Rakendustarkvara ühilduvuse häälestamine ja konfimine tavakasutajarežiimis käivitamiseks 24.-26. septembril 2012 Hotell Tartu Konverentsikeskuses
Kava Rakenduste ühilduvus
ISKE protseduur B 1.10 Tüüptarkvara B 3.210 Klient Windows Vista all
ISKE meetmed M 2.441 (L) Uue tarkvara ühilduvuse kontroll Windows Vista suhtes Enne Windows Vistale tarkvara soetamist tuleb kindlaks teha selle ühilduvus kasutatava Windows Vista versiooni konfiguratsiooniga - Taustauuring tootja kodulehel (https://winqual.microsoft.com), alapunktides Ühilduvuse kontroll testkeskkonnas. Järelpärimine Microsoftilt teadaolevate ühilduvuste või ühilduvusprobleemide suhtes. Infovahetus teiste kasutajatega. Uurimuse teostamine teadaolevate ühilduvuste või ühilduvusprobleemide suhtes. Ühilduvustest tuleks integreerida tarkvara testimis- ja vabastamismeetmetesse.
Tarkvara testimine Rakenduste ühilduvuse probleemid Windows keskkonnas Installiga seotud User Account Control kaitsega seotud Windows Resource Protection IE kaitstud režiim IE user agent string Windows Filtering Platform API Kasutusel eemaldatud komponendid
User Account Control UAC eraldab standardkasutaja privileegid administraatorist kaitseb süsteemi pahavara, autoriseerimata tarkvara installi ja soovimatute konfiguratsioonimuudatuste eest Administraatorina sisseloginul küsib UAC kinnitust kui toiming nõuab administraatori õigust Administraatorina sisseloginul käivituvad rakendused vaikimisi tavakasutajarežiimis Tavakasutajalt nõutakse administraatori parooli sisestamist administraatori õiguste rakendamiseks UAC võib põhjustada vanemate programmidega probleeme, mistõttu on oluline rakendusi UAC tingimustes testida 6
User Account Control UAC ühilduvuse jaoks peab rakenduse manifest XML fail sisaldama nõutud käivitamise taseme Windows 7 sisaldab failide ja registri virtualiseerimise tehnoloogiat rakendustele, mis ei ole UAC teadlikud ja seetõttu ei käivitu korrektselt Rakendus, mis tahab kirjutada kaitstud kausta või registrisse, suunatakse virtualiseeritud ressursi juurde, mis paikneb kasutajaprofiilis GPO kaudu saab UAC seadeid konfida 7
Rakenduse ühilduvusprobleemide lahendamine Uuenduste paigaldamine Konfiguratsiooni muutmine Rakenduse versiooni uuendamine Turvaseadete konfimine OS sisseehitatud ühilduvusfunktsioonide kasutamine Rakenduste põhine ühilduvuse määramine PCT (program compatibility troubleshooter) kasutamine ACT (Application compatibility toolkit) paranduste rakendamine 8
Rakenduse ühilduvusprobleemide lahendamine Rakenduse väljavahetamine Rakenduse virtualiseerimine APP-V (Application Virtualization) MED-V (Microsoft Enterprise Desktop Virtualization) Remoteapp üle terminali Virtual PC ja Windows XP virtuaalne keskkond Virtualbox 9
Rakenduse ühilduvusprobleemide lahendamine PCA (program compatibility assistant) töötab taustal ja reageerib mitteühilduvate rakenduste käivitamisele Blokeerib mitteühildavad rakendused GP kaudu konfigureeritav 10
Application Compatibility Toolkit Application compatibility manager andmete kogumiseks ja analüüsimiseks Data collection package ACM teeb ja paigaldab kliendimasinatesse ACT data collectori analüüsimiseks. Kliendi masinas jooksutatakse: inventary collector tuvastab installitud rakendused, seadmed ja süsteemiinfo standard user evaluator, update compatibility evaluator ACT andmebaas SQL baas ACT log processing service protsessib klientide logid ja sisestab andmebaasi Tööriistad ühilduvuse parandamiseks: Setup analysis tool (SAT) jälgib rakenduste käitumist installeerumisel. IE compatibility test tool veebirakenduste ühilduvuse hindamiseks IE 8ga Standard user analyser (SUA) tuvastab võimalikud probleemid rakendustega tavakasutaja õigustes. Ühilduvusnimekiri toodetest Parandused C:\windows\appatch kaustas 11
ACT rakendus
Andmebaasi konfimine
ACT demo ACT andmebaas Admin õigusi küsiva rakenduse parandamine Olemasolevad parandused eri rakendustele
Diskussioon Kogemused rakenduste ühilduvuse häälestamisel Rakenduste virtualiseerimine Kuidas tagada keelatud rakenduste paigaldus
Applocker ja SRP tarkvarapiirangud Võimaldavad kaitsta soovimatu tarkvara käivitamise eest Eri failitüüpide kohta saab teha reegleid: Executable: for.exe files Windows Installer: for.msi and.msp files Script: for.bat,.cmd,.js,.ps1, and.vbs files DLL: for.dll and.ocx files Vaikereeglid luuakse OS failide käivitamiseks Administraatoril õigus kõiki rakendusi käivitada
Applocker ja SRP tarkvarapiirangud Omadus AppLocker SRP Reegli määramine Kasutajale või grupile Kõik kasutajad Reegli tüübid File hash, path ja publisher reegel File hash, path certificate, registry path ja Internet zone reegel Reegli tüübid Luba ja keela Luba ja keela Auditeerimisrežiim Jah Ei Importimine ja eksportimine Jah Ei Reegli kollektsioonid Jah Ei PowerShelli tugi Jah Ei Kohandatud veateated Jah Ei
Applocker ja SRP tarkvarapiirangud Rakenduste nimekiri hoida ajakohasena Security logis on info blokeeringute auditeerimiste kohta Applocker kehtib ainult Windows 7 masinatele Kui Applocker rakendub siis SRP reeglid ei rakendu Rühmapoliitikas vaja teha eraldi reeglid nii SRP kui Applockeri jaoks
Tänan Teid! Koolitused ja infopäevad toimuvad EL sf programmi Infoühiskonna teadlikkuse tõstmine raames, mida rahastab Euroopa Regionaalarengu Fond. Projekti tellija on Riigi Infosüsteemi Amet ja projekti aitab läbi viia BCS Koolitus AS.