Pamatujete si ještě plakáty s plachetnicí, které zvaly „Napněte plachty, vyplouváme!”? Ne? Oznamovaly příchod Windows 95, které ve světě počítačů způsobily nemalou revoluci. Přinesly nabídku Start, celkově změnily koncept práce s počítačem a samotnými Windows. Ale proč o tom píšeme zrovna v článku o Windows 10? Protože Windows 10 přinášejí do světa osobních počítačů rovněž nemalou revoluci a změny. Jsou to takové Windows 95 moderní doby. Však také přinesly (zpět) nabídku Start :-). Ale vážně. Řekněme hned na začátek, že je to verze, která mění koncept práce s Windows, a jsou to nejlepší Windows, které byly, jsou a budou.
Nevěříte? Čísla ze všech čísel nejčíslovatější vás přesvědčí – přes 200 miliónů zařízení již dnes běží na nejnovější verzi Windows. O Windows 10 se toho napsalo hodně, hodně pravdy a hodně (mírně řečeno) zavádějících informací. Kdybychom sečetli všechny „pravdy“ o Windows 10, tak bychom chtěli být jako ony. Proč? Protože bychom byli lepším špionem než James Bond, vousatějším věštcem než Otec Fura a rozhodně lepším informátorem než paní za přepážkou na nádraží. A tak pojďme jednou napsat o Windows 10 článek, který bude o tom, jaké jsou, a ne o tom, co nejsou.
Nemusíme chodit do kavárny či nesměle si před zrcadlem zkoušet oslovení, abychom se s Windows mohli seznámit, poznat se a být spolu šťastní. Možná se teď ptáte, proč zrovna takhle zvláštně uvádím kapitolu, kterou chci popsat nový systém nasazení a správy Windows 10? Jeden z důvodů je, že den, kdy tento článek vzniká, se slaví jako svátek sv. Valentýna. Myšlenky se tedy honí hlavou všelijaké. A také proto, že nám nový styl, který s Windows 10 do světa osobních počítačů přichází, připadá velmi dobře přirovnatelný právě k osobním vztahům.
Poznat Windows 10 a mít je za partnera může být, na rozdíl od klasického vztahu, ohromně levné. Žádná kina a večeře a složité konverzace, Windows 10 jsou zdarma pro převážnou většinu zákazníků. Ale pozor, tato nabídka není neomezená. Ne, nemusíte nikam volat. A ani když zavoláte právě nyní, nezískáte ještě sadu nožů od švýcarského mistra zdarma. Tohle není teleshopping. Nabídka je ale omezena datem. Však jsme o tom psali v minulém čísle QUASu.
Verze Windows 10 se od sebe odliší magickým čtyřčíslím a budou do nich postupně přidávány nové funkce či budou jinak vylepšovány. Ale pořád to budou Windows 10. S oním magickým čtyřčíslím jste se již mohli setkat. Hlavně v listopadu, kdy se uvolňovala verze, které se říká Treshhold 2, ale oficiálně jsou to Windows 10 1511. To čtyřčíslí vždy označí rok (15) a měsíc (11) uvedení. Tak se dá dobře orientovat, o které verzi se zrovna vede diskuse. Nicméně pokud i tady užijeme již vyřčenou paralelu vztahů, pak jde o takové dobré, stabilní manželství. Vztah člověka a technologie, který trvá a funguje. A časem se jen zlepšuje a ladí. Už žádná radikální změna partnerů, žádný složitý upgrade na zcela jiné verze Windows.
Nasazení
A jak se dají Windows 10 nasadit? V organizacích je velmi rozšířený systém nasazení zvaný „wipe and load“. To je forma, kdy se zahodí vše, co je na zařízení zrovna nainstalováno, a instaluje se firemní image Windows a potřebný software a ovladače. Výhodou tohoto systému je zcela čistá a nová instalace, nevýhodou je pak časová náročnost. A čas se velmi jednoduše vyjadřuje penězi.
Další možností je InPlace Upgrade. Tato forma instalace není ve světě Windows nic nového, ale ve Windows 10 byl hodně vylepšen celý mechanismus. Tak, aby uživateli zůstávala jeho data, nastavení a samozřejmě nainstalované aplikace. Takto lze v organizacích velmi jednoduše a rychle přecházet na Windows 10. To proto, že tento upgrade je možné dělat například pomocí WSUS nebo instalačního USB flashdisku, který si může jednotlivec či organizace vytvořit nástrojem Microsoft Deployment Toolkit (MDT) nebo nástrojem Media Creation Toolkit (MCT). Oba jsou zdarma. Výhodou tohoto způsobu je menší časová náročnost. InPlace upgrade lze provést i přímo z Windows Update, cest je opravdu mnoho.
A pak je tu zcela nový způsob, jak Windows nasadit ve firmě, a to tzv. „provisioning“. V tomto způsobu využíváte již instalované Windows a pomocí konfiguračních balíčků můžete provádět celou řadu konfigurací, jako například napojení na MDM, instalace certifikátů a Wi-Fi profilů, nebo pomocí produktového klíče změnu edice Windows. Například z Professional na Enterprise. A to bez reinstalace! Tento konfigurační balíček či balíčky se vytvářejí velmi jednoduše v nástroji Imaging and Configuration Designer, který je zcela zdarma dostupný jako součást balíku ACT.
Že vám tento způsob nepřijde zase tak zajímavý? Tyto balíčky se dají šířit mailem, nasdílet na file share, přes NFC nebo USB. I do mobilních zařízení Windows Mobile nebo tabletů s Windows. Jen si představte, přijde zaměstnanec, že má svůj počítač, ale chce ho na firemní použití. Takovýmto přednastaveným balíčkem mu jednoduše z počítače osobního uděláte počítač firemní. Nebo když někdo na pracovní cestě ztratí nebo mu je odcizen notebook. Odpovědí může být „tak si kupte zařízení a my vám pošleme balíček, který z něj za pár minut udělá firemní počítač“. A to včetně již zmíněné změny edice. Tím koncept BYOD nebo CYOD dostává reálný a reálně udržitelný obrys.
Ještě jedna taková poznámka v kapitole o nasazení Windows. Jeden z významnějších blokátorů přechodu na Windows 10 je internetový prohlížeč, kterým je buď zcela nový Edge nebo Internet Explorer 11. Žádný jiný prohlížeč již společnost Microsoft nepodporuje. A to ani na Windows 7 nebo 8.1. Nezoufejte, pokud potřebujete pomoci s tím, aby vaše různé intranetové portály nebo webové aplikace fungovaly správně, můžete využít vestavěný Enterprise Mode. A nasazení Enterprise Mode vám velmi ulehčí Enterprise Mode Site List Manager nebo Site Discovery Toolkit. Obecně je Enterprise mode řešení pro zpětnou kompatibilitu, kdy přes adresu URL definujete, v jakém dokumentovém režimu se stránka vykreslí, případně kompletně přepnete prohlížeč do režimu IE7 nebo IE8 kompatibility. Je to profesionální řešení ne nepodobné dobře známému režimu kompatibility. Oba výše zmíněné nástroje jsou zdarma a slouží v prvním případě pro jednoduché vygenerování seznamu webových adres, které budou řešeny v kompatibilním zobrazení, druhý poskytuje telemetrická data uživatele, které stránky navštívil, v jakém režimu se vykreslily a další užitečné informace pro řešení kompatibility. Nasazení je neskutečně jednoduché pomocí GPO.
Aktualizace
Čímž se dostáváme k udržování takového vztahu. Tedy v tomto případě myslíme aktualizaci systému. Je to další věc, která se s Windows 10 zcela zásadně mění. Do Windows 7 jsme byli zvyklí, že jsme instalovali operační systém a pak jsme jej aktualizovali pomocí oprav a aktualizací skrze Windows Update či přes WSUS. S desítkami přichází koncept Windows jako služba, s kterým jste se mohli setkat poprvé u přechodu z Windows 8 na verzi 8.1. Smyslem je doručovat uživatelům, a to jak firemním, tak domácím, nové verze Windows zhruba dvakrát až třikrát do roka. Tyto velké balíčky upgrade budou obsahovat nové funkce nebo různá vylepšení těch dosavadních. Mezi jednotlivými vlnami se budou uvolňovat klasické aktualizace zabezpečení a tzv. kumulativní aktualizace Windows a dalších komponent. Dobře, ale v čem je tak zásadní rozdíl? Poskytování upgrade se řeší ve dvou větvích. Ta první nazývaná česky „aktuální větev“ (CB, Current Branch) nabízí nové funkce Windows, tedy tento balíček je dostupný hned při uvedení. Je určena domácím uživatelům a organizacím, které chtějí mít nové funkce Windows ihned k dispozici. Pak je druhá větev nazývaná „aktuální větev pro firmy“ (CBB, Current Branch for Business), kdy organizace mohou odložit instalaci a získat čas pro testování. Velký rozdíl oproti klasickému konceptu aktualizace Windows je v tom, že v případě CB, jakmile je k dispozici nová verze, ta původní již není dále aktualizována a podporována. V případě CBB je podporována vždy aktuální a předešlá verze. Tedy až vyjde letos nový upgrade Windows, přestane být aktualizována verze 1507 vydaná v červenci 2015. A takto to půjde dál a dál. CB je dostupný pro všechny edice Windows, CBB není možné využít u edice Home. Třetí možností, která je však určena primárně pro velmi citlivá prostředí, jako jsou například zdravotnická zařízení, je speciální větev, která se nazývá LTSB a nevychází pro ni žádný pravidelný upgrade jako v případě CB a CBB. Pouze aktualizace zabezpečení a jiné opravy. Rovněž v ní ale chybí prohlížeč Edge, univerzální aplikace nebo Store. Co do aktualizačního mechanismu se tak nejvíce blíží bývalému stylu aktualizace a podpory Windows.
Bezpečnost
Každý vztah je primárně o důvěře. Nejlépe je nám všem s tím, komu můžeme nejmíň na 100 % věřit a kdo si naši důvěru zaslouží. A aby fungoval i důvěryhodný vztah člověka a technologie, musí být tato technologie maximálně bezpečná a zabezpečená. Na tuto oblast se společnost Microsoft ve Windows 10 výrazně zaměřila, a tak přináší novinky, které zabezpečení operačního systému Windows posunou na zcela novou úroveň.
První novinkou je Device Guard, tedy technologie, která umožňuje využitím virtualizace zabezpečit systém proti škodlivému kódu, tzv. malwaru. V systému Windows se vytváří code-integrity policy, která říká, jaký software se spouštět smí a jaký ne. Možná vám to připadá podobné jako funkce AppLocker. Rozdíl je v tom, že AppLocker je čistě softwarová záležitost, kdy pravidla jsou vynucena službou. Device Guard je oproti tomu zabezpečení na úrovni hardwaru, kdy ve výchozím nastavení není ani možné tuto funkci z Windows vypnout.
Další technologií, která využívá tzv. Virtual-Based Security, je Credential Guard. Tato novinka chrání Windows proti útokům známým jako Pass-the-Hash nebo Pass-the-Ticket. A to tak, že LSA je umístěno do kontejneru, a tak malware nemá přístup ke zjištění NTLM HASH nebo Kerberos hesla uživatele nebo zařízení. Nástroje jako Mimikatz jsou pak zcela bezmocné. Myslíte, že se vás podobné útoky netýkají? Věřte, že si to v SONY a dalších mnoha společnostech či vládních organizacích mysleli také. Provedení tohoto útoku je totiž při absenci technologií, jako je Device a Credential Guard, až překvapivě snadné. Obě tyto novinky na poli bezpečnosti jsou dostupné pouze v edici Enterprise.
Obecně při rozhodování o způsobu licenčního řešení Windows doporučuji zjistit si všechny výhody, které nabízí edice Enterprise. Další takovou je totiž možnost nastavení telemetrie Windows. Jen edice Enterprise, Education, případně Mobile Enterprise a IoT Core nabízejí čtvrtou úroveň nastavení Windows Telemetry s názvem „Security“. Tato možnost slouží pouze k zajištění bezpečnosti operačního systému pro komunikaci Microsoft Software Removal Tool (MSRT) a Windows Defender. V případě nastavení této úrovně se předávají pouze data o operačním systému, device id pro jeho identifikaci a device class, z čehož se dá odvodit, zdali se jedná například o koncové zařízení nebo server. Tolik obávanou telemetrii Windows je tedy možné poměrně jednoduše skrze GPO konfigurovat tak, jak organizace potřebuje.
Hardware
Když už jsme se hezky seznámili, máme krásný udržitelný vztah, který jen kvete, můžeme mu věřit, ještě je třeba najít to ideální bydlení. V našem IT světě tím myslíme hardware. Tedy domov pro nové Windows 10. Hardwarové nároky na Windows se již léta nemění. Obecně lze říci, že konfigurace, které byly dobré pro Windows 7, budou dobré i pro Windows 10. Vynikajících výsledků se ale dá dosáhnout s nejnovějšími procesory řady Skylake. Windows 10 totiž umí využít perfektní správu napájení procesoru, kterou právě Skylake přinesl. Dosáhnout se dá například až trojnásobné výdrže při práci na baterii. Což zejména pro pracovníky na cestách nebo na častých schůzkách může být více než zajímavé.
Možná jste se ale dočetli, že nový hardware bude již podporovat pouze Windows 10, a starší Windows 7 nebo Windows 8.1 mají smůlu. Společnost Microsoft však pracuje s OEM partnery na seznamu konkrétních nových zařízení postavených na generaci Skylake, která budou podporovat i Windows 7 a Windows 8.1 do 17. července 2017. Seznam zahrnuje širokou řadu možností, včetně Dell Latitude 12, Dell Latitude 13, Dell XPS13, HP EliteBook Folio, HP EliteBook 1040 G3, Lenovo ThinkPad X1 Carbon, Lenovo ThinkPad P70, Lenovo ThinkPad T460s a mnoho dalších. Tento přístup umožňuje, aby zákazníci nyní mohli upgradovat na nová zařízení a později přejít na Windows 10. Do 17. července 2017 budou zařízení na platformě Skylake, která jsou na seznamu podporovaného hardwaru, podporovat i Windows 7 a Windows 8.1. Během onoho 18měsíčního období by mělo dojít k upgradu těchto zařízení na Windows 10, aby byly podporovány i po skončení tohoto období. Po červenci 2017 budou pro tyto konfigurace vydávány jen nejkritičtější bezpečnostní aktualizace pro Windows 7 a Windows 8.1, za předpokladu, že nedojde k ohrožení spolehlivosti nebo kompatibility Windows 7/8.1 na ostatních zařízeních.
Office
A s novým bytem i nový nábytek? S novými Windows je správná chvilka zvážit i nový Office. A pokud vás zaujal software v režimu služba, pak by vás mohl zaujmout například Office 365, který zajišťuje vyšší flexibilitu nejen pro organizace, ale také pro samotné uživatele. Jen namátkou lze zmínit pár výhod, jako je licence přiřazená na uživatele a pro několik jeho zařízení, možnost používat Office na více platformách, od Windows přes Mac OS až po mobilní zařízení se systémem iOS nebo Android. Trochu opomíjenou výhodou je také možnost používat licenci pro práci z domova na soukromém zařízení uživatele. Tím se dá snáze přejít na model BYOD nebo CYOD. Zaměstnanec také používá stejnou verzi Office doma i v práci a rozšiřuje si a přenáší znalost zpět do firmy. Co je stejně fajn jako u Windows 10, s Office 365 nedochází k technologickému uzamčení zákazníka na konkrétní verzi, ale neustále se vylepšuje a rozvíjí funkčnost. Přeneseno na naše příměry, pravidelně nový, měkčí gauč nebo komoda s novými poličkami. Nebo jiná špetka nového koření do vztahu.
Tím bychom tento článek o Windows 10 zakončili. Věřím, že jste se o této hvězdě na nebi operačních systémů dozvěděli užitečné informace a zařadíte se mezi spokojené uživatele, kteří Windows 10 nasadí u sebe doma i ve firmě.
Jan Pilař | Microsoft