Перша частина цієї статті була коротким вступом в Windows SteadyState (WSS). У цій статті ми побачимо, як легко з ним працювати.
У наступній і останній частині цієї статті ми розповімо вам про версії 2.5 цього чудового інструменту - першої версії, яка підтримує операційну систему Windows Vista.
Перед установкою WSS
Перед установкою Windows SteadyState ви повинні видалити попередні версії набору Microsoft Shared Computer Toolkit і більш ранні версії Windows SteadyState (це стосується лише установки версії 2.5, яка в даний час в бета варіанті).
У моєму випадку я починаю з нуля, з абсолютно чистою установки Windows XP з останнім пакетом оновлень Service Pack, новітніми драйверами і всіма необхідними оновленнями (з веб сайті Windows Update). Ви можете використовувати існуючу установку Windows XP, видалити всі непотрібні програми, профілі користувачів, тимчасові файли і т.п. але замість очищення старої системи я рекомендую почати з чистого аркуша (тоді ви нічого не втратите і не залишите дірок в безпеці). Для початку віртуальна машина Windows XP чудово підійде для тестування або демонстрації.
Хоча Windows SteadyState пропонує чудовий захист від змін, ви все одно повинні встановити підтримуване антівредоносное програмне забезпечення. Також не забудьте поставити складні паролі для облікових записів локальних адміністраторів.
Я рекомендую встановити всі програми, можливості, служби, необхідні користувачу для роботи перед установкою WSS, або, по крайней мере, перед включенням захисту диска Windows Disk Protection (WDP).
Також перед установкою WSS (і включенням WDP) проведіть дефрагментацію ваших системних дисків, щоб поліпшити продуктивність. Пам'ятайте, що лише коли WDP повністю включена (дивись нижче в цій статті), ви можете вважати вашу систему безпечною.
Перші кроки
Тепер ви повинні приготуватися до установки завантаженого установчого пакета. Спочатку погодитеся з ліцензійною угодою, якщо ви з ним згодні, потім ліцензія Windows буде перевірена за допомогою Windows Genuine Advantage (WGA), а після цього почнеться установка (більше не буде задано ніяких питань), яка займе кілька хвилин. Натисніть на кнопку Finish (завершити) після завершення установки.
На вашому робочому столі і в меню All Programs (Усі програми) повинен з'явитися новий програмний ярлик 'Windows SteadyState'. При першому запуску автоматично запуститься керівництво по використанню (дивись Малюнок 1), а також основне вікно WSS (дивись Малюнок 2).
Малюнок 1: WSS: Керівництво по використанню
На екрані 'Global Computer Settings (глобальні настройки комп'ютера)' (Малюнок 2) присутні три основних параметри, про які ми розповімо в цій статті:
- Установка обмежень для комп'ютера (Set Computer Restrictions)
- Планування оновлень програмного забезпечення (Schedule Software Updates)
- Захист жорсткого диска (Protect the Hard Disk)
Крім цього в лівому меню у вас є доступ до ресурсів WSS, а в правому меню представлені облікові записи користувачів, якими можна управляти, експортувати і імпортувати. У цій статті ми також розповімо про налаштування властивостей користувачів і обмежень.
Малюнок 2: WSS: Глобальні налаштування комп'ютера
Малюнок 3: Установка обмежень для комп'ютера
У головному вікні WSS виберіть настройку 'Schedule Software Updates (Планування оновлень програмного забезпечення)'. Це одна з дійсно крутих можливостей WSS - можливість «заморозити» систему, але як і раніше отримувати останні оновлення (OS, AV і т.п.) і встановлювати їх. Якщо ви коли-небудь пробували використовувати апаратні контролери для блокування стану апаратного забезпечення, то ви, мабуть, знаєте, що при цьому складно оновлювати комп'ютери. За допомогою WSS це ставати автоматичної завданням!
На малюнку 4 показано діалогове вікно Schedule Software Updates, де ви можете запланувати установку оновлень в певний інтервал, дозволити оновлення програм, що відповідають за безпеку (AV / Anti-Malware і т.п.) або навіть виконати спеціальний сценарій для оновлення програмного забезпечення, яке Не підтримується або не знаходиться за замовчуванням WSS.
Більш докладно про оновлення програмного забезпечення пізніше в цій статті (дивіться розділ про роздільну WDP).
Малюнок 4: WSS: Планування оновлень програмного забезпечення
У головному вікні WSS виберіть 'Protect the Hard Disk (захист жорсткого диска)'. Звідси можна запустити класний і дуже корисний інструмент під назвою Windows Disk Protection (захист диска Windows) або просто WDP. Як ви, ймовірно, побачили з малюнка нижче (Малюнок 5), за замовчуванням WDP вимкнена. Як згадувалося раніше, перед підключенням WDP необхідно виконати кілька важливих речей, тому ви повинні трохи почекати і повернуться сюди пізніше для її включення.
Малюнок 5: WSS: Захист жорсткого диска
Малюнок 6: WSS: WDP попередження для адміністраторів
Ми торкнулися трьох загальних параметрів комп'ютера для WSS, тепер настав час поглянути на створення різних обмежень для користувачів.
далі користувачі
Всі адміністратори знають це, подобатися нам це чи ні, але користувачі потребують нашої ручної роботи. Тому давайте натиснемо на 'Add a New User (додати нового користувача)' в основному вікні WSS. На малюнку 7 зображено дуже просте і інтуїтивно зрозуміле діалогове вікно, яке постає перед нами. Виберіть ім'я користувача (User name), пароль (password) (якщо потрібно), виберете розміщення користувача і, нарешті, зображення для профілю. Після цього натисніть на кнопку OK.
Малюнок 7: WSS новий запис користувача
Тепер прийшов час справжньою забави, тепер можна посмикати настройки користувача більш детально. Іншими словами - час блокування! Більшість з цього ви можете зробити за допомогою комбінації локальної політики групи Group Policy (але пам'ятайте, то до Vista локальна політика застосовується до всіх користувачів, включаючи адміністраторів), NTFS безпеки, обов'язкових профілів, батьківського контролю (тільки для Vista) і т.п. Однак, WSS дозволяє зробити все це надзвичайно просто, без особливих старань з боку адміністратора.
В закладці General (загальні) в настройках користувача User Settings (дивись Малюнок 8) є параметр для блокування профілю ( 'Lock'), на зразок створення обов'язкового профілю (перейменування User.Dat на User.Man). Тут також можна налаштувати таймери сесії, включаючи можливість перезавантаження комп'ютера після виходу, що дозволить (в залежності від налаштувань WDP) скинути систему назад в «чисте» стан.
Малюнок 8: Налаштування користувача WSS: закладка General
У закладці Windows Restrictions (обмеження Windows) в настройках користувача User Settings (дивись Малюнок 9) дає нам можливість вибору з 4 рівнів обмежень Windows, налаштованих за умовчанням: High (високий), Medium (середній), Low (низький), No restrictions ( без обмежень), або можна перейти до вибіркового набору обмежень Windows. Я не можу розповісти про всі можливі обмеження Windows в цій статті, але можу підказати вам, що це дозволяє вам заховати диски, видалити об'єкти в меню Пуск (Start Menu), відключити системні інструменти тощо
Малюнок 9: Налаштування користувача WSS: Закладка Windows Restrictions (обмеження Windows)
У закладці Feature Restrictions (обмеження можливостей) в настройках користувачів User Settings (дивись Малюнок 10) є можливість вибору з 4 рівнів обмеження можливостей, налаштованих за умовчанням: High (високий), Medium (середній), Low (низький), No restrictions (без обмежень), або можна перейти в вибіркового набору обмеження можливостей. Я не можу розповісти про всі можливі обмеження можливостей в цій статті, але можу підказати, що вони дозволяють вам обмежити параметри Internet Explorer і деякі параметри Microsoft Office.
Малюнок 10: Налаштування користувачів WSS: Закладка Feature Restrictions
У закладці Block Programs (заблокувати програму) в настройках користувача User Settings (дивись Малюнок 11) ми можемо заблокувати деякі виконувані модулі. Список модулів, на локальному комп'ютері автоматично формується WSS, але ви можете додати певні файли вручну. Ця можливість працює, як політика обмеження програмного забезпечення Software Restriction Policies (SRP).
Малюнок 11: Налаштування користувача WSS: Закладка Block Programs
Процедура проста. Просто виберіть програмний файл, який ви хочете заблокувати і натисніть на 'Block (блокувати)' (або, якщо хочете заблокувати всі знайдені програми, на кнопку 'Block All (заблокувати всі)'. Якщо користувача спробує відкрити програму, яка заблокована, то він отримати повідомлення про помилку.
Захист диска Windows Disk Protection (WDP)
WDP - це класна технологія, яка дозволяє кешувати всі зміни зроблені в будь-які файли в системному розділі Windows. Кеш - це фізичний файл (C: \ Cache.WDP), який за замовчуванням забере до 50% вашого системного розділу (або до 40 GB, як максимум), Але його можна урізати до мінімуму 2 GB, натиснувши на 'Change cache file size (змінити розмір кеш-файлу) 'у вікні' Protect the Hard Disk '. Кеш очищується за певним інтервалом - я рекомендую очищати кеш після кожної перезавантаження (під час процесу завантаження). Зменшення розміру файлу кешу, може зажадати додаткових перезавантажень.
У порівнянні з Windows System Restore (WSR) - вона набагато ефективніше, тому що WSR відстежує лише в базовому наборі системи і програмних файлах (наприклад, важливі файли реєстру). А WSS з включеною WDP дозволяє навіть відновити стан особистих даних і профілів користувача (Робочий стіл, Вибране, історія, документи і т.п.). Це виконується автоматично без втручання користувача або адміністратора!
Дуже важливо розуміти, як працює планування оновлення програмного забезпечення (Schedule Software Updates) з включеною WDP. Загалом, це процедура поновлення в шкаралупі горіха:
- Завершується робота активних користувачів, коли настає запланований час оновлення.
- Комп'ютер перезавантажується, тому всі зміни, що відбулися з диском, видаляються.
- Загальні вчені записи користувачів відключаються, щоб уникнути несанкціонованих змін на диску.
- Автоматично включається режим WDP: 'Retain all changes permanently (зберегти всі зміни)', щоб зберегти всі зміни.
- Завантажуються і встановлюються поновлення (виконуються ручні сценарії).
- Комп'ютер перезавантажується.
- WDP входить в режим 'Remove all changes at restart' (Видалити всі зміни після перезавантаження).
За допомогою сценарієм ви можете гарантувати, що ваша система чиста і в той же час вчасно оновлюється. Це головна відмінність між WDP і апаратними засобами захисту.
Кілька відповідей на питання
Є кілька питань, які я отримав після виходу попередньої частини цієї статті: Чи підтримує WSS WSUS? Так, WDP завантажує і встановлює оновлення з Microsoft Update, Windows Update або Windows Server Update Services (WSUS) - в залежності від клієнтських налаштувань.
Чи підтримує WSS членство в домені? Так, WSS машина може бути членом домену Active Directory.
Чи підтримує WSS використання SYSPREP? Так, але не забудьте відключити WDP і розблокувати всіх заблокованих користувачів.
Чи підтримує WSS Windows Vista? Ні, але публічна бета версія програми (WSS version 2.5) доступна безкоштовно від Microsoft прямо тут. також візьміть книгу тут.
Якщо я поставив обмеження для користувачів, заблокував програми і т.д і хочу використовувати ті ж самі настройки на іншому комп'ютері з WSS, як мені можна це зробити, вручну? Ні, просто скористайтеся можливістю експорту (Export) в головному вікні WSS, збережіть файл з розширенням .SSU (дивіться Малюнок 12), скопіюйте файл на іншу машину і використовуйте на ній можливість імпорту (Import)!
Малюнок 12: WSS: Успішно експортовані в файл настройки користувачів
Чи можу я керувати WSS за допомогою політик групи Group Policies в моєму домені Active Directory? Так, файл ADM (SCTSettings.adm) є частиною комплекту WSS, дивіться нижче '
висновок
Windows SteadyState - це класний набір засобів, який пропонує одночасно чудовий контроль і гнучкість. Він має дружній і красивий графічний інтерфейс і дуже повну систему допомоги (також прочитайте книги). Я можу рекомендувати всім адміністраторам публічних комп'ютерів, як Інтернет кіоски, публічні бібліотеки тощо поглянути на цей інструмент прямо зараз.
Навіть домашні користувачі можуть скористатися перевагами цього інструменту, щоб переконатися, що діти можуть безпечно використовувати сімейний комп'ютер, без можливості щось зіпсувати. Після наступного перезавантаження ви точно знаєте, що ваш комп'ютер буде в робочому стані!