Windows 7 глазами IT-специалиста

Владимир «turbina» Ляшко (v.turbina@gmail.com)

Windows 7 задолго до появления первых сборок вызвала огромный интерес среди IT-специалистов и простых пользователей. И хотя архитектура, построенная на коде Vista и Win2k8, осталась, в общем, не изменной, в семерке и сопутствующих инструментах сделано ряд действительно полезных усовершенствований, которые позволят администратору получить действительно легко управляемую и безопасную систему.

Содержание:

1. Новое в инструментах развертывания
2. Сетевые возможности
3. Технологии безопасности
4. Изменения в Windows Firewall
5. Управление UAC
6. Заключение
7. Боковые выносы

Новое в инструментах развертывания

Во-первых, произошли изменения в инструментах для сборки системы. Самым заметным из них было включение средства миграции пользовательской среды USMT (User State Migration Tool) в состав Windows AIK (Windows Automated Installation Kit, Пакет автоматической установки Windows), предназначенного для быстрого переноса файлов, настроек ОС и приложений, а также параметров пользователей при масштабном развертывании ОС от Microsoft. Версия USMT 4.0 получила ряд новых возможностей. Теперь к утилитам ScanState (сбор файлов и параметров) и LoadState (перенос данных) добавлена новая – UsmtUtils — их дополняющая. UsmtUtils обладает всего двумя параметрами. При помощи /ec можно получить список поддерживаемых алгоритмов шифрования (AlgIDs) в текущей системе, а /rd удаляет ссылку на каталог, используемый в аргументе команды из базы, сформированной ScanState. Последнее может быть полезно при удалении жестких ссылок, заблокированных по разным причинам. Нужная информация для ScanState/LoadState по-прежнему находится в нескольких XML-файлах переноса: MigApp.xml, MigUser.xml, MigDocs.xml, Config.xml (создается при помощи /genconfig). Теперь при переносе учетной записи не требуется обязательное подключение к домену, ScanState способен производить сбор данных из неработающей системы (например, используя Windows PE), более точно определять требуемый для миграции размер раздела и время.
В сценарии Config.xml появились новые параметры и секции. Например, секция <ErrorControl> позволяет указать системные файлы, ошибки чтения/записи которых можно игнорировать и не прерывать операцию. При запуске с ключом /genconfig в Config.xml создается секция, в которой описаны наиболее типичные ситуации. Две функции MigXmlHelper.FileProperties и MigXmlHelper.GenerateDocPatterns могут быть использованы для контроля миграции файлов по определенным критериям (размер, время создания и модификации и т.д.) и поиска документов пользователя на компьютере. Получить полный список файлов, которые будут перенесены, теперь можно при помощи специального ключа /listfiles. Новый раздел <ProfileControl> предоставляет возможность изменять членство в локальной группе в ходе миграции.
Перенос пользовательских данных при установке системы — самая ответственная часть, ведь главное ничего не потерять, и сделать так, чтобы пользователь, загрузившись в новую ОС, сразу же мог приступить к работе. Весь процесс выглядит следующим образом. Сначала данные каталогизируются, затем копируются в безопасное место и после установки ОС возвращаются обратно. Учитывая, что объем данных каждого пользователя может превышать несколько Гб, это требует дополнительное место для их хранения и ресурсы, в итоге развертывание системы на этом этапе сильно замедляется. В новом WAIK вместо переноса всей информации используется так называемая миграция жестких ссылок (Hard Link Migration), активируемая параметром /hardlink, что позволяет в значительной степени сократить объемы копируемых данных, а значит, уменьшить время на развертывание и восстановление системы.

ScanState c:\store /o /c /i:migapp.xml /i:miguser.xml /nocompress /hardlink

Теперь в c:\store будут храниться жесткие ссылки на каждый пользовательский файл. При переносе ОС жесткий диск будет очищен, кроме файлов, заблокированных такими ссылками. Учитывая, что данные, по сути, не копируются, весь процесс происходит заметно быстрее. За Hard Link Migration в XML файлах отвечает секция <HardLinkStoreControl>.
Еще один новый ключ /vsc команды ScanState позволяет использовать службу теневого копирования (Volume Shadow Copy) для захвата файлов, заблокированных другими приложениями. Для шифрования данных в третьей версии USMT использовался алгоритм 3DES, теперь через параметр /encrypt можно указать AES с ключом 128/192/256 бит.
Новая версия WAIK поддерживает новую унифицированную командную утилиту DISM (Deployment Image Servicing and Management), используемую для построения и обслуживания WIM образов Vista SP1, Win2k8, Win2k8 R2 и Windows 7. DISM функционально заменяет Package Manager (pkgmgr.exe), PEimg и Intlcfg, которые, кстати, никуда не делись и также входят в состав Windows 7 и Win2k8 R2. Теперь возможно добавлять или удалять драйвера к монтируемым или уже работающим образам, тогда как ранее драйвер необходимо было интегрировать перед началом развертывания. Кроме WIM, возможна работа и с VHD-образами. Следует отметить, Windows 7 позволяет монтировать VHD-диски виртуальных машин, а функция VHD Boot легко переходить в виртуальную среду и обратно.
WAIK поддерживает развертывание Windows 7 и Win2k8 R2 в дополнение к существующим WinXP SP3, Vista SP1 и Win2k3.
Рядовые пользователи для копирования всех настроек и переноса данных на внешний источник могут воспользоваться утилитой Windows Easy Transfer.

Рис. 1. Настройки в Windows 7 разбиты более логично

Сетевые возможности

Все нововведения в сетевых протоколах, которые были доступны в Vista и Win2k8, интегрированы и в Windows 7. Например, поддержка SMB 2.0 означает ускоренное копирование файлов по сети за счет пакетной отправки данных, когда подтверждение дается на группу, а не каждый пакет, как это было в SMB 1.0. Изменения в стеке TCP/IP позволяют устанавливать динамический размер буфера, тогда как в SMB 1.0 буфер был фиксированный (64 Кб), что замедляло передачу больших потоков данных. В результате средняя скорость копирования файлов увеличилась приблизительно в 3 раза. Также SMB 2.0 различает символические ссылки NTFS и позволяет их использовать в названиях сетевых ресурсов. При обмене данными с ОС не ниже Vista SMB 2.0 устанавливается автоматически, иначе используется устаревшая версия протокола.
В Windows 7 появилась интересная функция BranchCache, позволяющая повысить скорость работы сети и снизить время загрузки приложений и нагрузку на внешний канал за счет кэширования данных. Выглядит это так. Пользователь открыл страницу или скачал файл с сервера головного офиса, его копия сохраняется в кэше. Когда другой пользователь, входящий в эту же сеть, запрашивает аналогичный файл, сервер проверяет запрашиваемые данные на предмет их возможного кэширования. Если это подтверждается, то обратно, вместо повторной передачи всей информации, отправляется только хэш, по которому находятся кэшированные данные. BranchCache поддерживает стандартные протоколы HTTP/HTTPS и SMB, что позволяет взаимодействовать с широким спектром приложений.
Новая технология может работать в одном из двух режимов:

• Hosted cache – кэшируемые данные хранятся на отдельном сервере, работающем под управлением Win2k8 R2. Этот режим удобен для больших сетей.
• Distributed cache – распределенный кэш, когда данные кэшируются на клиентских компьютерах и по (широковещательному) запросу пересылаются на другие системы.

При построении BranchCache учтены все требования безопасности. Так сервер выдаст хэш только убедившись, что данный клиент имеет право получить искомый файл. При запросе производится сверка версий, гарантируя, что будет доставлена только самая последняя редакция файла.
Ранее для подключения мобильных систем к корпоративной сети использовалась технология VPN, сам процесс требовал некоторой подготовки пользователя, не говоря уже о том, что админ должен был все правильно настроить. При наличии в компании клиентских систем Windows 7 и сервера Win2k8 R2 для доступа к ресурсам внутренней сети можно использовать новую функцию DirectAccess, позволяющую устанавливать защищенное соединение по протоколам IPsec и IPv6, используя для шифрования трафика алгоритм 3DES или AES. Схема такой связи внешне похожа на VPN. Главным отличием DirectAccess от VPN является установление соединения в фоновом режиме без участия пользователя, что делает работу прозрачной, максимально простой и удобной. Системный администратор может управлять удаленной системой путем обновления групповых политик, которые применяются до входа пользователя в систему. Кроме авторизации компьютера, поддерживается многоуровневая проверка подлинности пользователя (пароль, смарт-карта). Теперь доступ к ресурсам внутренней сети для каждого пользователя можно настраивать отдельно.
Нельзя не отметить, что Windows 7 автоматически находит сетевые принтеры и настраивает устройства. Более того, для каждой сети можно задать свой принтер по умолчанию. Ранее все это требовало вмешательства со стороны админа/пользователя, а в некоторых случаях применения скриптов и сторонних утилит.
Благодаря поддержке седьмой версии протокола RDP, клиент Remote Desktop Client получил новые возможности. Среди них — поддержка технологий Aero Glass, Direct2D и Direct3D 10.1, DirectShow, Media Foundation. Увеличена производительность, уменьшены задержки звука и многое другое. Удаленный рабочий стол весьма быстро реагирует на события даже во время просмотра видео в высоком качестве.

Рис. 2. Благодаря поддержке RDP 7, клиент подключения к удаленному рабочему столу получил новые возможности

Технологии безопасности

Одной из интересных новинок в Windows 7 является AppLocker, позволяющий управлять работой приложений. Используя его, админ может четко задать программы, которые разрешается запускать на пользовательских компьютерах. Технология контролирует все типы файлов, которые могут нанести вред системе: исполняемые и установочные файлы (exe, msi, msp), скрипты (bat, cmd, vbs, js) и библиотеки (dll, ocx). Ранее для этих целей приходилось задействовать несколько запутанные политики ограниченного использования программ SRP (Software Restriction Policies). Настройка AppLocker производится при помощи групповых политик на сервере Win2k8 R2. При построении правила можно указать путь к файлу, хэш и цифровую подпись.
Если приходится делить компьютер с другими пользователями, которые любят менять настройки или способны удалить чужой файл, на помощь придет функция «PC Safeguard», которая активируется установкой переключателя «Turn On PC Safeguard» в свойствах обычной (не админской) учетной записи. После выхода из системы все изменения в настройках будут отменены, а новые файлы удалены (после регистрации в системе или создании нового файла пользователь предупреждается об этом). Есть возможность выделить каждому пользователю логический диск определенного размера. Ранее, чтобы получить функциональность PC Safeguard, необходимо было устанавливать отдельную утилиту Windows SteadyState, теперь эта функция встроена, и возможно получит большую популярность.
BitLocker, при помощи которого можно полностью зашифровать системный раздел или раздел с данными (начиная с Vista SP1), получил в Windows 7 дальнейшее развитие. Во время установки автоматически происходит создание двух разделов (загрузочный и системный), необходимых для работы BitLocker, ранее пользователь должен был позаботиться об этом самостоятельно. Новая технология, получившая название BitLockerToGo, позволяет шифровать и внешние носители (флэшки или жесткие диски), отформатированные в FAT/FAT32, ExFAT или NTFS. Доступ к зашифрованным носителям возможен по паролю или смарт-карте с любого компьютера. Единственное, что если это не Windows 7, то возможно лишь чтение данных. Сам BitLocker для выбранного раздела или сменного носителя теперь можно включить в контекстном меню, выбрав пункт «Turn On BitLocker», а не искать его в Панели Управления. Обратная операция по расшифровке флэшки также проста.

Рис. 3. Активируем BitLockerToGo для флэшки

Изменения в Windows Firewall

Первые версии Windows не имели встроенных средств блокировки сетевого трафика, но многочисленные эпидемии показали необходимость в такой функциональности. И, начиная с WinXP SP1, пользователи получили Windows Firewall, который с SP2 активируется по умолчанию. Правда, первое, что делает любой юзер после установки системы, это отключает WF. И все потому, что он кишит ошибками, не удобен в настройке (можно только включить или отключить WF, доступно всего 2 статических профиля: доменный и стандартный) и ограничен в плане функциональности (например, умеет фильтровать только входящий трафик). Vista получила обновленный WF, ставший одним из компонентов Центра обеспечения безопасности Windows. К главным его особенностям стоит отнести: возможность фильтрации исходящего трафика, способность выявлять некоторые типы сетевых атак, обеспечение контроля доступа программ в сеть, поддержка IPv6 и IPsec, настройка параметров через объекты групповой политики Group Policy Object (GPO). WF в Vista получил три динамических профиля настроек (domain, private, public), которые можно привязывать к интерфейсам. При подключении к сети система идентифицирует эту сеть и применяет наиболее подходящий профиль. Если в сети обнаружен контроллер домена, устанавливается domain, самым защищенным является public. Чтобы при последующем подключении к сети был установлен тот же профиль, в системе запущена специальная служба Network Location Awareness (NLA), сохраняющая информацию о сети в своей базе данных. В Висте единственное, но очень неприятное ограничение связано с тем, что в единицу времени может быть активен только один профиль. Если компьютер подключен сразу к нескольким сетям, применяется наиболее ограничивающий профиль, что часто вызывает проблемы с подключением. Внешне настройки WF в Windows 7 не изменились, но теперь может быть активно несколько профилей. В настройках шаблонов Private и Public пользователь может заблокировать все входящие соединения для программ, не включенных в список разрешенных (Block all incoming connections, including those in the list of allowed programs), что обеспечивает максимальную защиту. Дополнительно можно получать уведомления при попытке новой программы выйти в интернет (Notify me when Windows Firewall blocks a new program). Таким же образом легко отключить WF для определенного профиля.

Рис. 4. В Windows Firewall в Windows 7 может быть активно несколько профилей

Еще одно удобство связано с настройками. Ранее все изменения сохранялись в активном профиле, при применении другого профиля их приходилось повторять. Теперь можно явным образом задать профили, для которых производится изменение. Чтобы задать несколько портов в Vista, их необходимо было перечислять через запятую, в новой версии можно указывать диапазон.
Кроме того, сторонние разработчики получили обновленный API, позволяющий легко задействовать возможности WF или добавить свои функции.

Рис. 5. Изменения не обошли и настройки Windows Firewall

Управление UAC

В Windows работа с правами администратора сулит множество удобств – все действия разрешены, не требуется никаких дополнительных разрешений для установки программ, обновления системы, доступа к разделам жесткого диска и прочее. Минус – любой вирус, запущенный из-под привилегированной учетной записи, выполняется с правами администратора, т.е. имеет доступ фактически к любому компоненту системы. В Unix эту проблему решили уже давно. В Windows серьезно с этим начали бороться в Vista, в которой впервые применен механизм, получивший название UAC (Управление учетными записями пользователя). При активном UAC администраторы работают в системе фактически с правами обычного пользователя. Если же для выполнения задачи требуются права администратора, то выдается запрос на подтверждение повышения привилегий (в специальном режиме Secure Desktop, не позволяющем программно нажать кнопку). И только в этом случае конкретное приложение будет выполнено с правами администратора. Большим минусом UAC является его «забывчивость», он «не запоминает» программу, и потому запрос повторяется при каждом ее запуске. Механизм достаточно прост и в то же время эффективен, но именно работа UAC вызывала и вызывает наибольшее раздражение у пользователей Vista своими постоянными запросами во время установки новой программы и при запуске исполняемого файла. Настройки работы UAC в Vista отсутствуют как класс, можно лишь включить/отключить и заставить админа каждый раз вводить пароль для подтверждения своих полномочий. В Unix к такому привыкли, пользователь Windows все-таки разбалован. В итоге первое, что делает юзер сразу после установки Vista, — отключает UAC. Но такое действие не рекомендуется с точки зрения безопасности. Кстати, здесь можно порекомендовать утилиту TweakUAC, которая помимо отключения и включения UAC, позволяет перевести его в «тихий» режим. В этом случае UAC включен, но запросы по большинству незначительных параметров не будут выводиться и досаждать пользователю.
Разработчики прислушались к мнению пользователей, и в Windows 7 появилось 4 варианта настроек UAC. Теперь они находятся в «Control Panel – System and Security – Change User Account Control setting»:

• Always notify – запрос выдается в любом случае (как в Vista);
• Default (установлен по умолчанию) — оповещение производится только в том случае, если системные настройки изменяются программно, если же действие производит зарегистрировавшийся пользователь, UAC не задает вопросов;
• Notify me only when programs try to make changes to my computer – похож на предыдущий, только Secure Desktop при вызове UAC не используется;
• Never notify you – отключить UAC.

Последние два пункта отмечены как не рекомендуемые, но нужно отметить, что работа в Default довольно комфортна. Кстати, в настоящее время UAC никак не реагирует, если приложение, запущенное пользователем, пытается изменить настройки UAC, что позволяет незаметно его отключить (данную ошибку планируют устранить в RC1).

Рис. 6. В настройках UAC теперь четыре уровня реакции

Заключение

Как ты мог заметить, изменений в Windows 7 достаточно много, простой прической Vista здесь не обошлось. Алгоритм многих функций и элементов перестроен кардинально, и у администратора теперь больше возможностей по организации удобной и безопасной среды. Хотя реализовать некоторые из них удастся только при наличии новой версии сервера Win2k8 R2 (Windows Server 7), о которой поговорим в одном из следующих номеров.

Боковые выносы

INFO

• Подробнее о WAIK читай в статье «Самосборные окна» в январском номере Хакера за 2009 год.

• Интересный факт — после публикации Windows 7 Beta Microsoft получила более полумиллиона рационализаторских предложений от пользователей-тестеров со всего мира.

• Если набрать в поле поиска меню Пуск текст winver, то можно увидеть окно «О системе», где отображена вся информация о версии и номере сборки Windows 7, включая дату истечения срока активации.

• DirectAccess можно настроить так, чтобы через сервер проходил только трафик, предназначенный для корпоративной сети.

WWW

• Бета-версию Windows AIK для Windows 7 можно загрузить с technet.microsoft.com.

• Блог разработчиков Windows 7 — blogs.msdn.com/e7ru.

Статья опубликована в майском номере журнала «Xakep» за 2009 год.