Обзор программы «Windows 10 Корпоративная E3 в CSP» Windows 10 Enterprise E3 in CSP
С 1сентября 2016г. в поставщике облачных решений (CSP) доступна подписка на Windows 10 Корпоративная E3. Windows 10 Enterprise E3 launched in the Cloud Solution Provider (CSP) channel on September 1, 2016. Windows 10 Корпоративная E3— это новое предложение, которое позволяет по подписке пользоваться эксклюзивными возможностями, зарезервированными для операционной системы Windows 10 Корпоративная. Windows 10 Enterprise E3 in CSP is a new offering that delivers, by subscription, exclusive features reserved for Windows 10 Enterprise edition. Это предложение доступно через поставщик облачных решений (CSP) в Центре партнеров в качестве веб-службы. This offering is available through the Cloud Solution Provider (CSP) channel via the Partner Center as an online service. Windows10 EnterpriseE3 in CSP обеспечивает гибкую подписку на пользователей для малых и средних организаций (от одного до сотен пользователей). Windows10 EnterpriseE3 in CSP provides a flexible, per-user subscription for small- and medium-sized organizations (from one to hundreds of users). Чтобы воспользоваться этим предложением, необходимо: To take advantage of this offering, you must have the following:
На устройствах, которые нужно обновить, Windows10 Pro, версия 1607 (обновление для Windows 10, годовщина) или более поздней версии, установлено и активировано. Windows10 Pro, version 1607 (Windows 10 Anniversary Update) or later, installed and activated, on the devices to be upgraded
иметь доступ к Azure Active Directory (Azure AD) для управления удостоверениями. Azure Active Directory (Azure AD) available for identity management
Начиная с Windows10, версия 1607 (обновление для Windows 10, годовщина), вы можете переходить с Windows10 Pro на Windows10 Enterprise намного проще, чем когда-либо без перезагрузок. Starting with Windows10, version 1607 (Windows 10 Anniversary Update), you can move from Windows10 Pro to Windows10 Enterprise more easily than ever before—no keys and no reboots. После того как один из ваших пользователей введет учетные данные Azure AD, связанные с лицензией Windows10 Enterprise E3, операционная система перейдет с Windows10 Pro на Windows10 корпоративную версию и все соответствующие функции Windows10 Enterprise будут разблокированы. After one of your users enters the Azure AD credentials associated with a Windows10 Enterprise E3 license, the operating system turns from Windows10 Pro to Windows10 Enterprise and all the appropriate Windows10 Enterprise features are unlocked. После истечения срока действия лицензии на подписку или ее передачи другому пользователю Windows10 Корпоративное устройство с легкостью переходит на Windows10 Pro. When a subscription license expires or is transferred to another user, the Windows10 Enterprise device seamlessly steps back down to Windows10 Pro.
Ранее только Организации с условиями лицензионного соглашения Microsoft могли бы развернуть Windows10 корпоративную систему для своих пользователей. Previously, only organizations with a Microsoft Volume Licensing Agreement could deploy Windows10 Enterprise to their users. Теперь с помощью Windows10 EnterpriseE3 в службах криптографии в малых и средних организациях более удобное использование возможностей Windows10 Enterprise. Now, with Windows10 EnterpriseE3 in CSP, small- and medium-sized organizations can more easily take advantage of Windows10 Enterprise features.
Если вы приобрели Windows10 EnterpriseE3 с помощью партнера, вы получаете следующие преимущества: When you purchase Windows10 EnterpriseE3 via a partner, you get the following benefits:
Windows10 Enterprise Edition. Windows10 Enterprise edition. Устройства, на данный момент выполняющие Windows10 Pro, версия 1607 может получать Windows10 корпоративный ток или текущую ветвь для бизнеса (CBB). Devices currently running Windows10 Pro, version 1607 can get Windows10 Enterprise Current Branch (CB) or Current Branch for Business (CBB). Это не распространяется на выпуск с долгосрочным обслуживанием (Long Term Service Branch, LTSB). This benefit does not include Long Term Service Branch (LTSB).
Поддержка любого количества пользователей, от одного до нескольких сотен. Support from one to hundreds of users. Несмотря на то, что в программе Windows10 Enterprise E3 нет ограничений на количество лицензий, которые может иметь организация, программа разработана для малых и средних организаций. Although the Windows10 Enterprise E3 in CSP program does not have a limitation on the number of licenses an organization can have, the program is designed for small- and medium-sized organizations.
Развертывание до пяти устройств. Deploy on up to five devices. Для каждого пользователя, на которого распространяется лицензия, вы можете развернуть Windows 10 Корпоративная на пяти устройствах. For each user covered by the license, you can deploy Windows 10 Enterprise edition on up to five devices.
Вернуться в Windows10 Pro в любое время. Roll back to Windows10 Pro at any time. По истечении срока действия подписки пользователя или ее передачи другому пользователю Windows10 Корпоративное устройство полностью переводится в Windows10 Pro Edition (по истечении льготного периода до 90 дней). When a user’s subscription expires or is transferred to another user, the Windows10 Enterprise device reverts seamlessly to Windows10 Pro edition (after a grace period of up to 90 days).
Помесячная оплата за каждого пользователя. Monthly, per-user pricing model. Это делает Windows10 корпоративным E3 для любой организации. This makes Windows10 Enterprise E3 affordable for any organization.
Возможность перераспределения лицензий между пользователями. Move licenses between users. Лицензии можно легко и быстро передавать от одного пользователя к другому, что позволяет оптимально использовать приобретенные лицензии в условиях изменения потребностей. Licenses can be quickly and easily reallocated from one user to another user, allowing you to optimize your licensing investment against changing needs.
Как сравнивается программа Windows10 EnterpriseE3 в CSP с соглашениями корпоративного лицензирования Майкрософт и Software Assurance? How does the Windows10 EnterpriseE3 in CSP program compare with Microsoft Volume Licensing Agreements and Software Assurance?
Программы корпоративного лицензирования Microsoft являются более объемными и предоставляют доступ к лицензированию всех продуктов корпорации Майкрософт. Microsoft Volume Licensing programs are broader in scope, providing organizations with access to licensing for all Microsoft products.
Программа Software Assurance обеспечивает организациям преимущества, которые можно разделить на следующие категории: Software Assurance provides organizations with the following categories of benefits:
Развертывание и управление. Deployment and management. К этой категории относятся услуги по планированию, Microsoft Desktop Optimization Pack (MDOP), Windows Virtual Desktop Access Rights, Windows-To-Go Rights, Windows Roaming Use Rights, Windows Thin PC, Windows RT Companion VDA Rights и др. These benefits include planning services, Microsoft Desktop Optimization (MDOP), Windows Virtual Desktop Access Rights, Windows-To-Go Rights, Windows Roaming Use Rights, Windows Thin PC, Windows RT Companion VDA Rights, and other benefits.
Обучение. Training. К этой категории относятся ваучеры на обучение, электронное обучение через Интернет и программа использования ПО на домашних компьютерах. These benefits include training vouchers, online e-learning, and a home use program.
Поддержка. Support. К этой категории относятся круглосуточная техническая поддержка, резервное копирование для аварийного восстановления, глобальный монитор служб System Center и пассивный вторичный экземпляр SQL Server. These benefits include 24×7 problem resolution support, backup capabilities for disaster recovery, System Center Global Service Monitor, and a passive secondary instance of SQL Server.
Специализация. Specialized. К этой категории относятся возможность повышения лицензируемых выпусков (т.е. перехода с более раннего выпуска программного обеспечения на выпуск более высокого уровня), а также возможность разбиения стоимости лицензии и участия в программе Software Assurance на три равных ежегодных платежа. These benefits include step-up licensing availability (which enables you to migrate software from an earlier edition to a higher-level edition) and to spread license and Software Assurance payments across three equal, annual sums.
Кроме того, в Windows10 EnterpriseE3 в CSP партнер может управлять лицензиями. In addition, in Windows10 EnterpriseE3 in CSP, a partner can manage your licenses for you. В программе Software Assurance вы, клиент, управляете своими собственными лицензиями. With Software Assurance, you, the customer, manage your own licenses.
В целом программа Windows10 Enterprise E3 в составе службы криптографии является предложением по обновлению, которое обеспечивает более гибкие и средние организации, а также более гибкий доступ к преимуществам Windows10 Enterprise Edition, в то время как программы корпоративного лицензирования Майкрософт и Software Assurance — это более широкие возможности, а для обеспечения преимуществ за пределами доступа к Windows10 Enterprise Edition. In summary, the Windows10 Enterprise E3 in CSP program is an upgrade offering that provides small- and medium-sized organizations easier, more flexible access to the benefits of Windows10 Enterprise edition, whereas Microsoft Volume Licensing programs and Software Assurance are broader in scope and provide benefits beyond access to Windows10 Enterprise edition.
Сравнение выпусков Windows10 Pro и Enterprise Compare Windows10 Pro and Enterprise editions
В Windows10 Enterprise Edition есть ряд функций, недоступных в Windows10 Pro. Windows10 Enterprise edition has a number of features that are unavailable in Windows10 Pro. Таблица1 — список корпоративных функций Windows10, не обнаруженных в Windows10 Pro. Table1 lists the Windows10 Enterprise features not found in Windows10 Pro. Многие из этих компонентов связаны с безопасностью, тогда как другие обеспечивают управление устройствами на более детальном уровне. Many of these features are security-related, whereas others enable finer-grained device management.
Таблица1. Table1. Функции Windows10 Enterprise, не обнаруженные в Windows10 Pro Windows10 Enterprise features not found in Windows10 Pro
Функция Feature
Описание Description
Credential Guard Credential Guard
Этот компонент предполагает использование средств безопасности на основе виртуализации для защиты секретов (например, хэшей паролей NTLM, билетов на получение билетов Kerberos), чтобы доступ к ним могло получать только системное программное обеспечение с соответствующими привилегиями. This feature uses virtualization-based security to help protect security secrets (for example, NTLM password hashes, Kerberos Ticket Granting Tickets) so that only privileged system software can access them. Это помогает предотвратить атаки с передачей хэша (pass-the-hash) или передачей билета (pass-the-ticket). This helps prevent Pass-the-Hash or Pass-the-Ticket attacks.
К возможностям Credential Guard относятся: Credential Guard has the following features:
Безопасность на уровне оборудования . Credential Guard использует функции безопасности аппаратной платформы (например, безопасную загрузку и виртуализацию), чтобы защитить учетные данные и другие секреты домена. Hardware-level security. Credential Guard uses hardware platform security features (such as Secure Boot and virtualization) to help protect derived domain credentials and other secrets.
Безопасность на основе виртуализации . Службы Windows, которые получают доступ к производным учетным данным домена и другим секретам, выполняются в виртуализованной, защищенной изолированной среде. Virtualization-based security. Windows services that access derived domain credentials and other secrets run in a virtualized, protected environment that is isolated.
Улучшена защита от постоянных угроз . Учетные данные работают с другими технологиями (например, Device Guard) для обеспечения более надежной защиты от атак, независимо от того, как они постоянны. Improved protection against persistent threats. Credential Guard works with other technologies (e.g., Device Guard) to help provide further protection against attacks, no matter how persistent.
Улучшена управляемость . Управление учетными данными может осуществляться с помощью групповой политики, инструментария управления Windows (WMI) или Windows PowerShell. Improved manageability. Credential Guard can be managed through Group Policy, Windows Management Instrumentation (WMI), or Windows PowerShell.
Для работы Credential Guard требуется UEFI 2.3.1 или более поздней версии с надежной загрузкой; должны быть включены расширения виртуализации, такие как Intel VT-x, AMD-V и SLAT; версия x64 Windows; устройство IOMMU, такое как VT-d, AMD-Vi; блокировка BIOS; для подтверждения работоспособности устройства рекомендуется наличие модуля TPM 2.0 (в отсутствие TPM 2.0 будет использоваться программное обеспечение). Credential Guard requires UEFI 2.3.1 or greater with Trusted Boot; Virtualization Extensions such as Intel VT-x, AMD-V, and SLAT must be enabled; x64 version of Windows; IOMMU, such as Intel VT-d, AMD-Vi; BIOS Lockdown; TPM 2.0 recommended for device health attestation (will use software if TPM 2.0 not present)
Device Guard Device Guard
Этот компонент представляет собой сочетание аппаратных и программных механизмов безопасности, которые разрешают запуск на устройстве только доверенных приложений. This feature is a combination of hardware and software security features that allows only trusted applications to run on a device. Даже если злоумышленник получит контроль над ядром Windows, вероятность того, что он сможете запустить исполняемый код, значительно уменьшается. Even if an attacker manages to get control of the Windows kernel, he or she will be much less likely to run executable code. Device Guard может использовать систему безопасности на основе виртуализации (VBS) в Windows10 Enterprise Edition для изолирования службы целостности кода из самой ядра Windows. Device Guard can use virtualization-based security (VBS) in Windows10 Enterprise edition to isolate the Code Integrity service from the Windows kernel itself. При использовании VBS, даже если вредоносная программа и получит доступ к ядру, последствия этого можно в значительной степени ограничить, поскольку низкоуровневая оболочка позволяет предотвратить выполнение кода вредоносной программой. With VBS, even if malware gains access to the kernel, the effects can be severely limited, because the hypervisor can prevent the malware from executing code.
Device Guard выполняет следующие функции: Device Guard does the following:
обеспечивает защиту от вредоносных программ; Helps protect against malware
обеспечивает защиту ядра системы Windows от атак и уязвимостей нулевого дня; Helps protect the Windows system core from vulnerability and zero-day exploits
позволяет запускать только доверенные приложения. Allows only trusted apps to run
Управление AppLocker AppLocker management
Эта функция позволяет ИТ-специалистам определять, какие приложения и файлы пользователи могут запускать на устройстве. This feature helps IT pros determine which applications and files users can run on a device. К таким приложениям и файлам относятся исполняемые файлы, сценарии, файлы установщика Windows, библиотеки DLL, упакованные приложения и установщики упакованных приложений. The applications and files that can be managed include executable files, scripts, Windows Installer files, dynamic-link libraries (DLLs), packaged apps, and packaged app installers.
Подробнее об этом: AppLocker. For more information, see AppLocker.
Этот компонент позволяет делать приложения доступными конечным пользователям без установки приложений непосредственно на устройства пользователей. This feature makes applications available to end users without installing the applications directly on users’ devices. Приложение App-V преобразует приложения в централизованно управляемые службы, которые не установлены, и Дон’t конфликтовать с другими приложениями. App-V transforms applications into centrally managed services that are never installed and don’t conflict with other applications. Эта также гарантирует актуальность приложений, т.е. наличие в них последних обновлений безопасности. This feature also helps ensure that applications are kept current with the latest security updates.
Подробнее об этом: Getting Started with App-V for Windows 10 (Начало работы с App-V для Windows 10). For more information, see Getting Started with App-V for Windows 10.
Виртуализация взаимодействия с пользователем (UE-V) User Experience Virtualization (UE-V)
С помощью этого компонента можно записывать настроенные пользователем параметры Windows и приложений и сохранять их в централизованно управляемой общей сетевой папке. With this feature, you can capture user-customized Windows and application settings and store them on a centrally managed network file share. При входе пользователя в систему эти персонализированные параметры применяются к его сеансу работы независимо от того, к какого устройства он вошел или к какому сеансу инфраструктуры виртуальных рабочих столов (VDI) подключился. When users log on, their personalized settings are applied to their work session, regardless of which device or virtual desktop infrastructure (VDI) sessions they log on to.
UE-V позволяет: UE-V provides the ability to do the following:
указывать, какие приложения и параметры Windows синхронизируются между устройствами пользователя; Specify which application and Windows settings synchronize across user devices
доставлять параметры в любое время, где бы на территории организации не работал пользователь; Deliver the settings anytime and anywhere users work throughout the enterprise
создавать пользовательские шаблоны для сторонних приложений или бизнес-приложений; Create custom templates for your third-party or line-of-business applications
восстанавливать параметры после замены или обновления оборудования либо после переустановки из образа виртуальной машины для восстановления ее исходного состояния. Recover settings after hardware replacement or upgrade, or after re-imaging a virtual machine to its initial state
Подробнее об этом: User Experience Virtualization (UE-V) for Windows 10 overview (Обзор виртуализации взаимодействия с пользователем (UE-V) для Windows 10). For more information, see User Experience Virtualization (UE-V) for Windows 10 overview.
Управляемое взаимодействие с пользователем Managed User Experience
Этот компонент позволяет настроить пользовательский интерфейс на устройстве с Windows так, чтобы он позволял выполнять только конкретную задачу, и зафиксировать его в таком состоянии. This feature helps customize and lock down a Windows device’s user interface to restrict it to a specific task. Например, можно настроить устройство использования в определенном качестве— например, в качестве информационного киоска или учебного пособия. For example, you can configure a device for a controlled scenario such as a kiosk or classroom device. После выхода пользователя из системы интерфейс автоматически будет сброшен. The user experience would be automatically reset once a user signs off. Можно также ограничивать доступ к службам, в том числе к Кортане или Microsoft Store, и управлять параметрами макета начального экрана, например: You can also restrict access to services including Cortana or the Windows Store, and manage Start layout options, such as:
удалить команды «Завершение работы», «Перезагрузка», «Сон», «Гибернация» во избежание доступа к ним; Removing and preventing access to the Shut Down, Restart, Sleep, and Hibernate commands
удалить команду «Выход» (плитку «Пользователь») из меню «Пуск»; Removing Log Off (the User tile) from the Start menu
удалить список часто используемых программ из меню «Пуск»; Removing frequent programs from the Start menu
удалить список всех программ из меню «Пуск»; Removing the All Programs list from the Start menu
запретить пользователям настраивать начальный экран; Preventing users from customizing their Start screen
принудительно запускать меню «Пуск» во весь экран или в размере меню; Forcing Start menu to be either full-screen size or menu size
запретить изменение параметров панели задач и меню «Пуск». Preventing changes to Taskbar and Start menu settings
Подготовка к развертыванию лицензий на Windows 10 Корпоративная E3 Deployment of Windows 10 Enterprise E3 licenses
Развертывание корпоративных функций Windows10 Deploy Windows10 Enterprise features
Теперь, когда Windows 10 Корпоративная запущена на устройствах, как воспользоваться компонентами и возможностями корпоративного выпуска? Now that you have Windows 10 Enterprise edition running on devices, how do you take advantage of the Enterprise edition features and capabilities? Какие следующие шаги необходимо предпринять для каждого из компонентов, перечисленных в таблице1? What are the next steps that need to be taken for each of the features discussed in Table 1?
В следующих разделах приведены задачи высокого уровня, которые необходимо выполнить в среде, чтобы помочь пользователям использовать возможности Windows10 Enterprise Edition. The following sections provide you with the high-level tasks that need to be performed in your environment to help users take advantage of the Windows10 Enterprise edition features.
Credential Guard* Credential Guard*
Вы можете реализовать защиту учетных данных на корпоративных устройствах Windows10, включив Credential Guard на этих устройствах. You can implement Credential Guard on Windows10 Enterprise devices by turning on Credential Guard on these devices. Credential Guard использует функции безопасности на основе виртуализации Windows10 (компоненты Hyper-V), которые должны быть включены на каждом устройстве, прежде чем можно будет включить Credential Guard. Credential Guard uses Windows10 virtualization-based security features (Hyper-V features) that must be enabled on each device before you can turn on Credential Guard. Credential Guard можно включить одним из следующих способов: You can turn on Credential Guard by using one of the following methods:
Автоматически. Automated. Вы можете автоматически включить Credential Guard для одного или нескольких устройств с помощью групповой политики. You can automatically turn on Credential Guard for one or more devices by using Group Policy. Параметры групповой политики автоматически добавляют функции безопасности на основе виртуализации и настраивают параметры реестра Credential Guard на управляемых устройствах. The Group Policy settings automatically add the virtualization-based security features and configure the Credential Guard registry settings on managed devices.
Вручную. Manual. Чтобы вручную включить Credential Guard, сделайте следующее: You can manually turn on Credential Guard by doing the following:
Добавьте функции безопасности на основе виртуализации в разделе «Программы и компоненты» или с помощью системы обслуживания образов развертывания и управления ими (DISM). Add the virtualization-based security features by using Programs and Features or Deployment Image Servicing and Management (DISM).
Настройте параметры реестра Credential Guard с помощью редактора реестра или средства проверки готовности оборудования для Device Guard и Credential Guard. Configure Credential Guard registry settings by using the Registry Editor or the Device Guard and Credential Guard hardware readiness tool.
Вы можете автоматизировать эти ручные действия с помощью средства управления, такого как Microsoft Endpoint Configuration Manager. You can automate these manual steps by using a management tool such as Microsoft Endpoint Configuration Manager.
Подробнее об использовании Credential Guard см. в следующих материалах: For more information about implementing Credential Guard, see the following resources:
* Требуется UEFI 2.3.1 или более поздней версии с надежной загрузкой; должны быть включены расширения виртуализации, такие как Intel VT-x, AMD-V и SLAT; версия x64 Windows; устройство IOMMU, такое как VT-d, AMD-Vi; блокировка BIOS; для подтверждения работоспособности устройства рекомендуется наличие модуля TPM 2.0 (в отсутствие TPM 2.0 будет использоваться программное обеспечение). * Requires UEFI 2.3.1 or greater with Trusted Boot; Virtualization Extensions such as Intel VT-x, AMD-V, and SLAT must be enabled; x64 version of Windows; IOMMU, such as Intel VT-d, AMD-Vi; BIOS Lockdown; TPM 2.0 recommended for device health attestation (will use software if TPM 2.0 not present)
Device Guard Device Guard
Теперь, когда на устройствах есть корпоративная Windows10, вы можете использовать Device Guard на устройствах Windows10 Enterprise, выполнив следующие действия: Now that the devices have Windows10 Enterprise, you can implement Device Guard on the Windows10 Enterprise devices by performing the following steps:
Дополнительно вы можете создать сертификат подписи для политик целостности кода. Optionally, create a signing certificate for code integrity policies. По мере развертывания политик целостности кода вам может понадобиться подписать файлы каталога или политики целостности кода внутри организации. As you deploy code integrity policies, you might need to sign catalog files or code integrity policies internally. Для этого вам понадобится выданный сертификат подписи кода (который вы приобрели) или внутренний центр сертификации (ЦС). To do this, you will either need a publicly issued code signing certificate (that you purchase) or an internal certificate authority (CA). Если вы решили использовать внутренний центр сертификации, вам нужно будет создать сертификат подписи кода. If you choose to use an internal CA, you will need to create a code signing certificate.
Создайте политики целостности кода на основе «золотых» компьютеров. Create code integrity policies from “golden” computers. Если вы определили отделы или роли, которые используют уникальные или частично уникальные сочетания оборудования и программного обеспечения, вы можете настроить «золотые» компьютеры с соответствующим оборудованием и программным обеспечением. When you have identified departments or roles that use distinctive or partly distinctive sets of hardware and software, you can set up “golden” computers containing that software and hardware. В этом отношении создание и управление политиками целостности кода в соответствии с потребностями ролей или отделов могут походить на управление корпоративными образами. In this respect, creating and managing code integrity policies to align with the needs of roles or departments can be similar to managing corporate images. На основе каждого «золотого» компьютера можно создать политику целостности кода и решить, как управлять этой политикой. From each “golden” computer, you can create a code integrity policy and decide how to manage that policy. Вы можете объединить политики целостности кода для создания более обширной, или главной, политики, а также можете контролировать и развертывать каждую политику по отдельности. You can merge code integrity policies to create a broader policy or a master policy, or you can manage and deploy each policy individually.
Выполните аудит политики целостности кода и соберите информацию о приложениях, которые не охвачены этой политикой. Audit the code integrity policy and capture information about applications that are outside the policy. Мы рекомендуем использовать режим аудита для тщательной проверки каждой политики целостности кода до ее применения. We recommend that you use “audit mode” to carefully test each code integrity policy before you enforce it. В режиме аудита никакие приложения не блокируются— политика просто записывает в журнал событие при каждом запуске приложения, которое в нее не входит. With audit mode, no application is blocked—the policy just logs an event whenever an application outside the policy is started. Позже вы сможете расширить политику, чтобы разрешить те из приложений, которые вам необходимы. Later, you can expand the policy to allow these applications, as needed.
Создайте файл каталога для неподписанных бизнес-приложений. Create a “catalog file” for unsigned line-of-business (LOB) applications. С помощью средства Package Inspector создайте и подпишите файл каталога для ваших неподписанных бизнес-приложений. Use the Package Inspector tool to create and sign a catalog file for your unsigned LOB applications. На последующих шагах вы сможете объединить подпись файла каталога с политикой целостности кода, чтобы приложения в каталоге были разрешены политикой. In later steps, you can merge the catalog file’s signature into your code integrity policy so that applications in the catalog will be allowed by the policy.
Получите необходимые сведения о политике из журнала событий и при необходимости включите сведения в существующую политику. Capture needed policy information from the event log, and merge information into the existing policy as needed. После того, как политика целостности кода проработает в режиме аудита в течение некоторого времени, журнал событий будет содержать сведения о приложениях, которые не охвачены этой политикой. After a code integrity policy has been running for a time in audit mode, the event log will contain information about applications that are outside the policy. Чтобы расширить политику и разрешить запуск этих приложений, используйте команды Windows PowerShell для сбора необходимых данных о политике из журнала событий и объединения этих данных с существующей политикой. To expand the policy so that it allows for these applications, use Windows PowerShell commands to capture the needed policy information from the event log, and then merge that information into the existing policy. Вы можете объединить политики целостности кода также из других источников. Это позволяет гибко подходить к созданию итоговых политик целостности кода. You can merge code integrity policies from other sources also, for flexibility in how you create your final code integrity policies.
Разверните политики целостности кода и файлы каталога. Deploy code integrity policies and catalog files. Убедившись, что вы выполнили все предыдущие шаги, вы можете начать развертывание файлов каталога и вывод политик целостности кода из режима аудита. After you confirm that you have completed all the preceding steps, you can begin deploying catalog files and taking code integrity policies out of audit mode. Мы настоятельно рекомендуем начать этот процесс с тестовой группы пользователей. We strongly recommend that you begin this process with a test group of users. Таким образом вы сможете выполнить контрольную проверку перед более широким развертыванием файлов каталога и политик целостности кода. This provides a final quality-control validation before you deploy the catalog files and code integrity policies more broadly.
Включите необходимые аппаратные функции безопасности. Enable desired hardware security features. Аппаратные функции безопасности— также называемые функциями безопасности на основе виртуализации (VBS)— усиливают защиту, обеспечиваемую политиками целостности кода. Hardware-based security features—also called virtualization-based security (VBS) features—strengthen the protections offered by code integrity policies.
Подробнее об использовании Device Guard см. в следующих материалах: For more information about implementing Device Guard, see:
Управление AppLocker AppLocker management
Вы можете управлять AppLocker в Windows10 предприятия с помощью групповой политики. You can manage AppLocker in Windows10 Enterprise by using Group Policy. Для групповой политики требуется, чтобы у вас есть служба AD DS и Windows10 корпоративные устройства, подключенные к домену AD DS. Group Policy requires that the you have AD DS and that the Windows10 Enterprise devices are joined to the your AD DS domain. Вы можете создать правила AppLocker с помощью групповой политики и нацеливать эти правила на соответствующие устройства. You can create AppLocker rules by using Group Policy, and then target those rules to the appropriate devices.
Подробнее об управлении AppLocker с помощью групповой политики см. в руководстве по развертыванию AppLocker. For more information about AppLocker management by using Group Policy, see AppLocker deployment guide.
App-V App-V
Для поддержки клиентов App-V требуется серверная инфраструктура App-V. App-V requires an App-V server infrastructure to support App-V clients. Ниже приведены основные компоненты App-V, которые вам необходимы: The primary App-V components that the you must have are as follows:
Сервер App-V. App-V server. Сервер App-V обеспечивает управление App-V, публикацию виртуализированных приложений, потоковую передачу приложений и функции отчетности. The App-V server provides App-V management, virtualized app publishing, app streaming, and reporting services. Все эти службы можно запустить на одном сервере или по отдельности на нескольких серверах. Each of these services can be run on one server or can be run individually on multiple servers. Например, у вас может быть несколько серверов потоковой передачи. For example, you could have multiple streaming servers. Клиенты App-V связываются с серверами App-V, чтобы определить, какие приложения опубликованы для пользователя или для устройства, а затем запустить виртуализированное приложение с сервера. App-V clients contact App-V servers to determine which apps are published to the user or device, and then run the virtualized app from the server.
Секвенсор App-V. App-V sequencer. Секвенсор App-V— это типовое клиентское устройство, которые используется для упаковки (записи) приложений и подготовке их к размещению на сервере App-V. The App-V sequencer is a typical client device that is used to sequence (capture) apps and prepare them for hosting from the App-V server. Вы устанавливаете приложения на секвенсор, и программное обеспечение секвенсора определяет, какие файлы и параметры реестра изменились во время установки приложения. You install apps on the App-V sequencer, and the App-V sequencer software determines the files and registry settings that are changed during app installation. Затем секвенсор записывает эти параметры, чтобы создать виртуализированное приложение. Then the sequencer captures these settings to create a virtualized app.
Клиент App-V. App-V client. Клиент App-V должен быть включен на любом клиентском устройстве, на котором будут запускаться приложения с сервера App-V. The App-V client must be enabled on any client device on which apps will be run from the App-V server. Это Windows10 корпоративные устройства с корпоративным E3. These will be the Windows10 Enterprise E3 devices.
Подробнее о реализации сервера App-V, секвенсора App-V и клиента App-V см. в следующих материалах: For more information about implementing the App-V server, App-V sequencer, and App-V client, see the following resources:
UE-V UE-V
Для UE-V требуются клиентские и серверные компоненты, которые вам нужно будет скачать, активировать и установить. UE-V requires server- and client-side components that you you’ll need to download, activate, and install. К этим компонентам относятся: These components include:
Служба UE-V. UE-V service. Служба UE-V (когда она включена на устройствах) отслеживает зарегистрированные приложения и Windows на предмет изменения параметров, а затем синхронизирует эти параметры между устройствами. The UE-V service (when enabled on devices) monitors registered applications and Windows for any settings changes, then synchronizes those settings between devices.
Пакеты параметров. Settings packages. В параметрах пакетов, создаваемых службой UE-V, хранятся параметры приложений и параметры Windows. Settings packages created by the UE-V service store application settings and Windows settings. Параметры пакетов формируются, сохраняются локально и копируются в место хранения параметров. Settings packages are built, locally stored, and copied to the settings storage location.
Место хранения параметров. Settings storage location. Место хранения параметров— это стандартная сетевая папка, к которой могут обращаться ваши пользователи. This location is a standard network share that your users can access. Служба UE-V проверяет это расположение и создает скрытную системную папку, в которой хранятся и из которой извлекаются параметры пользователей. The UE-V service verifies the location and creates a hidden system folder in which to store and retrieve user settings.
Шаблоны расположения параметров. Settings location templates. Шаблоны расположения параметров— это XML-файлы, которые UE-V использует для мониторинга параметров классических приложений и параметров рабочего стола Windows и их синхронизации между компьютерами пользователей. Settings location templates are XML files that UE-V uses to monitor and synchronize desktop application settings and Windows desktop settings between user computers. По умолчанию в состав UE-V входит несколько шаблонов расположения параметров. By default, some settings location templates are included in UE-V. Вы также можете также создавать, редактировать или проверять собственные шаблоны расположения параметров с помощью генератора шаблонов UE-V. You can also create, edit, or validate custom settings location templates by using the UE-V template generator. Для Windows-приложений шаблоны расположения параметров не требуются. Settings location templates are not required for Windows applications.
Список универсальных приложений для Windows. Universal Windows applications list. UE-V определяет, для каких Windows-приложений необходимо синхронизировать параметры, по управляемому списку приложений. UE-V determines which Windows applications are enabled for settings synchronization using a managed list of applications. По умолчанию в этот список входит большинство Windows-приложений. By default, this list includes most Windows applications.
Подробнее о развертывании UE-V см. в следующих материалах: For more information about deploying UE-V, see the following resources:
Управляемое взаимодействие с пользователем Managed User Experience
Функция управляемого взаимодействия с пользователем — это набор функций Windows10 Enterprise Edition и соответствующих параметров, которые можно использовать для управления работой пользователей. The Managed User Experience feature is a set of Windows10 Enterprise edition features and corresponding settings that you can use to manage user experience. В таблице 2 описаны параметры управляемого взаимодействия с пользователем (по категориям), которые доступны только в Windows10 Enterprise Edition. Table 2 describes the Managed User Experience settings (by category), which are only available in Windows10 Enterprise edition. Способы управления, используемые для настройки каждого компонента, зависят от компонента. The management methods used to configure each feature depend on the feature. Некоторые функции настраиваются с помощью групповой политики, тогда как другие— с помощью Windows PowerShell, системы обслуживания образов развертывания и управления ими (DISM) или других средств командной строки. Some features are configured by using Group Policy, while others are configured by using Windows PowerShell, Deployment Image Servicing and Management (DISM), or other command-line tools. Для параметров групповой политики необходимо иметь AD DS с корпоративными устройствами Windows10, объединенными с доменом доменных служб Active Directory. For the Group Policy settings, you must have AD DS with the Windows10 Enterprise devices joined to your AD DS domain.
Таблица2. Table2. Компоненты управляемого взаимодействия с пользователем Managed User Experience features
