Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Minulé úterý jsme se dočkali další májové kratochvíle, nového vydání Windows 10, tentokrát s číslem 1903.
Během následujících dní se objeví nejen jako další klasifikace pro WSUS, ke stažení v rámci Windows Update for Business, ale také v portálech VLSC (nebo Business Central) i MSDN (dnes Visual Studio) a Download Center (také Media Creation Tool).
Bezpečnost systému a uživatelských identit
Možnost vzdálené atestace stavu zabezpečení a ochrany koncového bodu společně s izolací ATP (Advanced Threat Protection) komponent do chráněného režimu dále omezuje možnost odstavení lokální ochrany.
Především vylepšení v možnosti nepoužívat hesla pro přístup k aplikacím i samotné stanici jsou důležitou novinkou, kterou doporučuji nepřehlížet. Neboť právě krádeže identit a přihlašovacích údajů jsou ty nejčastější metody útoků na firemní prostředí a data, ale především i soukromí uživatelů.
Attack Surface Area Reduction - Možnost definovat seznam povolených či zakázaných IP adres a URL
Windows Sandbox - Izolované virtuální prostředí, ve kterém je možné spouštět nedůvěryhodné aplikace, které tak nemají přístup k prostředí operačního systému.
Certifikace FIDO2 - Windows Hello je nyní certifikovaným autentizačním mechanismem. Webové stránky tak mohou nyní bezpečně využít účet Microsoft i firemní účet z Azure AD pro ověření uživatele například s potvrzením otisku prstu bez nutnosti zadání hesla uživatele.
Účet bez hesla - V případě telefonního čísla či autentizační aplikace Microsoft je nyní možné se přihlásit do nového účtu jen za pomocí telefonu bez vytvoření hesla pro daný účet.
Vzdálená plocha s biometrií - Připojení ke vzdáleným počítačům nyní podporu Windows Hello for Business. Dále tak eliminuje potřebu předávat hesla v prostředí, byť i mezi systémy.
Windows Defender i pro Windows Subsystem for Linux - Nyní je možné vytvářet pravidla přístupu k síti i pro procesy pocházející právě z WSL. Jednotlivá linuxová jádra, stejně jako nový Windows Terminal, lze tak provozovat bezpečněji.
A pak jsou tu i milé drobnosti pro ochranu soukromí uživatelů jako upozornění při spuštění mikrofonu, které je detekováno ikonou v oznamovacím panelu či další informace o telemetrii systému a aktualizací. Podobně ochrana proti změně bezpečnostního nastavení vyžaduje vyšší práva a potvrzení, pokud by mělo dojít ke změně konfigurace snižující bezpečnost.
Aktualizační proces
Příjemných novinek se dočkáme i v oblasti samotného procesu upgrade, tedy prvotní aktualizace a aktualizací následujících.
Delivery Optimization, umožňující lepší sdílení aktualizací mezi koncovými stanicemi, má nyní celou sadu nových politik pro konfiguraci ve větších sítích. Stejně tak nyní podporuje i sdílení obsahu aktualizací pro Office 365 ProPlus a aplikace doručované skrz Intune. Podpora ze strany SCCM pro využití přijde v dalších aktualizacích.
Pomocí Reserved Storage si systém alokuje dodatečný prostor pro budoucí aktualizace a kritické fungování systému. Tedy i pokud dojde místo na systémovém disku, systém bude stále funkční a budou probíhat aktualizace.
Možná drobností, ale značným zjednodušením v plánování, je jedno výchozí datum pro vydání nových upgrade počínaje verzí 1903 a efektivní konec takzvaného SAC-T (Semi-Annual Channel Targeted).
Microsoft nyní přidá 60 dní k datu, které je nastavené pro odložené aktualizace pro váš standardní SAC a tím manuálně docílí původního rozdílu v těchto dvou aktualizačních kanálech. Ale to jen a právě pro 1903 vydání. Do budoucna je tak nutné počítat s plánováním ve formě pozdržení aktualizace od data vydání o X dnů pro běžné aktualizace a Y dnů pro velké upgrade.
Že předchozím větám nerozumíte? Možná není se co divit, informací nebylo historicky málo a lehce se měnily. Nejednoduší je zapomenout, co jste nyní věděli, mysleli, doufali, či předpokládali a začít s čistou hlavou plánovat budoucí aktualizace od verze 1909.
Ta se vám totiž bude s jasnou podporou 18 měsíců pro Home a Pro a 30 měsíců pro Enterprise a Education (neboť se jedná o podzimní vydání, jarní mají podporu 18 měsíců pro všechny edice) mnohem lépe plánovat právě ve formě prostého odložení o určitý počet dnů.
Nová verze také přináší vylepšení procesu pro případy, kdy zařízení již měla aktualizaci instalovat, ale z důvodů aktivity uživatele, vypnutí počítače a dalších k tomu ještě nedošlo. Patří k nim nová notifikace a plánování restartu pro uživatele, možnost vynucení instalace a restartu po určité době, možnost odložit restart po určitou dobu a také lepší nastavení aktivních pracovních hodin.
Správa zařízení
Windows Autopilot sloužící pro prvotní konfiguraci počítače ve firemním vlastnictví nyní sleduje instalaci i Win32 aplikací a konfiguraci již ve fázi instalace OEM systému výrobcem daného hardware.
Nové MDM politiky umožňují spravovat chování Microsoft Edge i šifrování BitLocker pro Azure AD zařízení. Většina bezpečnostních funkcí lze konfigurovat společně s automatickou aktivací licencí přes Microsoft 365 administrační portál. Security Baselines v rámci Intune umožňují rychle nasadit doporučené bezpečnostní politiky.
Windows 7 končí již v lednu 2020
Zároveň připomínáme, že podpora Windows 7 SP1 končí v lednu 2020. Nejvyšší čas přejít na Windows 10, pokud nemáte v prostředí pouhé jednotky kusů počítačů. Pak už jen nezapomenout pravidelně aktualizovat. Chcete vědět jak? Ptejte se na TechNet Fórech nebo u svého technického partnera.