Windows 7

[Better together]Failover Clusters BranchCache

PowerShell 2.0

Active Directory

Bitlocker2Go

MDT 2010

Offline Files

AppLocker

Strona | 1

DirectAccess

Group Policy

Pocztkowo mia nazw Blackcomb; w roku 2007 ogoszono nazw kodow Windows 7, wkrtce potem oznajmiono, i pod t nazw system ukae si rwnie oficjalnie. wiat po raz pierwszy usysza to w lutym roku 2000. Nazwa ta bya pocztkowo przeznaczona dla nastpcy Microsoft Windows XP, ktry mia zosta wydany pod koniec roku 2002. Windows 7 planowany by w wersjach serwerowej oraz dla stacji roboczych, jednake w sierpniu roku 2001 wydanie tego systemu zostao przesunite na lata 2003 - 2004, a nastpc Microsoft Windows XP oficjalnie zosta Microsoft Windows Vista, okrelany wtedy nazw kodow Longhorn. Windows 7 jest oznaczony nazw kodow "Windows NT 6.1". Oznaczenie to ma na celu zwikszenie kompatybilnoci programw napisanych na poprzednie wersje systemu z Windows 7.

Windows Server 2008 R2 nazwa nowego systemu operacyjnego Microsoftu z linii Windows Server. Windows Server 2008 R2 jest nastpc systemu Windows Server 2008. Oficjalna premiera Windows Server 2008 R2 zaplanowana jest na 22 padziernika 2009, mimo e system osign status RTM (gotowy do produkcji) ju 22 lipca 2009 roku. Pocztkowo istniay plotki, e nazwa bdzie brzmie Windows Server 7, ale ostatecznie system nazwano 2008 R2. Jest to pierwszy system Microsoftu wydany tylko w wersji 64 bitowej.

Strona | 2

Contents1 Zaawansowana instalacja Windows 7 ..........................................................................................5 1.1 1.2 1.3 Wymagania systemowe .......................................................................................................5 Instalacja z nonikw USB ....................................................................................................5 Windows XP vs. Windows Vista/Windows 7.........................................................................6 Windows XP.................................................................................................................6 Windows Vista .............................................................................................................6 Windows 7...................................................................................................................6

1.3.1 1.3.2 1.3.3 2

System Windows 7 ......................................................................................................................7 2.1 2.2 Edycje Windows 7 ...............................................................................................................7 Zgodnod aplikacji oraz rozwizywanie problemw ze zgodnoci .......................................8 Dostpne narzdzia .....................................................................................................8

2.2.1 2.3 2.4

Co to jest rodowisko Aero? ................................................................................................9 Zmiany w interfejsie ..........................................................................................................11 Zarzdzanie urzdzeniami ..........................................................................................18 UAC ...........................................................................................................................21

2.4.1 2.4.2 2.5

BitLocker oraz BitLocker2Go ..............................................................................................28 BitLocker2 Go ............................................................................................................35

2.5.1 2.6

Microsoft Windows Virtual PC ...........................................................................................39 Wymagania Windows Virtual PC ................................................................................40 Pierwsze kroki w Windows Virtual PC.........................................................................41 Wsparcie dla USB i drukarek ......................................................................................44

2.6.1 2.6.2 2.6.3 2.7 2.8 3

Tryb XP i publikacja aplikacji ...........................................................................................45 Internet Explorer 8 ............................................................................................................47

Razem lepiej..............................................................................................................................51 3.1 3.2 3.3 3.4 3.5 Zarzdzanie serwerem z konsoli Windows 7 ......................................................................51 Przyczenie offline do domeny .........................................................................................51 Group Policy ......................................................................................................................55 AppLocker .........................................................................................................................61 Podstawy MDT 2008/2010 ................................................................................................70 Cykl ycia systemu operacyjnego................................................................................71 Platforma Microsoft Deployment Toolkit ...................................................................71 Desktop Deployment Planning Services......................................................................74

3.5.1 3.5.2 3.5.3

Strona | 3

3.5.4 3.6 3.7 3.8

Narzdzie DISM.exe ...................................................................................................74

Branch Cache.....................................................................................................................75 Direct Access .....................................................................................................................76 Wirtualizacja......................................................................................................................77 Technologie Wirtualizacji Microsoft ...........................................................................77

3.8.1 3.9

Windows Server Terminal Services ....................................................................................78 Wirtualizacja systemu Windows Server przegld funkcji ..........................................80 Architektura wirtualizacji systemu Windows Server ...................................................80 Wirtualizacja sprztowa .............................................................................................81 Architektura 64-bitowa ..............................................................................................81 Wsparcie dla 64-bitowych systemw komputerw wirtualnych .................................82 Podstawowe narzdzia do planowania wasnej wirtualnej infrastruktury ...................82 Okrelenie zastosowao ..............................................................................................85 Zalecenia dotyczce pooenia serwera......................................................................86 Konfiguracja maszyny wirtualnej ................................................................................86 Ograniczenia ..............................................................................................................88 Wymagania................................................................................................................90 Wirtualizacja - podsumowanie ...................................................................................91

3.9.2 3.9.3 3.9.4 3.9.5 3.9.6 3.9.7 3.9.8 3.9.9 3.9.10 3.9.11 3.9.12 3.9.13 3.10 4 5

Nowoci w klastrach ..........................................................................................................94

rda .......................................................................................................................................95 Index rysunkw .........................................................................................................................96

Strona | 4

1 Zaawansowana instalacja Windows 71.1 Wymagania systemoweProcesor Pamid RAM Karta graficzna Pamid VRAM Ilod wolnego miejsca na twardym dysku Dodatkowo: Windows Touch dla Tablet PC wymaga specyficznego sprztu HomeGroup wymaga innych komputerw w sieci z Windows 7 Dla rozwizania BitLocker potrzebny jest Trusted Platform Module (TPM) 1.2 BitLocker To Go wymaga klucza USB Windows XP Mode wymaga dodatkowego 1 GB RAM, 15 GB wolnego miejsca na dysku oraz procesor umoliwiajcy wirtualizacj sprztow - Intel VT or AMD-V 1 GHz x86 lub szybszy lub x64 1 GB (32-bit) / 2 GB (64-bit) DirectX 9.0, WDDM 1.0 lub lepszy 128 MB 16 GB (32-bit) / 20 GB (64-bit)

1.2 Instalacja z nonikw USBUmieszczenie instalacji systemu Windows 7 na miniaturowym dysku USB ma kilka zalet niewielki dysk USB jest znacznie wygodniejszy do przenoszenia, ni dysk DVD, instalacja systemu operacyjnego trwa znacznie krcej i dysk USB moe byd uywany do instalowania systemu Windows 7 na komputerach, ktre nie maj napdu DVD, takich jak niektre komputery przenone. W rzeczywistoci system Windows 7 moe byd nawet instalowany na komputerach przenonych, ktre maj dod skromne wyposaenie sprztowe. Dennis Chung (IT Pro Evangelist w firmie Microsoft) niedawno zaprezentowa wideo demonstrujce, jak prosto mona przygotowad dysk i uywad go do instalowania systemu Windows 7. Poniej przestawiono krtki przegld tego procesu: Po pierwsze potrzebne jest narzdzie DiskPart w systemie, ktry bdzie uywany do przygotowania miniaturowego dysku. Jest to darmowe narzdzie partycjonowania dysku, ktre prawdopodobnie ju jest zainstalowane w uywanym systemie Windows. Jeli nie, narzdzie DiskPart mona pobrad ze stron Microsoft. Uruchomid narzdzie DiskPart, wpisujc diskpart w menu Start. Uruchomid polecenie list disk, aby sprawdzid stan dysku. Uruchomid polecenie select disk 1, gdzie 1" jest liczb, ktra rzeczywicie odpowiada dyskowi USB. Uruchomid polecenie clean. Po wyczyszczeniu dysku miniaturowego uruchomid polecenie create partition primary.

Strona | 5

Aktywowad partycj wpisujc polecenie active Nastpnie trzeba skonfigurowad system plikw za pomoc formatu Fat32, uruchamiajc polecenie format fs=fat32 quick (opcja quick specyfikuje, e wykonywany bdzie szybki format, co przyspiesza proces). Wprowadzid polecenie assign, nadajc dyskowi USB liter, co uatwia uzyskiwanie dostpu w programie Windows Explorer Nastpnie naley skopiowad wszystko z instalacyjnego dysku DVD systemu Windows 7 do dysku USB (na przykad poprzez proste przecignicie i upuszczenie). Teraz naley umiecid dysk miniaturowy w komputerze, na ktrym ma byd zainstalowany system Windows 7, i przeprowadzid rozruch tego komputera. Przebieg instalacji jest typowy, ale proces trwa krcej.

Powysza procedura demonstrowana jest za pomoc nagrania wideo prezentowanego przez Dennisa Chung.

1.3 Windows XP vs. Windows Vista/Windows 7MDT nie jest narzdziem nowym podczas rozwijania wersji Windows XP tworzona bya platforma pod nazw Business Desktop Deployment, wykorzystujc w wczesnym czasie RIS oraz SMS2003. MDT budowane jest z myl o zupenie nowej architekturze systemu Windows Vista, ktra radykalnie zmienia sposb i moliwoci wdraania systemw operacyjnych. 1.3.1 Windows XP

Windows XP tworzony by z myl o procesie instalacji z plikw, a sam system by tworzony w czasach, gdy nie mwio si jeszcze o wirtualizacji ani o edycji w trybie offline. 1.3.2 Windows Vista

Windows Vista powsta od razu z myl o nowych technologiach i przygotowany by z myl zarwno o wirtualizacji jak i manipulacji systemem w postaci dysku. Instalator Windows Vista to de facto plik obrazu gotowego systemu, przygotowanego narzdziem sysprep. Instalacja polega na nagraniu obrazu na dysk i uruchomieniu procesu konfiguracji. Ponadto architektura Windows Vista zostaa skomponentyzowana, dziki czemu moliwe jest atwe dodawanie/usuwanie komponentw systemu [aka Windows Features]. Oba te fakty przekadaj si na przystosowanie systemu do tzw. offline servicing, czyli moliwoci dokonywania czynnoci utrzymania *maintenance+ wyczonego systemu. Przez wyczony system ma si na myli gwnie pliki instalacyjne wim, do ktrych mona dodawad sterowniki, usuwad pewne komponenty, atwo dodawad/usuwad pliki czy *w ograniczony sposb+ cae aplikacje. W przypadku systemw serwerowych ma to z kolei olbrzymie znaczenie ze wzgldu na coraz szersze zastosowanie wirtualizacji, gdzie systemy s atwo dostpne w postaci plikw vhd. 1.3.3 Windows 7

Windows 7 rozwija wymienione moliwoci dodatkowo uatwiajc proces wdroenia. Oto skrcona lista zmian dotyczcych procesu wdroenia *deployment+ w Windows 7: Strona | 6

zmiany w procesie setupu takie jak np. przeniesienie ekranu rejestracji klucza na koniec instalacji, automatyczne tworzenie ukrytej partycji dla BitLocker, zmiany w ekranach konfiguracji tak, aby byy bardziej czytelne i zrozumiae natywne wsparcie dyskw vhd przez system modyfikacje w obsudze plikw wim, w tym w narzdziu imagex, dziki czemu operacje s duo szybsze i moliwa jest praca na kilku dyskach na raz. wprowadzenie jednego, spjnego narzdzia DISM w zamian za kilka narzdzi dla vista peimg, pkgmgr, intlcfg. modyfikacje w WinPE przyspieszajce dziaanie, oraz zawarcie DISM w pakiecie zwikszenie moliwoci User State Migration Tool, Application Compatibility Toolkit oraz Microsoft Assessment and Planning Toolkit

Dodatkowo zmodyfikowana zostaa usuga WDS w Windows Server 2008 R2, wprowadzajc nastpujce modyfikacje: Multicast with Multiple Stream Transfer - wielostrumieniowe transmisje multicast dziki ktrym klienci z mniejsz przepustowoci mog przeczyd si na wolniejsze strumienie nie ograniczajc czasu instalacji szybszych maszyn Dynamic Driver Provisioning moliwod dynamicznego wyboru sterownikw, znajdujcych si na serwerze WDS podczas instalacji WDS VHD Native Boot moliwod wrzucenia pliku vhd z Windows 7 na istniejcy system i uruchomienia z niego systemu

Wszystkie te zmiany opisane s bardzo oglnie tak, aby pokazad i caa platforma w tym sam system operacyjny - rozwija si, dajc coraz to nowsze moliwoci i uatwiajc proces wdroenia i migracji. Ciekawe informacje na temat zastosowania MDT 2010 mona znaled tutaj: http://blog.augustoalvarez.com.ar/2009/02/02/microsoft-deployment-toolkit-2010-beta-1-usingmdt-to-prepare-install-and-capture-customized-windows-7-images-part-iii/

2 System Windows 72.1 Edycje Windows 7Ponisza tabela przedstawia edycje systemu Windows 7 (na podstawie microsoft.com oraz Wikipedia). Edycja Windows Starter 7 Opis Podstawowe zastosowanie domowe HomeGroup (uatwienia w udostpnianiu danych w sieci domowej) Nie ma moliwoci zmiany tapety Nie ma Windows Media Center (nie jest Dostpnod Rynki krajw rozwijajcych si (niedostpny w USA, Europie Zachodniej, Japonii itp.). Dostarczany

Strona | 7

moliwe odtwarzanie DVD)

wycznie komputerami i ograniczony konkretnych sprztu.

z nowymi do modeli

Windows 7 Home Premium

Cay wiat Podstawowe zastosowania domowe Obsuga Aero Multi-touch rozumienie dotyku ekranu (wymaga specjalistycznego sprztu) Funkcje multimedialne (odtwarzanie i nagrywanie DVD) HomeGroup Zaawansowane zastosowania domowe oraz Cay wiat mae firmy Moliwod korzystania z funkcjonalnoci domeny Windows oraz zaawansowane ustawienia sieciowe Kopie zapasowe Rozpoznawanie biecej lokacji uytkownika na potrzeby drukowania dokumentw (Location Aware Printing) Foldery offline "Tryb XP", pozwalajcy na uruchamianie programw dziaajcych wycznie na Windows XP wersja, posiadajca Cay wiat

Windows Professional

7

Windows Ultimate

7 Najbardziej zaawansowana komplet funkcji, np. DirectAccess BranchCache BitLocker

2.2 Zgodno aplikacji oraz rozwizywanie problemw ze zgodnoci2.2.1 Dostpne narzdzia

Application Verifier to narzdzie weryfikacji dynamicznej do testowania aplikacji pracujcych w trybie uytkownika. Narzdzie to monitoruje dziaania podejmowane przez aplikacj, poddaje j rnorodnym obcieniom prbnym i testom i generuje raport potencjalnych bdw w dziaaniu i projekcie aplikacji. Strona | 8

Narzdzie Application Verifier mona stosowad do wykrywania bdw w dowolnych aplikacjach pracujcych w trybie uytkownika, ktre nie s oparte na kodzie zarzdzanym, w tym w sterownikach pracujcych w trybie uytkownika. Narzdzie to umoliwia znalezienie nawet subtelnych bdw, trudnych do wykrycia z uyciem standardowych metod testowania aplikacji i sterownikw. Standard User Analyzer to narzdzie uatwiajce programistom, specjalistom IT i uytkownikom diagnozowanie problemw z aplikacj uruchamian z uprawnieniami standardowego uytkownika. Narzdzie Standard User Analyzer wraz z dokumentacj sposobu jego uycia wchodzi w skad zestawu Application Compatibility Toolkit. W rozpoczciu dziaao zwizanych z zapewnieniem kompatybilnoci aplikacji z systemem Windows 7 moe byd pomocna prezentacja Developing Compatible Applications for Windows 7, w ktrej opisano najczciej wystpujce problemy z kompatybilnoci w systemach Windows XP, Windows Vista i Windows 7. Oficjalne listy typowych problemw z kompatybilnoci Windows 7 Application Quality Cookbook - Lista typowych problemw z kompatybilnoci w systemach Windows Vista i Windows Server 2008 oraz Windows 7 i Windows Server 2008 R2. Zawiera take opis rnic pod wzgldem niezawodnoci, wydajnoci i funkcjonalnoci oraz odniesienia do szczegowej dokumentacji technicznej i innej dokumentacji dla programistw. Windows Vista Application Compatibility Cookbook - Jeli aplikacja jeszcze nie pracuje poprawnie w Windows Vista lub w Windows Server 2008, to warto zaczd od lektury Windows Vista Application Quality Cookbook. Dokument ten zawiera list typowych problemw z kompatybilnoci aplikacji w systemach Windows XP i Windows Server 2003 oraz Windows Vista i Windows Server 2008.

2.3 Co to jest rodowisko Aero?Cech charakterystyczn rodowiska pulpitu Aero jest przezroczystod przypominajca szko, subtelne animacje okien i ich nowa kolorystyka. rodowisko pulpitu Aero wprowadza okna wygldajce jak szklane, aby stworzyd wraenie otwartoci Jego charakterystyczne style wizualne cz wygld lekkich, przezroczystych okien z potnymi nowymi moliwociami graficznymi. Dziki temu mona cieszyd si atrakcyjnymi wizualnie efektami, a take korzystad z lepszego dostpu do swoich programw. Jedna z bardziej oczywistych wizualnie cech to szklane obramowanie okna, pozwalajce na skupienie uwagi na zawartoci otwartego okna. Rwnie zachowanie systemu Windows zostao zmienione o subtelne animacje towarzyszce minimalizowaniu, maksymalizowaniu i przesuwaniu okien, co sprawia wraenie pynnoci i braku oporu. Mona nawet dostroid kolor i wygld okien, menu Start i paska zadao, barwic przezroczyste okna. Mona wybrad jeden z dostpnych kolorw lub utworzyd swj wasny niestandardowy kolor za pomoc miksera kolorw. rodowisko pulpitu Aero umoliwia take podgld otwartych okien na pasku zadao. Wskazanie przycisku na pasku zadao powoduje wywietlenie miniaturowego podgldu okna, niezalenie od

Strona | 9

tego, czy zawartoci okna jest dokument, zdjcie, czy nawet odtwarzany klip wideo. Przeczanie si midzy oknami przy uyciu klawiszy Alt+Tab Po naciniciu kombinacji klawiszy Alt+Tab w celu przeczania si midzy oknami widoczne s podgldy okien dla kadego otwartego programu. Nastpujce wersje systemu Windows 7 zawieraj interfejs Aero: Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate

rodowisko pulpitu Aero jest niedostpne w systemach Windows 7 Home Basic i Windows 7 Starter. Otwierajc aplet System w Panelu sterowania, mona sprawdzid, ktra wersja systemu Windows 7 jest zainstalowana na komputerze. Nazwa uywanej aktualnie wersji systemu Windows 7 zostanie wywietlona w obszarze Wersja systemu Windows u gry okna apletu. Do wywietlania grafiki Aero konieczne jest zastosowanie kompozycji systemu Windows. W przypadku korzystania z kompozycji Uatwienia dostpu niektre cechy, takie jak przezroczystod i podgld miniatur, nie bd dostpne. Aby sprawdzid aktualnie uywan kompozycj, naley otworzyd aplet Personalizacja w Panelu sterowania. Aby wywietlenie grafiki Aero byo moliwe, skadniki sprztowe i karta wideo komputera musz speniad wymagania sprztowe. Naley sprawdzid, czy komputer spenia minimalne wymagania sprztowe niezbdne do uruchamiania interfejsu Aero: procesor: 1 GHz, 32-bitowy (x86) lub 64-bitowy (x64) 1 gigabajt (GB) pamici RAM karta graficzna wyposaona w 128 megabajtw (MB) pamici

Interfejs Aero wymaga rwnie procesora graficznego klasy DirectX 9, obsugujcego sterownik Windows Display Driver Model Driver oraz umoliwiajcego sprztowo technologi Pixel Shader 2.0 przy 32 bitach na piksel. Dla uzyskania jak najlepszych wynikw wskazane jest rwnie spenienie poniszych wymagao dotyczcych procesora graficznego: 64 megabajty (MB) pamici grafiki do obsugi jednego monitora o rozdzielczoci mniejszej ni 1 310 720 pikseli (na przykad 17-calowy monitor paskoekranowy LCD o rozdzielczoci 1280 1024) 128 MB pamici graficznej do obsugi jednego monitora o rozdzielczoci od 1 310 720 do 2 304 000 pikseli (na przykad 21,1-calowy monitor paskoekranowy LCD o rozdzielczoci maksymalnej 1600 1200) 256 MB pamici graficznej do obsugi jednego monitora o rozdzielczoci wikszej ni 2 304 000 pikseli (na przykad 30-calowy monitor paskoekranowy z panoramicznym wywietlaczem LCD o rozdzielczoci maksymalnej 2560 1600)

Strona | 10

2.4 Zmiany w interfejsieSystem Windows 7 oferuje nowy, gruntownie przebudowany interfejs uytkownika, ktry opracowano z myl wszystko co najwaniejsze, powinno byd pod rk. Tu po zainstalowaniu Windows 7 ukazuje si nowy interfejs, pierwszym elementem, ktry rzuca si w oczy jest pasek zadao. Zosta on podniesiony, zaraz obok przycisku Start znalazy si ikony reprezentujce skrty do najwaniejszych (i ulubionych) aplikacji oraz ju otwarte okna. Uytkownik moe dowolnie przypinad (dodawad) kolejne elementy, tak, aby dostosowad pasek do potrzeb.

Rysunek 1. Nowy pasek zadao.

W systemie Windows Vista po najechaniu na element reprezentujcy otwart aplikacj w obszarze paska zadao wywietlaa si maa miniatura z podgldem na ywo caego jej obszaru. W Windows 7 funkcja ta zostaa rozwinita, po najechaniu na ikon rwnie widzimy miniatur, jednak z dodatkow opcj zamykania i jeeli uruchomione s jednoczenie dwie lub wicej instancji takiego programu prezentowana jest dana ilod miniatur. Takie rozwizanie uatwia prac z oknami, zwaszcza, e ikony w pasku zadao zostay pozbawione tekstowych opisw.

Rysunek 2. Podgld uruchomionych aplikacji.

Kolejn, bardzo przydatn w pracy na wielu oknach funkcj jest tzw. Aero Peek. Aby podejrzed zawartod danego okna aplikacji na tle pulpitu we wczeniejszych systemach musielimy zminimalizowad wszystkie okna, a nastpnie przywrcid poszukiwane okno. Chcc porwnad zawartod czy to strony internetowej czy wiadomoci email bd dokumentu miniatury rwnie nie wystarcz, dlatego po najechaniu na dane okno aplikacji, reszta jest ukrywana, aczkolwiek nie Strona | 11

minimalizowana. Reszta okien przypomina szko, a widoczne jest tylko wskazane okno. Podobnie dziaa przycisk Poka pulpit, ktry w systemie Windows 7 znajduje si w prawym, dolnym rogu ekranu, najechanie na niego powoduje ukrycie wszystkich okien, uwidaczniajc przestrzeo pulpitu. Obszar powiadomieo od dawna by elementem, ktry zawiera wiele elementw. Wraz z Windows 7 uytkownik moe dostosowad ktre i w jakiej sytuacji ikony maj si pojawiad. Domylnie, w obszarze powiadomieo prezentowane s ikony systemowe, za pozostae s ukrywane. Aby podejrzed ukryte ikony, naley wybrad ikon trjkta, po czym pokae si lista schowanych elementw wraz z opcj dostosowania.

Rysunek 3. Udoskonalony obszar powiadomieo.

Okno dostosowania umoliwia wskazanie pokazanie, ukrycie ikony i powiadomieo bd wybrania opcji pokazywania tylko powiadomieo.

Rysunek 4. Dostosowanie obszaru powiadomieo.

Strona | 12

Jeeli chcemy powrcid do opcji domylnych bd skonfigurowad tylko ikony systemowe naley uyd opcji dostpnych w lewej czci okna. Udostpniono opcj, ktra funkcjonalnie przypomina dziaanie obszaru powiadomieo ze starszych systemw Windows wszystkie ikony bd zawsze prezentowane. Ikony na nowym pasku zadao mog penid dodatkowe dwie interesujce funkcje: zarazem reprezentowad otwarte okna aplikacji, jak i prezentowad pasek postpu (np. w przypadku przegldarki Internet Explorer) oraz w ramach miniatury penid rol paska narzdzi (np. Windows Media Player).

Rysunek 5. Pasek narzdzi Windows Media Player i pasek postpu Internet Explorer.

Ciekaw funkcj jest tzw. Aero Shake, ktry umoliwia sprawne zarzdzanie otwartymi oknami w dod niekonwencjonalny sposb. Przy uruchomionych wielu oknach moemy atwo zminimalizowad wszystkie pozostae potrzsajc paskiem jednego z programw. Spowoduje to zminimalizowanie wszystkich pozostaych, za kolejne wykonanie tego ruchu czynnod odwrotn powrt do otwartych okien. Przesunicie jednego z okien w gr, d, w stron praw bd te lew spowoduje dopasowanie okna do dostpnej przestrzeni.

Strona | 13

Rysunek 6. Przesunicie okna aplikacji w jedn ze stron, powoduje dopasowanie jej do dostpnej przestrzeni.

Nowoci s tzw. jump list, ktre umoliwiaj szybki dostp do ostatnio edytowanych plikw z poziomu menu start oraz paska zadao, bez koniecznoci uruchamiania aplikacji. Rozwizanie umoliwia rwnie wykonanie zadania zwizanego z programem, jak na przykad zmian statusu komunikatora Windows Live Messanger. Jump list zawieraj take dodatkowe opcje, jak przypinanie/odpinanie ikon z danych list i paskw, zamykania okna czy programu.

Rysunek 7. Jump list w menu Start dla Windows Live Messenger.

Strona | 14

Rysunek 8. Jump list w menu Start dla Windows Media Player.

Znany z Windows Vista, tzw. Windows Sidebar zosta wycofany, jednak sama moliwod uruchamiania gadetw pozostaa. Nie s one alokowane na pasku bocznym, a bezporednio na pulpicie. Przebudowano okno personalizacji oddzielono obszar, w ktrym definiujemy rozdzielczod pulpitu, co jest wyranie zaznaczone w menu kontekstowym.

Rysunek 9. Menu kontekstowe.

Po wybraniu opcji Personalize ukazuje si nowe okno dostosowania do systemu powrciy wczeniej obecne, ale niewykorzystywane tematy, czy te kompozycje, ktre wpywaj na wygld pulpitu. Moemy wybierad z domylnie dostpnych bd pobrad dodatkowe.

Strona | 15

Rysunek 10. Nowe okno personalizacji.

Zmiany wprowadzono w Windows Explorer, ktry ewoluuje z kadym systemem Windows. Skupiajc si na najwaniejszej zmianie, trzeba podkrelid, e wraz z Windows 7 zmienia si koncepcja magazynowania danych w folderach uytkownika. Po uruchomieniu My computer, z poziomu lewej czci okna mamy dostp do najwaniejszych elementw, w tym nowych Libraries, ktre s swoistymi kontenerami na pliki. W ramach takiej biblioteki dokumentw mamy moliwod przechowywania danych z wielu folderw, co znacznie uatwia wyszukiwanie dokumentw, plikw muzycznych i materiaw wideo itp. z wielu miejsc jednoczenie.

Strona | 16

Rysunek 11. Dodawanie folderu do biblioteki

Innowacj jest Action Center czyli nowy modu Panelu Sterowania, ktry jest centrum opcji zwizanych z bezpieczeostwem oraz rozwizywaniem problemw. Jest dostpne z poziomu Panelu Sterowania, jak rwnie po klikniciu ikony flagi w ramach obszaru powiadomieo.

Rysunek 12. Panel sterowania.

Uytkownicy systemu Windows XP SP2 i nowszych z pewnoci pamitaj monity bezpieczeostwa, ktre byy wywietlane w postaci balonw. Teraz wanie za ich prezentowanie bdzie Strona | 17

odpowiedzialny Action Center, robic to w sposb bardziej przyjazny. Action Center agreguje rwnie elementy zwizane z wydajnoci i rozwizywaniem problemw kopia zapasowa, kreatory pomocy i skrt do badania wydajnoci (okna Windows Experience Index). 2.4.1 Zarzdzanie urzdzeniami

W Windows 7 zmienia si podejcie do korzystania z urzdzeo. Urzdzenia maj byd atwo instalowalne oraz zarzdzane z jednego miejsca, co jest istotne w dobie drukarek, skanerw, urzdzeo cyfrowych i urzdzeo mobilnych, ktre dodatkowo maj bd te musz byd cile zintegrowane z systemem operacyjnym. Dostp do sekcji dedykowanej urzdzeniom jest dostpny ju z poziomu menu Start, pod pozycj Urzdzenia i drukarki. Wszystkie zainstalowane w systemie urzdzenia zostay podzielone na najwaniejsze kategorie, do kadego z urzdzeo jest przypisana ikona. Po klikniciu na takie urzdzenie, z poziomu menu kontekstowego moemy wybrad konkretn akcj przegldania plikw, definiowania preferencji (np. przy drukarkach wybierajc jedn domyln) czy rozwizywania bdw.

Rysunek 13. Okno Urzdzenia I drukarki.

Zmieniono sposb dodawania nowych urzdzeo, z poziomu Urzdzenia i drukarki naley wskazad kontrol Dodaj urzdzenie, aby uruchomid nowy kreator. W ramach okna kreatora naley wskazad podczone, a nie skonfigurowane urzdzenie.

Strona | 18

Rysunek 14. Dodawanie nowego urzdzenia za pomoc kreatora dodawania urzdzenia.

Zapewne po przeczytaniu poprzedniego akapitu wielu czytelnikw zadaje sobie pytanie a jak dodad inne, specyficzne urzdzenia?. Jest to bardzo dobre pytanie, co zrobid jeeli chcemy dodad np. Microsoft Loopback Adapter w celu testw sieci w ramach rodowiska maszyn wirtualnych na naszym komputerze? Naley jak kiedy skorzystad z kreatora dodawania nowego urzdzenia, ktry w Windows 7 jest po prostu ukryty. W pasku uruchamiania naley wprowadzid hdwwiz.exe i przejd przez kolejne etapy wybierajc jak dawniej rodzaj sprztu, nastpnie producenta, a pniej konkretny model.

Strona | 19

Rysunek 15. Uruchomiony kreator Add Hardware Wizard w Windows 7.

Zupen nowoci jest Device Stage, czyli centrum konkretnego urzdzenia. Po podczeniu urzdzenia wywietlane jest specjalne okno, z linkami do najwaniejszych opcji np. w przypadku telefonu opcji synchronizacji, informacji o stanie baterii, liczby wiadomoci tekstowych itp. Urzdzenie musi byd z now technologi kompatybilne, pen, oficjaln list wspieranych produktw mona znaled na witrynie Microsoft. Windows 7 to nastpca systemu Windows Vista i oferuje nowe i rozszerzone funkcjonalnoci, w tym w zakresie graficznego interfejsu uytkownika, ktre sprawiaj, e uytkowanie Windows 7 jest jeszcze atwiejsze. W kolejnej czci z cyklu Akademia Windows 7 przedstawione zostan zmiany i ulepszenia w zakresie Zasad Grupy.

Strona | 20

2.4.2

UAC

UAC (User Account Control) jest pierwsz od lat prb zmuszenia uytkownika, eby pracowa nie uywaj praw administratora. Od czasw WindowsNT stopniowo wszyscy przyzwyczaili si do tego, e prawa administratora s praktycznie niezbdne w normalnej pracy. Sedno problemu ley gwnie w tym, e z praw takich nadzwyczaj chtnie korzystali dotd programici (zachceni zreszt przez narzdzia Microsoftu). W efekcie masowo powstaway aplikacje, ktre bez wysokich uprawnieo po prostu nie dziaay. Tu repozytorium informacji w C:\Program Files, tu par wpisw w rejestrze, tu odwoanie na skrty do sterownika, tu Raw socket itd. W efekcie, bez praw administratora aden profesjonalista nie by w stanie pracowad. W kolejnych systemach, z wersji na wersj stawao si to coraz trudniejsze. W Windows2000 pojawia si opcja Run As ale nikt poza pasjonatami jej nie traktowa powanie. Microsoft zacz zalecad codzienne korzystanie z dwch kont, ale nikomu nie chciao si w ten sposb funkcjonowad. Ju prostsze byo uywanie maszyn wirtualnych do wszelkich niestandardowych zachowao. Od strony technicznej, mechanizm UAC polega na tym, e uytkownik komputera dostaje dwa tokeny security. Oznacza to, e moe przestawid si jako administrator lub jako zwyky uytkownik, w zalenoci od potrzeb. Dziki temu na co dzieo pracuje bez uprawnieo, ale jeeli tylko s one potrzebne atwo jest je uzyskad nawet na pojedyncz operacj. Co wane, konto administratora w ogle jest wyczone i praktycznie nie ma potrzeby jego wczania. Aby uczulid uytkownika na sytuacje, w ktrych posuguje si on podniesionymi uprawnieniami kadorazowo wykorzystanie tokena administracyjnego wie si z zadaniem pytania czy wyraasz zgod i wiesz co robisz. Nie zwiksza to bezporednio bezpieczeostwa systemu. Nie po to jest ten mechanizm. To nie jest zabezpieczenie techniczne tylko efekt szerszego podejcia zorientowanego na ogln polityk codziennej pracy z komputerem. O ile przy czynnociach administracyjnych pytanie UAC o podniesienie praw wydaje si oczywiste i mao kopotliwe, o tyle w przypadku niektrych aplikacji trudno je zrozumied. Wynika to ze wspomnianego wczeniej faktu, e starsze aplikacje bez praw administratora nie funkcjonuj poprawnie. Wydaje si jednak, e podejcie odpowiedz za kadym razem, e jeste pewny i pracuj spokojnie jest zdecydowanie lepsze od podejcia zaloguj si na konto administratora i pracuj. Poza tym, ubocznym efektem widowiskowego zapytania o uprawnienia jest staa presja wywierana na twrcw aplikacji. Wiadomo, e prosta aplikacja do wystawiania faktur nie musi tak naprawd mied wysokich uprawnieo w systemie. Jeeli jest inaczej programista jak najszybciej powinien zajd si jej gruntownym przeprojektowaniem. Porednio wic, dziki zmuszeniu uytkownika do wyrzeknicia si praw administratora, w wiecie IT pojawiaj si coraz bezpieczniejsze aplikacje. Jeeli kto naprawd nie jest w stanie zaakceptowad staych pytao od UAC moe postpid na dwa sposoby. Wyczyd UAC i pracowad ze stale wysokimi uprawnieniami lub przeczyd polityki systemu tak, aby podniesienie uprawnieo odbywao si za kadym razem bez koniecznoci potwierdzenia. Ciekawym skutkiem uycia mechanizmw UAC jest zachowanie komputera przy uwierzytelnianiu przez sied. Jeeli to Windows Vista uwierzytelnia uytkownika, to przez sied nigdy nie da mu praw administratora. W efekcie, uytkownik bdcy lokalnie administratorem, przez sied nigdy nie uzyska jego praw. Funkcjonalnod t oczywicie mona wyczyd lub przenied obowizek uwierzytelniania na kogo innego. W standardowych przypadkach jest to Active Directory. Strona | 21

Podsumowujc kontrowersyjny mechanizm UAC, stwierdzid naley, e mimo wszystko jest on warty uycia. Kilka razy dziennie mona kliknd na przycisku Akceptuj a pozytywne skutki trudno przecenid. Wraz z Windows Vista pojawi si User Account Control, mechanizm systemowy ktry mia rozwizad wczeniej wymienione problemy i zachcid nawet najbardziej wymagajcego uytkownika, aby sign po konto standardowe (bo taka konwencja nazewnicza pojawia si w Vista). Po pierwsze, UAC daje atwy dostp do uprawnieo na zasadzie tylko w wymaganym czasie i to na koncie o niszych uprawnieniach, po drugie lista codziennych zadao konfiguracyjnych, ktre wymagaj wyszych uprawnieo zostaa przeanalizowana i skrcona, aby faktycznie byo wygodniej, po trzecie zachcid programistw do tworzenia aplikacji, ktre swobodnie dziaaj bez najwyszych uprawnieo (najczciej ich po prostu nie potrzeboway), po czwarte zapewnid wsteczn kompatybilnod, to znaczy udostpnid takie rozwizania w ramach UAC, aby rwnie starsze programy mogy byd uytkowane w nowym rodowisku. I po pite dad uytkownikowi moliwod wyboru tak, mona ten mechanizm wyczyd (co pociga za sob pewne zagroenia). Po szste, uytkownik wie co wymaga wyszych uprawnieo te zadania opatrzone s ikon tarczy. Wniosek, a waciwie cel wprowadzenia UAC uytkownik musi dziaad w kontekcie uprawnieo standardowych, jego aplikacje nie musz posiadad wysokich uprawnieo, co powoduje, e faktyczne ograniczenie poziomu uprawnieo znacznie wpywa na zmniejszenie poziomu strat jakie zoliwie oprogramowanie moe wyrzdzid. UAC nie ma odcinad uytkownika od uprawnieo, UAC ma za zadanie dawad najwysze (stosowne) uprawnienia tylko w wymaganej chwili i na wyrane zezwolenie uytkownika. Czy to si sprawdzio? Kady powinien na to pytanie odpowiedzied samodzielnie, gdy system Windows Vista z rozwizaniem UAC jest ju na rynku pewien czas, i kady mia okazj si z nim zapoznad. Gwne zarzuty, ktre byy kierowane wobec technologii User Account Control to ilod monitw, jakie UAC wywietla i tu przychodzi zmiana w systemie Windows 7. Uytkownikadministrator moe dostosowad sytuacj, w ktrej UAC zaprezentuje monit, wskazujc jeden z czterech dostpnych poziomw, o czym bardziej szczegowo w dalszej czci artykuu. Administrator logujc si do systemu Windows Vista/Windows 7 otrzymuje dwa etony (tokeny) dostpu: uytkownika standardowego, w kontekcie ktrego uruchamiany jest proces Explorer.exe i wszystkie procesy potomne (tak, wszystko dziaa bdc ograniczonym) oraz eton penego dostpu administratora. Ten drugi jest uywany, gdy uytkownik potwierdzi w monicie UAC, e zezwala na podniesienie uprawnieo (usuga Apllication Information uywa etonu penego administratora, aby wykonad zadanie bd uruchomid aplikacj z wyszymi uprawnieniami).

Strona | 22

Rysunek 16. Przykadowy monit UAC.

Aby zapobiec podszywaniu si pod monity UAC przez zoliwe oprogramowanie, wszystkie wywietlane s na tzw. bezpiecznym pulpicie (ang. Secure Dekstop), ktrego idea dziaania jest bardzo prosta interakcja moe zajd tylko pomidzy monitem wygenerowanym przez UAC. Bezpieczny pulpit to w rzeczywistoci przyciemniony zrzut ekranu, ktry wykonuje system operacyjny przed podniesieniem uprawnieo. Administrator moe dostosowad, w jakich sytuacjach zasada bezpiecznego pulpitu ma byd stosowana, ale o tym pniej. Istotnym punktem na licie wymagao, ktre UAC musi speniad to zapewnienie wstecznej kompatybilnoci dla aplikacji. Po pierwsze bdzie to wirtualizacja, i nie chodzi tu o produkty Virtual PC czy Hyper-V. Mechanizm UAC wirtualizacje dania do tzw. bezpiecznych lokalizacji: %ProgramFiles%; %Windir%; %Windir%\System32; HKEY_LOCAL_MACHINE\Software. Jeeli aplikacja bdzie chciaa zapisad informacj (plik) w jednym z tyche miejsc - danie zostanie przeniesione do lokalizacji \AppData\Local\VirtualStore\ w profilu uytkownika. Gdy uytkownik bdzie prbowa uzyskad dostp do tego pliku z poziomu programu, bdzie on widoczny w standardowym miejscu, gdzie aplikacja chciaa dokonad zapisu, za jeeli bdzie wyszukiwa danych z poziomu Eksploratora Windows, bd dostpne we wczeniej opisanej lokalizacji w profilu. Jest to funkcjonalnod, ktra dziaa dla 32-bitowych programw (64-bitowe aplikacje musz byd wiadome koniecznoci zapisu w poprawnym miejscu). Drug sytuacj, w ktrej wirtualizacja jest wyczana, jest przypadek, gdy aplikacja posiada tzw. manifest danego poziomu wykonywania (ang. requested execution level manifest ), ktry jest jednym z trzech elementw, ktry determinuje, w ktrym czasie uytkownik zobaczy monit Kontroli Konta Uytkownika. Monit UAC jest prezentowany, gdy system stwierdzi, e dana aplikacja bd czynnod wymaga wikszych uprawnieo, ni te w ktrych kontekcie dziaa obecnie uytkownik. W przypadku aplikacji wyrnia si trzy elementy, ktre wpywaj na to czy uytkownik zobaczy monit z pytaniem o podniesienie uprawnieo. Bd to: wczeniej opisany manifest danego poziomu wykonywania, informacje z waciwoci aplikacji bd rozpoznawanie (heurystyka). Manifest danego poziomu wykonywania musi zostad dodany przez twrc aplikacji i tak naprawd jest odpowiednio opracowanym kodem. Manifest okrela, na jakim poziomie uprawnieo aplikacja ma dziaad: Strona | 23

RunAsInvoker (asInvoker) uprawnienia standardowe, monit nie jest potrzebny i nie jest wywietlany. RunAsHighest (highestAvailable) uprawnienia wysze ni standardowe, monit jest wywietlany, ale w przypadku jego anulowania, aplikacja mimo wszystko rozpoczyna swoje dziaanie (pewne elementy mog byd niedostpne). RunAsAdmin (requireAdministrator) uprawnienia administratora s wymagane, monit jest wymagany i jest prezentowany.

Drug sytuacj, ktr analizuje system w kontekcie decydowania czy aplikacja wymaga innych uprawnieo ni standardowe s informacje z jej waciwoci. Trzeci element to heurystyka aplikacji, UAC potrafi ocenid, czy dana aplikacja, ktre nie zawiera manifestu jednak wymaga wyszych uprawnieo wykonywana jest analiza nazwy i meta danych w celu identyfikacji. Jest to funkcja uywana przy 32-bitowych aplikacjach, ktra tak naprawd dedykowana jest plikom instalatorw, ktre wymagaj wyszego poziomu dostpu.

Rysunek 17. Zakadka "Zgodnod".

Administrator moe zaznaczyd, e dana aplikacja ma dziaad w kontekcie najwyszych uprawnieo, zarwno dla siebie (zaznaczajc pole wyboru) bd dla wszystkich uytkownikw, korzystajc z opcji Change settings for All users. Administrator/uytkownik na podobnej zasadzie dziaania moe Strona | 24

uruchomid program z uprawnieniami podwyszonymi w tej danej chwili , wybierajc z menu kontekstowego opcj Run As Administrator, co jest szczeglnie przydatne dla linii komend (CMD.exe). Poniszy podzia jest wynikiem dostpnych opcji w Windows 7, i konsekwencj ewolucji zasady jak najnisze uprawnienia. Administrator wbudowane konto administratora, w Windows 7 domylnie wyczone. W Windows 2008 R2 konto administratora jest tworzone jako pierwsze i nie dziaa w trybie Admin Aproval. Ten Administrator konto uytkownika z uprawnieniami administratora (z przypisan wasn nazw). Ten rodzaj konta najczciej by uywany w Windows XP. Ten Administrator w trybie Admin Aproval konto uytkownika z przypisan nazw z atwym dostpem do uprawnieo administratora. Domylny rodzaj konta w Windows Vista i 7. Tryb Admin Aproval zosta wprowadzony, aby podnied poziom bezpieczeostwa tych uytkownikw, ktrzy jednak zdecydowali si pracowad na stworzonym koncie administratora. UAC daje takiemu uytkownikowi peen dostp na zasadzie per zadanie i podnosi poziom uprawnieo tylko jeeli jest taka potrzeba po klikniciu przycisku zezwolenia. Uytkownik standardowy konto uytkownika z przypisan wasn nazw z uprawnieniami standardowymi, z moliwoci wykonania zadao administratorskich, ale tylko w sytuacji gdy administrator wprowadzi swoje powiadczenia w monicie UAC. Najbardziej bezpieczny, a przez to zalecany rodzaj konta.

Jednym z celw jakie postawia sobie firma Microsoft udoskonalajc mechanizm User Account Control w Windows 7 to moliwod wygodnego dostosowania sytuacji, w ktrej monit z pytaniem o podniesienie uprawnieo jest prezentowany. W Windows Vista duego wyboru nie byo, UAC dziaa, wywietla monity, a jednym sposobem jego dostosowania jest dziaanie na konkretnych politykach w Zasadach grupy. W Windows 7 udostpniono tzw. suwak UAC, ktry suy do konfiguracji tego mechanizmu. Okno konfiguracji jest dostpne z poziomu Action Center, po klikniciu opcji User Account Control settings. Uytkownik, w tym przypadku administrator moe wybrad jedn z czterech opcji: Always notify me when: Programs try to install software Or make changes to my computer, I make changes to Windows settings jest to opcja, ktra funkcjonalnie odpowiada sytuacji z systemu Windows Vista. Gdy dokonywane s zmiany, zarwno w ustawieniach systemowych, jak I instalowane bd uywane s aplikacje, ktre wymagaj wyszych uprawnieo, to prezentowany jest monit UAC z prob o potwierdzenie bd odrzucenie dania. Default - Notify me only when programs try to make changes to my computer domylne ustawienie w Windows 7. Jeeli administrator zmienia ustawienia systemowe, monit UAC nie jest wywietlany. Firma Microsoft podpisaa elementy i aplikacje systemowe w taki sposb, aby nie wywietlay monitu (tylko dla tej opcji). Jeeli zmiana jest dokonywana przez element zewntrzny (np. aplikacj) monit jest wywietlany na bezpiecznym pulpicie .

Strona | 25

Notify me only when programs try to make changes to my computer (do not dim my desktop) bardzo zblione do poprzedniego, aczkolwiek w przypadku zastosowania, nie jest stosowany wczeniej opisany bezpieczny pulpit. Never notify me when: Programs try to install software Or make changes to my computer, I make changes to Windows settings ustawienie wycza cay mechanizm User Account Control (nie tylko monity!).

Rysunek 18. Ustawienia UAC

Dostpne ustawienia prezentuj si w sposb nastpujcy: Default Always notify me when: Programs try to install software or make changes to my computer, I make changes to Windows settings - domylne ustawienie, wyjanienie wczeniej. Always notify me (and do not dim my desktop) when : Programs try to install software or make changes to my computer, I make changes to Windows setting jak powyej, lecz z zastosowaniem bezpieczengo pulpitu.

Pozostae dwa poziomy s identyczne, ale aby je zastosowad naley zalogowad si na konto o uprawnieniach administratora. Dwa pierwsze s dostpne, ale ich wprowadzenie wymaga wprowadzenia powiadczeo administratorskich w monicie UAC. Dla User Account Control dostpnych jest dziewid polityk, ktre zostay opisane w poniszej tabeli.

Strona | 26

Nazwa polityki Dostpne opcje* User Account Control: Enabled; Disabled Admin Approval Mode for the Built-in Administrator account

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

Enabled; Disabled

Wyjanienie Ustawienie stosuje si tylko do wbudowanego konta Administrator, okrela, czy to konto ma pracowad w trybie Admin Aproval (zatwierdzania). Domylnie jest wyczone, I wbudowane konto zachowuje si jak w systemie Windows XP, gdzie wszystkie procesy dziaaj z najwyszymi uprawnianiami. Warto podkrelid, e domylne konto Administrator jest wyczone. Ustawienie pozwala aplikacjom UIAccess na automatyczne wyczenie bezpiecznego pulpit przy probie o podniesienie uprawnieo.

Elevate without prompting; Prompt for credentials on the secure desktop; Prompt for consent on the secure desktop; Prompt for credentials; Prompt for consent; Prompt for consent for non-Windows binaries

User Account Control: Behavior of the elevation prompt for standard users

Automatically deny elevation requests; Prompt for credentials on the secure desktop; Prompt for credentials

User Account Control: Enabled; Disabled Detect application installations and prompt for elevation User Account Control: Enabled; Disabled Only elevate executables that are signed and validated

User Account Control: Enabled; Disabled Only elevate UIAccess applications that are installed in secure locations User Account Control: Enabled; Disabled Strona | 27

Ustawienie definiuje, w jaki sposb uytkownicy-administratorzy dziaajcy w trybie Admin Aproval s pytani o zgod na podniesienie uprawnieo w monicie UAC. Domylnie, taki uytkownik-administrator musi tylko zatwierdzid poniesienie uprawnieo. W systemie Windows 7 domylnie monit UAC bdzie wywietlany dla nie-systemowych komponentw (np. zewntrznych aplikacji). Ustawienie determinuje w jaki sposb uytkownicy maj dostp do moliwoci wprowadzania powiadczeo administrator. Domyle ustawienie powoduje, e uytkownik w monicie UAC jest proszony o podanie hasa do konta administratora. Ustawienie pozwala okrelid czy ma dziaad heurystyka UAC, i stosowane jest, gdy uytkownik uruchamia instalacj aplikacji (wywietlany jest monit z prob o podanie powiadczeo bd zezwolenia na operacj). Ustawienie pozwala okrelid, e uruchamianie mog byd tylko aplikacje podpisane zaufanym certyfikatem. Domylnie wczona opcja (Disabled) umoliwia wywietlanie monitw UAC zarwno dla zaufanych, jak i niezaufanych programw. Ustawienie okrela, e tylko aplikacje uruchamianie z bezpiecznych lokalizacji maj dostp do interakcji z interfejsem uytkownika (UIAccess). Ustawienie pozwala okrelid, czy kady

Run all administrators in Admin Approval Mode

uytkownik o uprawnieniach administratora (z wyczeniem wbudowanego konta Administrator) ma dziaad w trybie zatwierdzania (Admin Aproval). User Account Enabled; Disabled Ustawienie pozwala okrelid, czy dania Control: Virtualizes zapisu do bezpiecznych aplikacji maj byd file and registry write wirtualizowane (w celu zapewnienia failures to per-user kompatybilnoci). Domylnie jest wczone, locations kade danie zapisu jest przenoszone do folderu w profilu uytkownika. * Ustawienie wyrnione pogrubion czcionk jest domylne w lokalnych zasadach zabezpieczeo. Mechanizm User Account Control dostpny w Windows Vista i Windows 7 to kluczowa technologia zabezpieczeo, realnie wpywajca na poziom zabezpieczenia komputera. Firma Microsoft projektujc system Windows 7 wzia pod uwag opinie klientw i spoecznoci, wprowadzajc nowy sposb konfiguracji sytuacji, w ktrej monity mechanizmu UAC s prezentowane uytkownikowi. Zmiany objy rwnie Zasady grupy, gdzie rozszerzono kilka z polityk.

2.5 BitLocker oraz BitLocker2GoW najwikszym skrcie, Bitlocker scharakteryzowad mona jako metod kryptograficznej ochrony (szyfrowania) dyskw twardych. Dysk chroniony Bitlockerem, po woeniu do innego komputera jest cakowicie niedostpny do czasu podania klucza na przykad w postaci 48 cyfr. Mimo pojawiajcych si odruchowo oporw przed takim rozwizaniem, szczegy powinny przekonad nawet bardzo ostronego sceptyka. Bitlocker jest funkcjonalnoci, ktra niezalenie od oglnych i uniwersalnych zaoeo, w praktyce daje korzyd przede wszystkim uytkownikom komputerw przenonych. W praktyce wszystkim takim uytkownikom, jednak naley zdad sobie spraw, e sposb, w jaki Bitlocker pokae si na ekranie zaley dod mocno tak od sprztu, jak i od zaoonych standardw ochrony. Jak przy kadej nowej funkcjonalnoci, take i w przypadku mechanizmw Bitlocker, naley zdad sobie spraw, e nic nie jest za darmo. Koszty zwizane z Bitlockerem podzielid mona na kilka kategorii. Pierwszym kosztem jest koszt systemu operacyjnego. Windows 7 nie jest systemem darmowym i prawdopodobnie wszyscy zdaj sobie z tego spraw. Co wicej, Bitlocker dostpny jest jedynie w bardziej rozbudowanych (czyli niestety droszych) wersjach. Drugim aspektem s wymagania sprztowe. Bitlocker szyfruje i rozszyfrowuje kady zapisany na dysku sektor. Od dokumentw, poprzez aplikacje a po plik wymiany. To nie moe dziad si bez uycia procesora, a algorytmy kryptograficzne wymagaj zazwyczaj niemaej zoonoci obliczeniowej. Bitlocker obcia procesor bardzo nieznacznie, ale naley zdawad sobie spraw, e jednak obcia. Ostatnim (i tak naprawd najwaniejszym) wymaganiem dla Bitlockera jest wyposaenie sprztu w modu kryptograficzny zgodny ze specyfikacj TPM v 1.2. Brzmi to powanie, ale w chwili obecnej duo komputerw przenonych ma ju ten modu (na przykad IBM chwali si wyposaeniem w TPM prawie 20mln laptopw), a po drugie mona poradzid sobie i bez TPM, okaleczajc jednak Bitlockera w sposb odbierajcy mu cay urok. TPM jest skrtem od Trusted Platform Module i zosta opracowany przez Trusted Computing Group (http://www.trustedcomputinggroup.org). Zaoeniem byo wbudowanie mechanizmw kryptograficznych w sprzt w taki sposb, eby nikt nie by w stanie ich oszukad rcznie mieszajc w kluczach czy algorytmach. Dokadnie ta sama idea przywiecaa Strona | 28

twrcom kart procesorowych i dla uproszczenia mona o TPM myled wanie jako o takiej karcie wbudowanej w pyt gwn. W chwili obecnej moduy TPM produkowane s przez kilka firm, jednak w swoje pyty gwne wbudowuj je praktycznie wszyscy liczcy si producenci sprztu. Poza typowymi funkcjami kryptograficznymi (midzy innymi obsug RSA, SHA-1, HMAC i AES oraz generowaniem liczb losowych) TPM jest w stanie utworzyd sum kontroln dla wykonywanego przez procesor kodu. Oznacza to, e istnieje prosta metoda zapytania TPM czy aplikacja nie zostaa zmodyfikowana i czy nie rni si od zapamitanej wersji wzorcowej. Zapytanie takie moe dotyczyd nie tylko aplikacji typu *.exe, ale dowolnego fragmentu kodu, takiego, jak chodby BIOS pyty, BIOS karty graficznej, Master Boot Record czy Windows Boot Manager. Warto zauwayd, e TPM potwierdza rwnie wasn tosamod, przez co zastpienie go innym natychmiast zostanie wykryte. W chwili obecnej funkcjonalnoci oferowane przez TPM nie s jeszcze szeroko wykorzystywane, ale ich moliwoci s ogromne. Szansa sprawdzenia, czy kod na pewno nie zosta zmodyfikowany, moe byd niezwykle uyteczna chodby w takich zastosowaniach, jak wykrywanie szkodliwego oprogramowania czy kontrola oryginalnoci aplikacji. W przypadku mechanizmw BitLocker, kontrola wykonywanego kodu dotyczy najwczeniejszych etapw pracy komputera i startu systemu. Cay proces startu komputera jest rejestrowany przez TPM, a wyliczona suma kontrolna ma kluczowe znaczenie w dalszej pracy. atwo domylid si, e nawet najdrobniejsze zmiany w rodowisku (aktualizacja BIOSu, zmiana karty, dooenie dysku itp.) sprawi, e TPM nie potwierdzi oryginalnoci procesu uruchamiania systemu. BitLocker zosta jednak zaprojektowany ze wiadomoci, e sytuacje takie mog mied miejsce i w praktyce nie sprawiaj one adnych problemw z dostpem do zaszyfrowanych danych. Naley pamitad, e potwierdzenie przez TPM oryginalnoci kodu startowego nie polega na porwnaniu ze wzorcem. TPM adnego takiego wzorca nie ma i nie jest w stanie poinformowad, czy kod jest dobry czy zy. Jedyne co TPM zrobid moe, to obliczyd sum kontroln i podad j kademu zainteresowanemu. Do czego suma ta posuy, zaley wycznie od intencji twrcw rozwizania. Pozornie najprostszym dziaaniem byoby porwnanie takiej sumy z zapisan gdzie prawidow wartoci. Takie podejcie staoby si jednak byskawicznie obiektem atakw i metody pozwalajce omind mechanizmy BitLocker pojawiyby si prawdopodobnie ju kilka tygodni po premierze systemu. Zamiast tego, kad dan (nazywan SRK) otrzyman od TPM system uzna jako poprawn i uyje jej do rozszyfrowania zapisanego na dysku klucza VEK, ktry zostanie jeszcze szczegowo opisany. Efekt jest prosty jeeli TPM wyliczy poprawn wartod SRK (czyli kod uruchamiajcy komputer jest taki jaki byd powinien), system ma klucz VEK, a to ju prawie gwarancja sukcesu. Jeeli TPM policzy co innego, klucz VEK po rozszyfrowaniu do niczego si nie nadaje, a Windows 7 zwrci uytkownikowi uwag, e to, co poda TPM nie przypomina oczekiwanego wyniku. Taka metoda uwierzytelniania jest powszechna w wielu innych rozwizaniach. Wymienid tu mona chodby ochron plikw Office hasem, ochron plikw ZIP czy mechanizmy DRM dla mediw. Sprawdzanie poprawnoci hasa przez porwnanie ze wzorcem byoby proste do oszukania. Wystarczyoby podmienid wzorzec albo zmodyfikowad algorytm porwnywania. W uwierzytelnianiu dla ubogich kade haso jest dobre i kade z pen ufnoci zostanie uyte do rozszyfrowania informacji. Potem wystarczy sprawdzid tylko czy wynik ma jakikolwiek sens.

Strona | 29

Dziki TPM wiadomo ju, e system uruchamia si w swoim naturalnym otoczeniu, z niezmodyfikowanymi plikami startowymi i w tym samym komputerze. Dla wykonywanego kodu obliczona zostaje suma kontrolna. Suma kontrolna jest uyta do rozszyfrowania VEK i wynik jest sensowny. System ma VEK czyli Volume Encryption Key i to wanie jest klucz, ktrym odszyfrowad mona ca zabezpieczon partycj. Sterownik dostaje klucz i w niewidoczny dla uytkownika sposb rozszyfrowuje kady odczytany z partycji sektor. System startuje normalnie i w koocu wywietla standardowe okienko logowania. Jeeli uytkownik zna haso po prostu rozpoczyna prac jak co dzieo. W przypadku, kiedy dysk dostanie si w rce zodzieja lub szpiega najwygodniej zwykle jest zainstalowad nowy system z nowym hasem lub przeoyd dysk do innego komputera i po prostu przegrad pliki dokumentw. Mona rwnie uyd pyty CD, zmieniajcej haso administratora. W przypadku, gdy dysk zabezpieczony jest Bitlockerem tak si nie da. Zodziej ma zaszyfrowany kluczem VEK dysk, a klucz ten te jest zaszyfrowany przy uyciu SRK. Jedyn metod odszyfrowania VEK jest podanie poprawnego SRK. A ten klucz moe zostad wyliczony jedynie przez TPM. Sytuacja jest z punktu widzenia szpiega beznadziejna, poniewa nic innego, ni oryginalny TPM, nie policzy tej sumy. Podsuchanie czy podejrzenie sumy SRK te nie jest moliwe, poniewa wymagaoby zmiany w kodzie startowym, a zmiana taka nie pozostanie niezauwaona przez TPM. Podsumowujc mona stwierdzid, e chroniony mechanizmami Bitlocker system albo uruchomi si sam (normalnie) i wywietli standardow prob o Ctrl+Alt+Del, albo nie obliczy klucza niezbdnego do rozszyfrowania dysku. Ani jeden ani drugi przypadek nie da zodziejowi adnego dostpu do danych. Przy takim podejciu do szyfrowania, musi pojawid si pytanie "a gdzie zapisane s te wszystkie programy, ktrych uywa si zanim zostanie obliczony VEK?" I susznie. Zanim sterownik otrzyma poprawny VEK, jeden program musi skomunikowad si z TPM eby otrzymad SRK, drugi musi odczytad zaszyfrowany VEK z dysku (tego zaszyfrowanego), trzeci musi rozszyfrowad VEK przy pomocy SRK. Gdzie te programy i zaszyfrowany VEK trzeba zapisad. Na zaszyfrowanej partycji? W jej niezaszyfrowanym fragmencie? W MBR? Dane potrzebne systemowi do chwili wyliczenia VEK przechowywane s na jednej partycji (Boot . System Partition), a caa reszta systemu na drugiej (Windows Partition), ktra jest zaszyfrowana. Dziki temu wyliczenie VEK odbyd si moe bez uycia zaszyfrowanego dysku, a jak VEK ju jest znany dostp do partycji Windows nie stanowi problemu. Sytuacja jest jasna i znana wczeniej a dwie partycje na dysku nie s niczym niezwykym. Partycja boot nie powinna zawierad adnych istotnych danych i w efekcie okazuje si, e moe byd cakiem niewielka. Microsoft zaleca przeznaczenie na ni 1.5GB budujc j od podstaw. Eksperymenty z rozmiarem partycji s interesujce, jednak w warunkach innych ni laboratoryjne naley trzymad si zalecanego 1.5GB, poniewa ewentualne kopoty mogyby byd dod dotkliwe. Instalujc system od podstaw tworzona jest automatycznie partycja ukryta o rozmiarze 200MB. W sytuacji, kiedy od pocztku planowane jest uycie Windows 7, zaoenie partycji boot i partycji Windows nie jest duym kopotem. Mona to bez trudu zrobid z poziomu programu instalacyjnego w czasie instalacji systemu. Kopot pojawia si jednak w dwch przypadkach: jeeli komputer ma ju partycj na ktrej s dane lub jeeli partycja zostaa zaoona przez dostawc sprztu. W obu przypadkach partycja taka zajmuje zazwyczaj cay dysk i ani rozwizanie polegajce na kopiowaniu, Strona | 30

partycjonowaniu, formatowaniu i ponownym kopiowaniu, ani rozwizania firm trzecich nie s najlepszym pomysem. Z prostej instalacji systemu robi si czasochonna operacja polegajca na przegrywaniu danych tam i z powrotem. Microsoft podszed do tematu inaczej. Jeeli na dysku ju istnieje partycja z danymi i nie ma wolnego miejsca na partycj boot partycj z danymi naley zmniejszyd na przykad o 1.5GB. Uzyskane w ten sposb miejsce idealnie nada si na zaoenie potrzebnej partycji. W teorii jest to proste jednak praktyka dotychczas pokazywaa, e to niemoliwe. W Windows 7 jest inaczej, poniewa system wspiera zmniejszanie rozmiarw partycji. Jest to kolejna nowod, tym razem wygldajca na wymuszon potrzebami ochrony kryptograficznej. Moliwoci zmiany rozmiaru partycji w czasie instalacji s wane, jednak w przypadku tysica komputerw przenonych, w ktrych s ju partycje zaoone, zmniejszanie ich nie jest najlepszym pomysem. Microsoft zachca producentw sprztu do zakadania partycji boot i partycji systemowej. Wszystkie, mogce pracowad z Bitlockerem, komputery bd miay dwie gotowe do uycia partycje i nic nie trzeba bdzie na nich zmieniad. W systemie Windows Vista, wprowadzono ograniczenie stosowania Bitlockera wycznie do partycji systemowej. Jedna dua partycja na wszystkie dane jest rozwizaniem nierzadko spotykanym, jednak nie zawsze takie rozwizanie jest waciwe. Interfejs uytkownika systemu Bitlocker nie pozwala na zaszyfrowanie partycji innej ni systemowa, jednak narzdzia wykorzystujce wiersz poleceo umoliwiaj to bez kopotw. Co ciekawe, taki zaszyfrowany dysk pojawi si w graficznym interfejsie BitLocker i udostpni standardowe opcje ani sowem nie komentujc, e par chwil wczeniej udawa, e takiego dysku zaszyfrowad w ogle si nie da. Microsoft zapowiada rozszerzenie GUI o dyski inne ni systemowe w ServicePack1. Do niedawna twierdzono, e takie rozwizanie nie bdzie w ogle wspierane, wic postp powinien cieszyd. Niezalenie od tego czy dysk zaszyfrowano przez GUI czy z wiersza poleceo, tak skonfigurowany Bitlocker bardzo dobrze dziaa. Wiedzc ju, jak maj byd uoone partycje, skd bierze si klucz i do czego mona go uyd, warto bliej poznad sam sposb dziaania mechanizmw Bitlocker. Tak, jak wspomniano powyej, szyfrowany jest kady sektor dysku. eby nie przeszkadzao to w pracy systemu, wskazane jest, eby adna aplikacja nie bya w stanie zauwayd rnicy pomidzy dziaaniem na dysku zaszyfrowanym a niezaszyfrowanym. Z tego powodu sterownik FVE umieszczony jest bardzo nisko w strukturze systemu. W praktyce, pomidzy dyskiem a FVE znajduje si wycznie Volume Manager i sterowniki dysku (w tym sterowniki RAID). FVE dostaje dane, gdy tylko zostan one odczytane i od razu je deszyfruje. Kady inny element systemu operuje ju wycznie na danych rozszyfrowanych. Na danych rozszyfrowanych operuj w szczeglnoci mechanizmy takie, jak defragmentacja, cache, shadow copy czy systemowa kompresja NTFS. Oznacza to, e cay proces ochrony danych jest cakowicie niezauwaalny. Samo szyfrowanie i rozszyfrowanie danych jest ciekawym zagadnieniem z obszaru matematyki i kryptografii i zostanie jeszcze pokrtce wyjanione. Warto zwrcid uwag na to jak przebiega operacja zaszyfrowania i rozszyfrowania caego dysku. Jest to zupenie inne zagadnienie, ni dziaanie na pojedynczych sektorach w trakcie normalnej pracy. Pojedynczy sektor jest rozszyfrowywany natychmiast po daniu jego odczytania i szyfrowany tu przed zapisem. System w czasie pracy, z oczywistych powodw, dania zapisu i odczytu wysya w ogromnej iloci i operacje kryptograficzne wykonywane s tylko na tych sektorach, ktrych dotycz operacje.

Strona | 31

W przypadku, kiedy dysk nie jest chroniony, a administrator zechce ochron wczyd, konieczne jest przeprowadzenie operacji szyfrowania dla caego dysku. Generowany jest klucz VEK, uruchamia si sterownik FVE i sektor po sektorze dysk jest odczytywany, szyfrowany i zapisywany. Dla wspczesnych realiw, czyli szybkiego laptopa ocenionego przez Windows Vista na 4.8-4.9 i dla dysku 100GB, proces ten zajmuje kilka godzin intensywnej pracy. Poniewa aplikacje nie s wiadome, e w systemie dziaa Bitlocker, trwajce szyfrowanie dysku w aden sposb nie przeszkadza w ich dziaaniu. Co wicej, w czasie szyfrowania komputer mona restartowad, a sam operacje dowolnie wstrzymywad i wznawiad. Tak GUI, jak i wiersz poleceo Bitlockera dokadnie informuj o postpie caego procesu. Szyfrowanie partycji obejmuje kady jej sektor niezalenie od tego, czy jest on w danej chwili uywany czy oznaczony jako wolny. Jedn z zalet takiego podejcia jest nadpisanie danych w nieuywanych przez pliki sektorach. Podejcie takie pozwala lepiej chronid informacje, poniewa fakt, e fragment partycji jest w danym momencie nieuywany w aden sposb nie oznacza, e nie pozostay w nim adne wane informacje. Analogicznie do moliwoci zaszyfrowania caego dysku dopuszczalne jest rwnie jego rozszyfrowanie. Moe to byd czasem potrzebne i Windows Vista w aden sposb takiej operacji nie zabrania. Podsumowujc rozwaania na temat wntrza Bitlockera, zapamitad naleaoby w zasadzie tylko jedn, za to niezwykle wan informacj: uycie tego zabezpieczenia pozostaje cakowicie niewidoczne dla aplikacji. W praktyce oznacza to, e trudno podad jakiekolwiek przeciwwskazania dla zastosowania tak wygodnej i skutecznej metody ochrony danych. Jak ju zostao to wyjanione, dla rozszyfrowania partycji potrzebny jest VEK czyli Volume Encryption Key. Klucz VEK jest zapisany na niezaszyfrowanej partycji, ale sam zaszyfrowany jest kluczem SRK wyliczanym przez TPM na podstawie wykonywanego przez procesor kodu. Gdyby Bitlocker ogranicza si do takiej funkcjonalnoci, to jakakolwiek zmiana w komputerze lub systemie prowadziaby do otrzymania dysku, ktrego nikt nie umiaby rozszyfrowad, wcznie z wacicielem. Aby uniknd takich sytuacji, VEK mona obliczyd nie tylko t jedn metod przy uyciu TPM. W praktyce, klucz ten szyfrowany jest kilkoma rnymi metodami i dla kadej z nich zapisywany na partycji boot. Jeeli TPM policzy waciw sum, to VEK wyliczany jest automatycznie a partycja staje si dostpna. Jeeli moduowi TPM nie uda si wyliczyd waciwego klucza SRK, podejmowana jest prba odszyfrowania VEK zaszyfrowanego przy uyciu innego klucza, na przykad klucza liczbowego zoonego z 48 cyfr i wprowadzonego z klawiatury. Klucz VEK mona te podad na noniku USB. Wane tylko, eby system go dosta, a natychmiast umoliwi dostp do zaszyfrowanej partycji. Liczba takich kluczy pomocniczych jest ograniczona do kilkudziesiciu, co w praktyce powinno wystarczad. Moliwe jest rwnie zapisanie klucza VEK na partycji boot bez adnego szyfrowania, co oznacza w praktyce zdjcie jakiejkolwiek ochrony z dysku. Ale czasem to wanie jest niezbdne. Przykadowo - wiedzc, e instalowany bdzie Service Pack lub modyfikowany BIOS, w systemie mona wskazad, e na partycji boot ma si znaled VEK w formie jawnej. W takiej sytuacji system ma dostp do danych niezalenie od tego, co policzy TPM. Po zakooczeniu prowadzonych modyfikacji TPM liczy now sum kontroln, szyfruje ni jawn postad klucza VEK i zapisuje na dysku. Od tej pory znowu tylko TPM i oryginalny kod umoliwiaj automatyczne rozszyfrowanie dysku. Operacja taka jest prostsza i szybsza ni rozszyfrowanie caego dysku i zaszyfrowanie go ponownie.

Strona | 32

Warto wiedzied, e poza kluczem chronionym TPM, kluczem chronionym 48 cyframi, i kluczem w formie jawnej (chwilowo na partycji boot lub trwale na noniku USB) istniej jeszcze inne formy zapisania informacji potrzebnej do odszyfrowania partycji. W szczeglnoci s to klucze chronione przez napd USB, klucze chronione rwnoczenie przez TPM i napd USB oraz klucze chronione przez TPM i pin. W przypadku ostatnim, niezalenie od wyliczenia prawidowej wartoci przez TPM, konieczne jest podanie prawidowego pinu zoonego z 4 do 20 cyfr. Podobnie jak w innych obszarach Bitlockera, pin ten nie jest nigdzie zapisywany, wic nie istnieje moliwod odczytania go z dysku czy rejestru. Jeeli uytkownik poda dobry pin, dane (a w zasadzie VEK) zostan odszyfrowane poprawnie. Jeeli pin bdzie zy, to system nie uruchomi si. Ochrona przy pomocy nonika USB nie wydaje si szczeglnie skuteczna. Wprawdzie cay dysk jest zaszyfrowany, ale w przypadku kradziey notebooka, klucz USB prawdopodobnie bdzie znajdowa si w tej samej teczce, w ktrej przenoszony by komputer. Poczenie TPM z napdem USB jest moliwe, jednak trudno uznad, e poziom ochrony jest wyszy ni w przypadku samego TPM, podczas gdy wyranie wzrasta uciliwod zwizana z uyciem takiego rozwizania. W przypadku szyfrowania partycji innych ni systemowa, z powodw ograniczeo rozwizania, klucze nie mog byd chronione przez TPM. Uytkownikowi pozostaje klucz liczbowy, klucz zapisany na noniku USB lub klucz w rejestrze. Ta ostatnia opcja jest jedyn moliwoci automatycznego podczania zaszyfrowanej partycji. Skorzystanie z klucza w rejestrze sprawia, e dysk rozszyfrowywany jest bez ingerencji uytkownika, co w przypadku Bitlockera jest szczeglnie cenne. Klucz moe byd jednak zapisany w rejestrze tylko wtedy, kiedy rejestr (a wic i partycja systemowa) jest zaszyfrowany. Ostatnim ju miejscem, gdzie klucze mona przechowad, jest Active Directory. Tam zapisywane s (oczywicie po rozszerzeniu schemy) klucze liczbowe. Nie s one w aden sposb automatycznie wykorzystywane, jednak w razie potrzeby dobrze jest mied centralne repozytorium kluczy. Istniej rwnie mechanizmy repozytorium kluczy na serwerach Microsoft i jest to dostpna, jako jedno z rozszerzeo Ultimate Extras. Ciekawostk zwizan z kluczami liczbowymi jest ich wartod. Zoony z 48 cyfr klucz podzielony jest na 8 pl po 6 cyfr. Kada taka szeciocyfrowa sekcja zawsze jest mniejsza od 720896 i zawsze podzielna przez 11. Szyfrujc dysk, klucz taki mona wygenerowad automatycznie lub podad samodzielnie. Wymogi arytmetyczne sprawiaj jednak, e wasnorczne wymylanie takiego klucza nie jest czsto spotykane w praktyce. Zanim stanie si co zego, warto zapewnid sobie moliwod awaryjnego dotarcia do danych. Rozwayd mona kilka scenariuszy w zalenoci od tego czy zawiedzie mechanizm tworzenia kluczy przez TPM, czy sam system operacyjny na partycji, do ktrej udao si poprawnie wyliczyd klucze. W przypadku, kiedy poprawny klucz do odszyfrowania VEK nie zostanie wygenerowany przez TPM, system wywietli komunikat z prob o podanie klucza "rcznie". W praktyce, w takiej sytuacji najatwiej dotrzed do kluczy liczbowych (najlepiej w Active Directory) i podad taki klucz systemowi, ktry powinien bez dalszych kopotw dad si uruchomid. Jeeli system zostanie uruchomiony, stosunkowo atwo mona w TPM wygenerowad nowy SRK, ktry bdzie ju od tej pory dziaa automatycznie. W przypadku, kiedy system na zaszyfrowanej partycji przestanie si nadawad do uycia, w zasadzie najlepsz metod jest podczenie dysku do innego komputera. Dysk taki oczywicie nie zostanie Strona | 33

automatycznie udostpniony, jednak podajc waciwy klucz mona go podczyd do czasu najbliszego restartu. Tak podczony dysk mona albo rozszyfrowad albo po prostu zgrad z niego dane. Naley pamitad, e powodzenie operacji odzyskania danych zaley od tego, czy klucze zapasowe zostay wygenerowane i bezpiecznie zapisane. W przypadku GUI Bitlockera jest to dod atwe. Uycie narzdzi wiersza poleceo wymaga pamitania o tym, e kiedy moe si przydad awaryjna metoda dostpu. Od strony teoretycznej algorytmy kryptograficzne postawiy twrcw Bitlockera przed niemaym wyzwaniem. Wynika ono z tego, e naleao wybrad algorytm, ktry bdzie szybki i bezpieczny rwnoczenie. Bezpieczny oznacza tu midzy innymi, e wprowadzone przez atakujcego zmiany w zaszyfrowanym sektorze nie mog przeoyd si w aden przewidywalny sposb na jawn form jego zawartoci. Parametr ten nazywany jest dyfuzj i okrela, ile bitw postaci jawnej zmieni si w sektorze przy zmianie jednego bitu przed rozszyfrowaniem. Sytuacja idealna zakada, e zmieni si 50% bitw losowo rozoonych w caym sektorze. Ponadto, kluczowym wymaganiem byo, aby zaszyfrowane dane z sektora nie przekroczyy rozmiaru sektora. Jeden sektor ma zazwyczaj 512B i po zaszyfrowaniu nie moe powstad ani jeden bajt wicej, poniewa nie bdzie go gdzie zapisad. Zastosowanie jakiego egzotycznego, lub co gorsza wasnego, opracowanego w Microsoft algorytmu, sprawioby, e nikt nie ufaby takiemu rozwizaniu. Z drugiej jednak strony, ilod powszechnie stosowanych bezpiecznych algorytmw kryptograficznych jest na tyle niewielka, e moliwe byo kolejne ich weryfikowanie pod ktem zgodnoci z wymaganiami oraz pod ktem szybkoci dziaania. W obecnych komputerach, w czasie potrzebnym do odczytania jednego bajta danych, zegar procesora wykonuje okoo 40-60 taktw w zalenoci od sprztu. Przyjd mona, e okoo 35 taktw na samo szyfrowanie i rozszyfrowanie bajta informacji jest wartoci krytyczn, powyej ktrej uytkownik zacznie odczuwad problemy z wydajnoci systemu. Testy prowadzone w Microsoft objy rne rozwizania, takie jak algorytmy strumieniowe (cakowity brak dyfuzji), "Bear and Lion" (wymagajcy niemal 100 cykli na bajt), "Beast" (nieco szybszy jednak nie gwarantujcy dobrej dyfuzji danych), VIL (brak dyfuzji i dziwne wymagania zwizane z patentami), Mercy (zaprojektowany specjalnie do takich rozwizao, jednak zamany w 2001 roku), LRW (posiadajcy zbyt may, ograniczony do 16 bajtw blok, na ktrym operuje pojedynczy przebieg), CMC i EME (zaprojektowane do szyfrowania dyskw, jednak chronione patentami i tak naprawd szerzej nieznane, przez co sabo zbadane). W efekcie zdecydowano si na dobry i uznany algorytm AES-CBC, wymagajcy okoo 20 cykli na bajt. Wtpliwoci pozostawiaa kwestia dyfuzji danych. Aby rozwizad ten problem, opracowano wasny dyfuzor pracujcy z prdkoci okoo 10 cykli na bajt. Dyfuzor ten miesza dane, ktre nastpnie przekazywane s do zaszyfrowania algorytmem AES-CBC. Jak atwo udowodnid, rozwizanie takie z punktu widzenia analizy kryptograficznej jest nie sabsze ni sam AES-CBC, ktry powszechnie uznany jest za algorytm gwarantujcy dobre bezpieczeostwo. Algorytm dyfuzora jest znany i opublikowany jednak nie istniej jeszcze powane opracowania dotyczce jego skutecznoci. Zdajc sobie spraw, e w niektrych (gwnie rzdowych) rodowiskach, uycie jakiegokolwiek niezatwierdzonego algorytmu jest niedozwolone, Microsoft pozostawi moliwod wyczenia mechanizmw dyfuzora. Kooczc rozwaania na temat Bitlockera naley postawid zasadnicze - dla kadego waciciela informacji - pytanie "Czy to zabezpieczenie mona zamad?". Odpowied brzmi "Tak mona, bo nie Strona | 34

ma zabezpieczeo nie do zamania". W praktyce jednak, tak teoretyczna analiza zastosowanych rozwizao, jak i praktyczne badania wykazuj, e zamanie takie nie jest realne w dostpnych zwykym miertelnikom warunkach. Oznacza to, e tak naprawd, najsabszym ogniwem okazuje si haso uytkownika. Dobrze skonfigurowany Bitlocker moe byd zupenie niezauwaalny i rwnoczenie naprawd skutecznie chronid informacje. Prowadzi to do jedynego uzasadnionego w takiej sytuacji wniosku, e w przypadku komputerw przenonych, niezastosowanie Bitlockera tam, gdzie zastosowad go mona, jest bardzo ryzykownym pomysem. 2.5.1 BitLocker2 Go

Microsoft w Windows 7 wprowadzi rozszerzony mechanizm szyfrowania BitLocker, doczajc do niego funkcjonalnod BitLockerTo Go. Windows 7 Ultimate wspiera dodatkowo przenone noniki danych np. klucze USB, czy karty SDHC. Wraz ze standardowymi dyskami (partycjami) moliwymi do zaszyfrowania widoczne s rwnie inne noniki danych zwane dalej, dla wygody kluczami USB (BitLocker To Go):

Rysunek 19. Dyski moliwe do zaszyfrowania

Dostp do zakodowanych kluczy USB moliwy jest przez haso, ktre uytkownik podaje przed zaszyfrowaniem. Z GUI moliwe jest take podanie nastpujcych metod: karty inteligentnej, 48 cyfrowego BitLocker Recovery Key (do uywania klucza USB w systemie Windows Vista bez SP2, czy Windows Server 2008) oraz External Key (o tym tajemniczym kluczu na koocu). BitLocker wcza si poprzez kliknicie Turn On BitLocker lub poprzez polecenie manage-bde.exe (w Windows Vista polecenie to byo skryptem manage-bde.wsf uruchamianym przez cscript). Polecenie to moe byd z powodzeniem uznane, za jedyn suszn metod dostpu do BitLockera. W efekcie dla kadego uytkownika koocowego sprowadza si to do jednego: zaszyfrowad dysk/partycj/klucz. Szyfrowanie trwa dosyd dugo. Przy kluczu USB o rozmiarze 4 029 612 032 bajtw, kady 1% szyfrowania trwa ok. 10 sekund. To daje ok. 3,8 Megabajty /s. Przy kluczu USB o rozmiarze 256 Megabajtw szyfrowanie trwao ok. 2 minut.

Strona | 35

Szyfrowanie mona przerwad na chwil przekadajc klucz USB do innego komputera z BitLockerem dla zewntrznych dyskw np. Windows Server 2008 R2, szyfrowanie bdzie kontynuowane bezstratnie! Mona zaszyfrowad klucze USB zarwno z systemem plikw FAT32, jak i NTFS (BitLocker w Windows Vista wymaga NTFS), s jednak pewne rnice. Z punktu widzenia uytkownika Windows 7 rnic funkcjonalnych nie ma, natomiast gdy ten sam uytkownik zabierze swj klucz USB i bdzie prbowa uruchomid go na innych systemach, rnice te zaraz zobaczy. Warto wiedzied, e klucz USB z BitLocker To Go zadziaa na nastpujcych systemach operacyjnych: Windows Vista SP1, Windows XP SP3. Wszelkie prby uruchomienia klucza USB pod innymi systemami (Windows 2000, Windows XP SP2) kooczyy si pytaniem o sformatowanie klucza (Do you want to format it now?).

Rysunek 20. Windows XP SP3 i BitLocker To Go.

Rysunek 21. Windows Vista SP1 i BitLocker To Go.

Uzyskanie dostpu do klucza USB powoduje uruchomienie programu(BitLocker To Go Reader), z ktrego mona wybrane pliki: przenied do wybranego folderu, przenied na pulpit, skopiowad. S to jedyne opcje, ktre oferuje ten program.

Rysunek 22. BitLocker To Go Reader.

Strona | 36

Szyfrowanie klucza USB z systemem plikw FAT32 powoduje utworzenie wielu plikw (w tym przypadku 1017):

Rysunek 23. Pliki powstae po zaszyfrowaniu klucza USB z systemem plikw FAT32.

UWAGA: Przy systemie plikw NTFS na kluczu USB pliki te nie tworz si, nie mona zatem korzystad z klucza w ww. systemach, oprcz Windows 7 oczywicie. Pliki te to m.in.: autorun.inf (do uruchomienia pliku *.EXE), BitLockerToGo.exe (program uruchamiany na komputerze klienckim) enUSBltLockerToGo.exe.mui jzyk angielski plik *.ER o rozmiarze takim jak klucz USB, przypuszczalnie dziaa na zasadzie VHD plik *.BL 32 bajty, zapisane jest tylko kilka pierwszych bitw plik *.PD o zerowej dugoci pliki *.NG - o zerowej dugoci

Pierwsza prba zepsucia: Usunicie z klucza USB podczonego do systemu Windows Vista SP1 wszystkich plikw znajdujcych si na kluczu USB nie spowodowao uszkodzenia BitLockera pod Windows 7. Wrzucenie dodatkowych danych o wielkoci caego klucza USB spowodowao uszkodzenie BitLockera. Klucz USB nie prosi si nawet o formatowanie. W Disk Management USB widoczny by jako partycja RAW!

Rysunek 24. Klucz USB widziany, jako partycja RAW

Przy prbie formatowania otrzymuje si komunikat:

Strona | 37

Rysunek 25. Komunikat o braku moliwoci sformatowania klucza USB

Dopiero przeoenie klucza USB do Windows Vista SP1 (widad tam byo wszystkie nowo wrzucone dane) pozwolio na sformatowanie. Druga prba zepsucia: W drugiej prbie, wrzucenie niewielkiej iloci danych nie zaszkodzio BitLockerowi dane byy nadal dostpne. Dokopiowywanie danych porcjami sprawio, e klucz USB posiada NIEOKRELONY typ plikw (diskmgmt.msc nie poda adnej informacji), dao si go sformatowad z poziomu Windows 7. Trzecia prba zepsucia: Zagbiajc si w struktur klucza USB z BitLockerem, mona zauwayd, e w BootRecordzie dysk zaszyfrowany przyjmuje sygnatur MSWIN4.1, niezaszyfrowany przyjmuje natomiast MSDOS5.0. System plikw FAT. Podmieniony zosta zaszyfrowany BootRecord na BootRecord niezaszyfrowany (midzy Offset 4000, a 41F0). W efekcie na kluczu USB, teraz ju na kadym systemie operacyjnym widoczne jest 512 plikw o rnych rozmiarach, stanowicych Root Directory entries.

Rysunek 26. Odpowiedniki Root Directory Entries

Ponowna zmiana z biecego (niezaszyfrowanego) BootRecordu na zaszyfrowany spowodowa wywietlenie tego co jest widoczne na systemach Windows Vista SP1 i XP SP3, a co nie jest widoczne w Windows 7!

Strona | 38

Rysunek 27. Pliki widoczne pod Windows Vista stay si widoczne pod Windows 7

Wnioski nasuny si nastpujce:

Rysunek 28. Podsumowanie testw

Prosz nie traktowad tego, jako informacj absolutn s to tylko przypuszczenia potwierdzone testami! Po zaszyfrowaniu klucza USB, istnieje wiele opcji do zarzdzania kluczem USB (nie wspomnajc o moliwociach konsoli, ktre s nieporwnywalnie wiksze): Change the password Remove the password Add a smart card Save or print the recovery key again Automatically unlock the drive on this computer (only for fixed disks)

Ostatnia opcja jest wanie tym tajemniczym External Key pozwalajcym na uzyskanie dostpu do klucza USB bez koniecznoci podawania hasa.

2.6 Microsoft Windows Virtual PCJednym z najwaniejszych czynnikw branych pod uwag przy wdroeniach nowych systemw operacyjnych jest kompatybilnod z aktualnie uywanymi rozwizaniami i aplikacjami. Jedynym ze sposobw, ktrych mona uyd przy zapewnianiu zgodnoci jest jake powszechna i popularna w ostatnich latach dziedzina zwana wirtualizacj. Firma Microsoft oferuje wiele rozwizao w tym obszarze takich jak np. Hyper-V, Virtual Server czy inne, ktre s znane i doceniane na rynku.

Strona | 39

Wraz z premier Windows 7 oczekiwad moemy nowej, sidmej ju wersji aplikacji Virtual PC, ktra od teraz nazywad si bdzie Windows Virtual PC. Oprcz nieco zmienionej nazwy pojawio si kilka naprawd istotnych i interesujcych funkcji jak np. wsparcie dla emulacji urzdzeo USB czy tryb XP (ang. XP Mode). 2.6.1 Wymagania Windows Virtual PC

Pierwsze kroki, jakie naley poczynid, w celu poznania nowego Virtual PC jest pobranie aktualizacji oznaczonej identyfikatorem KB 958559. I to ju jest pierwsza istotna zmiana Windows Virtual PC jest w peni zintegrowany z systemem operacyjnym i nie wystpuje jako autonomiczna aplikacja. Jeeli w systemie jest ju zainstalowane Virtual PC w wersji 2007, zaleca si, aby je usund przed instalacj Windows Virtual PC. Naley poznad wymagania sprztowe, ktre stawia najnowsza odsona tego narzdzia: komputer, na ktrym dziaa system-gospodarza musi byd wyposaony w procesor wspierajcy wirtualizacj sprztowo musi wspierad technologi Intel-VT bd AMD-V, dodatkowo zaleca si, aby w BIOS komputera wyczyd opcj Trusted Data Execution. Nie naley zapomnied o innych wymaganiach - musimy posiadad odpowiedni edycj systemu Windows 7 (Windows Virtual PC dziaa tylko na Windows 7). W poniszej tabeli pokazano jak wyglda wsparcie dla konkretnych wersji i edycji Windows. Windows Virtual PC jest dostpny zarwno dla 32i 64-bitowych systemw-hostw. Warto zaznaczyd, e Windows Virtual PC nie wspiera 64-bitowych systemw-goci. Tabela przedstawia Windows Virtual PC i wsparcie dla poszczeglnych wersji i edycji.Wersja Windows 7 Ultimate, Enterprise Tak Windows 7 Professional Windows 7 Home Basic, Home Premium Tak Windows Server 2008 R2 Windows Vista Business Windows Vista Ultimate, Enterprise Nie Windows XP Professional (SP3)

Wsparcie dla systemugospodarza Wsparcie dla Windows XP Mode Wsparcie dla systemgoci

Tak

Nie

Nie

Nie

Tak

Tak

Nie

Nie

Nie

Nie

Nie

Tak

Tak

Nie

Nie

Tak

Tak

Tak

Dyski VHD maszyn wirtualnych w Windows Virtual PC s kompatybilne z wybranymi rozwizaniami wirtualizacyjnymi Microsoft. W celu eksportu dysku VHD stworzonego w Virtual PC 2007 do nowej edycji, naley odinstalowad komponenty integracyjne starej wersji, a nastpnie po eksporcie zainstalowad ju te waciwe dla Windows Virtual PC. Podobnie to wyglda w sytuacji, gdy chcemy wyeksportowad dysk VHD z nowej odsony Virtual PC do Hyper-V usuwamy komponenty integracyjne (co istotne, proces wstecz z Hyper-V do Windows Virtual PC - jest niemoliwy).

Strona | 40

2.6.2

Pierwsze kroki w Windows Virtual PC

Gdy instalacja zakooczy si powodzeniem moemy przystpid do poznawania Windows Virtual PC. W profilu uytkownika pojawi si nowy folder nazwany Virtual Machine oraz w menu Start pojawi sie dodatkowy folder - Windows Virtual PC. Po otwarciu nowego folderu w menu Eksploratora Windows mona zauwayd opcj Create virtual machine, ktrej wybranie spowoduje uruchomienie kreatora tworzenia nowej maszyny. Naley nadad nazw oraz wskazad lokalizacj, w ktrej zostanie zapisana (domylnie: X:\Users\nazwa\AppData\Local\Microsoft\Windows Virtual PC\Virtual Machines\). W kolejnym kroku okrelamy wielkod przydzielonej pamici oraz decydujemy, czy maszyna wirtualna ma mied dostp do poczeo sieciowych systemu-gospodarza.

Rysunek 29. Ustawienia pamici i sieciowe.

Trzeci etap to definicja szczegw zwizanych z tworzonym dyskiem VHD jego nazw, lokalizacj przechowywania, moliwoci wskazania ju istniejcego dysku, opcji zaawansowanych i wczenia tzw. Undo Disk. Undo disk pozwala na zapisanie/odrzucenie zmian, ktre zaszy w obrbie maszyny wirtualnej w ramach jednej sesji. Jeeli uytkownik wskae opcj Create a virtual hard disk using advanced options uzyska moliwod utworzenia nowego dysku jako jednego z trzech rodzajw VHD: Dynamically expanding udostpniaj maszynie wirtualnej tyle miejsca, ile faktycznie potrzebuje. Jeeli wewntrz maszyny zostan dodane dane wielkod pliku VHD wzronie, co bdzie moliwe do zaobserwowania na systemie-hocie. Niestety zwolnienie danych na takim dysku nie spowoduje jego skurczenia. W tym celu bdzie trzeba uyd innych metod.

Strona | 41

Fixed size to dysk VHD z gry okrelon wielkoci, przypisan w chwili jego tworzenia. Jeeli maszynie wirtualnej bdzie brakowad miejsca do zapisu, bdzie trzeba powikszyd plik VHD innymi metodami wielkod pliku nie ronie dynamicznie. Differencing w tym scenariuszu wystpuj da dyski VHD podrzdny, i przypisany do niego dysk nadrzdny. Wszelkie zmiany s dokonywane na dysku podrzdnym (stworzonym) bez ingerencji w dysk bazowy, zwany nadrzdnym.

Rysunek 30. Wybr rodzaju dysku VHD.

Po zdefiniowaniu opcji maszyny i dysku nastpi proces tworzenia i zapisu wymaganych plikw, ktry moe potrwad kilka minut. Po zakooczeniu moemy przystpid do instalacji systemu operacyjnego. Aby wskazad plik .ISO bd odwoad si do nonika w napdzie optycznym, musimy przejd do opcji konkretnej maszyny, wskazujc przycisk Settings w pasku Eksploratora, nastpnie w nowym oknie naley przejd do sekcji DVD Drive, wskazad napd/plik, zamknd okno ustawieo i uruchomid maszyn (domylnie rozruch z nonika jest automatyczny).

Strona | 42

Rysunek 31. Ustawienia Windows Virtual PC

Aby sprawdzid podstawowe dane maszyny wirtualnej nie musimy uruchamiad konsoli ustawieo. Jako, e nowe Virtual PC integruje si w peni z systemem, w tym z Eksploratorem Windows, to najwaniejsze informacje dostpne w dolnej czci katalogu po zaznaczeniu maszyny s to: nazwa, status dziaania (wczona, wyczona, zahibernowana), lokalizacja pliku konfiguracyjnego i wirtualnego dysku, wielkod przypisanej pamici oraz lokalizacj i dat utworzenia. Po instalacji systemu operacyjnego na maszynie wirtualnej, kolejnym krokiem jaki naley wykonad jest zainstalowanie tzw. skadnikw integracji, ktre s charakterystyczne dla aplikacji wiadczcych benefity z wirtualizacji. Dziki zastosowaniu tych skadnikw, praca pomidzy maszyn wirtualn, a hostem jest zdecydowanie prostsza np. nie trzeba wykorzystywad skrtu klawiszowego CTR + ALT + lewa strzaka, w celu opuszczenia przez kursor okna maszyny moemy pynnie uywad myszy, zarwno na hocie, jak i gociu bez koniecznoci podejmowania dodatkowych czynnoci. Skadniki umoliwiaj take wykonywanie prostych operacji takich jak kopiowanie, wycinanie i wklejanie pomidzy systemem-gospodarzem, a maszyn wirtualn. Automatycznie mapowane s dyski hosta do maszyny wirtualnej, dziki czemu uytkownik ma atwy dostp do swoich danych bez stosowania takich zabiegw jak tworzenie folderw udostpnionych, jak to miao miejsce w poprzednich odsonach Virtual PC. Kolejne uatwianie jakie wprowadzaj skadniki integracji zwizane jest z drukarkami drukarki, ktre s doczone do systemu-hosta s dostpne rwnie z poziomu maszyny wirtualnej (w przypadku prby udostpnienia drukarki w ten sposb na starszych systemach naley zainstalowad sterowniki w systemie-gocia). I co najwaniejsze - gdy jest to kluczowa nowod - po instalacji integration components, w peni wspierane s urzdzenia USB. Czd z nich jak np. wczeniej wymienione drukarki czy urzdzania do przechowywania danych s udostpniane maszynie automatycznie. Jeeli chcemy skorzystad z innego rodzaju urzdzenia USB wewntrz maszyny wirtualnej, musimy udostpnid je rcznie. Aby zainstalowad skadniki integracji, naley w oknie maszyny z menu Tools wskazad pozycj Install Integration Components, nastpnie musimy przejd przez kolejne etapy instalatora i uruchomid Strona | 43

ponownie system-gocia w celu wprowadzenia zmian. Po ponownym uruchomieniu musimy wczyd funkcje oferowane przez skadniki integracji ponownie sigajc do menu Tools, jednak tym razem wskazujc opcj Enable Integration Features, nastpnie wprowadzajc powiadczenia uytkownika.

Rysunek 32. Menu Tools.

Skadniki integracji mona zainstalowad tylko na wspieranych przez Windows Virtual PC systemachgociach. S to: Windows XP z dodatkiem Service Pack 3, Windows Vista z dodatkiem Service Pack 1 oraz Windows 7. 2.6.3 Wsparcie dla USB i drukarek

Kolejn kluczow innowacj w Windows Virtual PC jest wsparcie dla urzdzeo USB urzdzenia USB wpite do hosta mog byd w peni dostpne bd udostpnione maszynie wirtualnej. Nim rozpoczniemy prac z opcjami zwizanymi z USB naley upewnid si, e na systemie-gociu zainstalowane zostay skadniki integracji uzyskamy dostp do penej funkcjonalnoci w zakresie wsparcia USB. Przy zainstalowanych skadnikach urzdzenia takie jak klucze/dyski USB, czytniki SmartCard/linii papilarnych s automatycznie udostpniane. Trzeba pamitad, i maszyna wirtualna moe korzystad z urzdzania USB na dwa sposoby moemy udostpnid urzdzenie bd je dodad. Udostpniajc urzdzenie bdzie ono dostpne z obu systemw, przykadowo jeeli jest to pendrive, na hocie jest widoczny jako Dysk wymienny, za na maszynie wirtualnej jako zmapowany udzia. Gdy dodamy urzdzenie USB bdzie dostpne tylko na systemie-gociu (Pendrive bdzie Dyskiem wymiennym). Lista urzdzeo moliwych do dodania jest dostpna po wskazaniu przycisku USB w oknie maszyny wirtualnej.

Rysunek 33. Lista urzdzeo moliwych do dodania

Opcja Shared oznacza, e dane urzdzenie jest wspdzielone pomidzy dwoma systemami. Jeeli chcemy, aby byo dostpne tylko dla maszyny wirtualnej klikamy na nie, nastpnie potwierdzamy chd dodania bdzie to przycisk Attach.

Strona | 44

Rysunek 34. Podczanie urzdzenia.

Po instalacji skadnikw integracji drukarki, ktre dodane s lokalnie s automatycznie przekierowane rwnie do maszyny wirtualnej bez jakiejkolwiek ingerencji ze strony uytkownika. W przypadku, gdy urzdzenie drukujce wykorzystuje interfejs USB mona je dodad w sposb podobny, jak klucz USB, o czym pisano wczeniej. Jeeli drukarka ma zostad przekierowana do Windows XP, ktry jest systemem-gociem, naley zaopatrzyd si w sterowniki do tego urzdzenia. Nastpnie trzeba skorzystad z opcji Add a printer w oknie Printers and Faxes. Przy konfiguracji musimy wskazad Local printer attached to this computer (pamitajc o odznaczeniu pola wyboru Automatically detect and install my Plug and Play printer ), pniej port TSXXX (gdzie XXX to numer wraz z opisem), pniej wskazad sterowniki i finalnie dodad urzdzenie.

2.7

Tryb XP i publikacja aplikacji

Tryb XP to poczenie funkcjonalnoci Virtual PC zwanej publikacj wirtualnych aplikacji i sposobu licencjonowania Windows XP z SP3. Dlaczego jest to tak kluczowa i podana funkcja? Jest istotna, poniewa zapewnia wrcz stuprocentow kompatybilnod aplikacji jeeli Twoja aplikacja dziaa na systemie Windows XP to zadziaa w peni rwnie na Windows 7 (dziki wykorzystaniu trybu XP). Niekompatybilne programy z Windows 7 instaluje si na dostpnej do pobrania specjalnej maszynie wirtualnej z Windows XP, nastpnie jest ona publikowana w Windows 7 dodawany jest skrt do menu Start o obrbie katalogu Virtual Windows XP Applications. Aplikacja tak naprawd dziaa na Windows XP, tylko jej graficzny interfejs uytkownika jest prezentowany w nowym systemie. Daje to moliwod korzystania z programu bez koniecznoci uytkowania go wewntrz okna Virtual PC. Aby skorzystad z XP Mode trzeba ze stron Microsoft pobrad specjalnie opracowany dysk VHD z Windows XP SP3. Naley zaznaczyd,