Защита общедоступных компьютеров с помощью Windows SteadyState, часть 1
Если вы хотите прочитать следующую часть этой серии статей, перейдите к статье Защита общедоступных компьютеров с помощью Windows SteadyState, часть 2.
Первая часть этой серии статей будет включать краткое введение в возможности Windows SteadyState (WSS). Мы рассмотрим новую версию в сравнении со старыми версиями, системные требования, защиту диска Windows (WDP) и способы начала работы.
В следующих статьях мы немного углубимся в слои этого замечательного инструментария. Но сначала нужно освоить основы…
Компьютеры с общим доступом
Если вы когда-либо управляли компьютерами с общим доступом, такими как компьютеры в школах, публичных библиотеках, интернет-кафе, киосках и т. д., вы, вероятно, знаете, как сложно поддерживать работу компьютеров в долгосрочной перспективе, а также поддерживать высокий уровень безопасности. и в актуальном состоянии, без лишней работы и «практической работы». Что нам нужно, так это решение, которое защищает жесткие диски от несанкционированных изменений, поскольку некоторые изменения требуются (например, обновления), а другие нет (например, когда дети и другие люди меняют макет рабочего стола, ярлыки меню «Пуск», системные настройки и что-то еще хуже)..
Возможно, вы, как и я, пробовали аппаратные решения с контроллерами жестких дисков, перенаправляющими записи из системного/загрузочного раздела в скрытый раздел, который затем «сбрасывается» при каждой перезагрузке. Это очень хорошее решение; однако мы сталкиваемся с проблемой при обновлении компьютеров, например. Центр обновления Windows, Центр обновления Office, обновления антивирусных сигнатур и т. д. В этом случае компьютеры должны быть загружены в режиме «менеджер» или «администратор», прежде чем мы сможем внести какие-либо изменения.
Вы, вероятно, также пытались загрузить множество локальных параметров групповой политики, чтобы не допустить любопытства к системным настройкам, параметрам меню «Пуск» и рабочего стола и т. Д., Просто чтобы компьютер можно было использовать более пары дней. Но, тем не менее, вы не чувствовали, что этого достаточно для вашего сценария — возможно, отчасти из-за того, что все локальные пользователи, даже администраторы и служба поддержки, были затронуты теми же ограничениями локальной политики.
Что ж, Microsoft предлагает решение для администраторов с вышеупомянутыми очень распространенными проблемами. Инструментарий называется Windows SteadyState — никакого дополнительного оборудования не требуется… Всего лишь быстрая загрузка, несколько щелчков мышью и полезный «мастер» для полной защиты системы.
Какие новости?
Если вы когда-либо сталкивались с упомянутыми проблемами раньше, вы, вероятно, тестировали Microsoft Shared Computer Toolkit, который на самом деле был довольно хорош. Windows SteadyState — это расширенная версия этого инструментария, которая еще проще в установке, настройке и управлении.
фигура 1
Вот некоторые из новых функций, добавленных в набор инструментов:
- Новая пользовательская консоль с навигацией по вкладкам, позволяющая легко управлять общими компьютерами с единой консоли.
- Защита диска Windows теперь основана на файлах, поэтому вы можете настроить и установить ее без изменения разделов диска.
- Защита диска Windows теперь поддерживает групповую политику, поэтому вы можете управлять ею в среде Active Directory.
- Дополнительные параметры ограничения программного обеспечения дают вам больший контроль над тем, какие программы можно использовать.
- Дополнительные параметры ограничения пользователей, в том числе значительно больший контроль над Internet Explorer.
- Высокий, средний и низкий уровень безопасности по умолчанию обеспечивают более быструю и простую настройку.
- Легко импортируйте и экспортируйте пользовательские ограничения прямо из консоли, не используя инструменты командной строки.
- Упрощенная настройка и улучшенная документация помогут вам начать работу.
Имея в виду эти замечательные усовершенствования, давайте просто вспомним самую фундаментальную и чрезвычайно важную технологию, которую мы получаем с Windows SteadyState для Windows XP: защита диска Windows!
Защита диска Windows (WDP)
WDP, вероятно, является основной причиной, по которой Windows SteadyState является таким хорошим инструментом. Эта функция предназначена для защиты системных настроек и данных в разделе Windows от необратимого изменения. Во время сеанса входа в систему активный пользователь и сама система вносят в систему множество изменений. На общем компьютере цель состоит в том, чтобы создать строгую среду, одна загрузка должна быть точно такой же, как и другая — никакой разницы в пользовательском опыте.
Когда защита диска Windows включена, она стирает все изменения в разделе операционной системы с любым заданным вами интервалом времени. Самый распространенный сценарий — удаление всех изменений при перезапуске. С этой настройкой служба поддержки может просто попросить пользователей перезагрузить компьютер с общим доступом (я думаю, наиболее распространенное предложение, используемое среднестатистической ИТ-поддержкой) — и он обязательно будет сброшен в предыдущее (рабочее) состояние, если только не возникла аппаратная ошибка. произошло конечно.
WDP не включен по умолчанию. Это связано с тем, что вы, как администратор, вероятно, захотите настроить систему, установить приложения, создать пользователей и т. д., прежде чем активировать эту драгоценную функцию — если только вы не хотите повторять свою работу вечно, как это делал Сизиф… Когда вы будете готовы использовать ее и система на 100% готова к запуску в работу (дефрагментация диска, удаление временных файлов завершено и т.д.), включайте ее и смотрите, как любопытные пальцы пытаются поковыряться с вашими настройками… У них ничего не получится!
В фоновом режиме WDP создает и резервирует большой (минимум 2 ГБ) кэш-файл для сохранения всех изменений в операционной системе и программных файлах. Для создания файла кеша ему требуется не менее 4 ГБ нераспределенного пространства в разделе Windows, но используемый по умолчанию размер составляет примерно 50% доступного дискового пространства (максимум 40 ГБ).
Во время перезагрузки — или через заданный вами временной интервал — WDP удаляет содержимое кэша и восстанавливает систему в точно такое же состояние, в котором она была на момент включения. Если вы хотите разрешить пользователям сохранять информацию на рабочем столе, в папке «Документы» и т. д. для изменения доступа, вы можете сделать это, определив профиль пользователя как «разблокированный профиль», размещенный на другом диске/разделе (поскольку WDP защищает только раздел, содержащий файлы операционной системы).
Та же функциональность доступна во многих решениях для аппаратных контроллеров — так чем же WDP лучше? Что ж, действительно здорово, что вы можете планировать обновления и применять их постоянно, даже когда WDP включен! Я никогда не видел аппаратного решения для этого — нам нужны стабильные и безопасные системы, поэтому нам действительно нужны эти обновления для операционной системы, файлы антивирусных сигнатур и т. д.
С Windows SteadyState важные обновления Microsoft и антивирусные обновления не удаляются при перезагрузке общего компьютера, если вы правильно настроили его. Система принудительно выйдет из системы любого активного пользователя в течение запланированного интервала обновления, перезапустится и выполнит необходимые обновления и будет готова к работе после короткого периода в «режиме обслуживания». Мы вернемся к этому в следующей статье этой серии.
Требования
Системы, работающие под управлением Windows SteadyState, должны соответствовать минимальным требованиям к конфигурации системы, перечисленным в таблице 1.
Составная часть | Требование |
Процессор (ЦП) | Рекомендуется скорость 300 мегагерц (МГц) или выше. Минимум требуется 233 МГц (одно- или двухпроцессорная система); Рекомендуется семейство Intel Core/Pentium/Celeron или семейство AMD K6/Athlon/Duron или совместимый процессор. |
Память | Рекомендуется 128 мегабайт (МБ) оперативной памяти или выше. поддерживается минимум 64 МБ; но это может ограничить производительность и некоторые функции. |
Жесткий диск | 1,5 гигабайта (ГБ) свободного места на жестком диске без защиты диска Windows (WDP) или 4,0 ГБ свободного места на жестком диске с WDP. Но я действительно не понимаю, почему вы запускаете Windows SteadyState без использования функции WDP… |
Операционная система | Windows XP Professional, Windows XP Home Edition или Windows XP Tablet PC Edition с установленным пакетом обновления 2 (SP2) для Windows XP. Примечание: |
Файловая система | NTFS (как вы, наверное, уже знаете, без нее вы почти не получите безопасности в системах Windows). |
Инструменты | Сценарии Windows и инструментарий управления Windows (WMI) должны работать. |
Разрешения и права | Доступ на уровне администратора к операционной системе. |
Таблица 1
Еще одно требование — пройти тест Windows Genuine Advantage — хотя мне удалось установить его на машину, не подключенную к Интернету… Но в любом случае, в основном вам нужна лицензия Windows XP для вашей операционной системы — это не так уж и странно, это?
Вывод
Теперь мы описали, какие замечательные функции Windows SteadyState может предоставить «администраторам компьютеров с общим доступом». Мы рассмотрели новую версию и ее усовершенствования, а также рассмотрели основные системные требования. Загляните в раздел «Внешние ссылки» — там должно быть все, что вам нужно для начала…
Попробуйте этот замечательный инструментарий, возможно, для начала просто на виртуальной машине. Как только вы увидите, насколько он эффективен, он может вам понравиться. Кроме того, могут начать появляться идеи — где это использовать, как это использовать. и т. д. Для меня это был идеальный способ сохранить компьютеры моих детей (6 и 8 лет) чистыми и стабильными… Они могут делать все, что захотят — при следующей перезагрузке я точно знаю, чего ожидать: стабильное состояние!
внешние ссылки
- Веб-сайт Microsoft Windows SteadyState
- Скачать Windows SteadyState
- Справочник по Windows SteadyState
- Технические вопросы и ответы по Windows SteadyState