Берем Windows 10 под полный контроль за пять простых шагов
Перед выходом Windows 10 версии 2004 СМИ писали, что уж вот этот выпуск Windows 10 наконец-то станет стабильным и отлаженным, но все получилось как всегда. Новости запестрели сообщениями о множестве багов в новом релизе, его распространение задерживалось и вот только сейчас, к концу июня 2020 он начал широко развертываться на поддерживаемые устройства.
реклама
Я уже привык к тому, что с каждым новым релизом Windows 10 становится тяжелее, неповоротливее, и несет в себе и новые и старые баги. Но опытный пользователь может и должен уметь минимизировать эти недостатки.
Ведь Windows 7 стремительно теряет актуальность, а Linux, хоть и стала гораздо более «юзер-френдли» во многих дистрибутивах и стала поддерживать много игр, все равно, довольно тяжела для изучения обычному пользователю ПК.
реклама
Поэтому большинству из нас, опытных пользователей, приходится «готовить» Windows 10 до такого состояния, когда она становится стабильной и полностью подконтрольной пользователю.
Об этом и пойдет сегодня разговор.
реклама
реклама
Самое важно, о чем уже не первый год пишут опытные пользователи и системные администраторы — не спешите ставить новые версии Windows 10! Не нужно бесплатно работать бета-тестером и обкатывать на своем железе нестабильный «билд».
Чего-то революционного в новых версиях Windows нет уже давно (со времен Windows 8.1, ха-ха), так что вы ничего не потеряете, отложив установку на полгода. За этот промежуток времени большинство багов будут исправлены.
Но не все, у меня, к примеру, меню «Пуск» периодически зависает уже несколько лет, на нескольких версиях Windows 10.
Но сроки поддержки версий Windows 10 довольно коротки и версия 1809, по сообщениям СМИ, уже принудительно обновляется до 2004. Чтобы не попасть в такую ситуацию, когда ваша отлаженная система обновилась без спроса, а что еще хуже, обновилась с ошибкой, и ваш ПК попросту потерял работоспособность, нужно брать Windows 10 под полный контроль, что мы сегодня и сделаем.
Первое, что нужно брать под контроль — это обновления. Только вы должны решать, когда система будет получать обновления и будет ли вообще обновлять свою версию. Проблема в том, что механизмы блокировки обновлений самой Windows 10 несовершенны и могут меняться от версии к версии, а сторонние программы не всегда вызывают доверие.
Но мне удалось найти бесплатную и простую программу Win Updates Disabler. Она крайне проста в управлении, вам нужно всего лишь поставить галочку «Отключить обновление Windows».
Если вам нужно включить обновление обратно, просто снимите галочку и поставьте такую же во вкладке «Включить».
После этого вам не будут грозить спонтанные обновления системы, но на всякий случай мы подстрахуемся.
Второе, что стоит взять в свои руки — это безопасность Windows. Хотя многие, и я, в том числе, вполне обходятся «Защитником Windows», немалое количество пользователей отключает его.
Кстати, в версии Windows 10 2004 Microsoft переименовала встроенный антивирус «Защитник Windows» в «Microsoft Defender».
Способы отключения Microsoft Defender меняются от версии к версии, поэтому очень удобно, что с помощью Win Updates Disabler вы можете отключить его в два клика.
Ставьте галочки «Отключить центр обеспечения безопасности Windows» и «Отключить защитник Windows» и они будут отключены.
Программе Win Updates Disabler необязательно присутствовать на вашем ПК постоянно и после проделанных действий вы можете удалить ее.
Третье, чем Windows 10 может изрядно взбесить пользователя, это автоматическая установка драйверов. В случае с драйверами на материнскую плату и прочими редко изменяющими драйверами, эта функция очень удобна. Но в случае с драйверами на видеокарту это только мешает.
Стоит забыть отключить интернет на время установки Windows 10 и у вас будет установлен устаревший драйвер на видеокарту.
Я в таких случаях пью успокоительное, запускаю Display Driver Uninstaller (DDU), удаляю ненужный мне драйвер и ставлю самый новый.
А ведь можно было просто спросить пользователя перед установкой, нужен ли ему такой драйвер или он поставит свой!
Отключить автоматическую установку драйверов довольно просто с помощью редактора локальной групповой политики:
Переходим в «Конфигурация компьютера» -«Административные шаблоны» — «Система» — «Установка драйвера».
Выбираем «Отключить запрос на использование Центра обновления Windows при поиске драйверов» — «Включено», нажимаем «Применить».
Шаг четвертый, оптимизируем нагрузку на жесткий диск. Чтобы понять, насколько далеко Windows 10 ушла от Windows 7 в сторону, обратную отзывчивости системы и удобства пользователя, достаточно установить ее на старый жесткий диск.
Дикие тормоза и общий ступор системы будут вам обеспечены. А всего-то делов — сделать анализ загрузки HDD при активировании нагружающих его сервисов!
Чтобы снизить общую нагрузку на жесткий диск и повысить отклик системы, мы отключим поиск в Windows 10.
Запускаем командную строку от «Администратора».
Вводим net.exe stop «Windows search».
Если проблема загрузки HDD исчезла, то выключаем поиск в Windows навсегда.
Ищем и отключаем службу «Windows search».
Шаг пятый, минимизация телеметрии. К телеметрии от Microsoft я отношусь довольно спокойно, потому, что считаю телеметрию и контроль со стороны мобильных устройств на порядок активнее.
Но учитывая, что на телеметрию расходуются средства вашего ПК, стоит ее минимизировать.
Для этого при установке Windows 10 отключаем все галочки в данных пунктах.
Далее нам понадобится любой сторонний брандмауер, например Comodo Firewall или simplewall. Я предпочитаю simplewall, простой и надежный сетевой экран с открытым исходным кодом.
Включение таких брандмауеров и добавление сервисов Windows в блок-лист не только блокирует любую попытку отправить телеметрию, но и сам ее сбор. Windows «думает», что работает на ПК без интернета.
Вдобавок, вы получаете дополнительную гарантию того, что нежелательные обновления не будут установлены на ваш ПК.
Пишите в комментарии, помогли ли вам эти советы? И что вы используете для того, чтобы пресечь «самодеятельность» Windows 10?
Управление безопасностью Windows в Windows 10 в режиме S Manage Windows Security in Windows 10 in S mode
Относится к: Applies to
- Windows 10 в режиме S, версия 1803 Windows 10 in S mode, version 1803
Аудитория Audience
- Администраторы безопасности предприятия Enterprise security administrators
Управляемость доступна с помощью следующих инструментов: Manageability available with
- Microsoft Intune Microsoft Intune
Режим S в Windows 10 обеспечивает более строгую защиту и высокую производительность. Windows 10 in S mode is streamlined for tighter security and superior performance. В режиме S в Windows 10 пользователи могут использовать только приложения из Microsoft Store, обеспечивая безопасность, проверенную с помощью Microsoft, чтобы свести к минимуму количество атак на вредоносные программы. With Windows 10 in S mode, users can only use apps from the Microsoft Store, ensuring Microsoft-verified security so you can minimize malware attacks. Кроме того, использование Microsoft EDGE обеспечивает более безопасный интерфейс браузеров с дополнительными средствами защиты от фишинга и вредоносных программ. In addition, using Microsoft Edge provides a more secure browser experience, with extra protections against phishing and malicious software.
Интерфейс безопасности Windows немного отличается в Windows 10 в режиме S. The Windows Security interface is a little different in Windows 10 in S mode. В области Защита от вирусов & угроз есть меньше параметров, так как встроенная система безопасности Windows 10 в режиме S предотвращает вирусы и другие угрозы для работы устройств в Организации. The Virus & threat protection area has fewer options, because the built-in security of Windows 10 in S mode prevents viruses and other threats from running on devices in your organization. Кроме того, устройства под управлением Windows 10 в режиме S получают обновления для системы безопасности автоматически. In addition, devices running Windows 10 in S mode receive security updates automatically.
Дополнительные сведения о Windows 10 в режиме S, в том числе о том, как переключаться в режим S, находятся в Windows 10 Pro/Enterprise в режиме s. For more information about Windows 10 in S mode, including how to switch out of S mode, see Windows 10 Pro/Enterprise in S mode.
Управление параметрами безопасности Windows с помощью Intune Managing Windows Security settings with Intune
В корпоративной среде вы можете управлять параметрами безопасности только для устройств под управлением Windows 10 в режиме S с помощью Microsoft Intune или других приложений для управления мобильными устройствами. In the enterprise, you can only manage security settings for devices running Windows 10 in S mode with Microsoft Intune or other mobile device management apps. Windows 10 в режиме S предотвращает внесение изменений с помощью сценариев PowerShell. Windows 10 in S mode prevents making changes via PowerShell scripts.
Сведения об использовании Intune для управления параметрами безопасности Windows на устройствах Организации читайте в разделе Настройка параметров Intune и Endpoint Protection для Windows 10 (и более поздних версий) в Intune. For information about using Intune to manage Windows Security settings on your organization’s devices, see Set up Intune and Endpoint protection settings for Windows 10 (and later) in Intune.
Развертывание Windows 10. Что нового?
Здравствуйте, уважаемые читатели и подписчики! Сегодня мы познакомимся с основными особенностями в развертывании операционной системы Windows 10, рассмотрим основные новшества и работу с новыми инструментами, с которыми можно столкнуться во время установки системы. Данная статья, в первую очередь, будет полезна всем, кто планирует развертывание ОС Windows 10 в корпоративной среде.
Требования к «железу» и немного о совместимости программ
Основные требования для железа, на которое будет устанавливаться система, можно посмотреть на этой странице. Но в целом, если на вашем компьютере спокойно работала и «семерка» и «восьмерка», то и «десятка» так же сможет вполне нормально себя чувствовать.
Хотя, в некоторых случаях, нужно учитывать один маленький нюанс — начиная с Windows 8.1 в 64-битных версиях системы больше нет поддержки для процессоров Pentium D. Так что на компьютер с таким процессором Windows 10 уже не получится поставить. Хотя такие устаревшие процессоры мало у кого есть, поэтому можно и не особо волноваться по данному поводу.
Про совместимость тоже можно не сильно переживать. Несмотря на то, что данная система претерпела множество различных дополнений и усовершенствований, подсистема Win32 (через которую запускаются программы) практически не была затронута. На вскидку, можно дать оценку что более девяноста процентов программ без проблем будут работать. Но в этом мире все так просто не бывает и стопроцентную гарантию нереально дать. Приложения бывают разные и разработчики по разному их составляют, поэтому может случится что где-нибудь одна из функций будет работать не корректно. Сейчас разработчики старательно трудятся, что бы этого не было, поэтому скорее всего проблемы совместимости вас не затронут.
Кстати, для приложений из Магазина Microsoft созданы специальны тесты, для автоматической проверки их на совместимость с операционной системой Windows 10. В случае обнаружения возможных проблем, в работе программ, эти данные будут отправлены к соответствующим разработчикам, для их дальнейшего решения. Так что большинство неполадок будут решены еще задолго до того, как пользователям придется с ними столкнуться.
Немного про Internet Explorer
Почему немного? Да потому что тут ничего такого, особо важного и нет. 🙂
Скорее всего, для многих пользователей уже давно не секрет, что в новой системе есть уже два стандартных браузера: всем давно знакомый Internet Explorer 11 и новый продукт с именем Edge.
Основное призвание нового браузера Edge заключается в замене уже устаревшего IE, который давно не соответствует нынешним реалиям. Сам же Internet Explorer оставили только для того, чтобы была совместимость с интернет приложениями, которые были написаны специально для этого браузера.
Старый браузер оставили специально для корпоративной среды. Поскольку в Edge нет поддержки технологии Silverlight, а данная технология часто применяется различных корпоративных сетях со своими, модифицированными порталами, то назначение IE заключается в поддержке этих ресурсов.
Вторая новость, заключается в том, что 12.01.2016 будет прекращена поддержка всех устаревших версий IE. После этой даты, будет продолжаться поддержка только последних версий соответственно каждой версии ОС Windows.
Способы развертывания Windows 10
Стоит отметить, что Windows 10 позволяет использовать старые и привычные способы развертывания, такие как MDT, или, например, SCCM. В целом, в этой системе предусмотрены следующие способы развертывания:
Самый первый способ, это довольно старый и привычный вариант развертывания. Его суть заключается в загрузке компьютера при помощи специального образа Windows PE и дальнейшие операции с разделами винчестера с последующим развертыванием готового и настроенного образа Windows 10. После этого будет произведена установка драйверов и необходимого программного обеспечения.
При использовании первого способа можно сохранить все необходимые параметры и конфигурацию учетных записей. Для этого есть специальный инструмент, под названием User State Migration Tool (USMT). С его помощью можно сделать копию всех этих настроек, а затем восстановить их уже на новой системе.
Второй способ развертывания, так же уже давно известен, суть его – обновление на новую версию поверх старой. За счет этого все параметры системы и учетные записи будут сохранены и в новой системе. Кроме того, сохранятся и ранее установленные программы.
А вот третий способ развернуть Windows 10 – является новинкой. С помощью него можно любое устройство, превратить в корпоративное, где будут все требуемые настройки и приложения, даже можно реализовать возможность изменения редакции операционной системы.
Теперь подробнее рассмотрим каждый из этих методов.
Wipe-and-Load
Как было уже замечено выше, такой способ развертывания уже давно известен, еще с предыдущих операционных систем. Как и до этого, тут нам необходимо обновлять следующие инструменты для развертывания:
- Загрузить с официального сайта свежий Windows ADK, рассчитанный на поддержку систем начиная с Windows 7;
- Тем, кто пользуется MDT, необходимо обновиться до MDT 2013 Update 1;
- А если воспользоваться SCCM, то поддержка развертывания или управления включена сразу в несколько разных редакциях.
Как можно заметить, практически во всех последних версиях SCCM можно выполнять развертывание и настройку системы. Но самый полный функционал, с поддержкой всех возможностей Windows 10, будет только в последней версии — SCCM vNext.
In-Place
Данный вид апгрейда встречается во многих релизах Windows. Но так уж повелось, что многие компании больше доверяют чистой установке, чем обновлению текущей версии системы. Таким образом они остерегаются возможных проблем и неполадок. Что бы вернуть доверие пользователей к такому виду развертывания, в компании Microsoft усиленно старались над доработкой данной технологии на протяжении прошлых версий «семерки» и «восьмерки».
В конечном итоге, пользователи получили качественно доработанный способ апгрейда с Windows 8/8.1, до операционной системы Windows 10.
Само обновление можно разделить на четыре основные части.
- Down-level. Сначала установочная утилита начинает проверку системы и «железа» самого ПК на соответствие всем необходимым параметрам, которые требуются для Windows 10. Происходит проверка наличия драйверов, анализ приложений, которые установлены, собирается информация о параметрах учетных записей. Каждая установленная программа проходит проверку совместимости. В завершающий момент создается резервная копия всех драйверов, что находятся в системе и сохраняется boot critical. Затем компьютер выполняет перезагрузку;
- WinRE. На этом этапе, пользователь может наблюдать процесс обновления системы в виде индикатора загрузки. В это время происходит копирование всех файлов предыдущей ОС в папку «Windows.old», а затем создаются новые каталоги и файлы для Windows 10. Затем, в новую файловую структуру системы добавляются ранее сохраненные параметры и драйвера;
- 1st boot to New OS. На данном этапе происходит установка системы. В этот момент продолжают свою установку все требуемые драйвера. Тут же происходит настройка системы и восстановление приложений, которые были ранее в старой системе. Когда этот этап завершится, компьютер выполнит перезагрузку;
- 2nd boot to New OS. После сохранения всех ранее выполненных изменений и установок, наступает завершающий этап. Пользователь видит экран приветствия. Здесь потребуется только согласиться с лицензией. После этого обновление системы можно считать завершенным.
Следует уточнить парочку моментов, относящихся к данному варианту развертывания.
Одной из самых приятных новинок является возможность вернуться на предыдущую систему, после обновления на новую. Самое интересное, что это можно сделать даже во время обновления или, например, после какого-нибудь сбоя в системе установки.
У такой удобной новинки есть и одна весьма интересная особенность. Еще на самом первом этапе апгрейда происходит вычисление требуемого количества свободного пространства на жестком диске, при этом учитывается и место под резервную копию предыдущей ОС. Поэтому может случится, что для таких больших объемов не хватит места. Но разработчики предусмотрели такое развитие событий и добавили возможность подключить любой сменный носитель, на котором и будет создан каталог с именем Windows.old. В любом случае на винчестере должно быть нужно количество свободного пространства для самой системы Windows 10.
Во время обновления, используя традиционные инструменты нужно знать, что в SCCM vNext и MDT 2013 Update 1 была добавлена другая последовательность задач. Про то, как реализовывать это, можете ознакомиться тут.
Часто крупные компании, используя MDT или SCCM, создают свои образы, уже имеющие готовые приложения уже со всеми необходимыми настройками. Что произвести успешное обновление текущей системы, нужно воспользоваться стандартным файлом install.wim. Если попытаться добавить любое стороннее приложение в образ устанавливаемой системы и при этом приложение уже будет установлено в старой системе, то может нарушиться вся ассоциация файлов. Это может привести к некорректной работе приложения, или оно даже не сможет запуститься.
Так же нужно знать следующие ограничения для апгрейда In-Place:
- Архитектура устанавливаемой системы должно соответствовать архитектуре системы, на которую ставится;
- Такой способ не сработает, если у вас Windows To Go, или системой. Что была загружена из VHD файла;
- Не получится произвести обновление, если система зашифрована любыми сторонними программами. При этом, исключение BitLocker. В случае с ним, все пройдет корректно и без лишних проблем.
Учитывая все вышесказанное, можно смело рекомендовать такой способ обновления для корпоративных клиентов. Конечно, многие могут не доверится этому способу. Но все же, рекомендуем протестировать его на нескольких отдельных ПК. Возможно этот способ понравится и действительно покажется удобным.
Provisioning
А этот способ развертывания Windows 10, для лучшего понимания, мы рассмотрим на примере. К примеру, есть некая компания, которая закупила своим сотрудникам несколько планшетов, с Professional редакцией «десятки». Прежде чем эти сотрудники смогут работать на этих устройствах, IT отделу потребуется выполнить на них множество дополнительных настроек: проапгрейдить систему до Enterprise, затем включить в домен, или, например, выполнить подключение к системе Microsoft Intune (или любому подобному решению), после чего указать соответствующие политики и создать требуемые сертификаты. После этого, должны быть установлены профили Wi-FI и VPN, а затем загружены специальные корпоративные приложения и многое другое.
В целом, все это можно выполнить через групповые политики. Но для них потребуется включение устройства в домен. Вот только существует много мобильных сценариев, которые лучше всего будет не включать в домен. Это все должен выполнить либо сотрудник IT, либо сам пользователь данного устройства. Но для выполнения таких операций потребуются соответствующие знания и полномочия. Как поступить в данной ситуации? Написать скрипт? Ну что же, идея не плохая. Но что если это нужно сделать на каком-нибудь смартфоне?
Благодаря технологии Provisioning, администратор может создать специальный файл, с готовыми параметрами системы и даже необходимыми программами, для корпоративной среды.
Этот файл можно передавать как угодно: на флешке, через корпоративный сайт и даже по электронной почте. Пользователю необходимо только запустить его на устройстве и спустя минуту все необходимые изменения уже будут выполнены.
Этот способ будет прекрасно работать и на смартфонах под управлением Windows 10. Такой файл можно запустить, используя метки NFC, или подключив устройство через USB к компьютеру и перетащив на его значок данный файл настроек.
Таких файлов с необходимой конфигурацией можно создать в неограниченном количестве и для различных типов устройств, имеющих различное назначение. Чтобы создавать подобные файлы воспользуйтесь новым инструментом среды ADK под названием Windows ICD. Этот компонент достаточно прост в использовании. На половине окна можно увидеть доступные параметры, в середине окна можно задавать для них значения, а справа можно наблюдать те, в которых были выполнены изменения.
После изменения всех необходимых параметров, будет создан специальный файл настроек. У него будет расширение .ppkg. После этого его можно любым способом перекинуть на нужное устройство и выполнить запуск.
Про технологию Provisioning мы еще напишем отдельную тему, где будут рассмотрены все подробности работы и создания конфигурационных файлов.
Главное, что следует учитывать по данному способу развертывания это то, что Provisioning будет работать только на устройствах уже обладающими системой Windows 10. Основное назначение данной технологии быстрое развертывание необходимой конфигурации системы и приложений.
Кстати, система Windows 10 может оперативно обновиться с версии Professional до Enterprise. Тут потребуется только лишь ввести соответствующий ключ активации. После перезагрузки компьютера, у вас уже будет новая редакция «десятки». В ppkg файлах можете указывать подобный лицензионный ключ, и смена редакции системы будет происходить автоматически.
После использования ppkg файлов, их можно удалять. При этом будут удаляться и все политики, измененные в ходе развертывания.
Файлы развертывания способны к запуску и во время работы самого устройства и при самом первом запуске, в момент работы с OOBE, к примеру, с флешки.
Можно указать такие условия, что бы файл развертывания находился все время был в системе и никак не удалялся, а в случае Factory reset – выполнял автоматический запуск. В таком случае, все настройки будут применяться и при сбросе системы к первоначальным параметрам.
Такая технология должна понравиться в организациях, которые обладают большим парком различных устройств. Ведь подготовка всех необходимых настроек для каждого типа устройств – задача не из легких. Именно такие файлы ppkg способны облегчить и ускорить процесс настройки устройств.
Думаю, вы смогли уже сформировать впечатление про различные варианты развертывания системы Windows 10. В дальнейшем, мы будем еще подробнее их рассматривать. Как всегда, если возникнут вопросы, то обязательно их задавайте в комментариях, и мы постараемся вместе разобраться.