Funzionalità IO: gestione di computer desktop, dispositivi e server - dal livello Base al livello Standard
In questa pagina
.gif){kind=icon}
Introduzione
Requisito: distribuzione automatizzata delle patch su computer desktop e portatili
Checkpoint: distribuzione automatizzata delle patch su computer desktop e portatili
Requisito: definite delle immagini standard per computer desktop e portatili
Checkpoint: definite delle immagini standard per computer desktop e portatili
Requisito: gestione centralizzata di dispositivi portatili
Checkpoint: gestione centralizzata di dispositivi portatili
Requisito: convalida dell'identità, protezione dei dati e backup dei dati di dispositivi portatili
Checkpoint: convalida dell'identità, protezione dei dati e backup dei dati di dispositivi portatili
Requisito: consolidamento delle immagini desktop su due versioni del sistema operativo
Checkpoint: consolidamento delle immagini desktop su due versioni del sistema operativo
Introduzione
Gestione di computer desktop, dispositivi e server è la seconda funzionalità relativa all'ottimizzazione dell'infrastruttura principale. Nella seguente tabella vengono descritte le sfide più impegnative, le soluzioni applicabili e i vantaggi del passaggio al livello Standard nella gestione di computer desktop, dispositivi e server.
Sfide |
Soluzioni |
Vantaggi |
|---|---|---|
Sfide aziendali Rischio di accesso non autorizzato ai dati riservati contenuti nei dispositivi portatili Impossibilità di definire i criteri per i dispositivi portatili per organizzazione o unità I criteri per le impostazioni dei dispositivi variano Perdita degli standard aziendali centralizzati per la gestione o l'applicazione dei criteri per i dispositivi Sfide IT Mancanza di standard per hardware, sistemi operativi e applicazioni I desktop non sono gestiti centralmente con conseguente aumento delle operazioni e dei costi di distribuzione del software Gestione delle patch incoerente con conseguente aumento delle vulnerabilità per la sicurezza Settore IT molto reattivo che impiega risorse per risolvere problemi imprevisti Impossibilità di rimuovere in remoto i dati da dispositivi persi o rubati |
Progetti Distribuire soluzioni di gestione delle patch centralizzata e automatizzata Implementare la soluzione di distribuzione basata sulle immagini lite touch standardizzata Implementare una soluzione di gestione per il monitoraggio dei server critici Implementare un dispositivo portatile che fornisca soluzioni che includono criteri di protezione, cancellazione remota dati e applicazione dei criteri |
Vantaggi per l'azienda Chi lavora fuori ufficio è in grado di rimanere aggiornato grazie al collegamento diretto tra le reti e i dispositivi aziendali L'utilizzo di uno strumento di gestione dei sistemi consente di ridurre i costi di gestione di ogni singolo PC Vantaggi IT I servizi di monitoraggio semplificano l'identificazione dei problemi, la rapida determinazione della causa e l'efficiente ripristino dei servizi per prevenire potenziali problemi IT PC più veloci e riduzione dei costi di distribuzione Riduzione dei costi operativi e del supporto tecnico Gli amministratori possono garantire la protezione dei dati e la conformità con i criteri di protezione aziendale, inclusa la possibilità di impostare criteri di gestione delle password e di eliminare in remoto le informazioni contenute nei dispositivi |
Il livello Standard del modello di ottimizzazione dell'infrastruttura riguarda le aree principali della gestione, tra cui:
Distribuzione automatizzata delle patch su computer desktop e portatili
Definite delle immagini standard per computer desktop e portatili
Consolidamento delle immagini desktop su due versioni del sistema operativo
Gestione centralizzata di dispositivi portatili
Convalida dell'identità, protezione dei dati e backup dei dati di dispositivi portatili
Il livello Standard di ottimizzazione richiede la presenza nell'organizzazione di procedure e strumenti per automatizzare la distribuzione delle patch, gestire e consolidare le immagini desktop standard e gestire in modo centralizzato i dispositivi portatili collegati.
Requisito: distribuzione automatizzata delle patch su computer desktop e portatili
Target
Se non si dispone di un processo di distribuzione delle patch automatizzato per almeno l'80% dei computer desktop e portatili, è opportuno leggere questa sezione.
Panoramica
I professionisti IT devono affrontare sfide impegnative per l'implementazione di un'efficace strategia di gestione degli aggiornamenti software: sempre più dispositivi e utenti mobili che accedono alle reti aziendali, un coerente flusso di aggiornamenti per la protezione proveniente dai fornitori di software e hardware, footprint in espansione per sistemi e applicazioni, un'identificazione quasi quotidiana di nuove minacce alla protezione e una comunità dei pirati informatici sempre più sofisticata.
Fase 1: valutazione
La fase di valutazione è il primo passo del processo di gestione delle patch. Il processo inizia con la valutazione perché è necessario determinare ciò di cui si dispone nell'ambiente di produzione, le potenziali vulnerabilità e minacce alla protezione e se l'organizzazione è preparata a rispondere a un nuovo sistema operativo o all'aggiornamento software di un'applicazione.
Idealmente, si tratta di un processo continuo da seguire per assicurare di essere sempre al corrente delle risorse informatiche di cui si dispone, di come proteggerle e come far sì che l'architettura di distribuzione del software sia in grado di supportare la gestione delle patch.
Le aree principali del continuo processo di valutazione sono:
Fare l'inventario/individuare le risorse informatiche presenti.
Valutare i pericoli per la protezione e le vulnerabilità.
Stabilire la fonte migliore di informazioni sugli aggiornamenti software.
Controllare la versione software per gestire le versioni dell'applicazione standard.
Valutare l'infrastruttura di distribuzione esistente del software.
Valutare l'efficienza operativa.
È disponibile una serie di strumenti, utilità e prodotti Microsoft che semplificano la fase di valutazione della gestione delle patch. Queste tecnologie includono:
Patch Management Using SMS 2003 Solution Accelerator (in inglese)
Microsoft Windows Server® Update Services (WSUS) (in inglese)
Microsoft Application Compatibility Toolkit (ACT) (in inglese)
SMS 2003 Desired Configuration Monitoring (DCM) (in inglese)
Alla fine di questa sezione viene riportato un confronto tra questi strumenti. I partner Microsoft e di terze parti forniscono strumenti e prodotti aggiuntivi che è possibile utilizzare nella fase di valutazione.
Fase 2: identificazione
Gli obiettivi della fase di identificazione sono i seguenti:
Individuare in maniera affidabile i nuovi aggiornamenti software.
Stabilire se gli aggiornamenti software sono pertinenti per il proprio ambiente di produzione.
Ottenere i file di origine degli aggiornamenti software e controllare la loro sicurezza e che vengano installati correttamente.
Determinare se gli aggiornamenti software devono essere considerati urgenti.
Il rilevamento di un nuovo aggiornamento software parte dalla notifica, ottenuta tramite un servizio di abbonamento a una fonte attendibile che fornisca operazioni di analisi e creazione di report o tramite altri meccanismi di notifica affidabili. Di seguito vengono riportati i più comuni meccanismi di notifica:
Notifiche tramite posta elettronica: https://www.microsoft.com/technet/security/bulletin/notify.mspx.
Visualizzazione degli aggiornamenti nella barra degli strumenti della console di Windows Server Update Service (WSUS).
Inventory Tool for Microsoft Updates (ITMU) di SMS 2003: https://www.microsoft.com/technet/downloads/sms/2003/tools/msupdates.mspx.
Strumenti di analisi delle vulnerabilità, come MBSA, per ricercare aggiornamenti mancanti.
È possibile stabilire l'applicabilità di un aggiornamento software per l'infrastruttura IT tramite i seguenti metodi:
Lettura dei bollettini sulla sicurezza e degli articoli della Knowledge Base.
Esame dei singoli aggiornamenti software.
Dopo aver ottenuto l'aggiornamento, è necessario verificarlo tramite le seguenti operazioni:
Identificazione e verifica del proprietario dell'aggiornamento software.
Esame di tutta la documentazione relativa.
Garanzia che l'aggiornamento software non contenga virus.
Fase 3: stima e pianificazione
L'obiettivo, nella fase di stima e pianificazione, consiste nel prendere una decisione sulla distribuzione o meno dell'aggiornamento software, nello stabilire le risorse necessarie per la sua distribuzione e nel testare l'aggiornamento software in un ambiente simile a quello di produzione per controllare che non comprometta le applicazioni e i sistemi critici per l'attività dell'azienda.
I requisiti principali per la valutazione e la pianificazione sono i seguenti:
Stabilire la risposta appropriata.
Pianificare il rilascio dell'aggiornamento software.
Generare il rilascio.
Condurre test di accettazione dell'aggiornamento.
Per determinare la risposta appropriata a un aggiornamento disponibile è necessario fare quanto segue:
Stabilire la priorità e classificare la richiesta.
Ottenere l'autorizzazione per la distribuzione dell'aggiornamento software.
Con pianificazione del rilascio si intende il processo di definizione della modalità di rilascio dell'aggiornamento software nell'ambiente di produzione. Di seguito vengono riportate le operazioni principali della pianificazione del rilascio di un nuovo aggiornamento software:
Determinare le risorse da aggiornare.
Identificare i problemi e i vincoli principali.
Creare il piano di rilascio.
Per creare il processo di rilascio, è necessario sviluppare gli script, gli strumenti e le procedure che gli amministratori utilizzeranno per la distribuzione dell'aggiornamento software nell'ambiente di produzione.
La verifica deve essere effettuata, indipendentemente dal fatto che l'aggiornamento venga considerato normale o critico per l'azienda, con i seguenti risultati:
Dopo aver installato l'aggiornamento software, è necessario riavviare il computer che poi riprenderà la normale attività, senza imprevisti.
L'aggiornamento software, se è rivolto a computer connessi tramite connessioni di rete lente o non affidabili, può essere scaricato attraverso questi collegamenti e, al termine, può essere installato correttamente.
L'aggiornamento software viene fornito con una routine di disinstallazione che può essere utilizzata per rimuoverlo correttamente.
I sistemi e i servizi critici per l'azienda continuano a essere eseguiti dopo l'installazione dell'aggiornamento software e il riavvio del computer, nel caso queste operazioni siano necessarie.
Una procedura consigliata consiste nel disporre di un'infrastruttura di verifica e convalida per testare gli aggiornamenti software prima che vengano attivati. In Windows Server System Reference Architecture Virtual Environments for Development and Test, è possibile trovare indicazioni per la creazione di un ambiente di test ed emulazione.
Microsoft Virtual Server 2005 R2 e Microsoft Virtual PC 2004 SP1 sono prodotti scaricabili gratuitamente e possono essere utilizzati nell'infrastruttura per la convalida e i test.
Fase 4: distribuzione
L'obiettivo durante la fase di distribuzione è quello di distribuire correttamente l'aggiornamento software approvato nell'ambiente di produzione in maniera che sia conforme a tutti i requisiti di qualsiasi contratto di servizio (SLA) di distribuzione in atto.
La distribuzione di un aggiornamento software è articolata nelle seguenti attività:
Preparazione della distribuzione.
Distribuzione dell'aggiornamento software ai computer client.
Esame successivo alla distribuzione.
L'ambiente di produzione deve essere preparato per ogni nuovo rilascio. Qui di seguito sono elencati i passaggi richiesti per preparare la distribuzione dell'aggiornamento software:
Comunicazione della pianificazione della distribuzione all'organizzazione.
Distribuzione graduale degli aggiornamenti sui punti di distribuzione.
Qui di seguito sono riportati i passaggi richiesti per distribuire un aggiornamento software nella produzione:
Annuncio dell'aggiornamento software ai computer client.
Monitoraggio e report sull'andamento della distribuzione.
Gestione delle distribuzioni non riuscite.
L'esame successivo all'implementazione in genere deve essere effettuato entro una-quattro settimane dal rilascio della distribuzione per identificare i miglioramenti da apportare al processo di gestione delle patch. Un tipico programma di riesame include le seguenti azioni:
Controllare che le vulnerabilità siano state aggiunte ai report sull'analisi delle vulnerabilità e agli standard dei criteri di protezione, per evitare il ripetersi dell'attacco.
Controllare che le immagini del sistema siano state aggiornate per includere gli ultimi aggiornamenti software successivi alla distribuzione.
Confrontare i risultati previsti con i risultati effettivi.
Esaminare i rischi associati al rilascio.
Esaminare le prestazioni dell'organizzazione durante l'intero incidente. Cogliere questa opportunità per migliorare il piano di risposta e includere gli insegnamenti tratti.
Esaminare le modifiche agli intervalli di assistenza.
Operazioni
Il processo di gestione delle patch consiste in un ciclo continuo e ripetitivo. Sebbene le operazioni non rappresentino una fase di gestione delle patch nel modello di ottimizzazione dell'infrastruttura, è necessario che le operazioni IT definiscano la frequenza di aggiornamento più adatta alle esigenze dell'organizzazione e agli obiettivi di protezione. L'organizzazione deve definire un sistema che consenta di determinare la natura critica delle patch rilasciate e che disponga di un livello di servizio definito per ogni livello di rilascio delle patch.
Strumenti disponibili
Grazie a una serie di strumenti e prodotti è possibile automatizzare la distribuzione e l'installazione degli aggiornamenti software. Come definito nelle procedure consigliate di aggiornamento, è necessario avere il controllo manuale sulle patch che vengono installate sui computer gestiti. Consentire l'esecuzione non controllata di Aggiornamenti automatici o Microsoft Update non è in linea con le procedure consigliate per la gestione delle patch per le organizzazioni; tuttavia, in alcuni casi, quando lo staff IT dedicato è limitato o gli utenti sono remoti e non gestiti, è possibile utilizzare queste tecnologie.
Le opzioni consigliate per la gestione degli aggiornamenti software sono Systems Management Server 2003 (SMS 2003) e Windows Server Update Services (WSUS). Oltre a queste, numerosi partner Microsoft e di terze parti offrono altre opzioni utili per la gestione delle patch.
Nella seguente tabella vengono elencati gli strumenti software disponibili forniti da Microsoft per eseguire l'installazione degli aggiornamenti software.
Funzionalità |
|||
|---|---|---|---|
Tipi di contenuto supportati |
Tutti gli aggiornamenti software, gli aggiornamenti dei driver, i Service Pack (SP) e i Feature Pack (FP) |
Come Microsoft Update, solo con aggiornamenti dei driver critici |
Tutti gli aggiornamenti, SP e FP, aggiornamenti di supporto e installazione di applicazioni per qualsiasi software Windows |
Applicabilità |
Singoli utenti |
Piccole e medie imprese |
Clienti aziendali |
Strumenti relativi al processo di gestione delle patch
Nella seguente tabella vengono elencate le principali funzionalità associate agli strumenti nel processo di gestione delle patch:
Prodotto o strumento |
Inventario hardware e software |
Analisi della destinazione degli aggiornamenti |
Identificazione dei nuovi aggiornamenti |
Installazione dei controlli amministrativi |
Distribuzione automatizzata |
|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.gif)
L'Application Compatibility Toolkit è stato incluso in questa tabella perché contiene funzionalità per determinare le specifiche hardware e l'inventario delle applicazioni dei computer client. Vengono anche inclusi l'analisi e la creazione di report per l'impatto degli aggiornamenti sulle applicazioni.
La garanzia che tutti gli aggiornamenti specifici e i Service Pack vengano installati è fondamentale nella gestione di una configurazione standard. Systems Management Server 2003 Desired Configuration Monitoring (DCM) è stato incluso in questo elenco perché è in grado di monitorare la conformità di un determinato stato di configurazione e di informare gli amministratori quando mancano aggiornamenti o Service Pack necessari sui computer gestiti.
Le indicazioni per la gestione delle patch in una futura serie di guide alle risorse del responsabile dell'implementazione per l'ottimizzazione dell'infrastruttura principale introdurranno gli strumenti e le procedure per la gestione degli aggiornamenti per server e dispositivi portatili.
Ulteriori informazioni
Per ulteriori informazioni sulla gestione delle patch, visitare il sito Web Microsoft TechNet ed effettuare una ricerca sulla gestione delle patch o visitare il TechNet Update Management Solution Center.
Per informazioni su come Microsoft affronta la questione della gestione delle patch, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/dtpatchmgmt.mspx.
Checkpoint: distribuzione automatizzata delle patch su computer desktop e portatili
|
Requisito |
|---|---|
|
Implementati il processo e gli strumenti per inventariare le risorse hardware e software. |
|
Implementati il processo e gli strumenti necessari per effettuare la scansione dei computer client per gli aggiornamenti software. |
|
Stabilito un processo per identificare automaticamente le patch disponibili. |
|
Stabilito il test standard per ciascuna patch. |
|
Implementato il software di distribuzione delle patch. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per la distribuzione automatizzata delle patch in questa funzionalità basata sul modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate per la gestione e il monitoraggio della configurazione al fine di garantire che i livelli di patch dei client vengano mantenuti su determinati standard.
Passare alla domanda di autovalutazione successiva.
Requisito: definite delle immagini standard per computer desktop e portatili
Target
Se non si dispone di un set definito di immagini di base almeno per l'80% dei computer desktop, è opportuno leggere questa sezione.
Panoramica
Per eseguire correttamente la distribuzione di un sistema operativo, le organizzazioni devono utilizzare i migliori processi aziendali e tecnologici disponibili, oltre alle procedure consigliate per l'ottimizzazione di tali tecnologie. Sviluppando la configurazione di base per l'ambiente informatico, le organizzazioni dispongono di una configurazione nota e corretta per la distribuzione, riducendo così i costi per il supporto, la risoluzione dei problemi e altre operazioni. Tramite l'acquisizione immagini, una build standard che contiene applicazioni principali, il sistema operativo e tutti gli ulteriori requisiti aggiuntivi possono essere utilizzati per la distribuzione della workstation. Nel presente documento sono elencati gli strumenti disponibili e le operazioni da eseguire per automatizzare e stabilire immagini standard del desktop. La distribuzione delle immagini standard verrà trattata in futuro.
Fase 1: valutazione
La maggior parte dei responsabili dell'implementazione IT condivide un obiettivo comune: creare una configurazione desktop aziendale standard basata su un'immagine comune a tutte le versioni del sistema operativo all'interno dell'organizzazione. I responsabili dell'implementazione IT desiderano applicare un'immagine comune a tutti i computer, ovunque e in qualsiasi momento, quindi personalizzare rapidamente tale immagine per fornire servizi agli utenti.
In realtà, la maggior parte delle organizzazioni crea e gestisce molte immagini, a volte fino a 100 immagini diverse. Raggiungendo compromessi tecnici e di supporto, regolarizzando gli acquisti hardware e utilizzando tecniche per la realizzazione di script avanzate, alcune organizzazioni hanno notevolmente ridotto il numero di immagini gestite. Tali organizzazioni solitamente dispongono di sofisticate infrastrutture di distribuzione software necessarie alla distribuzione delle applicazioni, spesso prima che vengano utilizzate, e le mantengono aggiornate.
Nella fase di valutazione è importante fare un inventario delle workstation e determinare il numero di sistemi operativi attivi e delle applicazioni che si trovano nell'ambiente. Si consiglia di utilizzare uno strumento per automatizzare il processo di creazione dell'inventario, quale Systems Management Server (SMS) 2003, Application Compatibility Toolkit o Windows Vista Hardware Assessment.
Fase 2: identificazione
Durante questa fase devono essere elencate tutte le tecnologie di acquisizione immagini del disco e le immagini standard utilizzate attualmente dall'organizzazione e devono essere identificati la direzione dell'acquisizione immagini, gli strumenti e le tecniche che si desidera implementare. I progressi effettuati nella tecnologia di acquisizione immagini dei desktop richiedono considerazione per l'aggiornamento di procedure e strumenti di acquisizione immagini legacy.
Per acquisire un'immagine desktop è possibile utilizzare diversi strumenti. La tecnologia di acquisizione immagini può essere su base settoriale e, solitamente, è distruttiva quando applicata al computer di destinazione, oppure può essere eseguita per file e non essere distruttiva. Utilizzando la tecnologia di acquisizione immagini per file, è possibile installare nuove immagini in una partizione separata dei PC a cui è destinata la distribuzione consentendo scenari di migrazione avanzati.
Microsoft fornisce uno strumento gratuito della riga di comando che consente di attivare l'acquisizione immagini del disco. L'utilità di acquisizione immagini, denominata ImageX, utilizza il formato immagine WIM (Windows Imaging Format) di Microsoft. Diversamente dal formato immagine su base settoriale, il formato immagine WIM viene eseguito per file e non è distruttivo. SMS 2003 Operating System Deployment Feature Pack si avvale anche della tecnologia ImageX e del formato file WIM per creare e distribuire immagini desktop.
In Solution Accelerator for Business Desktop Deployment (BDD) 2007 sono disponibili ulteriori strumenti per l'integrazione di diverse operazioni necessarie per definire e distribuire le immagini desktop. Il Deployment Workbench, uno strumento contenuto in BDD 2007, crea condivisioni di distribuzione e sviluppa immagini disco. I temi sulla distribuzione automatizzata trattati nelle future guide alle risorse per i responsabili dell'implementazione illustreranno ulteriormente BDD 2007 e Deployment Workbench.
Fase 3: stima e pianificazione
Durante la fase di stima e pianificazione vengono trattati i possibili metodi che l'organizzazione può utilizzare per implementare una strategia di creazione di immagini desktop standard. Sarebbe opportuno calcolare i costi e i benefici delle singole tecnologie di acquisizione immagini e i singoli tipi di immagine per sviluppare la strategia che soddisfi meglio le esigenze dell'organizzazione. I fattori che influiscono sui costi associati alla creazione, alla gestione e alla distribuzione delle immagini disco sono i costi dello sviluppo, dei test, dell'archiviazione e di rete.
Maggiori saranno le dimensioni dei file immagine, maggiori saranno i costi. Le immagini di grandi dimensioni hanno costi di aggiornamento, test, distribuzione, rete e archiviazione più elevati. Quando si esegue l'aggiornamento anche di una piccola parte dell'immagine, gli amministratori dell'immagine devono distribuire l'intero file ai computer client.
Le tre strategie principali per immagini standard sono le seguenti:
Immagini spesse
Immagini sottili
Immagini ibride
Immagini spesse
Le immagini spesse contengono il sistema operativo, le applicazioni e altri file standard aziendali. Il vantaggio delle immagini spesse è la semplicità; la distribuzione è costituita da un'unica operazione poiché tutti i file vengono distribuiti contemporaneamente. Inoltre, le applicazioni sono disponibili alla prima esecuzione. Gli svantaggi sono i costi per la gestione, l'archiviazione e la rete. Le immagini spesse limitano anche la flessibilità. O tutti i computer ricevono tutte le applicazioni richieste o non richieste oppure è necessario sviluppare e conservare molte diverse immagini spesse. L'utilizzo di immagini spesse è un approccio legacy comune.
Immagini sottili
Le immagini sottili contengono un numero ridotto di applicazioni. I vantaggi delle immagini sottili sono molti. Richiedono meno costi di creazione, gestione e test. I costi di archiviazione e rete sono ridotti. La flessibilità è di gran lunga maggiore. La flessibilità, tuttavia, fa aumentare i costi di distribuzione e rete.
Immagini ibride
Le immagini ibride sono una combinazione di immagini sottili e immagini spesse. In un'immagine ibrida, l'immagine disco è configurata in modo da installare applicazioni alla prima esecuzione, dando l'illusione di un'immagine spessa, ma installando le applicazioni da una fonte in rete. Le immagini ibride presentano la maggior parte dei vantaggi delle immagini sottili, non sono così complesse da sviluppare e non richiedono un'infrastruttura di distribuzione software. I tempi di installazione sono più lunghi, il che potrebbe far aumentare i costi di distribuzione iniziali.
Un'alternativa è di iniziare con un'immagine sottile verificata e creare un'immagine spessa su di essa. Il processo di verifica dell'immagine spessa è ridotto al minimo perché il processo di acquisizione immagini equivale essenzialmente a una regolare distribuzione.
Un'altra alternativa è aggiungere un numero minimo di applicazioni principali a un'immagine sottile. Tra queste applicazioni è possibile includere un software antivirus e applicazioni LOB (line-of-business) necessarie su tutti i computer dell'azienda.
Sviluppo
È possibile trovare istruzioni sulle procedure consigliate per lo sviluppo di immagini desktop in Solution Accelerator for Business Desktop Deployment (BDD) 2007 e Computer Imaging System Feature Team Guide (in inglese). In BDD 2007 vengono illustrate le tecnologie di acquisizione immagini Microsoft disponibili e il modo in cui vengono utilizzate per personalizzare, creare, acquisire e distribuire immagini disco per i sistemi operativi desktop Windows XP SP2 e Windows Vista™.
Piano di verifica
Un altro aspetto importante della fase di sviluppo consiste nella creazione di un piano di verifica. È necessario determinare tutti gli scenari di configurazione in cui l'immagine disco deve funzionare. Tali configurazioni comprendono processi hardware e aziendali supportati dai computer client. Un meccanismo di registrazione e creazione di report sui bug è importante per garantire che vengano affrontati tutti i problemi che sorgono durante la verifica.
Consolidamento
Il processo di acquisizione immagini e distribuzione creato nella fase di sviluppo deve essere completamente verificato e consolidato prima della distribuzione all'azienda. È necessario seguire diligentemente il piano di verifica creato nella fase di pianificazione. Tutti i problemi riscontrati devono essere registrati con un sistema di creazione di report sui bug. Una volta risolti tutti i bug, l'immagine o le immagini finali possono essere distribuite ai computer client.
Fase 4: distribuzione
La fase di distribuzione per l'acquisizione immagini viene trattata nella Deployment Feature Team Guide (in inglese) del prodotto BDD 2007. Il livello Standard dell'ottimizzazione dell'infrastruttura suggerisce di sfruttare l'installazione LTI (Lite Touch Installation) delle immagini disco standard.
La LTI di BDD 2007 richiede un'infrastruttura minima. È possibile distribuire i sistemi operativi di destinazione in rete tramite una cartella condivisa o localmente tramite supporti di archiviazione rimovibile, come CD, DVD, dischi rigidi USB o altri dispositivi. Le impostazioni di configurazione per ogni singolo computer solitamente vengono fornite manualmente durante il processo di distribuzione. Per ulteriori dettagli, vedere la Deployment Feature Team Guide (in inglese) di BDD 2007.
Operazioni
La gestione dell'immagine o delle immagini finali è un processo continuo. È necessario analizzare gli aggiornamenti del sistema operativo, dei driver dei dispositivi e delle applicazioni per verificarne la compatibilità con l'azienda. Quindi, è necessario integrarli nell'immagine esistente oppure sarà necessario ricreare completamente nuove immagini. A questo punto, è necessario verificare e convalidare le immagini finali prima di distribuirle ai computer client.
Strumenti disponibili
Tecnologie Microsoft
Prodotto, strumento o utilità |
Funzione |
|---|---|
Metodologie e strumenti per la creazione, l'acquisizione e la distribuzione di immagini complete. Utilizza il Deployment Workbench per integrare molti degli strumenti e delle utilità elencati in questa tabella. |
|
Windows AIK consiste in una serie di strumenti di distribuzione che supportano il rilascio più recente di Windows; comprende inoltre metodi, strumenti e requisiti per la distribuzione di Windows. |
|
Parte di Windows AIK. Windows PE è uno strumento di avvio Microsoft che fornisce funzionalità del sistema operativo per l'installazione, la risoluzione di problemi e il recupero. |
|
Windows System Image Manager (Windows SIM) |
Parte di Windows AIK. Windows SIM abilita la creazione di file di risposta (Unattend.xml), le condivisioni di rete e la modifica dei file contenuti in un set di configurazione. |
Parte di Windows AIK. Sysprep semplifica il processo di creazione delle immagini e prepara un'immagine per la distribuzione a diversi computer client. |
|
Parte di Windows AIK. Uno strumento della riga di comando che acquisisce, modifica e applica le immagini di installazione per la distribuzione. |
|
Immagine di Windows |
Un unico file compresso che contiene una raccolta di file e cartelle che duplicano un'installazione Windows su un volume disco. Un'immagine di Windows viene creata come file WIM e può essere creata tramite ImageX o Systems Management Server 2003 Operating System Deployment Feature Pack. |
Altri prodotti disponibili
Prodotto |
Produttore |
|---|---|
Ghost |
|
PowerQuest |
Checkpoint: definite delle immagini standard per computer desktop e portatili
|
Requisito |
|---|---|
|
Utilizzati gli strumenti per la cattura di un'immagine standard. |
|
Definita una strategia per le immagini standard. |
|
Definito un set standard di immagini disco (sistema operativo e applicazioni) per tutti i tipi di hardware. |
|
Stabiliti gli strumenti di distribuzione per un'installazione di immagini offline o basata sulla rete. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per il requisito Definite delle immagini standard per computer desktop e portatili nella funzionalità Gestione di computer desktop, dispositivi e server del modello di ottimizzazione dell'infrastruttura. Si suggerisce di seguire ulteriori procedure consigliate per la gestione delle immagini riportate nella Computer Imaging System Feature Team Guide (in inglese) del prodotto BDD 2007.
Passare alla domanda di autovalutazione successiva.
Requisito: gestione centralizzata di dispositivi portatili
Target
Se non si dispone di una soluzione centralizzata per la registrazione, la gestione e l'aggiornamento dei dispositivi portatili, è opportuno leggere questa sezione.
Panoramica
Le organizzazioni di tutto il mondo utilizzano dispositivi portatili per velocizzare i cicli aziendali, aumentare la produttività, ridurre i costi operativi ed espandere l'infrastruttura. Dato il crescente affidamento fatto sui dispositivi portatili, è fondamentale per gli amministratori comprendere l'ambiente mobile per assicurarsi che gli utenti impostino accessi aziendali protetti e per distribuire nuove funzionalità aziendali investendo al tempo stesso nell'infrastruttura esistente.
La gestione dei dispositivi portatili è un concetto relativamente nuovo e ci sono offerte limitate da parte di Microsoft e relativi partner nel fornire strumenti di gestione per dispositivi server e client.
Fase 1: valutazione
Nella fase di valutazione è importante utilizzare un inventario dei dispositivi portatili collegati all'infrastruttura e avere informazioni su come tali dispositivi vengano utilizzati. Le organizzazioni devono tenere traccia e gestire diverse aree di utilizzo dei dispositivi portatili. Per passare dal livello Base al livello Standard è necessario gestire centralmente quanto segue:
Rilevamento e registrazione di hardware dei dispositivi portatili.
Registrazione, distribuzione e aggiornamento di software dei dispositivi portatili.
Sincronizzazione dei dati.
Protezione proattiva e reattiva dei dati.
Procedure definite per la rimozione delle autorizzazioni dei dispositivi portatili non più in uso.
Nella presente sezione vengono fornite informazioni sugli strumenti e i processi relativi a queste aree. Nella seguente sezione vengono illustrati gli strumenti Microsoft per la gestione dei dispositivi portatili.
Fase 2: identificazione
Nella fase di identificazione, l'organizzazione deve sviluppare e implementare una soluzione per il rilevamento dei dispositivi portatili collegati alla rete in modo continuativo e determinare le direttive necessarie per gestire i dispositivi portatili secondo le proprie esigenze. In base alle esigenze aziendali e di protezione dei dati, gli utenti finali possono connettersi alla rete esclusivamente con dispositivi personali controllati o con dispositivi gestiti, forniti dall'azienda. L'identificazione dei dispositivi collegati può essere eseguita manualmente con le informazioni fornite volontariamente dall'utente o utilizzando strumenti per il rilevamento dei dispositivi connessi alla rete.
Fase 3: stima e pianificazione
Nella fase di stima e pianificazione, l'organizzazione deve considerare quali strumenti o tecnologie è possibile utilizzare per semplificare la gestione dei dispositivi portatili. I prodotti principali forniti da Microsoft attualmente disponibili sono Microsoft® Exchange Server con ActiveSync®, Direct Push, Remote Wipe e Systems Management Server (SMS) 2003 con Device Management Feature Pack. Da partner Microsoft e fornitori di software vengono forniti ulteriori prodotti quali Odyssey Software, Bluefire e iAnywhere per gestire i dispositivi portatili.
Exchange Server 2003 e Exchange Server 2007
A partire da Exchange Server 2003 e continuando con Exchange Server 2007, Microsoft ha introdotto nuove funzionalità per la gestione dei dispositivi portatili Windows. Le tecnologie per i dispositivi portatili in Exchange Server 2003 ed Exchange Server 2007 sono ActiveSync, i criteri di protezione del dispositivo applicati in remoto e la cancellazione remota dati nel dispositivo.
La sincronizzazione in wireless dei dispositivi basati su Microsoft® Windows Mobile® tramite Exchange ActiveSync integrato necessita di almeno un server su cui sia in esecuzione Exchange Server nell'infrastruttura di messaggistica. Si noti che Exchange 2003 ed Exchange 2007 non necessitano di essere distribuiti in tutto l'ambiente dell'azienda per utilizzare questa funzionalità.
Per informazioni sull'impostazione dei componenti di Exchange Server 2003 necessari, vedere la guida alla distribuzione di Exchange Server 2003 (in particolare il Capitolo 8): https://www.microsoft.com/technet/prodtechnol/exchange/2003/library/depguide.mspx.
Vedere inoltre il white paper su Exchange Server 2003 ActiveSync Architecture: https://www.microsoft.com/exchange/techinfo/administration/mobiledevices.asp.
Si noti che le versioni precedenti di Exchange Server non supportano le funzionalità di sincronizzazione integrate. È necessario utilizzare Exchange Server 2003 o Exchange Server 2007 per consentire agli utenti di sincronizzare in wireless i dispositivi portatili con Windows Mobile.
Active Directory
Affinché ActiveSync funzioni, l'infrastruttura deve includere i controller di dominio Active Directory. È anche necessario assicurarsi che i server di Exchange Server 2003 siano membri di un dominio di Windows Active Directory.
I controller di dominio di Active Directory devono essere eseguiti su Windows 2000 Server SP3 o Windows Server 2003. Si suggerisce di utilizzare Windows Server 2003 per ottenere le migliori prestazioni.
Gestione di Exchange ActiveSync
Per impostazione predefinita, dopo aver installato il ruolo del server Accesso client sul server Exchange 2007, Exchange ActiveSync è attivato. Gli utenti finali devono solo configurare i propri dispositivi portatili per la sincronizzazione con i computer con Exchange Server per utilizzare Exchange ActiveSync. Tramite Exchange ActiveSync, gli amministratori possono eseguire una serie di attività di gestione. Ciò comprende la configurazione dei criteri cassetta postale di Exchange ActiveSync e la configurazione dell'autenticazione per una maggiore protezione. È possibile eseguire alcune di queste attività in Exchange Management Console nonché eseguirle tutte in Exchange Management Shell.
Gestione degli utenti di Exchange ActiveSync
Per impostazione predefinita, se è installato il ruolo del server Accesso client in un'organizzazione di Microsoft Exchange in cui viene eseguito Exchange Server 2007, Exchange ActiveSync è attivato per tutti gli utenti. È possibile disattivare Exchange ActiveSync per un utente o un gruppo di utenti e anche gestire varie impostazioni per gli utenti di Exchange ActiveSync.
Per semplificare la gestione degli utenti di Exchange ActiveSync, è possibile creare i criteri cassetta postale di Exchange ActiveSync. Tali criteri consentono di applicare impostazioni specifiche a un unico utente o gruppo di utenti. Di seguito vengono elencate le impostazioni disponibili:
Richiesta di una password.
Richiesta di una password alfanumerica.
Possibilità di download degli allegati nel dispositivo.
Possibilità di accesso ai documenti di Microsoft Windows SharePoint® Services.
Attivazione della crittografia del dispositivo.
Per ulteriori informazioni sui criteri cassetta postale di Exchange ActiveSync, visitare la pagina Web Managing Exchange ActiveSync with Policies (in inglese).
Per ulteriori informazioni su come utilizzare Exchange Management Console per la gestione di un utente di Exchange ActiveSync, vedere i seguenti argomenti:
How to Enable or Disable Exchange ActiveSync for a Mailbox User (in inglese)
How to Add Users to an Exchange ActiveSync Mailbox Policy (in inglese)
How to Configure Synchronization Options for Users (in inglese)
Criteri di protezione del dispositivo applicati in remoto
Exchange Server 2003 SP2 ed Exchange Server 2007 consentono di configurare e gestire un criterio centrale necessario a tutti gli utenti di dispositivi portatili per proteggere i dispositivi con una password per accedere al server Exchange. Inoltre, è possibile specificare la lunghezza della password, richiedere l'utilizzo di un carattere o un simbolo e stabilire per quanto tempo il dispositivo può rimanere inattivo prima di richiedere di nuovo la password all'utente.
L'eliminazione dei dati dal dispositivo dopo alcuni tentativi non riusciti è un'ulteriore impostazione che consente di eliminare tutti i dati nel dispositivo dopo che l'utente ha immesso ripetutamente la password non corretta per un determinato numero di volte. L'utente visualizzerà finestre di dialogo che avvisano della possibile eliminazione dei dati e che forniscono il numero di tentativi rimasti prima che si verifichi.
Un'altra impostazione consente di specificare se i dispositivi non conformi possano essere sincronizzati. I dispositivi vengono considerati non conformi se non supportano i criteri di protezione specificati. Nella maggior parte dei casi, si tratta di dispositivi non configurati con Messaging and Security Feature Pack di Exchange Server.
Cancellazione remota dati nel dispositivo
La funzionalità di cancellazione remota dati consente di gestire il processo di cancellazione remota dei dati su dispositivi portatili, persi, rubati o danneggiati. Se il dispositivo è stato collegato tramite la tecnologia Direct Push, il processo di cancellazione dati inizierà immediatamente e dovrebbe essere eseguito in alcuni secondi. Se è stato utilizzato il criterio di protezione dell'applicazione del blocco, il dispositivo è protetto da password e cancellazione dati locale, quindi sul dispositivo non sarà possibile eseguire alcuna operazione diversa dalla ricezione della notifica della cancellazione remota dati e dei report sulla cancellazione eseguita.
I criteri di protezione del dispositivo vengono gestiti tramite la finestra delle proprietà dei servizi per dispositivi portatili del Gestore di sistema di Exchange, in cui è possibile:
Visualizzare un elenco di tutti i dispositivi utilizzati da qualsiasi utente.
Selezionare o deselezionare i dispositivi su cui effettuare la cancellazione remota dati.
Visualizzare lo stato delle richieste di cancellazione remota dati in sospeso per ciascun dispositivo.
Visualizzare un registro delle transazioni che indica quali amministratori hanno emesso comandi di cancellazione remota dati nonché i dispositivi a cui si riferiscono tali comandi.
Autenticazione basata sul certificato
Se l'autenticazione di base Secure Sockets Layer (SSL) non soddisfa i requisiti di protezione e si dispone di un'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure) che utilizza Microsoft Certificate Server, è possibile utilizzare la funzionalità di autenticazione basata sul certificato di Exchange ActiveSync. Se si utilizza questa funzionalità insieme ad altre funzionalità descritte in questo documento, come la cancellazione locale dati nel dispositivo e l'utilizzo applicato della password power-on, è possibile trasformare il dispositivo portatile stesso in una smart card. La chiave privata e il certificato per l'autenticazione client vengono archiviati nella memoria sul dispositivo. Tuttavia, se un utente non autorizzato tenta un attacco a forza bruta sulla password power-on per il dispositivo, tutti i dati utente vengono eliminati, inclusi il certificato e la chiave privata.
Microsoft ha creato uno strumento per la distribuzione dell'autenticazione basata sul certificato di Exchange ActiveSync. Per scaricare lo strumento e la documentazione dall'Area download Microsoft, andare all'indirizzo https://go.microsoft.com/fwlink/?LinkId=63271.
Messaggistica crittografata con S/MIME
Messaging and Security Feature Pack per Windows Mobile 5.0 fornisce supporto nativo per messaggistica crittografata con firma digitale. Quando viene distribuita la crittografia con Secure/Multipurpose Internet Mail Extension (S/MIME), gli utenti finali possono visualizzare e inviare messaggi crittografati con S/MIME dai propri dispositivi portatili.
S/MIME Control:
È uno standard per i messaggi di posta elettronica a protezione avanzata che utilizzano una PKI per condividere le chiavi.
Consente l'autenticazione del mittente tramite firme digitali.
Può essere crittografato per proteggere la privacy.
Funziona bene con qualsiasi client di posta elettronica conforme agli standard.
Per indicazioni sull'implementazione di S/MIME Control con Exchange Server 2003 SP2, vedere la pagina Web Concetti relativi al supporto per la protezione dei messaggi in Exchange 2003 all'indirizzo https://go.microsoft.com/fwlink/?LinkId=63272.
Device Management Feature Pack di SMS 2003
Systems Management Server 2003 Device Management Feature Pack (DMFP) consente a SMS 2003 di gestire i dispositivi portatili su cui è in esecuzione Microsoft Windows® CE (3.0 o versioni successive) e il software Windows Mobile per Microsoft Pocket PC (2002 o versioni successive), Windows Mobile 5.0 e Windows Mobile Pocket PC Phone Edition 5.0. Tramite DMFP, gli amministratori IT possono acquisire le caratteristiche delle risorse, le impostazioni di configurazione e i criteri di protezione dei dispositivi portatili e aggiornare le applicazioni o distribuirne di nuove con interruzioni minime per l'utente finale, riducendo così i costi di distribuzione e gestione dei dispositivi.
Tramite DMFP, è possibile effettuare le seguenti operazioni:
Rilevare e raccogliere informazioni di inventario dai client portatili e in sede su cui è in esecuzione Windows CE 4.2 o il software Windows Mobile 2003 per Pocket PC e Pocket PC Phone Edition, Windows Mobile 5.0 e Windows Mobile Pocket PC Phone Edition 5.0.
Attraverso partner complementari, rilevare e raccogliere l'inventario dai client portatili e in sede su cui è in esecuzione Windows CE 3.0, il software Pocket PC 2002, Windows Mobile 5.0, Windows Mobile Pocket PC Phone Edition 5.0 e il software Windows Mobile, tra cui gli smart phone.
Distribuire aggiornamenti software e applicazioni a questi dispositivi.
Supportare scenari di roaming regionale per i download di pacchetti SMS facendo riferimento ai client su punti di distribuzione locale.
Implementare i criteri di password utilizzando password sicure per questi dispositivi.
Distribuire il software client SMS sui dispositivi che dispongono di una connessione ActiveSync a un computer su cui è in esecuzione il client avanzato di SMS.
Utilizzare HTTP o HTTP protetta (HTTPS) per comunicare con l'infrastruttura server SMS.
Tramite queste tecnologie, è possibile controllare i dispositivi portatili che utilizzano software e sistemi operativi Microsoft. Le funzionalità di gestione dei dispositivi con Exchange Server costituiscono il set di funzionalità minimo richiesto per raggiungere il livello Standard del modello di ottimizzazione dell'infrastruttura.
Fase 4: distribuzione
L'obiettivo della fase di distribuzione è quello di implementare le tecnologie selezionate o le funzionalità richieste per supportare la strategia di gestione dei dispositivi. Poiché le configurazioni di rete aziendale e i criteri di protezione variano, il processo di distribuzione sarà diverso per ogni installazione di sistema di Mobile Messaging. Tale processo di distribuzione comprende le operazioni necessarie e consigliate per la distribuzione di una soluzione di Mobile Messaging che utilizzi Exchange Server 2003 SP2 e i dispositivi basati su Windows Mobile 5.0.
Per indicazioni dettagliate sulla distribuzione di un sistema di Mobile Messaging protetto tramite Microsoft Exchange Server, vedere Step-by-Step Guide to Deploying Windows Mobile-based Devices with Microsoft Exchange Server 2003 SP2 (in inglese).
Operazioni
L'obiettivo delle operazioni continue è quello di garantire un ambiente Mobile Messaging protetto e a elevata disponibilità per gli utenti finali. Visitare il sito Web Windows Mobile Center di Microsoft TechNet per indicazioni su come gestire l'ambiente Mobile Messaging.
Ulteriori informazioni
Per ulteriori informazioni sulla gestione dei dispositivi portatili, visitare il sito Web Microsoft TechNet e ricercare informazioni sulla gestione dei dispositivi portatili.
Per vedere come Microsoft gestisce un aspetto della gestione dei dispositivi portatili, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/mobmess_tcs.mspx.
Checkpoint: gestione centralizzata di dispositivi portatili
|
Requisito |
|---|---|
|
Installato il software per rilevare e tenere traccia dei dispositivi portatili all'interno dell'organizzazione. |
|
Implementato l'accesso controllato tramite password. |
|
Stabilita la sincronizzazione del software e dei dati centralizzati. |
|
Garantito che i dispositivi rimossi non contengano informazioni aziendali. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per la registrazione centralizzata, la gestione e l'aggiornamento dei dispositivi portatili. Si consiglia di attenersi alle procedure consigliate aggiuntive per la gestione dei dispositivi portatili descritte sul sito Web Windows Mobile Center di Microsoft TechNet.
Passare alla domanda di autovalutazione successiva.
Requisito: convalida dell'identità, protezione dei dati e backup dei dati di dispositivi portatili
Target
È necessario leggere questa sezione se non si dispone delle funzionalità di convalida dell'identità utente e di protezione e backup dei dati per i dispositivi portatili.
Panoramica
Tramite i dispositivi portatili rubati o persi è possibile compromettere le informazioni aziendali riservate e avere accesso alle reti aziendali. È necessario proteggere queste risorse implementando software e criteri approfonditi. In questa sezione della guida, vengono riportate le aree in cui è possibile eseguire operazioni per proteggere informazioni e reti aziendali all'interno dell'organizzazione. Tali aree sono:
Accesso utente
Password
Blocco del dispositivo
Certificati
Accesso ai dati
Crittografia dei dati
Cancellazione remota dati nel dispositivo
Per informazioni sulla protezione dei dispositivi portatili fornita da Microsoft, andare all'indirizzo https://www.microsoft.com/windowsmobile/business/5/default.mspx.
Fase 1: valutazione
Gli obiettivi principali della fase di valutazione sono di determinare il modo in cui gli utenti accedono ai dati e di raggruppare le esigenze aziendali per garantire accesso sicuro e protezione dei dati per i dispositivi portatili. La maggior parte di questi principi è stata affrontata durante le fasi di pianificazione e distribuzione della sezione di gestione centralizzata di dispositivi portatili della guida. Questa funzionalità del modello di ottimizzazione dell'infrastruttura sottolinea l'importanza della protezione dei dati e dell'accesso utente controllato.
Fase 2: identificazione
Durante la fase di identificazione, verranno rilevate le opzioni di tecnologia e i requisiti di sviluppo per soddisfare le esigenze dell'organizzazione per l'accesso utente, la protezione dei dati e il backup dei dati. Fare riferimento alla sezione Requisito: gestione centralizzata di dispositivi portatili, all'interno di questa guida per informazioni dettagliate sulle tecnologie e le funzionalità disponibili in Microsoft Exchange Server 2003, Microsoft Exchange Server 2007 e Systems Management Server 2003
Per ulteriori dettagli, visitare anche il sito Web Windows Mobile Center di Microsoft TechNet.
Fase 3: stima e pianificazione
L'obiettivo della fase di stima e pianificazione è quello di sviluppare una strategia dettagliata per proteggere l'accesso utente e i dati dei dispositivi portatili gestiti. In questa sezione vengono descritte le considerazioni di maggiore efficienza di questi obiettivi.
Accesso utente
La prima tecnica di difesa dagli accessi non autorizzati alle informazioni che si trovano su un dispositivo portatile è l'identificazione utente e la convalida tramite password o certificati.
Password
L'accesso a qualsiasi dispositivo portatile dell'organizzazione deve richiedere una password. Le password possono essere semplici (numeriche) o complesse (costituite da lettere, numeri e caratteri speciali), in base ai criteri di password dell'azienda.
Blocco del dispositivo
Se un utente tenta invano di immettere la password corretta per un determinato numero di volte (in genere, da tre a cinque), il dispositivo entra in uno stato di blocco che successivamente consentirà l'accesso solo previa reimpostazione da parte di un amministratore.
Certificati
Un certificato della chiave pubblica, in genere denominato semplicemente certificato, è un'istruzione con firma digitale comunemente utilizzata per l'autenticazione e per proteggere le informazioni sulle reti aperte. Mediante i certificati si stabilisce un legame sicuro tra una chiave pubblica e l'entità che possiede la corrispondente chiave privata. L'Autorità di certificazione (CA) di emissione firma digitalmente i certificati e questi possono essere forniti per un utente, un computer o un servizio. È necessario disporre di procedure per revocare i certificati in caso di perdita o furto di un dispositivo portatile.
Accesso ai dati
Ogni volta che un computer portatile si trova al di fuori dei limiti di protezione dell'organizzazione, il furto del dispositivo e dei dati in esso contenuti diventa una questione di primaria importanza. In caso di furto, il problema iniziale della perdita dei dati si riflette nel rischio di una persona non autorizzata che accede alla rete tramite una connessione remota o wireless. A causa del loro aspetto, i computer portatili e molti nuovi tipi di dispositivi portatili corrono un rischio maggiore di essere rubati rispetto a un dispositivo non portatile. Spesso, questi computer contengono dati aziendali importanti e rappresentano un rischio per la protezione, in caso di furto.
Crittografia dei dati
È possibile utilizzare un file system crittografato sui dispositivi portatili per nascondere i dati sul disco rigido, che li renda inutilizzabili a chiunque non disponga delle credenziali appropriate. Ciò protegge i dati dall'accesso di persone che vengano in possesso di un dispositivo perso o rubato.
Cancellazione remota dati nel dispositivo
Le funzionalità di cancellazione remota dati nel dispositivo di Exchange Server consentono a un amministratore o un utente autorizzato di eliminare in remoto tutte le informazioni contenute in un dispositivo portatile, riportandolo allo stato predefinito iniziale.
Come misura reattiva, è possibile utilizzare la cancellazione remota dati per bloccare accessi non autorizzati ai dati su un dispositivo portatile perso o rubato. Sarebbe opportuno utilizzare la cancellazione remota dati nel caso in cui non si disponga di altre condizioni di accesso come password o certificati o nel caso in cui questi siano stati danneggiati. In questa situazione, viene inviato dal server un comando per la cancellazione dei dati nel dispositivo.
Proattivamente, la cancellazione remota dati può essere un ulteriore strumento da utilizzare insieme all'autenticazione utente e alla crittografia dei dati per garantire che l'accesso ai dati e alla rete aziendali possa essere bloccato in caso di furto del dispositivo portatile. In questa situazione, il dispositivo cancella indipendentemente i dati in base ai criteri di protezione integrati.
Backup dei dati
Il backup dei dati dell'elenco degli indirizzi aziendali, dei messaggi riservati e del calendario è una prima operazione importante per il backup dei dati dei dispositivi portatili. Il backup dei dati per la messaggistica sincronizzata, l'elenco degli indirizzi e le informazioni del calendario vengono eseguiti dall'infrastruttura di Exchange Server tramite procedure standard di recupero e backup del server. Per ulteriori informazioni, vedere la sezione Servizi di ripristino e di backup definiti per i server critici del livello Standard dell'ottimizzazione dell'infrastruttura della presente guida. Inoltre, i partner Microsoft forniscono software per l'esecuzione di backup a livello dei dispositivi dei dati non sincronizzati.
Fase 4: distribuzione
L'obiettivo della fase di distribuzione è quello di implementare una strategia selezionata per l'organizzazione per la gestione dell'accesso utente, la protezione e il backup dei dati. Per indicazioni dettagliate sulla distribuzione delle tecnologie illustrate in questa guida, consultare il sito Web Step-by-Step Guide to Deploying Windows Mobile-based Devices with Microsoft Exchange Server 2003 SP2 (in inglese).
Operazioni
L'obiettivo delle operazioni continue è quello di garantire un accesso utente sicuro, la protezione dei dati e il backup dei dati nell'ambiente Mobile Messaging. Visitare il sito Web Windows Mobile Center di Microsoft TechNet per indicazioni su come gestire l'ambiente Mobile Messaging.
Ulteriori informazioni
Per ulteriori informazioni sulla cancellazione remota dati, andare all'indirizzo
https://www.microsoft.com/technet/prodtechnol/exchange/e2k7help/7b2cb90a-67f5-45d5-8c7a-26309faa7d9e.mspx?mfr=true.
Checkpoint: convalida dell'identità, protezione dei dati e backup dei dati di dispositivi portatili
|
Requisito |
|---|---|
|
Stabilito e applicato un criterio di accesso alle password o l'uso di certificati di chiave pubblica per l'identificazione degli utenti. |
|
Crittografati tutti i trasferimenti per la distribuzione e il backup dei dati da e verso dispositivi portatili. |
|
Implementato il blocco del dispositivo sui dispositivi portatili. |
|
Garantito che le informazioni aziendali possano essere rimosse tramite la cancellazione remota dati in caso di perdita o furto di un dispositivo portatile. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per la convalida dell'identità, protezione dei dati e backup dei dati di dispositivi portatili. Si consiglia di attenersi alle procedure consigliate aggiuntive per la gestione dei dispositivi portatili descritte sul sito Web Windows Mobile Center di Microsoft TechNet.
Passare alla domanda di autovalutazione successiva.
Requisito: consolidamento delle immagini desktop su due versioni del sistema operativo
Target
È necessario leggere questa sezione se si stanno gestendo più di due versioni di sistema operativo nell'ambiente desktop.
Panoramica
È necessario considerare diversi fattori quando si distribuiscono più sistemi operativi all'interno di un'azienda. Queste tecnologie includono:
Gestione di diverse immagini standard.
Disponibilità di patch e aggiornamenti.
Costi dei contratti di gestione estesa.
Produttività dell'utente.
Compatibilità tra le applicazioni.
In questa guida vengono trattate le considerazioni di maggiore efficienza per il consolidamento delle immagini desktop a due sistemi operativi.
Fase 1: valutazione
L'obiettivo della fase di valutazione nel consolidamento delle immagini consiste nella determinazione del numero corrente di sistemi operativi gestiti dall'organizzazione. Si consiglia di utilizzare uno strumento per automatizzare il processo di creazione dell'inventario, quale Systems Management Server (SMS) 2003, Application Compatibility Toolkit o Windows Vista Hardware Assessment.
Fase 2: identificazione
Nella fase di identificazione si iniziano a determinare le dipendenze dei sistemi operativi rilevati con l'inventario e il modo in cui sono correlati alle applicazioni utilizzate e alle specifiche hardware.
Fase 3: stima e pianificazione
Lo scopo della fase di stima e pianificazione è di esaminare le opzioni nel consolidamento delle immagini desktop a due immagini standard. Queste comprendono i vantaggi della gestione e aziendali e la definizione delle priorità degli aggiornamenti eseguiti dall'utente. In questa sezione vengono introdotte molte considerazioni di valutazione del consolidamento delle immagini desktop.
Diverse immagini standard
L'argomento "Definite delle immagini standard per computer desktop e portatili", riportato precedentemente nel presente documento, descrive i vantaggi di stabilire e gestire un'immagine del sistema operativo desktop standard e i pro e i contro delle immagini spesse, sottili e ibride. La creazione e la gestione di diverse immagini spesse e ibride e i relativi costi aumentano in base a ogni ulteriore sistema operativo che l'azienda deve supportare. Per passare dal livello Base del modello di ottimizzazione dell'infrastruttura al livello Standard, occorre restringere il numero di sistemi operativi che è necessario supportare nell'organizzazione a un massimo di due, sebbene limitare a un'unica versione offra numerosi vantaggi e sia preferibile.
Patch e aggiornamenti
Le patch e gli aggiornamenti dei sistemi operativi e delle applicazioni devono essere verificati prima di essere distribuiti agli utenti. I tempi e i costi del processo di verifica di un'applicazione aumentano con ogni sistema operativo su cui l'applicazione è in esecuzione. La semplice registrazione di tutte le patch e gli aggiornamenti disponibili può diventare costosa e impiegare molto tempo.
Contratti di gestione
Se l'organizzazione acquista contratti di gestione per sistemi operativi e applicazioni, i costi possono aumentare in base al numero dei software supportati. In particolare, questo si verifica nel caso di sistemi operativi e applicazioni legacy, software ritirati dal fornitore.
Produttività dell'utente
Quando gli utenti passano da un sistema operativo a un altro, c'è un periodo di apprendimento che influisce sulla produttività. L'utente deve fermarsi e pensare a come eseguire un'attività che eseguiva automaticamente sul precedente sistema operativo.
Compatibilità tra le applicazioni
Poiché le applicazioni e i sistemi operativi vengono aggiornati, i file di dati su cui vengono eseguite tali applicazioni non sono sempre compatibili con le nuove versioni. La standardizzazione su uno o due sistemi operativi e le relative applicazioni compatibili riducono al minimo i problemi dei file di dati incompatibili.
Eccezioni
Non è sempre possibile adattare uno o due sistemi operativi a ogni situazione o esigenza dell'organizzazione. L'utilizzo dei dispositivi portatili è in aumento; i relativi sistemi operativi variano da un computer desktop o laptop. Alcuni utenti finali, come i grafici o gli ingegneri, gli utenti remoti o i fornitori che si collegano alla rete, potrebbero disporre di sistemi operativi diversi rispetto allo standard dell'organizzazione. È compito del reparto IT tenere in considerazione queste eccezioni e adattare i suggerimenti forniti nella presente guida a queste situazioni.
Altre eccezioni potrebbero non rientrare nella responsabilità del reparto IT. Le organizzazioni di sviluppo software devono garantire che il software che stanno sviluppando verrà eseguito su diversi sistemi operativi. Un laboratorio di verifica che valuti i nuovi sistemi operativi e gli aggiornamenti non rientra nell'ambito del presente documento.
Fase 4: distribuzione
Dopo aver determinato la strategia per il consolidamento delle immagini, durante la fase di distribuzione viene considerato il modo in cui vengono create, distribuite e gestite le immagini. Vedere il sito Web Computer Imaging System Feature Team Guide (in inglese) di BDD 2007 oppure fare riferimento alle risorse tecniche Requisito: definite delle immagini standard per computer desktop e portatili.
Operazioni
Una volta terminato il progetto di consolidamento del sistema operativo, è necessario comprendere che il rilascio dei nuovi prodotti e tecnologie del sistema operativo desktop richiede un'attenta considerazione. La preparazione necessaria al nuovo sistema operativo richiede nella maggior parte dei casi che la versione precedente dei due sistemi operativi attivi venga eliminata quando viene introdotta l'immagine del nuovo sistema operativo. Ciò garantisce che il vantaggio di gestire due immagini di sistema operativo rimanga intatto.
Checkpoint: consolidamento delle immagini desktop su due versioni del sistema operativo
|
Requisito |
|---|---|
|
Implementata una strategia di consolidamento delle immagini. |
|
Ridotto il numero dei sistemi operativi di produzione a non più di due. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per il requisito Consolidamento delle immagini desktop su due versioni del sistema operativo nelle funzionalità di Gestione di computer desktop, dispositivi e server del modello di ottimizzazione dell'infrastruttura. Si suggerisce di seguire ulteriori procedure consigliate per il consolidamento e la gestione delle immagini riportate nella Computer Imaging System Feature Team Guide (in inglese) del prodotto BDD 2007.
Passare alla domanda di autovalutazione successiva.