариев, для которых разрешается доступ к серверу только для доверенных компьютеров. В сценариях, защищающих сервер, можно использовать IPSec для контроля доступа ко всем приложениям и службам, работающим на сервере, а затем или шифровать данные, или давать аутентификацию для всего трафика для приложений, используемых по сети.Компьютеры (IPSec peers) проходят проверку подлинности, используя KerberosV5 на основе сертификатов открытых ключей, или, в случае необходимости,предварительных ключей аутентификации. При защите end-to-end,клиенты DirectAccess устанавливают сеанс IPSec (показан зелеными стрелками)через сервер DirectAccess с каждым сервером приложений, к которому они подключаются. Это обеспечивает высочайший уровень безопасности, поскольку на сервере DirectAccess можно настроить управление доступом. Однако для такой архитектуры необходимо, чтобы серверы приложений работали под управлением ОСWindows Server 2008 или Windows Server 2008 R2 и использовали оба протокола –IPv6 и IPSec. End-to-Edge – полная защита Модель полного доступа интрасети позволяет клиентам DirectAccess подключаться ко всем ресурсам внутренней сети Интранет. Это можно реализовать при помощи основных политик IPsec-туннеля,которые требуют аутентификации и шифрования, превращая IPsec-сессию вIPsec-шлюз. IPsec-шлюз является функцией, которая размещается на сервереDirectAccess по умолчанию, но может быть перенесен на отдельный компьютер. Эта модель доступа работает с серверами приложений под управлением Windows Server 2003 и защищенного трафика IPsec, расположенного в интранете. Из-за сходства с VPN эта модель может быть развернута в быстрые сроки. Для обеспечения высочайшего уровня безопасности следует использовать протоколы IPv6 и IPsec во всей организации, а также желательно обновить серверы приложений до ОС Windows Server 2008 или Windows Server 2008 R2. Сервер шлюза IPsecперенаправляет незащищенный трафик на серверы приложений в интрасети. Такая архитектура не требует поддержки протокола IPsec в интрасети и пригодна для любых серверов приложений, использующих протокол IPv6.
Наш блог
Windows Rights Management Services Client на текущий момент имеет второй пакет обновлений и загружается в зависимости от архитектуры вашей системы. Клиент управления правами Microsoft Windows (SP2) x86 Клиент управления правами Microsoft Windows (SP2) x64 Клиент управления правами Microsoft Windows (SP2) IA64 Поскольку я использую Windows 7, то хлопоты с установкойRMS-клиента меня обошли стороной. Свой клиентский компьютер я включил в домен,предварительно настроив сеть следующим образом: IP- 192.168.0.3; Маска –255.255.255.0; DNS – 192.168.0.1 Для экспериментов мне понадобится несколько учетных записей,каждая из которых обязана иметь заполненный атрибут «электронный ящик». Поэтому я создал новое организационное подразделение Accounts и пять учетных записей с прописанными эл. адресами. В моей сети отсутствует Exchange-сервер, посему были прописаны адреса почты, хранящейся у провайдера. Прошу заметить, что все учетные записи имеют полномочия обыкновенных доменных пользователей. Перед тем как перейти к защите документов, мы должны выполнить еще одно действие – добавить узел adrms.itband.ru (а мы помним, что это имя нашего rms-кластера) в список узлов Местной Интрасети клиентских браузеров IE 8 . Зачем это делается? Когда клиент пытается защитить документ,он обращается по протоколу https к кластеру AD RMS, и если узел кластера не вписан в местную интрасеть, у пользователя повторно запрашивается имя и пароль. Нам это естественно не нужно. Чтобы максимально автоматизировать процесс добавления,создаем групповую политику « IE Security Zone » и прицепляем ее к организационному подразделению Accounts . В этой политике разворачиваем: Конфигурацию Пользователя–> Административные Шаблоны –> Компоненты Windows –> Internet Explorer–> Панель Управления браузером –> Вкладка Безопасности –> Список назначений зоны безопасности для веб-сайтов . Включим данный параметр и прописываем для узла adrms.itband.ru значение равное единице. (1) – это код зоны Местной Интрасети , о других кодах можно прочитать в справке, идущей вместе с параметром политики. Создав политику, применяем ее на клиенте, путем запуска команды gpupdate /force и проверяем результат. В настройках IE8 на клиенте имя нашего кластера должно быть в Местной Интрасети . Теперь все готово для проверки RMS. Выполняем вход наWindows 7 от имени учетной записи Bgates и создаем тестовый документ Word 2007 .Как только он будет готов, выбираем в меню опцию «Подготовить»–> «Ограниченный доступ».Если данной опции вы не видите, значит на вашей рабочей станции стоит младший выпуск офиса и вам стоит еще раз вернуться к первой части статьи и посмотреть,с помощью каких выпусков можно защищать документы. При первой попытке защитить документ ваш компьютер запустит процедуру настройки, и, если у вас все предварительные шаги выполнены правильно, то результатом будет вывод окна ограничения прав. Начнем с простого, разрешим только « Чтение » и только одной учетной записи Sbalmer , прописав в поле чтение его электронный адрес. Сохраняем документ в доступное учетной записи Sbalmer место и выполняем под ней вход. Открыв тот же самый документ под пользователем Sbalmer, видим появившееся предупреждение об ограничение доступа к данному документу. Пытаемся изменить,сохранить, скопировать и видим, что сделать этого не удается. Тем кто думает,что клавиша Print Screen спасет отцов « русской демократии»сразу отвечу: не спасет! Print Screen не работает. И вам остается либо смириться с данными правами, либо запросить дополнительные разрешения у автора документа, отослав ему письмо по электронной почте. Может возникнуть вопрос: что же увидит человек, у которого вообще нет прав на данный документ ?А увидит он сообщение о невозможности открыть файл, по причине отсутствия полномочий. И предложение эти права запросить. Учтите, что в NTFS разрешения на данный документ могут быть хоть Full , но это никак не поможет получить доступ к его содержимому. Снова заходим под учетной записью Bgates и открываем «Ограничение разрешений»,только теперь с дополнительными параметрами. Из появившихся любопытных прав:разрешить Печать содержимого и ограничить срок жизни документа . Если по печати все понятно, то срок действия документа рассмотрим подробней. Срок действия документа указывает, как долго будут действовать установленные ограничения.По окончанию срока жизни доступ к документу сможет получить только пользователь, имеющий « Полный Доступ » . Все остальные получают сообщение об истечении срока разрешений. Звучит красиво, но я столкнулся с некоторыми трудностями. Трудность первая: запоздалая реакция . Мною был создан документ и установлены разрешения со сроком до 12октября. После чего я открыл документ 12 октября в 00:08 и с удивлением обнаружил, что он по-прежнему доступен. Поскольку это был час ночи, продолжать изыскания не хотелось. Утром же вернувшись к этому документ снова, я получил сообщение об истекшем сроке разрешений, т.е. права сработали. Трудность вторая: странное поле . Открывая защищенный документ можно увидеть свои права, в том числе и до какого числа они действительны. Мне на данный момент не ясно, что значит «Срок действия разрешений 60 дней», указанный выше. Логически я понимаю,что там должно быть количество дней до часа Х. (На картинке 16 октября). Откуда взялись 60 дней? Вывод . Со сроком действия разрешений нужно разбираться и разбираться, если кто прояснит ситуацию, я буду очень благодарен. И еще одна капля дегтя . Все свои эксперименты я провожу в виртуальной среде, каждая виртуальная машина имеет по 1.5 Gb оперативной памяти и находится на личном жестком диске. Когда я открываю защищенный документ, либо защищаю новый, время на открытие или защиту документа иногда превышает 45–50 секунд. И это при условии,что между компьютерами нет медленных каналов. Я допускаю, что это особенности виртуализации, но очень похоже на тормоза «by design». Пока вывода сделать не могу,но если это норма, сотрудники будут «не рады» однозначно. Важно понять следующее: 1. Разрешения можно давать как пользователям , так и любым группам Безопасности . Главное, чтобы эти группы имели заполненный атрибут «эл.ящик». Соответственно, разрешения будут действовать на членов этой группы. 2. Большинство пользователей не будет разбираться с расширенными разрешениями, поэтому наша цель – свести их клики к минимуму. Давайте сформируем примитивную задачу: Bgates является начальником ИТ-отдела и ежедневно распространяет среди своих сотрудников документы. Он хочет чтобы ИТ-сотрудники имели одно право – на чтение этих документов. Все остальные не могли бы даже открыть его приказы. В тоже время в отделе есть ИТ-менеджер Sbalmer , который имеет высокую степень доверия и должен на некоторые документы иметь полные права. Для решения этой задачи создаем две группы безопасности: IT full и IT Read .
Написать нам