Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


15.07.2022

Nowa wersja BDRSuite

Vembu Technologies, dostawca oprogramowania do ochrony danych w środowiskach fizycznych,...
15.07.2022

Zarządzanie końcówkami

baramundi software opublikowało nową wersję narzędzia do ujednoliconego zarządzania...
15.07.2022

Cyberzwiadowca

FortiRecon to kompleksowe narzędzie do ochrony przed cyfrowym ryzykiem (Digital Risk...
15.07.2022

Kontrola audiowizualna

Optoma wprowadziła oprogramowanie zintegrowane z chmurową platformą Microsoft Azure do...
15.07.2022

Chmura bezpieczeństwa

Cisco przedstawiło plan stworzenia Security Cloud – globalnej, zintegrowanej, opartej na...
15.07.2022

Nowy laptop do pracy zdalnej

Wielozadaniowość pracy hybrydowej to idea, która była inspiracją dla inżynierów Della...
15.07.2022

Monitoring bez zakłóceń

Firma Axis Communications proponuje nową serię kamer wyposażonych w najnowsze technologie...
15.07.2022

Na poziomie petabajtów

Dostępny jest nowy model HD6500 firmy Synology, pierwszy z serii HD zaprojektowany z...
15.07.2022

Procesory na rynku...

irma AMD ogłosiła, że procesory Threadripper PRO 5000 WX w lipcu br. będą oferowane przez...

Zarządzanie bezpieczeństwem Windowsa 11

Data publikacji: 14-07-2022 Autor: Adam Kamiński

Windows 11 wprowadził wiele aplikacyjnych udoskonaleń zabezpieczeń, a także nowy system ich aktualizacji i zarządzania nimi, który do czasu pojawienia się Windows Update for Bussiness przez wielu uważany był za najsłabszy punkt rozwiązań Microsoftu.

 

Kontrowersje wokół wymagań Windowsa 11 dotyczyły nie tylko kwestii sprzętowych. Wprowadzenie wymogu posiadania konta Microsoft przy pierwszej konfiguracji komputera z systemem Windows 11 w wersji Home
również okazało się problemem. W sieci pojawiły się głosy oburzenia również w związku z ogłoszeniem planów rozszerzenia tego wymogu na komputery z systemem Windows 11 Pro skonfigurowane do użytku osobistego.

 

Za tą decyzją projektową stoją jednak solidne argumenty w zakresie bezpieczeństwa. Po zalogowaniu się przy użyciu konta Microsoft dysk systemowy jest domyślnie szyfrowany, a klucz odzyskiwania jest zapisywany w bezpiecznej lokalizacji, do której dostęp można uzyskać po zalogowaniu się przy użyciu tego konta Microsoft. Minimalizuje to ryzyko, że zapomniane hasło może doprowadzić do katastrofalnej w skutkach utraty danych.

 

W przypadku gdy nie mamy jeszcze microsoftowego konta, możemy utworzyć je w trakcie procesu konfiguracji i używać wyłącznie do logowania się w systemie Windows 11. Pozwala to korzystać z pełnego szyfrowania dysku systemowego, uwierzytelniania wieloczynnikowego oraz (jeśli użytkownik zdecyduje się z niego skorzystać) z 5 GB pamięci masowej w usłudze OneDrive bez dodatkowych opłat. Jeżeli jednak z jakichś powodów nie chcemy z niego korzystać, możliwe jest używanie konta lokalnego. W tym celu konieczne będzie skonfigurowanie konta Microsoftu, a następnie przejście na konto lokalne. Należy jednak pamiętać, że w takiej sytuacji trzeba będzie znaleźć inną opcję szyfrowania i nie będzie dostępny żaden mechanizm odzyskiwania danych w przypadku zapomnienia danych uwierzytelniających logowanie.

 

> AKTUALIZACJE

 

Regularne i przewidywalne instalowanie aktualizacji jest najważniejszym elementem bezpieczeństwa na każdym komputerze z systemem Windows. Tradycyjna obsługa systemu Windows obejmuje kilka typów wydań: główne wersje (na przykład systemy operacyjne Windows 8.1, Windows 8 i Windows 7), pakiety serwisowe i aktualizacje miesięczne. W poprzednich wersjach Okien comiesięczne update’y przytłaczały ogromną liczbą dostępnych aktualizacji. Wiele organizacji wybiórczo decydowało, które z nich zainstalować, a które nie, co prowadziło do sytuacji, w których zamiast niezbędnych zabezpieczeń wdrażany był tylko podzbiór poprawek niezwiązanych z bezpieczeństwem.

 

Model „Windows jako usługa”, wprowadzony przez Microsoft wraz z systemem Windows 10, zmienił sposób zarządzania aktualizacjami. Zamiast otrzymywać co miesiąc kilka aktualizacji i zastanawiać się, których z nich potrzebuje organizacja, co ostatecznie powoduje fragmentację platformy, administratorzy widzą jedną zbiorczą aktualizację miesięczną, która zastępuje aktualizację z poprzedniego miesiąca i zawiera zarówno poprawki bezpieczeństwa, jak i poprawki niezwiązane z nim. Takie podejście upraszcza aktualizację i zapewnia, że urządzenia są lepiej dopasowane do testów przeprowadzonych przez firmę Microsoft, co zmniejsza liczbę nieoczekiwanych problemów wynikających z aktualizacji. Obecnie mamy do czynienia z dwoma typami wydań: aktualizacjami funkcji, które dodają nowe funkcje, oraz aktualizacjami jakości, które zapewniają poprawki zabezpieczeń i niezawodności.

 

Aktualizacje jakościowe są dostarczane co miesiąc, w drugi wtorek każdego miesiąca, za pośrednictwem usługi Windows Update. Nie zawierają one nowych funkcji. Znajdziemy tu zatem poprawki: krytyczne, problemów związanych z bezpieczeństwem i niezawodnością, ale także nowe wersje sterowników przygotowywanych przez producenta systemu (aktualizacje te zawierają również poprawki do błędów mikrokodu w procesorach firmy Intel). Ponadto w skład aktualizacji jakościowych wchodzą nowe wersje innych programów Microsoftu, np. pakietu biurowego Office czy IDE Visual Studio. W przypadku szczególnie poważnych problemów z zabezpieczeniami Microsoft może zdecydować się na wydanie aktualizacji poza pasmem, która nie jest związana z normalnym harmonogramem miesięcznym. Wszystkie aktualizacje jakościowe mają charakter kumulatywny, więc nie trzeba już pobierać dziesiątek czy nawet setek aktualizacji po przeprowadzeniu czystej instalacji Windowsa. Zamiast tego wystarczy zainstalować najnowszą aktualizację zbiorczą, aby być w pełni na bieżąco. Można także zdecydować o wstrzymaniu dystrybucji aktualizacji bądź jej wymuszeniu. Instalacje aktualizacji jakościowych można wstrzymać na maksymalnie 30 dni.

 

Aktualizacje funkcji (ang. feature updates) są odpowiednikiem tego, co kiedyś nazywano aktualizacjami wersji. Zawierają one nowe funkcje i wymagają pobrania wielu gigabajtów oraz przeprowadzenia pełnej konfiguracji. Obecna polityka Microsoftu zakłada wydawanie jednej aktualizacji funkcji systemu Windows 11 rocznie, w jego drugiej połowie. Aktualizacje funkcji są dostarczane za pośrednictwem usługi Windows Update i nie są instalowane automatycznie, chyba że bieżąca wersja osiągnęła koniec okresu wsparcia technicznego.

 

Jeżeli ustawienia aktualizacji zostawimy jako domyślne, system Windows 11 będzie pobierał i instalował update’y jakościowe wkrótce po ich udostępnieniu na serwerach aktualizacji firmy Microsoft. Na urządzeniach z systemem w wersji Home nie ma obsługiwanego sposobu określania dokładnego czasu instalowania tych aktualizacji. Natomiast na komputerach z biznesowymi edycjami systemu Windows 11 (Pro, Enterprise lub Education) można użyć ustawień zasad grupy, aby automatycznie odroczyć instalację aktualizacji jakościowych na komputerach maksymalnie o 30 dni od ich wydania. Niezależnie od zainstalowanej edycji użytkownicy mogą ręcznie wstrzymać wszystkie aktualizacje na okres do pięciu tygodni.

 

Podobnie jak w przypadku wszystkich decyzji dotyczących bezpieczeństwa wybór momentu instalowania aktualizacji wiąże się z wyborem między instalowaniem aktualizacji natychmiast po ich wydaniu (co zapewnia najlepszą ochronę) a odroczeniem aktualizacji (co pozwala na zminimalizowanie nieplanowanych przestojów związanych z tymi aktualizacjami). Podejmując ten wybór, trzeba pójść na pewien kompromis. Jak już wspominaliśmy, korzystając z funkcji Windows Update for Business wbudowanej w systemy Windows 11 Pro, Enterprise i Education, można odroczyć instalację aktualizacji jakościowych nawet o 30 dni. Można również opóźnić aktualizacje funkcji nawet o dwa lata, w zależności od edycji. Odroczenie ich o 7–15 dni to sposób na uniknięcie ryzyka zainstalowania wadliwej aktualizacji, która może spowodować problemy ze stabilnością lub kompatybilnością.

 

W systemie Windows 11 jedynym sposobem dostosowania ustawień usługi Windows Update for Business jest użycie lokalnego menedżera zasad grupy (gpedit.msc) – odpowiednie zasady znajdują się w obszarze Konfiguracja komputera | Szablony administracyjne | Składniki systemu Windows | Windows Update. W Windows Update for Business można stosować oddzielne polityki dla konkretnych rodzajów aktualizacji. Dzięki temu wprowadzane harmonogramy i zasady mogą się znacząco różnić ze względu na to, czy mamy do czynienia z feature updates, comiesięcznym biuletynem bezpieczeństwa, czy aktualizacją opcjonalną.

 

W sieciach firmowych administratorzy mogą zarządzać aktualizacjami za pomocą Zasad grupy lub oprogramowania do zarządzania urządzeniami mobilnymi (MDM). Aktualizacjamimożna również zarządzać centralnie za pomocą narzędzia do zarządzania, takiego jak System Center Configuration Manager lub Windows Server Update Services. Strategia aktualizacji oprogramowania nie powinna kończyć się na samym systemie Windows. Należy upewnić się, że aktualizacje aplikacji systemu Windows, w tym pakietu Microsoft Office, są instalowane automatycznie.

 

> METODY AKTUALIZACJI

 

Istnieje wiele narzędzi, których można używać do serwisowania systemu Windows jako usługi. Każda opcja cechuje się innymi właściwościami – od możliwości i kontroli po prostotę i niskie wymagania administracyjne. Poniżej przedstawiono przykłady narzędzi serwisowych dostępnych w celu zarządzania aktualizacjami systemu WaaS:

 

  • Usługa Windows Update (samodzielna) – zapewnia ograniczoną kontrolę nad aktualizacjami funkcji, a informatycy ręcznie konfigurują urządzenie, aby znalazło się w kanale dostępności ogólnej. Organizacje mogą określić, które urządzenia mają odraczać aktualizacje, zaznaczając pole wyboru Odraczaj aktualizacje w menu Start | Ustawienia | Aktualizacje i zabezpieczenia | Opcje zaawansowane na urządzeniu klienckim z systemem Windows;
  • Usługa Windows Update for Business – obejmuje kontrolę nad odraczaniem aktualizacji i zapewnia scentralizowane zarządzanie przy użyciu zasad grupy lub MDM. Za pomocą tej usługi można odraczać aktualizacje nawet o 365 dni, w zależności od wersji. Te opcje wdrażania są dostępne dla klientów w kanale ogólnej dostępności. Oprócz możliwości korzystania z Zasad grupy do zarządzania usługą Windows Update for Business każdą z tych opcji można skonfigurować bez konieczności posiadania infrastruktury w siedzibie firmy za pomocą usługi Microsoft Intunel
  • Usługi Windows Server Update Services (WSUS) – zapewniają szeroką kontrolę nad aktualizacjami i są natywnie dostępne w systemie operacyjnym Windows Server. Oprócz możliwości odkładania aktualizacji na później organizacje mogą dodać warstwę zatwierdzania aktualizacji i zdecydować się na wdrażanie ich na określonych komputerach lub grupach komputerów, gdy tylko będą gotowe;
  • Microsoft Endpoint Configuration Manager – zapewnia największą kontrolę nad obsługą systemu Windows jako usługi. Informatycy mogą odraczać aktualizacje, zatwierdzać je, a oprócz tego mają wiele opcji ukierunkowania wdrożeń oraz zarządzania wykorzystaniem przepustowości i czasem wdrażania.

 

> KANAŁY AKTUALIZACJI

 

Kanały obsługi to pierwszy sposób na podzielenie użytkowników na grupy przydziału aktualizacji funkcji i aktualizacji jakości. Istnieją trzy kanały obsługi, z których każdy zapewnia różne poziomy elastyczności w zakresie czasu dostarczania aktualizacji do komputerów klienckich:

 

  • kanał ogólnej dostępności (ang. General Availability Channel) otrzymuje aktualizacje funkcji, gdy tylko są one dostępne. W kanale tym aktualizacje funkcji są dostępne co roku. Ten model obsługi jest idealny do wdrożeń pilotażowych i testowania aktualizacji funkcji oraz dla użytkowników takich jak programiści, którzy muszą pracować z najnowszymi funkcjami. Gdy najnowsze wydanie przejdzie przez wdrożenie pilotażowe i testowanie, użytkownik będzie mógł wybrać termin, w którym zostanie ono wdrożone na szeroką skalę. Gdy Microsoft oficjalnie wydaje aktualizację funkcji, udostępniana jest ona na wszystkich urządzeniach, które nie zostały skonfigurowane do odraczania aktualizacji funkcji, aby mogły ją natychmiast zainstalować. Organizacje korzystające z usług Windows Server Update Services (WSUS), Microsoft Endpoint Configuration Manager lub Windows Update for Business mogą jednak odroczyć aktualizacje funkcji dla wybranych urządzeń, wstrzymując ich zatwierdzenie i wdrożenie. W takim scenariuszu zawartość dostępna dla kanału Powszechnej dostępności będzie dostępna, ale niekoniecznie natychmiast obowiązkowa, w zależności od zasad systemu zarządzania;
  • kanał długoterminowej obsługi serwisowej (ang. Long-Term Servicing Channel), który jest przeznaczony tylko dla urządzeń specjalistycznych (na których zwykle nie działa pakiet Office), takich jak urządzenia sterujące sprzętem medycznym lub bankomatami, otrzymuje nowe wersje funkcji co dwa do trzech lat. Urządzenia te są zazwyczaj zaprojektowane i zbudowane do wykonywania jednego zadania i nie wymagają aktualizacji funkcji tak często jak inne urządzenia w organizacji. W ich przypadku priorytetem jest, aby były utrzymywane w stanie możliwie stabilnym i bezpiecznym, niż aby były na bieżąco ze zmianami w interfejsie użytkownika. Model serwisowania LTSC sprawia, że urządzenia Enterprise LTSC nie otrzymują typowych aktualizacji funkcji, a jedynie aktualizacje jakościowe zapewniające aktualność zabezpieczeń urządzeń. Ze względu na to aktualizacje jakościowe są nadal natychmiastowo dostępne dla klientów Windows 10 Enterprise LTSC, ale klienci mogą zdecydować się na ich odroczenie;
  • program Windows Insider umożliwia organizacjom testowanie i przekazywanie informacji zwrotnych na temat funkcji, które zostaną udostępnione w następnej aktualizacji.

 

[...]

 

Autor jest testerem oprogramowania oraz entuzjastą technologii kwantowych i rozproszonych rejestrów. Redaktor prowadzący „IT Professional”.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"