Projděte si s námi klíčové funkce systému Windows 11 Enterprise

Jeden z důležitých aspektů funkce Credential Guard v systému Windows 11 Enterprise se dříve nazýval Device Guard; nyní se spíše nazývá integrita kódu nebo integrita paměti. Kombinuje funkce zabezpečení hardwaru i softwaru a umožňuje uzamknout zařízení tak, aby na nich byly spouštěny pouze důvěryhodné aplikace. Pokud aplikace nebo program není důvěryhodný, nelze jej spustit. 

I když dojde ke kompromitaci chráněného zařízení, útočník na něm nebude moci spustit nic jiného než autorizovaný software. Tato technologie využívá zabezpečení založené na virtualizaci v systému Windows 11 Enterprise k izolaci služby Code Integrity od jádra operačního systému, kde služba používá podpisy definované v podnikové zásadě k určení toho, co je důvěryhodné. Tato služba tedy běží vedle jádra systému Windows v kontejneru chráněném hypervizorem.

Systém Windows 11 Enterprise také podporuje speciální důvěryhodnou službu spouštění systému, která využívá funkci Secure Boot spolu s rozhraním UEFI verze 2.3.1 (nebo novějšími verzemi). V tomto typu prostředí je nastavení firmwaru uzamčeno, aby se zabránilo zavádění jiných operačních systémů, aby se zabránilo neoprávněným změnám nastavení UEFI a aby se zablokovala alternativní zaváděcí zařízení (například USB flash disky, které by jinak mohly nahradit určený zaváděcí disk). To zabraňuje rootkitům a jinému škodlivému softwaru souvisejícímu se spouštěním systému, aby se v chráněných systémech uchytily. Autorizovaní správci mohou samozřejmě tato nastavení obejít zadáním speciálního hesla při spouštění systému, aby mohli použít aktualizace UEFI, provést změny konfigurace nebo jinou běžnou údržbu (např. aktualizace nebo změny firmwaru).

Ochrana před ztrátou dat (DLP), šifrování a další funkce

Pro oddělení a omezení organizačních dat obsahuje systém Windows 11 Enterprise zařízení nazvané Windows Information Protection (WIP). Je-li funkce WIP zapnuta, zabraňuje náhodnému nebo škodlivému vyzrazení dat prostřednictvím aplikací nebo služeb (např. e-mailu, sociálních médií nebo kódu v cloudu). WIP brání úniku dat, zejména na zařízeních vlastněných zaměstnanci, jako jsou tablety nebo chytré telefony (případy použití BYOD).

Pište pro Computerworld

Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computerworldu?

Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.

Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz

Ochrana WIP vychází ze zásad definovaných pro podnikové zdroje dat a aplikace zpracovávající data. Pro uživatele tak zůstává transparentní. Microsoft však oznámil, že od července 2022 bude WIP v budoucích verzích systému Windows Enterprise „ukončena“, ačkoli ve verzích až do verze 23H2 včetně zůstává přítomna.

Technologie, které nahradí WIP, se jmenují Microsoft Purview Information Protection a Microsoft Purview Data Loss Prevention. Tyto nástroje pomáhají organizacím odhalovat, klasifikovat a chránit citlivá data při přístupu k nim nebo při jejich sdílení. Nabízejí detekci citlivých dat, označování citlivosti a ochranu založenou na zásadách proti ztrátě nebo úniku dat. Tyto nástroje jsou integrovány s cloudovými službami Microsoft 365, aplikacemi a koncovými zařízeními se systémy Windows a Edge, přičemž centralizovaná kontrola DSP zahrnuje i koncové body Chrome a macOS, cloudové aplikace a další.

S uvedením verze 22H2 získal systém Windows 11 funkci Šifrování osobních údajů (PDE). Ve spolupráci s dalšími šifrovacími metodami Microsoftu, jako je BitLocker, přináší PDE do systému Windows 11 další šifrování dat. PDE totiž dokáže šifrovat jednotlivé soubory a položky obsahu, nikoli celé svazky a disky. K propojení šifrovacích klíčů s přihlašovacími údaji uživatele využívá funkci Windows Hello for Business, takže uživatelé potřebují k šifrování nebo dešifrování souborů nebo položek PDE pouze jednu sadu přihlašovacích údajů (BitLocker vyžaduje dvě sady).

Přečtěte si také:

Kvíz: Orientujete se dostatečně v oblasti bezpečnosti? (2)

Cloudová služba Windows Device Health Attestation navíc pomáhá organizacím chránit data a duševní vlastnictví tím, že vynucuje, kontroluje a hlásí stav zařízení se systémem Windows 11. Spolupracuje také se službou Microsoft Endpoint Manager a dalšími kompatibilními službami MDM a poskytuje takzvané „služby podmíněného přístupu“. Ty kontrolují stav a kondici zařízení, která se pokoušejí o přístup k sítím organizace. Na základě výsledků těchto kontrol může tato služba zabránit nedůvěryhodným nebo nerozpoznaným zařízením získat přístup k prostředkům a sítím organizace.

Čtenáři by také měli vzít na vědomí, že plán předplatného Windows Enterprise E5 zahrnuje vše, co plán E3, ale přináší také Microsoft Defender for Endpoint. Tato platforma poskytuje zabezpečení koncových bodů založené na umělé inteligenci pro zařízení se systémy Windows, macOS, Linux, Android, iOS a IoT. Je navržena tak, aby zastavila ransomware a další kybernetické útoky a umožnila bezpečnostním týmům co nejlépe využívat aplikace, aplikace a služby založené na cloudu a zařízeních. Zahrnuje tedy také globální zpravodajství o hrozbách a monitorování povrchu útoků a využívá postupy prevence hrozeb k zajištění bezpečnosti koncových bodů. Umělá inteligence také pomáhá produktu Defender poskytovat automatizovanou detekci a reakci strojovou rychlostí, aby zmařil útoky narušitelů a útočníků.

Funkce a vlastnosti systému Windows 11 Enterprise pro zvýšení produktivity

Uživatelské rozhraní systému Windows 11 poskytuje uspořádání nabídky Start s integrovaným vyhledáváním spolu s hlavním panelem a oznamovacími oblastmi. Uživatelé, kteří znají systém Windows 10 (nebo starší verze systému Windows), mohou do systému Windows 11 ihned naskočit a začít s ním pracovat. Bylo navrženo tak, aby uživatelské prostředí bylo přívětivé a známé, a obsahuje řadu funkcí zvyšujících produktivitu, jako jsou relace Focus, hlasové psaní, Snap Layouts a další.

Ve Windows 11 Enterprise a dalších verzích Microsoft posílil svůj prohlížeč Edge o funkci Copilot (dříve nazývanou Bing Chat) řízenou umělou inteligencí a o nejrůznější rozšíření a ovládací prvky, které uživatelům poskytnou vylepšené webové prostředí. Pro přístup k webovým aplikacím založeným na starším typu IE (IE 11) zůstává k dispozici starší režim Internet Exploreru. Organizace by také měly zvážit nasazení prohlížeče Microsoft Edge for Business do podnikových bitových kopií systému Windows; poskytuje přizpůsobený a bezpečný webový prohlížeč ve všech uživatelských zařízeních (spravovaných i nespravovaných) s jasně odděleným pracovním a osobním obsahem, ovládacími prvky a doménami.

Přečtěte si také:

Jak používat Microsoft PC Manager, konkurenci CCleaneru

Widgety Microsoftu a třetích stran poskytují snadný přístup k praktickým nástrojům a možnostem monitorování vždy zapnuté pracovní plochy. (Klepnutím na ikonu „počasí“ na hlavním panelu otevřete panel widgetů.) Na obrázku níže jsou zobrazeny widgety pracovní plochy pro paměť, CPU, GPU a síť (à la karta Výkon ve Správci úloh), které jsou k dispozici prostřednictvím aplikace Dev Home (Preview) Microsoftu.

Funkce a vlastnosti správy systému Windows 11 Enterprise

Správa je oblast, ve které systém Windows 11 Enterprise obzvláště září. Poskytuje podporu pro dynamické poskytování a upgrady na místě. První z nich umožňuje vytvářet balíčky provisioningu, které lze instalovat pomocí vyměnitelných médií, jako jsou flash disky nebo karty SD, doručovat je jako přílohy e-mailů nebo stahovat ze síťových disků či prostřednictvím služby Windows Update for Business. Druhá z nich je spolehlivou metodou pro opravu a obnovu systému Windows.

Pomocí jednoduché sady písemných pokynů mohou uživatelé sami nasadit balíčky pro zajištění a konfiguraci vlastních zařízení. Jediný balíček provisioningu lze použít ke konfiguraci více zařízení, včetně zařízení ve vlastnictví zaměstnanců, i když nemusí být přítomna infrastruktura MDM nebo není k dispozici síťové připojení. Upgrade na místě také umožňuje jednoduchý a přímočarý upgrade z Windows 10 na 11 při zachování dat a nastavení a aktualizaci všech kompatibilních aplikací a ovladačů. (Poradce pro instalaci před upgradem uživatele předem upozorní na nekompatibility.)

Přečtěte si také:

Copilota získává dokonce i Poznámkový blok

Systém Windows 11 Enterprise dokonce umožňuje organizacím přímo a explicitně spravovat kódovou základnu systému Windows. Většina firem a organizací si zvolí, že bude dostávat aktualizace pro některé konkrétní sestavení systému Windows Enterprise (např. verzi 23H2, vydanou v říjnu 2023, nebo verzi 22H2, vydanou v září2022). Zatímco spotřebitelské verze systému Windows 11 (Home a Pro) mají dvouletý životní cyklus, verze Enterprise mají životnost 36 měsíců (3 roky).

To dává IT oddělením čas na vyhodnocení a ověření aktualizací před jejich použitím. Umožňuje jim to také kontrolovat, jak a kdy se aktualizace šíří do produkčních sítí (obvykle podle nějakého pravidelného plánu údržby). Služba Windows Update for Business poskytuje mechanismus distribuce a sledování aktualizací, který mohou podniky a organizace využívat interně ke správě bezpečnostních aktualizací ve vlastní režii nebo ke správě celého režimu Windows Update, a to vše pod svou plnou kontrolou a časovým rozvrhem.

Používání systému Windows 11 Enterprise

Systém Windows 11 Enterprise se často používá v součinnosti s řadou dalších nástrojů a technologií. Ačkoli pro všechny z nich existují alternativy třetích stran, mezi konkrétní relevantní technologie Microsoftu určené k pomoci s zobrazováním, správou, nasazením a údržbou systému Windows 11 Enterprise patří následující:

• Microsoft Intune (v letech 2019 až 2022 pod názvem Microsoft Endpoint Manager) zahrnuje sadu produktů Microsoft pro správu pod jednotným účtem a přihlášením. Zahrnuje nástroje pro správu uživatelů, zařízení a aplikací a integruje se s nástroji Configuration Manager, Endpoint Analytics, Windows Autopilot, Windows Autopatch a dalšími službami Microsoftu. Ke všem lze přistupovat a ovládat je prostřednictvím centra správy Intune. Tuto sadu nástrojů lze použít k nasazení a správě bitových kopií, aplikací, aktualizací a upgradů systému Windows 11 Enterprise spolu s mobilními zařízeními se systémy Android a iOS a dokonce i počítači Mac.
• Sada Windows Assessment and Deployment Kit (ADK) poskytuje nástroje pro přizpůsobení a nasazení obrazů systému Windows 11.
• Windows Update for Business poskytuje způsob, jak používat objekty zásad skupiny, aby správci organizace mohli vykonávat úplnou kontrolu nad tím, jak se zařízení se systémem Windows 11 aktualizují. To zahrnuje podporu skupin pro nasazení a ověřování, prostředky pro určení aktualizačních vln a členství a doručování peer-to-peer pro řízené šíření v rámci poboček a vzdálených lokalit.
• Služby Active Directory (AD) a Entra ID (dříve Azure Active Directory) nabízejí integrované nebo cloudové adresářové služby, včetně bohatých a komplexních ovládacích prvků zásad skupin pro správu nasazení, aktualizací, přístupu a používání operačních systémů a aplikací. Všechny ovládací prvky založené na zásadách zmíněné dříve v tomto článku mohou být zpracovávány prostřednictvím jednoho nebo druhého z těchto mechanismů.

Celkově Microsoft nabízí bohatou podpůrnou infrastrukturu pro podporu nasazení, správy a používání systému Windows 11 Enterprise v řízeném a bezpečném prostředí. Další zkoumání systému Windows 11 Enterprise, zejména v oblasti zabezpečení a správy, ukazuje, že je velmi vhodný pro podnikové použití.