Обзор программы «Windows 10 Корпоративная E3 в CSP» Windows 10 Enterprise E3 in CSP
С 1сентября 2016г. в поставщике облачных решений (CSP) доступна подписка на Windows 10 Корпоративная E3. Windows 10 Enterprise E3 launched in the Cloud Solution Provider (CSP) channel on September 1, 2016. Windows 10 Корпоративная E3— это новое предложение, которое позволяет по подписке пользоваться эксклюзивными возможностями, зарезервированными для операционной системы Windows 10 Корпоративная. Windows 10 Enterprise E3 in CSP is a new offering that delivers, by subscription, exclusive features reserved for Windows 10 Enterprise edition. Это предложение доступно через поставщик облачных решений (CSP) в Центре партнеров в качестве веб-службы. This offering is available through the Cloud Solution Provider (CSP) channel via the Partner Center as an online service. Программа «Windows 10 Корпоративная E3 в CSP» представляет собой гибкую подписку на уровне пользователя, ориентированную на малые и средние организации (от одной до нескольких сотен пользователей). Windows 10 Enterprise E3 in CSP provides a flexible, per-user subscription for small- and medium-sized organizations (from one to hundreds of users). Чтобы воспользоваться этим предложением, необходимо: To take advantage of this offering, you must have the following:
Windows 10 Pro, версия 1607 (юбилейное обновление Windows 10) или более поздней версии, установленная и активированная на устройствах, которые необходимо обновить Windows 10 Pro, version 1607 (Windows 10 Anniversary Update) or later, installed and activated, on the devices to be upgraded
иметь доступ к Azure Active Directory (Azure AD) для управления удостоверениями. Azure Active Directory (Azure AD) available for identity management
Начиная с Windows 10 версии 1607 (юбилейное обновление Windows 10) перейти с Windows 10 Pro на Windows 10 Корпоративная стало еще проще— не нужны ни ключи, ни перезагрузка. Starting with Windows 10, version 1607 (Windows 10 Anniversary Update), you can move from Windows 10 Pro to Windows 10 Enterprise more easily than ever before—no keys and no reboots. Как только пользователь вводит учетные данные Azure AD, связанные с лицензией на Windows 10 Корпоративная E3, операционная система превращается из Windows 10 Pro в Windows 10 Корпоративная, и на устройстве становятся доступны все соответствующие возможности Windows 10 Корпоративная. After one of your users enters the Azure AD credentials associated with a Windows 10 Enterprise E3 license, the operating system turns from Windows 10 Pro to Windows 10 Enterprise and all the appropriate Windows 10 Enterprise features are unlocked. Когда срок действия лицензии на подписку истекает или лицензия передается другому пользователю, устройство с Windows 10 Корпоративная автоматически возвращается к Windows 10 Pro. When a subscription license expires or is transferred to another user, the Windows 10 Enterprise device seamlessly steps back down to Windows 10 Pro.
Раньше развертывать Windows 10 Корпоративная для своих пользователей могли только организации, у которых было соглашение с Microsoft о корпоративном лицензировании. Previously, only organizations with a Microsoft Volume Licensing Agreement could deploy Windows 10 Enterprise to their users. Теперь, благодаря Windows 10 Корпоративная E3 в CSP, воспользоваться возможностями Windows 10 Корпоративная будет легче малым и средним организациям. Now, with Windows 10 Enterprise E3 in CSP, small- and medium-sized organizations can more easily take advantage of Windows 10 Enterprise features.
Приобретая Windows 10 Корпоративная E3 покупки через партнера, вы получаете следующие преимущества: When you purchase Windows 10 Enterprise E3 via a partner, you get the following benefits:
Windows 10 Корпоративная. Windows 10 Enterprise edition. Устройства, которые в настоящее время работают под управлением Windows 10 Pro версии 1607, могут получить Windows 10 Корпоративная с Current Branch (CB) или Current Branch for Business (CBB). Devices currently running Windows 10 Pro, version 1607 can get Windows 10 Enterprise Current Branch (CB) or Current Branch for Business (CBB). Выпуск с долгосрочным обслуживанием (Long Term Service Branch, LTSB) сюда не входит. This benefit does not include Long Term Service Branch (LTSB).
Поддержка любого количества пользователей, от одного до нескольких сотен. Support from one to hundreds of users. Хотя программа «Windows 10 Корпоративная E3 в CSP» не предусматривает ограничений по количеству лицензий, которые может приобрести организация, эта программа ориентирована на малые и средние организации. Although the Windows 10 Enterprise E3 in CSP program does not have a limitation on the number of licenses an organization can have, the program is designed for small- and medium-sized organizations.
Развертывание до пяти устройств. Deploy on up to five devices. Для каждого пользователя, на которого распространяется лицензия, вы можете развернуть Windows 10 Корпоративная на пяти устройствах. For each user covered by the license, you can deploy Windows 10 Enterprise edition on up to five devices.
Возможность отката до Windows 10 Pro в любой момент. Roll back to Windows 10 Pro at any time. После истечения срока действия подписки или в случае ее передачи другому пользователю устройство с Windows 10 Корпоративная автоматически возвращается к Windows 10 Pro (по истечении льготного периода, составляющего 90дней). When a user’s subscription expires or is transferred to another user, the Windows 10 Enterprise device reverts seamlessly to Windows 10 Pro edition (after a grace period of up to 90 days).
Помесячная оплата за каждого пользователя. Monthly, per-user pricing model. Благодаря этому Windows 10 Корпоративная E3 будет доступна любой организации. This makes Windows 10 Enterprise E3 affordable for any organization.
Возможность перераспределения лицензий между пользователями. Move licenses between users. Лицензии можно легко и быстро передавать от одного пользователя к другому, что позволяет оптимально использовать приобретенные лицензии в условиях изменения потребностей. Licenses can be quickly and easily reallocated from one user to another user, allowing you to optimize your licensing investment against changing needs.
Как программа «Windows 10 Корпоративная E3 в CSP» соотносится с соглашениями с Microsoft о корпоративном лицензировании и программой Software Assurance? How does the Windows 10 Enterprise E3 in CSP program compare with Microsoft Volume Licensing Agreements and Software Assurance?
Программы корпоративного лицензирования Microsoft являются более объемными и предоставляют доступ к лицензированию всех продуктов корпорации Майкрософт. Microsoft Volume Licensing programs are broader in scope, providing organizations with access to licensing for all Microsoft products.
Программа Software Assurance обеспечивает организациям преимущества, которые можно разделить на следующие категории: Software Assurance provides organizations with the following categories of benefits:
Развертывание и управление. Deployment and management. К этой категории относятся услуги по планированию, Microsoft Desktop Optimization Pack (MDOP), Windows Virtual Desktop Access Rights, Windows-To-Go Rights, Windows Roaming Use Rights, Windows Thin PC, Windows RT Companion VDA Rights и др. These benefits include planning services, Microsoft Desktop Optimization (MDOP), Windows Virtual Desktop Access Rights, Windows-To-Go Rights, Windows Roaming Use Rights, Windows Thin PC, Windows RT Companion VDA Rights, and other benefits.
Обучение. Training. К этой категории относятся ваучеры на обучение, электронное обучение через Интернет и программа использования ПО на домашних компьютерах. These benefits include training vouchers, online e-learning, and a home use program.
Поддержка. Support. К этой категории относятся круглосуточная техническая поддержка, резервное копирование для аварийного восстановления, глобальный монитор служб System Center и пассивный вторичный экземпляр SQL Server. These benefits include 24×7 problem resolution support, backup capabilities for disaster recovery, System Center Global Service Monitor, and a passive secondary instance of SQL Server.
Специализация. Specialized. К этой категории относятся возможность повышения лицензируемых выпусков (т.е. перехода с более раннего выпуска программного обеспечения на выпуск более высокого уровня), а также возможность разбиения стоимости лицензии и участия в программе Software Assurance на три равных ежегодных платежа. These benefits include step-up licensing availability (which enables you to migrate software from an earlier edition to a higher-level edition) and to spread license and Software Assurance payments across three equal, annual sums.
Кроме того, в программе «Windows 10 Корпоративная E3 в CSP» ваш партнер может управлять лицензиями за вас. In addition, in Windows 10 Enterprise E3 in CSP, a partner can manage your licenses for you. В программе Software Assurance вы, клиент, управляете своими собственными лицензиями. With Software Assurance, you, the customer, manage your own licenses.
В заключение можно сказать, что программа «Windows 10 Корпоративная E3 в CSP» обеспечивает малым и средним организациям более простой и гибкий доступ к преимуществам выпуска Windows 10 Корпоративная, тогда как программы корпоративного лицензирования Microsoft и программа Software Assurance являются более объемными и предоставляют доступ также к другим продуктам. In summary, the Windows 10 Enterprise E3 in CSP program is an upgrade offering that provides small- and medium-sized organizations easier, more flexible access to the benefits of Windows 10 Enterprise edition, whereas Microsoft Volume Licensing programs and Software Assurance are broader in scope and provide benefits beyond access to Windows 10 Enterprise edition.
Сравнение выпусков Windows 10 Pro и Корпоративная Compare Windows 10 Pro and Enterprise editions
В состав Windows 10 Корпоративная входит ряд компонентов, отсутствующих в Windows 10 Pro. Windows 10 Enterprise edition has a number of features that are unavailable in Windows 10 Pro. В таблице 1 перечислены компоненты Windows 10 Корпоративная, которых нет в Windows 10 Pro. Table 1 lists the Windows 10 Enterprise features not found in Windows 10 Pro. Многие из этих компонентов связаны с безопасностью, тогда как другие обеспечивают управление устройствами на более детальном уровне. Many of these features are security-related, whereas others enable finer-grained device management.
Таблица1. Table 1. Компоненты Windows 10 Корпоративная, отсутствующие в Windows 10 Pro Windows 10 Enterprise features not found in Windows 10 Pro
Компонент Feature
Описание Description
Credential Guard Credential Guard
Этот компонент предполагает использование средств безопасности на основе виртуализации для защиты секретов (например, хэшей паролей NTLM, билетов на получение билетов Kerberos), чтобы доступ к ним могло получать только системное программное обеспечение с соответствующими привилегиями. This feature uses virtualization-based security to help protect security secrets (for example, NTLM password hashes, Kerberos Ticket Granting Tickets) so that only privileged system software can access them. Это помогает предотвратить атаки с передачей хэша (pass-the-hash) или передачей билета (pass-the-ticket). This helps prevent Pass-the-Hash or Pass-the-Ticket attacks.
К возможностям Credential Guard относятся: Credential Guard has the following features:
Безопасность на уровне оборудования. Credential Guard использует функции безопасности аппаратной платформы (например, безопасную загрузку и виртуализацию) для защиты полученных учетных данных домена и других секретов. Hardware-level security. Credential Guard uses hardware platform security features (such as Secure Boot and virtualization) to help protect derived domain credentials and other secrets.
Безопасность на основе виртуализации. Службы Windows, которые получают доступ к производным учетным данным домена и другим секретам, работают в изолированной виртуализированной защищенной среде. Virtualization-based security. Windows services that access derived domain credentials and other secrets run in a virtualized, protected environment that is isolated.
Улучшенная защита от сохраняющихся угроз. Защита учетных данных работает с другими технологиями (например, Device Guard), чтобы обеспечить дальнейшую защиту от атак, независимо от того, насколько они устойчивы. Improved protection against persistent threats. Credential Guard works with other technologies (e.g., Device Guard) to help provide further protection against attacks, no matter how persistent.
Улучшенная управляемость. Управление credential Guard можно с помощью групповой политики, инструментов управления Windows (WMI) или Windows PowerShell. Improved manageability. Credential Guard can be managed through Group Policy, Windows Management Instrumentation (WMI), or Windows PowerShell.
Для работы Credential Guard требуется UEFI 2.3.1 или более поздней версии с надежной загрузкой; должны быть включены расширения виртуализации, такие как Intel VT-x, AMD-V и SLAT; версия x64 Windows; устройство IOMMU, такое как VT-d, AMD-Vi; блокировка BIOS; для подтверждения работоспособности устройства рекомендуется наличие модуля TPM 2.0 (в отсутствие TPM 2.0 будет использоваться программное обеспечение). Credential Guard requires UEFI 2.3.1 or greater with Trusted Boot; Virtualization Extensions such as Intel VT-x, AMD-V, and SLAT must be enabled; x64 version of Windows; IOMMU, such as Intel VT-d, AMD-Vi; BIOS Lockdown; TPM 2.0 recommended for device health attestation (will use software if TPM 2.0 not present)
Device Guard Device Guard
Этот компонент представляет собой сочетание аппаратных и программных механизмов безопасности, которые разрешают запуск на устройстве только доверенных приложений. This feature is a combination of hardware and software security features that allows only trusted applications to run on a device. Даже если злоумышленник получит контроль над ядром Windows, вероятность того, что он сможете запустить исполняемый код, значительно уменьшается. Even if an attacker manages to get control of the Windows kernel, he or she will be much less likely to run executable code. Device Guard может задействовать средства безопасности на основе виртуализации (VBS) в Windows 10 Корпоративная, чтобы изолировать службу целостности кода от самого ядра Windows. Device Guard can use virtualization-based security (VBS) in Windows 10 Enterprise edition to isolate the Code Integrity service from the Windows kernel itself. При использовании VBS, даже если вредоносная программа и получит доступ к ядру, последствия этого можно в значительной степени ограничить, поскольку низкоуровневая оболочка позволяет предотвратить выполнение кода вредоносной программой. With VBS, even if malware gains access to the kernel, the effects can be severely limited, because the hypervisor can prevent the malware from executing code.
Device Guard выполняет следующие функции: Device Guard does the following:
обеспечивает защиту от вредоносных программ; Helps protect against malware
обеспечивает защиту ядра системы Windows от атак и уязвимостей нулевого дня; Helps protect the Windows system core from vulnerability and zero-day exploits
позволяет запускать только доверенные приложения. Allows only trusted apps to run
Управление AppLocker AppLocker management
Эта функция помогает ИТ-профессионалам определить, какие приложения и файлы пользователи могут запускать на устройстве. This feature helps IT pros determine which applications and files users can run on a device. К таким приложениям и файлам относятся исполняемые файлы, сценарии, файлы установщика Windows, библиотеки DLL, упакованные приложения и установщики упакованных приложений. The applications and files that can be managed include executable files, scripts, Windows Installer files, dynamic-link libraries (DLLs), packaged apps, and packaged app installers.
Подробнее об этом: AppLocker. For more information, see AppLocker.
Этот компонент позволяет делать приложения доступными конечным пользователям без установки приложений непосредственно на устройства пользователей. This feature makes applications available to end users without installing the applications directly on users’ devices. App-V преобразует приложения в централизованно управляемые службы, которые никогда не устанавливаются и’не конфликтуются с другими приложениями. App-V transforms applications into centrally managed services that are never installed and don’t conflict with other applications. Эта также гарантирует актуальность приложений, т.е. наличие в них последних обновлений безопасности. This feature also helps ensure that applications are kept current with the latest security updates.
Подробнее об этом: Getting Started with App-V for Windows 10 (Начало работы с App-V для Windows 10). For more information, see Getting Started with App-V for Windows 10.
Виртуализация взаимодействия с пользователем (UE-V) User Experience Virtualization (UE-V)
С помощью этого компонента можно записывать настроенные пользователем параметры Windows и приложений и сохранять их в централизованно управляемой общей сетевой папке. With this feature, you can capture user-customized Windows and application settings and store them on a centrally managed network file share. При входе пользователя в систему эти персонализированные параметры применяются к его сеансу работы независимо от того, к какого устройства он вошел или к какому сеансу инфраструктуры виртуальных рабочих столов (VDI) подключился. When users log on, their personalized settings are applied to their work session, regardless of which device or virtual desktop infrastructure (VDI) sessions they log on to.
UE-V позволяет: UE-V provides the ability to do the following:
указывать, какие приложения и параметры Windows синхронизируются между устройствами пользователя; Specify which application and Windows settings synchronize across user devices
доставлять параметры в любое время, где бы на территории организации не работал пользователь; Deliver the settings anytime and anywhere users work throughout the enterprise
создавать пользовательские шаблоны для сторонних приложений или бизнес-приложений; Create custom templates for your third-party or line-of-business applications
восстанавливать параметры после замены или обновления оборудования либо после переустановки из образа виртуальной машины для восстановления ее исходного состояния. Recover settings after hardware replacement or upgrade, or after re-imaging a virtual machine to its initial state
Подробнее об этом: User Experience Virtualization (UE-V) for Windows 10 overview (Обзор виртуализации взаимодействия с пользователем (UE-V) для Windows 10). For more information, see User Experience Virtualization (UE-V) for Windows 10 overview.
Управляемое взаимодействие с пользователем Managed User Experience
Этот компонент позволяет настроить пользовательский интерфейс на устройстве с Windows так, чтобы он позволял выполнять только конкретную задачу, и зафиксировать его в таком состоянии. This feature helps customize and lock down a Windows device’s user interface to restrict it to a specific task. Например, можно настроить устройство использования в определенном качестве— например, в качестве информационного киоска или учебного пособия. For example, you can configure a device for a controlled scenario such as a kiosk or classroom device. После выхода пользователя из системы интерфейс автоматически будет сброшен. The user experience would be automatically reset once a user signs off. Можно также ограничивать доступ к службам, в том числе к Кортане или Microsoft Store, и управлять параметрами макета начального экрана, например: You can also restrict access to services including Cortana or the Windows Store, and manage Start layout options, such as:
удалить команды «Завершение работы», «Перезагрузка», «Сон», «Гибернация» во избежание доступа к ним; Removing and preventing access to the Shut Down, Restart, Sleep, and Hibernate commands
удалить команду «Выход» (плитку «Пользователь») из меню «Пуск»; Removing Log Off (the User tile) from the Start menu
удалить список часто используемых программ из меню «Пуск»; Removing frequent programs from the Start menu
удалить список всех программ из меню «Пуск»; Removing the All Programs list from the Start menu
запретить пользователям настраивать начальный экран; Preventing users from customizing their Start screen
принудительно запускать меню «Пуск» во весь экран или в размере меню; Forcing Start menu to be either full-screen size or menu size
запретить изменение параметров панели задач и меню «Пуск». Preventing changes to Taskbar and Start menu settings
Подготовка к развертыванию лицензий на Windows 10 Корпоративная E3 Deployment of Windows 10 Enterprise E3 licenses
Развертывание компонентов Windows 10 Корпоративная Deploy Windows 10 Enterprise features
Теперь, когда Windows 10 Корпоративная запущена на устройствах, как воспользоваться компонентами и возможностями корпоративного выпуска? Now that you have Windows 10 Enterprise edition running on devices, how do you take advantage of the Enterprise edition features and capabilities? Какие следующие шаги необходимо предпринять для каждого из компонентов, перечисленных в таблице1? What are the next steps that need to be taken for each of the features discussed in Table 1?
В следующих разделах приведены высокоуровневые задачи, которые необходимо выполнить в вашей среде, чтобы пользователи могли воспользоваться возможностями Windows 10 Корпоративная. The following sections provide you with the high-level tasks that need to be performed in your environment to help users take advantage of the Windows 10 Enterprise edition features.
Credential Guard* Credential Guard*
Для использования Credential Guard на устройствах с Windows 10 Корпоративная необходимо включить Credential Guard на этих устройствах. You can implement Credential Guard on Windows 10 Enterprise devices by turning on Credential Guard on these devices. Credential Guard задействует функции безопасности на основе виртуализации Windows 10 (функции Hyper-V), которые должны быть активированы на каждом устройстве, прежде чем вы сможете включить Credential Guard. Credential Guard uses Windows 10 virtualization-based security features (Hyper-V features) that must be enabled on each device before you can turn on Credential Guard. Credential Guard можно включить одним из следующих способов: You can turn on Credential Guard by using one of the following methods:
Автоматически. Automated. Вы можете автоматически включить Credential Guard для одного или нескольких устройств с помощью групповой политики. You can automatically turn on Credential Guard for one or more devices by using Group Policy. Параметры групповой политики автоматически добавляют функции безопасности на основе виртуализации и настраивают параметры реестра Credential Guard на управляемых устройствах. The Group Policy settings automatically add the virtualization-based security features and configure the Credential Guard registry settings on managed devices.
Вручную. Manual. Чтобы вручную включить Credential Guard, сделайте следующее: You can manually turn on Credential Guard by doing the following:
Добавьте функции безопасности на основе виртуализации в разделе «Программы и компоненты» или с помощью системы обслуживания образов развертывания и управления ими (DISM). Add the virtualization-based security features by using Programs and Features or Deployment Image Servicing and Management (DISM).
Настройте параметры реестра Credential Guard с помощью редактора реестра или средства проверки готовности оборудования для Device Guard и Credential Guard. Configure Credential Guard registry settings by using the Registry Editor or the Device Guard and Credential Guard hardware readiness tool.
Эти действия можно автоматизировать с помощью средства управления, например Microsoft Endpoint Configuration Manager. You can automate these manual steps by using a management tool such as Microsoft Endpoint Configuration Manager.
Подробнее об использовании Credential Guard см. в следующих материалах: For more information about implementing Credential Guard, see the following resources:
* Требуется UEFI 2.3.1 или более поздней версии с надежной загрузкой; должны быть включены расширения виртуализации, такие как Intel VT-x, AMD-V и SLAT; версия x64 Windows; устройство IOMMU, такое как VT-d, AMD-Vi; блокировка BIOS; для подтверждения работоспособности устройства рекомендуется наличие модуля TPM 2.0 (в отсутствие TPM 2.0 будет использоваться программное обеспечение). * Requires UEFI 2.3.1 or greater with Trusted Boot; Virtualization Extensions such as Intel VT-x, AMD-V, and SLAT must be enabled; x64 version of Windows; IOMMU, such as Intel VT-d, AMD-Vi; BIOS Lockdown; TPM 2.0 recommended for device health attestation (will use software if TPM 2.0 not present)
Device Guard Device Guard
После активации на устройствах Windows 10 Корпоративная для использования Device Guard на устройствах вам нужно будет выполнить следующие действия. Now that the devices have Windows 10 Enterprise, you can implement Device Guard on the Windows 10 Enterprise devices by performing the following steps:
Создайте сертификат подписи для политик целостности кода (необязательно). Optionally, create a signing certificate for code integrity policies. По мере развертывания политик целостности кода вам может понадобиться подписать файлы каталога или политики целостности кода внутри организации. As you deploy code integrity policies, you might need to sign catalog files or code integrity policies internally. Для этого вам понадобится выданный сертификат подписи кода (который вы приобрели) или внутренний центр сертификации (ЦС). To do this, you will either need a publicly issued code signing certificate (that you purchase) or an internal certificate authority (CA). Если вы решили использовать внутренний центр сертификации, вам нужно будет создать сертификат подписи кода. If you choose to use an internal CA, you will need to create a code signing certificate.
Создайте политики целостности кода на основе «золотых» компьютеров. Create code integrity policies from “golden” computers. Если вы определили отделы или роли, которые используют уникальные или частично уникальные сочетания оборудования и программного обеспечения, вы можете настроить «золотые» компьютеры с соответствующим оборудованием и программным обеспечением. When you have identified departments or roles that use distinctive or partly distinctive sets of hardware and software, you can set up “golden” computers containing that software and hardware. В этом отношении создание и управление политиками целостности кода в соответствии с потребностями ролей или отделов могут походить на управление корпоративными образами. In this respect, creating and managing code integrity policies to align with the needs of roles or departments can be similar to managing corporate images. На основе каждого «золотого» компьютера можно создать политику целостности кода и решить, как управлять этой политикой. From each “golden” computer, you can create a code integrity policy and decide how to manage that policy. Вы можете объединить политики целостности кода для создания более обширной, или главной, политики, а также можете контролировать и развертывать каждую политику по отдельности. You can merge code integrity policies to create a broader policy or a master policy, or you can manage and deploy each policy individually.
Выполните аудит политики целостности кода и соберите информацию о приложениях, которые не охвачены этой политикой. Audit the code integrity policy and capture information about applications that are outside the policy. Мы рекомендуем использовать режим аудита для тщательной проверки каждой политики целостности кода до ее применения. We recommend that you use “audit mode” to carefully test each code integrity policy before you enforce it. В режиме аудита никакие приложения не блокируются— политика просто записывает в журнал событие при каждом запуске приложения, которое в нее не входит. With audit mode, no application is blocked—the policy just logs an event whenever an application outside the policy is started. Позже вы сможете расширить политику, чтобы разрешить те из приложений, которые вам необходимы. Later, you can expand the policy to allow these applications, as needed.
Создайте файл каталога для неподписанных бизнес-приложений. Create a “catalog file” for unsigned line-of-business (LOB) applications. С помощью средства Package Inspector создайте и подпишите файл каталога для ваших неподписанных бизнес-приложений. Use the Package Inspector tool to create and sign a catalog file for your unsigned LOB applications. На последующих шагах вы сможете объединить подпись файла каталога с политикой целостности кода, чтобы приложения в каталоге были разрешены политикой. In later steps, you can merge the catalog file’s signature into your code integrity policy so that applications in the catalog will be allowed by the policy.
Получите необходимые сведения о политике из журнала событий и при необходимости включите сведения в существующую политику. Capture needed policy information from the event log, and merge information into the existing policy as needed. После того, как политика целостности кода проработает в режиме аудита в течение некоторого времени, журнал событий будет содержать сведения о приложениях, которые не охвачены этой политикой. After a code integrity policy has been running for a time in audit mode, the event log will contain information about applications that are outside the policy. Чтобы расширить политику и разрешить запуск этих приложений, используйте команды Windows PowerShell для сбора необходимых данных о политике из журнала событий и объединения этих данных с существующей политикой. To expand the policy so that it allows for these applications, use Windows PowerShell commands to capture the needed policy information from the event log, and then merge that information into the existing policy. Вы можете объединить политики целостности кода также из других источников. Это позволяет гибко подходить к созданию итоговых политик целостности кода. You can merge code integrity policies from other sources also, for flexibility in how you create your final code integrity policies.
Разверните политики целостности кода и файлы каталога. Deploy code integrity policies and catalog files. Убедившись, что вы выполнили все предыдущие шаги, вы можете начать развертывание файлов каталога и вывод политик целостности кода из режима аудита. After you confirm that you have completed all the preceding steps, you can begin deploying catalog files and taking code integrity policies out of audit mode. Мы настоятельно рекомендуем начать этот процесс с тестовой группы пользователей. We strongly recommend that you begin this process with a test group of users. Таким образом вы сможете выполнить контрольную проверку перед более широким развертыванием файлов каталога и политик целостности кода. This provides a final quality-control validation before you deploy the catalog files and code integrity policies more broadly.
Включите необходимые аппаратные функции безопасности. Enable desired hardware security features. Аппаратные функции безопасности— также называемые функциями безопасности на основе виртуализации (VBS)— усиливают защиту, обеспечиваемую политиками целостности кода. Hardware-based security features—also called virtualization-based security (VBS) features—strengthen the protections offered by code integrity policies.
Подробнее об использовании Device Guard см. в следующих материалах: For more information about implementing Device Guard, see:
Управление AppLocker AppLocker management
Управлять компонентом AppLocker в Windows 10 Корпоративная можно с помощью групповой политики. You can manage AppLocker in Windows 10 Enterprise by using Group Policy. Групповая политика требует, чтобы у вас были службы AD DS, и чтобы устройства с Windows 10 Корпоративная были присоединены к домену AD DS. Group Policy requires that the you have AD DS and that the Windows 10 Enterprise devices are joined to the your AD DS domain. Вы можете создать правила AppLocker с помощью групповой политики и нацеливать эти правила на соответствующие устройства. You can create AppLocker rules by using Group Policy, and then target those rules to the appropriate devices.
Подробнее об управлении AppLocker с помощью групповой политики см. в руководстве по развертыванию AppLocker. For more information about AppLocker management by using Group Policy, see AppLocker deployment guide.
App-V App-V
Для поддержки клиентов App-V требуется серверная инфраструктура App-V. App-V requires an App-V server infrastructure to support App-V clients. Ниже приведены основные компоненты App-V, которые вам необходимы: The primary App-V components that the you must have are as follows:
Сервер App-V. App-V server. Сервер App-V обеспечивает управление App-V, публикацию виртуализированных приложений, потоковую передачу приложений и функции отчетности. The App-V server provides App-V management, virtualized app publishing, app streaming, and reporting services. Все эти службы можно запустить на одном сервере или по отдельности на нескольких серверах. Each of these services can be run on one server or can be run individually on multiple servers. Например, у вас может быть несколько серверов потоковой передачи. For example, you could have multiple streaming servers. Клиенты App-V связываются с серверами App-V, чтобы определить, какие приложения опубликованы для пользователя или для устройства, а затем запустить виртуализированное приложение с сервера. App-V clients contact App-V servers to determine which apps are published to the user or device, and then run the virtualized app from the server.
Секвенсор App-V. App-V sequencer. Секвенсор App-V— это типовое клиентское устройство, которые используется для упаковки (записи) приложений и подготовке их к размещению на сервере App-V. The App-V sequencer is a typical client device that is used to sequence (capture) apps and prepare them for hosting from the App-V server. Вы устанавливаете приложения на секвенсор, и программное обеспечение секвенсора определяет, какие файлы и параметры реестра изменились во время установки приложения. You install apps on the App-V sequencer, and the App-V sequencer software determines the files and registry settings that are changed during app installation. Затем секвенсор записывает эти параметры, чтобы создать виртуализированное приложение. Then the sequencer captures these settings to create a virtualized app.
Клиент App-V. App-V client. Клиент App-V должен быть включен на любом клиентском устройстве, на котором будут запускаться приложения с сервера App-V. The App-V client must be enabled on any client device on which apps will be run from the App-V server. Это будут устройства с Windows 10 Корпоративная E3. These will be the Windows 10 Enterprise E3 devices.
Подробнее о реализации сервера App-V, секвенсора App-V и клиента App-V см. в следующих материалах: For more information about implementing the App-V server, App-V sequencer, and App-V client, see the following resources:
UE-V UE-V
Для UE-V требуются клиентские и серверные компоненты, которые вам нужно будет скачать, активировать и установить. UE-V requires server- and client-side components that you you’ll need to download, activate, and install. К этим компонентам относятся: These components include:
Служба UE-V. UE-V service. Служба UE-V (когда она включена на устройствах) отслеживает зарегистрированные приложения и Windows на предмет изменения параметров, а затем синхронизирует эти параметры между устройствами. The UE-V service (when enabled on devices) monitors registered applications and Windows for any settings changes, then synchronizes those settings between devices.
Пакеты параметров. Settings packages. В параметрах пакетов, создаваемых службой UE-V, хранятся параметры приложений и параметры Windows. Settings packages created by the UE-V service store application settings and Windows settings. Параметры пакетов формируются, сохраняются локально и копируются в место хранения параметров. Settings packages are built, locally stored, and copied to the settings storage location.
Место хранения параметров. Settings storage location. Место хранения параметров— это стандартная сетевая папка, к которой могут обращаться ваши пользователи. This location is a standard network share that your users can access. Служба UE-V проверяет это расположение и создает скрытную системную папку, в которой хранятся и из которой извлекаются параметры пользователей. The UE-V service verifies the location and creates a hidden system folder in which to store and retrieve user settings.
Шаблоны расположения параметров. Settings location templates. Шаблоны расположения параметров— это XML-файлы, которые UE-V использует для мониторинга параметров классических приложений и параметров рабочего стола Windows и их синхронизации между компьютерами пользователей. Settings location templates are XML files that UE-V uses to monitor and synchronize desktop application settings and Windows desktop settings between user computers. По умолчанию в состав UE-V входит несколько шаблонов расположения параметров. By default, some settings location templates are included in UE-V. Вы также можете также создавать, редактировать или проверять собственные шаблоны расположения параметров с помощью генератора шаблонов UE-V. You can also create, edit, or validate custom settings location templates by using the UE-V template generator. Для Windows-приложений шаблоны расположения параметров не требуются. Settings location templates are not required for Windows applications.
Список универсальных приложений для Windows. Universal Windows applications list. UE-V определяет, для каких Windows-приложений необходимо синхронизировать параметры, по управляемому списку приложений. UE-V determines which Windows applications are enabled for settings synchronization using a managed list of applications. По умолчанию в этот список входит большинство Windows-приложений. By default, this list includes most Windows applications.
Подробнее о развертывании UE-V см. в следующих материалах: For more information about deploying UE-V, see the following resources:
Управляемое взаимодействие с пользователем Managed User Experience
Управляемое взаимодействие с пользователем— это набор функций Windows 10 Корпоративная и соответствующих параметров, которые вы можете использовать для управления взаимодействием с пользователем. The Managed User Experience feature is a set of Windows 10 Enterprise edition features and corresponding settings that you can use to manage user experience. В таблице2 описываются компоненты управляемого взаимодействия с пользователем (по категориям), которые доступны только в выпуске Windows 10 Корпоративная. Table 2 describes the Managed User Experience settings (by category), which are only available in Windows 10 Enterprise edition. Способы управления, используемые для настройки каждого компонента, зависят от компонента. The management methods used to configure each feature depend on the feature. Некоторые функции настраиваются с помощью групповой политики, тогда как другие— с помощью Windows PowerShell, системы обслуживания образов развертывания и управления ими (DISM) или других средств командной строки. Some features are configured by using Group Policy, while others are configured by using Windows PowerShell, Deployment Image Servicing and Management (DISM), or other command-line tools. Для использования параметров групповой политики у вас должны быть службы AD DS, и устройства с Windows 10 Корпоративная должны быть присоединены к домену AD DS. For the Group Policy settings, you must have AD DS with the Windows 10 Enterprise devices joined to your AD DS domain.
Таблица2. Table 2. Компоненты управляемого взаимодействия с пользователем Managed User Experience features
