Večerní máj, byl Windows 10 1903 čas
Minulé úterý jsme se dočkali další májové kratochvíle, nového vydání Windows 10, tentokrát s číslem 1903.
Během následujících dní se objeví nejen jako další klasifikace pro WSUS, ke stažení v rámci Windows Update for Business, ale také v portálech VLSC (nebo Business Central) i MSDN (dnes Visual Studio) a Download Center (také Media Creation Tool).
Bezpečnost systému a uživatelských identit
Možnost vzdálené atestace stavu zabezpečení a ochrany koncového bodu společně s izolací ATP (Advanced Threat Protection) komponent do chráněného režimu dále omezuje možnost odstavení lokální ochrany.
Především vylepšení v možnosti nepoužívat hesla pro přístup k aplikacím i samotné stanici jsou důležitou novinkou, kterou doporučuji nepřehlížet. Neboť právě krádeže identit a přihlašovacích údajů jsou ty nejčastější metody útoků na firemní prostředí a data, ale především i soukromí uživatelů.
Attack Surface Area Reduction - Možnost definovat seznam povolených či zakázaných IP adres a URL
Windows Sandbox - Izolované virtuální prostředí, ve kterém je možné spouštět nedůvěryhodné aplikace, které tak nemají přístup k prostředí operačního systému.
Certifikace FIDO2 - Windows Hello je nyní certifikovaným autentizačním mechanismem. Webové stránky tak mohou nyní bezpečně využít účet Microsoft i firemní účet z Azure AD pro ověření uživatele například s potvrzením otisku prstu bez nutnosti zadání hesla uživatele.
Účet bez hesla - V případě telefonního čísla či autentizační aplikace Microsoft je nyní možné se přihlásit do nového účtu jen za pomocí telefonu bez vytvoření hesla pro daný účet.
Vzdálená plocha s biometrií - Připojení ke vzdáleným počítačům nyní podporu Windows Hello for Business. Dále tak eliminuje potřebu předávat hesla v prostředí, byť i mezi systémy.
Windows Defender i pro Windows Subsystem for Linux - Nyní je možné vytvářet pravidla přístupu k síti i pro procesy pocházející právě z WSL. Jednotlivá linuxová jádra, stejně jako nový Windows Terminal, lze tak provozovat bezpečněji.
A pak jsou tu i milé drobnosti pro ochranu soukromí uživatelů jako upozornění při spuštění mikrofonu, které je detekováno ikonou v oznamovacím panelu či další informace o telemetrii systému a aktualizací. Podobně ochrana proti změně bezpečnostního nastavení vyžaduje vyšší práva a potvrzení, pokud by mělo dojít ke změně konfigurace snižující bezpečnost.
Aktualizační proces
Příjemných novinek se dočkáme i v oblasti samotného procesu upgrade, tedy prvotní aktualizace a aktualizací následujících.
Delivery Optimization, umožňující lepší sdílení aktualizací mezi koncovými stanicemi, má nyní celou sadu nových politik pro konfiguraci ve větších sítích. Stejně tak nyní podporuje i sdílení obsahu aktualizací pro Office 365 ProPlus a aplikace doručované skrz Intune. Podpora ze strany SCCM pro využití přijde v dalších aktualizacích.
Pomocí Reserved Storage si systém alokuje dodatečný prostor pro budoucí aktualizace a kritické fungování systému. Tedy i pokud dojde místo na systémovém disku, systém bude stále funkční a budou probíhat aktualizace.
Možná drobností, ale značným zjednodušením v plánování, je jedno výchozí datum pro vydání nových upgrade počínaje verzí 1903 a efektivní konec takzvaného SAC-T (Semi-Annual Channel Targeted).
Microsoft nyní přidá 60 dní k datu, které je nastavené pro odložené aktualizace pro váš standardní SAC a tím manuálně docílí původního rozdílu v těchto dvou aktualizačních kanálech. Ale to jen a právě pro 1903 vydání. Do budoucna je tak nutné počítat s plánováním ve formě pozdržení aktualizace od data vydání o X dnů pro běžné aktualizace a Y dnů pro velké upgrade.
Že předchozím větám nerozumíte? Možná není se co divit, informací nebylo historicky málo a lehce se měnily. Nejednoduší je zapomenout, co jste nyní věděli, mysleli, doufali, či předpokládali a začít s čistou hlavou plánovat budoucí aktualizace od verze 1909.
Ta se vám totiž bude s jasnou podporou 18 měsíců pro Home a Pro a 30 měsíců pro Enterprise a Education (neboť se jedná o podzimní vydání, jarní mají podporu 18 měsíců pro všechny edice) mnohem lépe plánovat právě ve formě prostého odložení o určitý počet dnů.
Nová verze také přináší vylepšení procesu pro případy, kdy zařízení již měla aktualizaci instalovat, ale z důvodů aktivity uživatele, vypnutí počítače a dalších k tomu ještě nedošlo. Patří k nim nová notifikace a plánování restartu pro uživatele, možnost vynucení instalace a restartu po určité době, možnost odložit restart po určitou dobu a také lepší nastavení aktivních pracovních hodin.
Správa zařízení
Windows Autopilot sloužící pro prvotní konfiguraci počítače ve firemním vlastnictví nyní sleduje instalaci i Win32 aplikací a konfiguraci již ve fázi instalace OEM systému výrobcem daného hardware.
Nové MDM politiky umožňují spravovat chování Microsoft Edge i šifrování BitLocker pro Azure AD zařízení. Většina bezpečnostních funkcí lze konfigurovat společně s automatickou aktivací licencí přes Microsoft 365 administrační portál. Security Baselines v rámci Intune umožňují rychle nasadit doporučené bezpečnostní politiky.
Windows 7 končí již v lednu 2020
Zároveň připomínáme, že podpora Windows 7 SP1 končí v lednu 2020. Nejvyšší čas přejít na Windows 10, pokud nemáte v prostředí pouhé jednotky kusů počítačů. Pak už jen nezapomenout pravidelně aktualizovat. Chcete vědět jak? Ptejte se na TechNet Fórech nebo u svého technického partnera.