Hyper-V ja VirtualBox käyttö rinnakkain

Joskus tulee eteen tilanne jossa olisi tarvetta käyttää kahta virtualisointijärjestelmää rinnakkain. Jokin aika sitten luokassa oleva Hyper-V ympäristö alkoi hidastua niin merkittävällä tavalla että päätimme siirtyä VirtualBox ympäristöön. Pikaisella silmäyksellä hidastuminen liittyi Defenderiin joka kuormitti kiintolevyjä todella ankarasti. Koska emme halunneet lähteä selvittämään kuormituksen syyte sen kummemmin, päätimme kokeilla virtuaalikoneiden suorituskykyä VirtualBox ympäristössä. Ihme ja kumma…VirtualBoxin puolella ongelmaa ei esiintynyt.

Hyper-V ja sen hypervisor…ongelma ja ratkaisu

Lähtökohtaisesti Hyper-V ja VirtualBox ympäristön yhtäaikainen käyttö ei ole mahdollista koska Hyper-V hypervisor varaa järjestelmän täysin omaan käyttöönsä. Vaihtoehtoina ovat A) koko Hyper-V ominaisuuden poistaminen Windowsista tai B) Hyper-V:n hypervisorin sammuttaminen.

Kyseisiä ohjelmia ei siis voida käyttää yhtä aikaa, vaan vähintään on varmistettava että Hyper-V:n hypervisor ei ole käynnissä kun VirtualBox ohjelmaa käytetään. VirtualBox virtuaalkoneen käynnistäminen aiheuttaa BSOD virheen mikäli Hyper-V:n hypervisor on tällöin käynnissä.

Tilan voi tarkastaa esim. Järjestelmätiedot (msinfo32.exe) ohjelman avulla. Kyseinen ohjelma  ilmoittaa Hyper-V ominaisuuden tilasta hieman hämäävästi.

Alla näkyvässä kuvassa Hyper-V ominaisuutta ole asennettu tai ainakaan Hyper-V:n hypervisor ei ole käytössä.

Tämän kuvan mukaisessa tilanteessa Hyper-V on käytössä.

Hyper-V:n pois asentaminen tietysti ratkaisee ongelman. Jos molempia virtualisointijärjestelmiä halutaan käyttää kuitenkin yhtä aikaa, on tämä liian työläs järjestely. Onneksi Hyper-V:n hypervisorin voi sammuttaa ilman ko. ominaisuuden täydellistä poistamista.

Järjestelmänvalvojan komentokehotteessa annettu komento:bcdedit /set hypervisorlaunchtype off   sammuttaa hypervisorin (uudelleen käynnistyksen jälkeen).

Komento bcdedit /set hypervisorlaunchtype auto käynnistää sen uudelleen (uudelleen käynnistyksen jälkeen).

Edellä mainituista komennoista voidaan esim. tehdä työpöydälle pikakuvakkeet jotka viittaavat PowerShell skriptiin tai komentojonoon jossa em. komennot ovat kirjattuna. Kyseiseen skriptiin tai komentojonoon lisättävä komento C:\windows\system32\shutdown -r -t 2 käynnistää työaseman automaattisesti uudelleen. On huomattava että pikakuvakkeen ominaisuuksista voidaan asettaa päälle sen suorittaminen järjestelmän valvojan oikeuksin.

Hyper-V:n poistaminen ei onnistu ?

Jos Hyper-V:ä halutaan luopua kokonaan, voidaan se asentaa samoin tein pois. Esimerkiksi PowerShell komento Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All poistaa Hyper-V ominaisuuden käytöstä.

Vaan entäpä jos poistaminen ei onnistukaan? On kuitenkin olemassa tilanne jossa ominaisuuden pois asentaminen ei onnistu. Nimittäin jos Device Guard ominaisuus on käytössä, ei Hyper-V:n suostu poistumaan järjestelmästä. Device Guard nimittäin käyttää toiminnassaan Hyper-V:n virtualisointi ominaisuuksia. Device Guard ominaisuus sisältyy ainoastaan Windows 10 Enterprise ja Education versioihin.

Device Guard ominaisuuden tilan voi tarkistaa esim. Järjestelmätiedot (msinfo32.exe) ohjelman System Summary kohdasta.

Mikäli Device Guard on päällä, täytyy tietysti TARKKAAN selvittää voiko/kannattaako/saako sitä kytkeä pois päältä. Jos ko. ominaisuus kuitenkin halutaan kytkeä pois päältä, voidaan se tehdä esim. paikallista ryhmäkäytäntöeditoria käyttäen (gpedit.msc), asettamalla asetus Turn on Virtualization Based Security tilaan Disabled.

Kyseisen ominaisuuden käytöstä poistamisen jälkeen myös Hyper-V:n pois asentaminen onnistuu.

PS: Alkuperäinen ongelma Defenderin kuormittamasta kiintolevystä jäi hieman vaivaamaan…varsinkin kun kyseistä ongelmaa ei esiinny VirtualBox työasemissa. Pitänee palata vielä tutkimaan asiaa.

VyOS virtuaalireititin

Yleistä

Asennusympäristöjen testaamiseen tarkoitetut ja yleensä virtuaaliseen ympäristöön asennetut palvelimet ja työasemat halutaan mitä todennäköisimmin pitää erillään tuotantoympäristöstä. Asennuspalvelin ympäristöissä käytetään tyypillisesti DHCP, PXE, WDS, SCCM, yms. järjestelmiä joiden aikaansaama verkkoliikenne ja palvelut sotkevat tuotantoverkkoa tehokkaalla tavalla. Testaamisen kannalta olisi kuitenkin hyödyllistä mikäli asennuspalvelimet olisi tarvittaessa helppo yhdistää internetiin. VirtualBox ympäristössä voidaan käyttää NAT tyyppistä verkkoliitäntää joka erottaa testiympäristön tuotantoympäristöstä. Hyper-V ympäristössä tämän tyyppistä ratkaisua ei kuitenkaan ole.

HUOM: VirtualBox ohjelmassa on käytettävissä myös NatNetwork tyyppinen verkkoratkaisu jolla VirtualBox ohjelmisto voidaan korvata. VirtualBox:n NatNetwork toteutuksessa on käytettävissä myös sisäänrakennettu DHCP palvelin. Kyseisessä verkossa .1 osoitteeseen päättyvää ip-osoitetta voidaan käyttää reitittimenä (192.168.1.1) , .2 päättyvää osoitetta DNS-palvelimena (esim. 192.168.1.2) ja .3 päättyvää osoitetta DHCP palvelimen osoitteena (esim. 192.168.1.3).

Tässä esimerkissä käytetään kuitenkin VirtualBox ympäristöä jossa sisäverkkoon liitetty verkkosovitin (eth0) on kytketty VirtualBoxissa internal verkkoon ja ulkoverkkoon liitetty sovitin (eth1) on liitetty bridged verkkoon.

Virtuaaliympäristön yhdistämiseen voidaan kuitenkin käyttää esim. VyOS Virtual Router tuotetta joka on ohjelmistopohjainen (Debian Linux) reititin. Virtuaalikoneissa voidaan siis käyttää sisäiseen virtuaalikytkimeen liitettyä verkkokorttia josta ulospäin lähtevän liikenteen VyOS tarvittaessa reitittää ulkoverkkoon. Virtuaalikoneen verkkoasetukset määritetään siten että reitittimen ip viittaa VyOS reitittimen sisäverkkoon liitettyyn ip-osoitteeseen.

Virtuaalikone VyOS:a varten

VyOS reitittimellä ei ole suuria vaatimuksia virtuaalikoneelle. Työmuistin suositeltu minimimäärä on 512 Mt. Kiintolevyn suositeltu koko on 2 Gt. Virtuaalikone kannattaa luoda ensimmäisen sukupolven tyyppiseksi. VyOS virtuaalikoneeseen lisätään tarvittava määrä virtuaalisia verkkokortteja. Esimerkkiympäristössä on käytössä 2 verkkokorttia joista ensimmäinen (eth0) on yhteydessä ulkoverkkoon  ja toinen (eth1) sisäverkkoon (testausympäristö). Jos verkkoja on enemmän, luodaan jokaista verkkoa varten oma verkkokorttinsa. VyOs ympäristön virtuaalisia verkkokortteja on siis yksi per jokainen sisäverkko sekä lisäksi ulkoverkkoa (internet) varten omansa. Esimerkissä sisäverkkoja on 1 kpl joten verkkokortteja tarvitaan 2 kpl.

VyOS reitittimen asentaminen ja suomalaisen näppäimistön määrittäminen käyttöön

1. VyOS virtuaalikoneen käynnistyttyä, järjestelmään voidaan kirjauta tunnuksella vyos ja salasanalla vyos
   
   
2. Seuraavaksi aloitetaan järjestelmän määrittäminen käyttöön. Anna komento install system.
   
   Käyttöön määrittäminen voidaan itse asiassa aloittaa joko install image tai install system komennoilla. Install system komento jäljittelee perinteistä fyysiselle työasemalle asennettua Linux palvelinta kun taas install image komento asentaa VyOS:n virtuaalikiintolevyllä olevaan hakemistoon. Myöhemmin samalle massamuistilaitteelle voidaan asentaa uusia VyOS versiota. Install image komento mahdollistaa VyOS palauttamisen aiempaan versioon.
   
   
3. Vastaa kysymykseen Would you like to continue [Yes]: Enter
   
   
4. Vastaa kysymykseen Partition (Auto/Parted/Skip): Enter
   
   
5. Install the image on? [sda] : Enter
   
   
6. Continue (Yes/No): Yes
   
   
7. How big of a root partition should i create? (1000MB – 3221MB) [3221] MB: Enter
   
   
8. What would you like to name this image? [1.1.5]: Enter
   
   
9. Which one should i copy to sda? [/config/config.boot]: Enter
   
   
10. Enter password for user `vyos´: määritä haluamasi salasana
    
    
11. Retype password for user ‘vyos’: anna salasana uudelleen
    
    
12. Which drive should GRUB modify the boot partition on? [sda]: Enter
    
    
13. Sammuta VyOs komennolla poweroff ja ota asennusmedia pois käytöstä

VyOS reittimen määrittäminen ja NAT:n asettaminen käyttöön

VyOS ympäristö määritetään seuraavaksi reitittämään testiympäristössä olevat palvelimet internetiin. VyOs määritetään lisäksi käyttämään NAT VLAN 10 tyyppisesti.

1. Käynnistä VyOS uudestaan ja anna komento configure siirtyäksesi määritys tilaan
   
   
2. Tarkasta käyttöönotetut verkkokortit komennolla: show interfaces ethernet

1. Määritä ulkoiseen verkkoon kytketty verkkokortti (eth0) käyttämään joko dhcp tai ulkoisen verkon kiinteää ip:ä.

   DHCP asetetaan käyttöön komennolla: set interfaces ethernet eth0 address dhcp

   Kiinteä ip-osoite asetetaan käyttöön komennolla: set interfaces ethernet eth0 address ‘ip-osoite’/maski
   
   Jos kiinteä ip-asetus otetaan käyttöön, voidaan ulkoverkon reittimen ip-osoite asettaa käyttöön komennolla: set system gateway-address ulkoisen reittimen ip

2. Jos määrittelit edellisessä kohdassa käyttöön kiinteän ulkoverkon ip-osoitteen, suoritetaan seuraavaksi ulkoverkon reitittimen ip-osoitteen määritys. set system gateway-address *ulkoverkossa toimiva reititin* (joka voi siis olla esim DSL purkki).
   
   
3. Lisäksi voidaan asettaa käyttöön DNS forwarding (ei välttämätöntä):

• set service dns forwarding cache-size 0
• set service dns forwarding listen-on eth1
• set service dns forwarding name-server 8.8.8.8
• set service dns forwarding name-server 8.8.4.4

Määrityksen jälkeen VyOS reitittimen sisäverkkoon kytketyn verkkosovittimen ip-osoite (tässä tapauksessa 192.168.1.1) voidaan määrittää virtuaalikoneissa DNS palvelimeksi.

Jos em. asetusta ei määritetä, voidaan virtuaalikoneissa tietysti käyttää myös esim. Googlen DNS palvelimia (8.8.8.8 ja 8.8.4.4).

6. Anna ulkoverkkoon kytketylle verkkokortille (eth0) kuvaus komennolla set interfaces ethernet eth0 description OUTSIDE
   
   
7. Määritä sisäiseen testiverkkoon kytketty verkkokortti (eth1) käyttämään sisäisen verkon ip-numeroa ja aliverkonpeitettä (tässä esimerkissä 192.168.1.1/24): set interfaces ethernet eth1 address 192.168.1.1/24
   
   
8. Anna sisäverkkoon kytketylle verkkokortille (eth1) kuvaus komennolla set interfaces ethernet eth1 description INSIDE
   
   
9. Tarkasta verkkokorttien tilanne komennolla: show interfaces ethernet
   
   
10. Otetaan käyttöön NAT:
    • set nat source rule 10 outbound-interface eth0
    • set nat source rule 10 source address 192.168.1.0/24
    • set nat source rule 10 translation address masquerade
      
      
11. Aseta VyOS hostname komennolla: set system host-name *haluttu nimi tähän* esim VyOS-Router
    
    
12. Aseta aikavyöhyke komennolla: set system time-zone Europe/Helsinki
    
    
13. Aseta muutokset käyttöön komennolla: commit
    
    
14. Tallenna muutokset komennolla: save ja poistu muokkaustilasta komennolla: exit
    
    
15. Voit tarkastaa määritykset komennolla: show configuration

Sisäverkon laitteet voidaan nyt määrittää käyttämään VyOS reititintä asettamalla reitittimen ip-osoitteeksi VyOS:n sisäverkkoon kytketyn verkkokortin (eth1) osoite 192.168.1.1
Jos määriteltiin käyttöön myös DNS-forwarding, voidaan VyOS reitittimen sisäverkkoon kytketyn verkkokortin ip-osoite (eth1) määrittää DNS palvelimen osoitteeksi.

Asetusten asettaminen skriptillä / leikepöydän avulla

Jos VyOS virtuaalikonetta joutuu asentamaan (esim. koulussa) useampaan työasemaan, on ei asetuksia kannata määrittää käsin (työlästä). Tässä tilanteessa voi asetukset joko A) asettaa esim. sh skriptin avulla jonka voi siirtää VyOS ympäristöön PuTTY ohjelmalla tai B) tai käyttää ns. clonehelper skriptiä. Skripti määrittää kloonattujen virtuaalikoneiden verkkokorttien MAC-osoitteet kloonattuun VyOS koneeseen. Valitettavasti B) vaihtoehto ei ainakaan tällä hetkellä ole käytettävissä koska nettisivu clonehelper skriptiin on poissa käytöstä.

Asetukset voi kuitenkin helposti asettaa PuTTY ohjelmalla SSH yhteyden yli…varsinkin jos asetuksen on jo valmiiksi kirjattu ylös. SSH palvelimen saa VyOS:a käyttöön antamalla määritystilassa (configure) komennon set service ssh. Tämän jälkeen voidaan muodostaa yhteys VyOS:n ja leikepöydän avulla liittää määritykset suoraan config/config.boot tiedostoon.

On myös mahdollista määrittää VyOS, skriptissä olevien komentojen avulla.

1. luodaan esim. asetukset.sh niminen tiedosto ja avataan ko. tiedosto nano asetukset.sh

2. liitetään komennot PuTTY ohjelman avulla komennot em. tiedostoon.

3. tallennetaan tiedosto ja suljetaan Nano

4. annetaan asetukset.sh tiedostolle suoritusoikeudet sudo chmod u+x

5. suoritetaan tiedosto sudo ./asetukset.sh

Valmiin skriptin voi ladat TÄÄLTÄ

Ohjeet ja latauslinkit

VyOS reitittimen voit ladata TÄÄLTÄ

Lisätietoa ja oppaan löydät TÄÄLTÄ

HUOM

Tarvittaessa (esim. jos halutaan vaihtaa dhcp:ä kiinteään ip-osoite määrityksen) ip-osoitteet voidaan määrittää suoraan esim. nano ohjelmalla  /config/config.boot. määritystiedostoon. Asetuksia voidaan muuttaa esim. nano ohjelmalla. Komento sudo nano config/config.boot avaa tiedoston nano ohjelmaan.
Jos asetukset määritetään config.boot tiedostoon, tulevat asetukset voimaan vasta VyOS:n uudelleen käynnistyksen jälkeen. On siis tärkeää että VyOs käynnistetään uudelleen config.boot tiedoston määrittämisen jälkeen.

HUOM

Jos asetukset määritetään suoraan config.boot tiedostoon tulee huomata että commit ja save komentoja ei tarvita vaan asetukset tulevat käyttöön seuraavassa bootissa. Itseasiassa save komento jopa pilaa config.boot tiedoston muokkauksen koska se kirjoittaa muistissa olevat asetukset takaisin config.boot tiedostoon nollaten näin tehdyt muokkaukset.

Tarvittaessa VyOS ympäristössä voidaan ottaa käyttöön suomalainen näppäimistö asettelu.

1. Otetaan ensin käyttöön suomalainen näppäimistö komennolla set console keymap
   
   
2. Please select the model of the keyboard of this machine: Enter
   
   
3. Please select the layout matching the keyboard for this machine: Other –> Finland
   
   
4. Configure keyboard-configuration: Finland
   
   
5. Configuring keybaord-configuration: The default for the keyboard layout
   
   
6. Configuring keybaoard-configuration: No compose key
   
   
7. Käynnistetään VyOS uudelleen: reboot

AppLocker

Yleistä

AppLocker on Windowsin ominaisuus, jonka avulla voidaan hallita loppukäyttäjien sovellusohjelmien suorittamista. Ominaisuuden avulla voidaan mm. sallia tai evätä esim. .exe -tiedostojen, skriptien, Windows Installer -tiedostojen tai DLL:n käyttö. AppLocker esiteltiin Windows 7 Enterprise versiossa. AppLocker laajentaa jo aiemmin käytössä ollutta Software Restriction ominaisuutta.

Software Restriction ominaisuus toimii ns. Black listing periaatteella eli ohjelmat ovat oletusarvoisesti sallittuja, ellei niitä erikseen Software restriction politiikan avulla kielletä. Applocker toimii White listing periaatteella, eli sovellukset ovat oletusarvoisesti kiellettyjä, ellei niitä AppLocker sääntöjen avulla sallita.

Applocker on tuettu seuraavissa Windows versiossa

- Windows 7 Enterprise, Ultimate

- Windows 8/8.1 Enterprise

- Windows 10 Enterprise, Education

- Windows Server 2012, 2012 R2, 2016

AppLockerin avulla on mahdollista estää myös sellaisten sovellusten käyttö/asentaminen jotka asentuvat ilman järjestelmänvalvojan oikeuksia esim. käyttäjän profiilikansioon. (esim. Firefox selain)

On myös huomioitava, että AppLockerin tehokas käyttö edellyttää, että käyttäjillä ei ole käytössään Järjestelmänvalvojien oikeuksia. Järjestelmänvalvojan oikeuksilla on mahdollista suorittaa ohjelmakoodia Kernel-tilassa, jolloin AppLockerin käyttö on mahdollista estää.

Applockerin avulla voidaan AppLocker sääntöjen avulla hallita, mitä ohjelmia käyttäjät voivat suorittaa. Sovelluksen suorittaminen hyväksytään (tai kielletään) joko sen julkaisijan, sen tiedosto sijainnin tai tiedoston tarkistussumman perusteella.

Sääntöihin voidaan lisätä poikkeuksia jolloin esim. tietyssä kansiorakenteessa olevan alikansion sisältämien sovelluksien suorittaminen on sallittu, vaikka kansiorakenteen muissa kansiossa olevien sovelluksien suorittaminen kielletäänkin.

Käyttöönotto

Applocker edellyttää, että työasemissa on käynnissä Application identity (AppIDSvc) palvelu. Palvelun voi käynnistää esim. ryhmäkäytännön avulla.

Application identity / Sovellustiedot palvelun käyttöönottaminen:

Luo tarvittaessa uusi ryhmäkäytäntö AppLocker omaisuutta varten esim. AppLocker asetukset nimisenä.

Avaa Ryhmäkäytäntö -editori ja siirry kohtaan Computer Configuration\Windows Settings\Security Settings.

Avaa Application identity ja aseta se käynnistymään automaattiesti

HUOM: Windows 10 käyttöjärjestelmän aiemmissa versiossa oli ongelma joka saattoi estää Application Identity palvelun automaattisen käynnistämisen ryhmäkäytännöllä. Versiosta 1703 alkaen ongelmaa ei kuitenkaan ole.

Palvelun pystyy ongelmallisissa Windows 10 työasemissa käynnistää komennolla sc config appidsvc start= auto

Komento voidaan ajaa työasemissa esim. startup -skriptin avulla.

Varmista että ryhmäkäytäntö pakottaa Application identity / Sovellustiedot palvelun käynnistymään.

Avaa em. Ryhmäkäytäntöobjekti ja siirry sijaintiin Computer – Configuration – Windows Settings – Security Settings – Application Control Policies – AppLocker. Valitse Properties.

Enforcement asetus vahvistaa juuri tässä ryhmäkäytäntöobjektissa olevat asetukset käyttöön tilanteessa jossa sama määritys on asetettu eri tavalla, useammassa kuin yhdessä ryhmäkäytäntöobjektissa.

Enforcement välilehdellä voidaan erikseen asettaa sääntöjen vahvistus (Enforce, Audit only) suoritettaville tiedostoille, asennuspaketeille, skripteille ja Universal sovelluksille.
Aseta Enforcement asetus käyttöön Suoritettaville tiedostoille (Executable rules) ja Universal sovelluksille (Packaged app Rules)

HUOM: Valinta Audit only ei aseta sääntöä voimaan vaan ainoastaan ilmoittaa säännön toiminnasta Tapahtumienvalvonnassa (Application and Services Logs – Microsoft – Windows – Applocker)

Luo seuraavaksi oletussäännöt suoritettaville tiedostoille. Napsauta hiirellä Executable Rules päällä ja valitse pikavalikosta Create Default Rules. Komento luo alla näkyvässä kuvassa olevat kolme oletusarvoista sääntöä suoritettaville tiedostoille.

Edellä luotuihin oletussääntöihin voidaan luoda poikkeuksia tuplanapsauttamalla haluttua sääntöä. Sääntöön tulevat poikkeukset luodaan esille avautuneen Allow Properties ikkunan Exceptions välilehdeltä. Oletussäännöt kannattaa luoda koskemaan myös .msi (Windows Installer) ja .appx (Packaked app Rules) tyyppisiä tiedostoja.

HUOM: Vältä luomasta yksittäisiin tiedostoihin ja hash-arvoihin perustuvia sääntöjä koska niiden hallinnointi ja aktiivinen ylläpitäminen on huomattavan vaikeaa. Pysyttele siis tiedostosijaintiin perustuvissa eli Path tai varmenteisiin perustuvissa eli Certificate säännöissä.

 

Ohjelman asentaminen halutaan estää kuitenkin kaikissa tilanteissa.

Lataa Mozilla Firefox selaimen asennuspaketti ja kokeile sen asentamista työasemassa johon AppLocker ryhmäkäytännön asetukset on otettu käyttöön.

Varmista että edellä luotu AppLocker ryhmäkäytäntö on määritetty käyttöön työasemassa oletus säännöin (Default Rules). Kokeile käynnistää Mozilla FireFox ohjelman asennus.

Oletussääntöjen täydentäminen

Oletussääntöjä joudutaan yleensä kuitenkin täydentämään muilla AppLocker säännöillä ja mahdollisesti myös oletussääntöihin lisättävillä poikkeuksilla.

Selvitetään ensin, onko työaseman paikallisella Käyttäjät (Users) ryhmällä kirjoitusoikeuksia johonkin C:\Windows kansion alikansioon. Jos käyttäjät pystyvät kopioida suoritettavan tiedoston johonkin Windows kansion alikansioon, saavat he sitä kautta oikeuden suorittaa kyseisien tiedoston tästä kansiosta (vrt. Mozilla Firefox ohjelma)

Lataa Sysinternals AccessChk ohjelma jolla edellä mainittu tarkistus voidaan suorittaa. Sijoita sovellus esim. C:\Temp kansioon.

Avaa järjestelmänvalvojan komentokehote tai PowerShell ikkuna ja anna komento: C:\Temp\accesschk -w -s Käyttäjät C:\Windows

Accesschk tulostaa näytölle ne Windows kansion alikansiot johon Käyttäjät ryhmällä on kirjoitusoikeus. Nämä kansiot ovat C:\Windows\Temp ja C:\Windows\tracing

Sama komento voidaan kohdentaa myös ”C:\Program Files” kansioon.

Ohjelman löytämät kansiot tulee asettaa poikkeuksina AppLocker oletussääntöihin.

Avaa Ryhmäkäytäntöeditorin avulla edellä luotu AppLocker asetukset ryhmäkäytäntö. Avaa oletussääntö joka sallii kaikkien (Everyone) suorittaa ohjelmia Windows kansiosta. Siirry em. säännön Exceptions välilehdelle ja lisää seuraavat poikkeukset:

C:\Windows\temp\*
C:\Windows\tracing\*

Muutoksen jälkeen käyttäjät eivät voi lisätä ohjelmia em. kansioihin (ja tämän jälkeen suorittaa niitä sieltä)

Julkaisija tietoon perustuvat (Publisher) säännöt

Publisher tyyppisien sääntöjen avulla voidaan sovelluksen suorittaminen estää ohjelman julkaisijan nimen perusteella. Valittavissa ovat seuraavat vaihtoehdot:

Any Publisher: Sovelluksen suorittaminen sallitaan, olipa julkaisija mikä/kuka tahansa

Publisher: Sovelluksen suorittaminen sallitaan Publisher kentässä olevan tiedon perusteella. Oikea tieto voidaan hakea selaamalla halutun julkaisijan .exe tyyppiseen tiedostoon.

Product Name: Sovelluksen suorittaminen sallitaan Product Name kentässä olevan sovelluksen nimen perusteella.

File Name: Sovelluksen suorittaminen sallitaan Product Name kentässä olevan tiedoston nimen perusteella.

File version: Sovelluksen suorittaminen sallitaan File Version kentässä olevan tiedoston versiotiedon perusteella.

Any Publisher rajoitus ei siis käytännössä rajoita sovelluksen käynnistämistä ollenkaan (kaikki varmenteella varustetut sovellukset sallitaan), kun taas File version asetuksen avulla sovelluksen käynnistäminen voidaan rajata versiokohtaisesti.

Verkkolevyasemien (levylinkkien) lisääminen sallittuihin sijainteihin.

Jossain tilanteissa käyttäjien on pystyttävä suorittamaan sovelluksia verkkosijainneista. Tällöin olemassa oleviin sääntöihin on lisättävä poikkeus, joka sallii sovelluksien suorittamisen verkkosijainnista. On huomattava, että ensin tulee jakamisen/ntfs oikeuksin kieltää käyttäjiä lisäämästä tiedostoja ko. sijaintiin. Tällä tavalla estetään käyttäjiä suorittamasta ko. sijainnista muita kuin ns. hyväksyttyjä sovelluksia.

Säännöt lisätään seuraavasti

Avaa edellä luotu AppLocker asetukset niminen ryhmäkäytäntö ja lisää sääntö Executable Rules alle.

Määritä Conditions kohdassa Path kenttään levyasematunnus josta haluta sallia sovellusten suorittamisen. On huomioitava, että on luotava erikseen sääntö jokaiselle tavalle, jolla kyseistä jaettua kansiota voidaan kutsua (kts. alla näkyvä kuva)

Muuta huomioitavaa

Pysyttele path ja publisher säännöissä. Älä kiellä sovellusta toimimasta tiedostonimen vaan tiedostosijainnin perusteella. Esimerkiksi File hash tyyppisen sääntö olisi päivitettävä joka kerta kun kyseinen tiedosto päivittyy. File hash tyyppinen sääntö on tätä työläs ylläpidettävä.

HUOM: Applocker ei ”ymmärrä” järjestelmämuuttujia joten esim. jos halutaan sallia Netlogon (%logonserver%) jaosta tapahtuva ohjelmien suorittaminen, on palvelimet erikseen sallittava AppLocker säännön avulla käyttäen palvelimien Netbios -nimiä.

Erityiskiitokset Sami Laiholle loistavasta aiheeseen liittyvästä materiaalista Pluralsight sivustolla.

User Experience Virtualization (UE-V)

User Experience Virtualization ominaisuuden avulla voidaan siirtää käyttäjien käyttäminen sovellusten asetuksia työasemista toiseen. Sovellusasetusten siirtäminen vaatii toimiakseen Windows Server palvelimen ja Windows käyttöjärjestelmän. Ominaisuus siirtää myös Windows käyttöjärjestelmän asetuksia kuten Työpöytä- ja helppokäyttöisyys asetuksia sekä verkkotulostimia. Oletusarvoisesti siirretään vain Microsoft sovellusten asetuksia mutta myös muiden sovellusten asetusten siirtäminen on mahdollista kunhan vain kyseiselle sovellukselle luodaan ns. sovellusasetusmalli sitä varten tarkoitetulla ohjelmalla. UE-V:n viimeisin erikseen julkaistu versio on tätä kirjoitettaessa 2.1

Aiemmin UE-V käyttäminen edellytti Microsoft Desktop Optimazation Pack (MDOP) pakettia joka yleensä sisältyi ainoastaan Software Assurance sopimuksiin. Alkaen Windows 10 versiosta 1607 UE-V kuitenkin sisältyy suoraan ominaisuutena Windows 10 käyttöjärjestelmään. Aikaisemmin työasemiin asennettava UE-V asiakasohjelmisto on korvautunut UE-V palvelulla. Lisäksi UE-V:n tarvitsemat ryhmäkäytäntömallit sisältyvät nyt suoraan käyttöjärjestelmään.

Sovellusasetusten siirtäminen perustuu sovellusasetusmalli- (.xml) tiedostoihin joihin on tallennettu siirrettävien sovellusten rekisterimerkinnät ja tiedostosijainnit. Sovellusmallien sisältämien tietojen perusteella luodaan ns. sovellusasetuspaketit jotka sisältävät varsinaiset siirrettävät sovellustiedot. Nämä sovellusasetuspaketit tallennetaan varastokansioon joka voi olla käyttäjän oma kotikansio tai joku muu verkossa oleva  jaettu kansio.

Sovelluksen käynnistyessä sovellusasetuspaketti (.pkgx) ladataan työasemaan (%appdata% kansio)  ja asetukset asetetaan sieltä sovellukseen. Jos sovelluksen asetuksia muutetaan, muuttuneet asetukset tallennetaan asetuspakettiin kun sovellus suljetaan. Asetusten lataaminen ja lukeminen voi hidastaa sovelluksen käynnistymistä jonkin verran, ei kuitenkaan merkittävästi.

Windows 10 1607 käyttöjärjestelmästä alkaen UE-V:n käyttöönottamien on melko vaivatonta, varsinkin jos sovellusasetuspaketteja säilytetään käyttäjien omassa työ-/kotikansiossa. UE-V toimii ainoastaan Windows 10 Enterprise ja Education versioissa.

HUOM:Tätä kirjoitettaessa (5.9.2017) Windows Server 2016 mukana tuleva UE-V ryhmäkäytäntöpohja (UserExperienceVirtualization.admx) osoittaa “väärään" rekisterisijaintiin Windws 10 1703 (10.0.15063) työasemassa. Windows 10 1703 versiossa UEV palvelun käynnistävä rekisteriasetus sijaitsee rekisteriavaimessa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\UEV\Agent.. Server 2016 käyttöjärjestelmän mukana tuleva .admx tiedosto osoittaa kuitenkin rekisterisijaintiin  Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\UEV\Agent. 

Ongelma voidaan korjata korvaamalla Server 2016 palvelimella oletuksena oleva  UserExperienceVirtualization.admx Windows 10 työaseman vastaavalla tiedostolla. Vaihtoehtoisesti voidaan käyttää myös Windows 10 1703 versiota varten tehtyä UEV ryhmäkäytäntöpohjaa. On huomattava että myös .admx tiedostoa vastaava .adml tiedosto (UserExperienceVirtualization.adml) on kopioitava vastaavaan käytettävän kielen mukaiseen kansioon (esim. en-US).

Yllä näkyvä kuva Microsoftin UE-ohjeesta

Käyttöönottaminen yleisellä tasolla

HUOM: Tässä esimerkissä käydään läpi UE-V:n käyttöönottaminen Windows 10 1703 versiota käyttäen.

1. Otetaan UE-V ominaisuus käyttöön ryhmäkäytäntöasetusten avulla

2. Rekisteröidään tarvittavat sovellusasetusmallit.

3. Tarkastetaan asetusten siirtyminen työasemasta toiseen.

UE-V käyttöönottaminen ryhmäkäytännön avulla

Tässä esimerkissä toimialueelle on luotu uusi UE-V niminen ryhmäkäytäntöobjekti johon tarvittavat UE-V asetukset määritetään. UE-V asetukset sijaitsevat kohdassa Computer Configuration – Administrative Templates – Windows Components – Microsoft User Experience Virtualization

Tässä esimerkissä sovellusasetuspaketit säilötään käyttäjän omaan työkansioon jolloin sovellusasetuspakettien säilytyssijaintia ei erikseen tarvitse määrittää. Käyttäjän työkansioon luodaan piilotettu SettingsPackages kansio jonka avulla asetukset synkronoidaan työasemasta toiseen .pkgx päätteisinä tiedostona (esim. MicrosoftWordpad6.pkgx). Jos halutaan käyttää erillistä kansiota, tulee käytettävän kansion sijainti asettaa kohdasta Settings storage path.

Sovellusasetusten säilyttämisen käytettävän kansion käyttöoikeuksien tulee olla alla näkyvien taulukkojen tietojen mukaiset

Kansion jakamisen oikeudet

NTFS oikeudet

Tässä esimerkissä ei siis kutenkaan määritettä erilistä kansiota sovellusasetusten säilyttämiseen vaan käytetään käyttäjien omaa työkansiota. Tämä saadaan aikaan jättämällä Settings storage path määritys oletusasetuksiin (Not Configured).

Käyttöönottaminen tapahtuu  Enable UEV ryhmäkäytäntöasetuksella. Enable UEV ryhmäkäytäntöasetus löytyy koneasetusten puolelta kohdasta Computer Configuration - Administrative Templates – Windows Components – Microsoft User Experience Virtualization

Valinta Auto-register inbox templates rekisteröi käyttöön Windows 10 mukana tulevat sovellusasetusmallit kansiosta C:\ProgramData\Microsoft\UEV\InboxTemplates

Asetuksia on  itse asiassa kaksi kappaletta: Enable UEV niminen asetus on tarkoitettu ottamaan käyttöön UE-V Windows 10 1607 ja uudemmissa Windows 10 versioissa (Enterprise ja Education) joissa käytössä on UE-V palvelu. Asetus Use User Experience Virtualizaton (UE-V) on tarkoitettu vanhempiin Windows käyttöjärjestelmiin joihin on asennettava UE-V asiakasohjelmisto MDOP paketista.

Työseman päästä UE-V päälle asettumisen voi tarkastaa esim. PowerShell konsolista komennolla Get-UevStatus

Inbox sovelluasetusmallien rekisteröinnin voi tarkastaa PowerShell komennolla Get-UevTemplate

Sovellusasetusmallit ja niiden rekisteröinti

Sovellusasetusmalleihin on määritetty tieto sovelluskohtaisista asetuksista ja niiden sijainnista työasemassa. Windows 10 1607 versiosta lähtien Microsoft ohjelmien sovellusasetusmallit sisältyvät suoraan Windows 10 käyttöjärjestelmään. Mallit sijaitsevat kansiossa “C:\ProgramData\Microsoft\UEV\InboxTemplates” Kaikille Microsoft sovelluksille malleja ei ole vaan mallit on tehty valmiiksi yleisimmille Microsoft sovelluksille kuten Microsoft Office tuotteille. Muille sovelluksille mallit on tehtävä itse Microsoft ADK paketista löytyvän “Microsoft User Experience Virtualization (UE-V) Template Generator" ohjelmalla.

HUOM: Tätä kirjoitettaessa (6.9.2017) ns. inbox sovellusasetusmallit eivät rekisteröidy käyttöön vaikka Auto-register inbox templates valinta olisikin asetettu. Mallit täytyy rekisteröidä käyttöön erikseen työasemanpäästä (tai skriptillä) komennolla Register-UevTemplate -Path "C:\ProgramData\Microsoft\UEV\InboxTemplates\Microsoft*.xml" Komento rekisteröi käyttöön kaikki ko. kansiossa olevat sovellusasetusmallit.

Vaihtoehtoisesti inbox sovellusasetusmallit voidaan kopioida työaseman C:\ProgramData\Microsoft\UEV\InboxTemplates  kansiosta palvelimella olevaan jaettuun jaettuun kansioon ja määrittää mallit ladattavaksi tästä kansiosta  Computer Configuration\Administratrive Templates\Windows Components\Microsoft User Experience Virtualization\Settings template catalog path ryhmäkäytäntöasetuksen avulla.

Tässä esimerkissä rekisteröidään käyttöön inbox sovellusasetusmalli Wordpad ohjelmalle komennolla: Register-UevTemplate -Path "C:\ProgramData\Microsoft\UEV\InboxTemplates\MicrosoftWordpad.xml"

UE-V toiminnan testaaminen

Käyttöönoton jälkeen toimitaa testataan uev-user nimisenä käyttäjänä. Kirjaudutaan kyseisenä käyttäjänä työasemaan WKS-01 ja käynnistetään Worpad ohjelma. Muutetaan Wordpad ohjelman asetuksia esim. View välilehdeltä. Sammutetaan ohjelma jonka jälkeen muutetut asetukset tallennetaan sovellusasetusten oletuskansioon käyttäjän työhakemistoon.

Kun kirjaudutaan uev-user nimisenä käyttäjänä työasemaan WKS-02. Käynnistetään Wordpad ohjelma jolloin UE-V kopioi muuttuneet sovellusasetukset  kansioon C:\users\uev-user\AppData\Local\Microsfot\UEV\LocalSyncFolder\SettingPackages\Wordpad6 Kun Worpad ohjelman käynnistetään, voidaan huomata että Wordpad ohjelman asetukset ovat kopioituneet työasemaan WKS-02

UE-V käyttöönottaminen PowerShellin avulla

UEV voidaan ottaa käyttöön myös PowerShellin avulla. Komento Enable-UEV määrittää ominaisuuden käyttöön.

Komennon Get-UEVStatus avulla voidaan tarkastaa UE-V ominaisuuden voimaan asettuminen.

Komennot Get-UevConfiguration ja Get-UevConfiguration –Details

Get-UevTemplate komento näyttää rekisteröidyt sovellusasetusmallit

Tarvittavat mallit voidaan rekisteröidä komennolla Register-UevTemplate –Path “polku rekisteröitäviin sovellusasetusmalleihin” Windows 10 käyttöjärjestelmässä mallit on siis tallennettu oletusarvoisesti kansioon C:\ProgramData\Microsoft\UEV\InboxTemplates. Komento kaikkein kyseisessä kansiossa olevien mallien rekisteröimiseksi olisi siis Register-UevTemplate -Path "C:\ProgramData\Microsoft\UEV\InboxTemplates\Microsoft*.xml"

UE-V:n hallintaan liittyvät PowerShell komennot löytyvät täältä.

Lisää User Experience Virtualization ominaisuudesta voi lukea Microsoftin sivuilta jotka löytyvät täältä.

Windows Configuration Designer

Windows 10 käyttöjärjestelmässä (mikä tahansa versio mukaan lukien mobiili) voidaan työaseman määrityksiä, kokoonpanoa ja asetuksia muuttaa Windows Configuration Designer ohjelmistolla tehtyjen .ppkg (WIM container) valmistelupakettien avulla. Tätä kutsutaan provisionniksi/varustamiseksi (provisioning) valmistelupaketit mahdollistavat Windows 10 käyttöjärjestelmän mukauttamisen “lennossa” ilman että käyttöjärjestelmää tarvitsee asentaa uudelleen levykuvasta/imagesta. Valmistelupaketissa olevien asetusten lukemisesta ja voimaan asettamisesta vastaa Windows 10  käyttöjärjestelmässä oleva provisiointimoottori (Provision Engine). valmistelupakettija voi siis käyttää ainoastaan Windows 10 käyttöjärjestelmän asetusten määrittämiseen.

Valmistelupaketti luodaan Windows Configuration Designer ohjelmalla ja jaellaan työasemaan usb-laitteen tai muistikortin yms. avulla. Tiedosto voidaan  ladataan työasemaan myös verkkosijainnista tai vaikkapa sähköpostin liitetiedostona.

Windows Configuration Designer ver. 1703 saa asennettua joko Assasment and Deployment Toolkit paketista tai Windows Kaupasta.

Huom: aiemmin ohjelmaa kutsuttiin Windows Imaging and Configuration Designer. Windows versiosta 1703 alkaen ohjelmasta poistettiin kaikki levykuvien luomiseen liittyvät toiminnot ja ohjelman nimi muuttui Windows Configuration Designeriksi. Samalla ohjelmasta poistettiin ns. koulukoneiden määrittäminen ja ko. toiminto siirrettiin omaan Setup School PC ohjelmaan.

Valmistelupakettit mahdollistavat mm. seuraavien asetusten muuttamisen:

• netbios nimen asettaminen
• WLAN verkon määrittäminen
• AD toimialueelle liittäminen
• azure AD:n ja Intune hallinnan piiriin liittäminen
• varmenteiden asentaminen
• sovellusohjelmien asentaminen ja poistaminen
• Win32 skriptien ja PowerShell skriptien suorittaminen
• Käynnistä-valikon ulkoasun määrittäminen

Valmistelupaketteja voidaan ottaa käyttöön työasemissa seuraavasti

• SD-kortilta tai USB-laitteelta
• sähköpostin liitteenä
• jaetusta kansiosta
• NFC tagillä tai viivakoodin avulla

Jo asennetusta Windowsista käsin:

• Windowsin asetuksista käsin (Toimintokeskus - Tilit - Käytä työpaikan tai koulun resursseja - Lisää tai poista valmistelupaketti)
• Valmistelupakettia tuplanapsauttamalla

Kesken asennusta DVD, CD-levyltä SD-kortilta tai USB-laitteelta (mobiililaitteissa NFC)

• Asennuksen OOBE/First Run Wizard vaiheessa 5 kertaa Windows nappia painamalla

Offline levykuvaan (image)

• Komennolla Dism /image C:\ /Add-ProvisioningPackage /PackagePath:paketti.ppkg

Huom: ennen em. komentoa levykuva on liitettävä levyjärjestelmän kansioon komennolla Dism /Mount-Wim /WimFile:C:\levykuva.wim /MountDir: C:\Mount index:1

Huom: Valmistelupakettien avulla työasemaa ei voida liittää System Center Manager järjestelmän hallintaan

Valmistelupaketti (.ppkg) sisältää käyttöjärjestelmän asetusten muuntamiseen tarvittavat tiedot, valmistelupaketi metadatan sekä tarvittavat .xml kuvaukset. Metadata pitää sisällään myös valmistelupaketin arvojärjerjestyksen liittyvän tiedon. Koska samaan laitteeseen voidaan kohdistaa toimenpiteitä useammasta valmistelupaketista siten että niissä on päällekkäisiä ja ristiriitaisia asetuksia, täytyy valmistelupaketit arvottaa jollakin tavalla. Valmistelupaketissa käytetään ns. omistaja tietoa (owner type) sekä  ns. arvotietoa (rank) näiden ongelmatilanteiden ratkaisussa. Valmistelupakettien omistajat vähiten tärkeimmästä tärkeimpään ovat:

1. Microsoft
2. Silicon Vender
3. OEM
4. System Integrator
5. Mobile Operator
6. IT Admin

Kussakin paketissa olevat arvot voivat lisäksi saada tärkeysarvon välillä 0 - 99. Tilanteessa jossa sama asetus on määritetty eri tavalla kahdessa eri valmistelupaketissa, jää voimaan sen valmistelupaketin arvo jonka omistajatieto on suurempi. Jos pakettien omistajatieto on sama, jää voimaan arvo jonka tärkeysarvo on asetettu suuremmaksi.

Valmistelupaketteja voi olla useita niin että kuhunkin tarkoitukseen (esim. päätelaitteen tyyppi tai maa jossa laite sijaitsee) on oma valmistelupakettinsa. On myös mahdollista luoda ns. Multivariant tyyppinen valmistelupaketti johon on tallennettu kaikissa päätelaitetyypeissä tarvittavat asetukset. Eri asetukset otetaan käyttöön tarpeen mukaan riippuen siitä minkä tyyppisessä päätelaitteessa valmistelupaketti suoritetaan. Multivariaant tyyppiset valmistelupakettit luodaan Windows Configuraton Designerin komentokehotteen avulla.

Valmistelupakettien ja sen kautta tehtäviin asetuksiin (sekä Mobile Device Management ominaisuuteen yleensä)  liittyvät olennaisesti myös Configuration Service Providerit (CSP) CSP on rajapinta joka mahdollistaa asetuksen lukemisen, muuttamisen ja mahdollisesti myös sen poistamisen. CSP:ä käytetään hyväksi myös mm. Microsoft Intunen sekä System Center Configuration Manager ohjelmistojen hallintaominaisuuksissa. Työsemissa olevat asetukset luetaan WMI:n avulla ja ns. WMI-to-CSP silta välittää WMI rajapinnan avulla luetut asetukset CSP:e ja sitä kautta esim. Intunen tai SCCM:n kaltaisille hallintajärjestelmille. Microsoft on siirtymässä päätelaitteiden hallinnassa ryhmäkäytännöistä (group policy object) vähitellen MDM säännöstöihin (Compliance Policy) jotka käyttävät CSP:ä edellä kuvatulla tavalla asetusten voimaaan saattamiseen.

Valmistelupaketti etsitään automaattisesti tietyissä määritysteidostojen laukaisutilanteissa (triggers). Näitä tilanteista ovat esim. järjestelmän käynnistys, asennuksen OOBE vaihe, käyttäjän lisääminen, järjestelmänvalvojan lisääminen, käyttäjän kirjautuminen tai järjestelmän päivittäminen. valmistelupakettissa olevia asetuksia suoritetaan eri laukaisutilanteissa, riippuen muutettavista asetuksista. Esimerkiksi OOBE vaiheessa käsitellään suojaukseen, sovellusohjemien asentamiseen, verkkoasetuksiin, MDM liittymiseen ja toimialue määrityksiin liittyviä asetuksia. Ennen asetusten määrittämistä valmistelupaketti kopioidaan %ProgramData%\Microsoft\Provisioning kansioon.

Valmistelupaketti voidaan suorittaa myös käsin. Valmistelupakettin suorittaminen manuaalisesti vaatii järjestelmänvalvojan oikeudet. Lisäksi valmistelupaketti voidaan salakirjoittaa ja varustaa varmenteella. Tällöin valmistelupaketti on myös salasanalla varmistettu.

Valmistelupaketteja voidaan lisäksi poistaa ja ottaa käyttöön Toimintokeskus - Tilit - Käytä työpaikan tai koulun resursseja - Lisää tai poista valmistelupaketti

Windows Configuration Designer ohjelma

Windows Configuration Designer ohjelma jolla valmistelupaketti tuotetaan voidaan asentaa joko Windows kaupasta (Windows Store) tai Assasment and Deployment Toolkit (ADK) ohjelmistopaketin yhtenä osana. Kaupasta hankittava ohjelmisto on saatavissa ainoastaan englanninkielisenä.

 

Huom: Jos Windows Configuration Designer ohjelmaa on tarkoitus suorittaa Windows Server käyttöjärjestelmässä tulee Internet Explorer selaimen asetuksia muuttaa seuraavasti: Settings > Internet Options > Security -> Custom level > Allow websites to prompt for information using scripted windows, - Enable.

Valmistelupaketin luominen Windows Configuration Designer ohjelman avulla

Valmistelupaketin luodaan Windows Configuration Designer ohjelman avulla.

Huom: Jos ohjelma on asennettu ADK paketista, on pikakuvake edelleen virheellisesti nimetty Windows Imaging and Configuration Designer nimiseksi.

Valmistelupaketin luominen käynnistetään valitsemalla ohjelman pääikkunasta haluttu valmistelupaketin tyyppi. Valmistelupaketteja voidaan luoda eri tyyppisiin tilanteisiin (työasemat, kioskityöasemat, mobiililaitteet, Surface Hub laitteet, Edistynyt/Mukautettu valmistelupaketti)

Tässä esimerkissä luodaan valmistelupaketin perinteisen työaseman mukauttamiseen jolloin valitaan vaihtoehto Provision desktop devices.

Valinta käynnistää uuden projektin joka nimetään, kuvataan ja tallennetaan haluttuun sijaintiin.

Määritetään työaseman nimi, mahdollisesti aktivointiin käytettävä tuoteavain, työaseman jaetun käytön päälle/pois asettaminen, jo asennettujen ohjelmistojen poistaminen.

Huom: Työaseman nimessä on nyt mahdollista käyttää satunnaisia merkkejä tai yhdistää nimeen työaseman sarjanumero. Jaettu käyttö on Windows 1607 version mukana tullut ominaisuus joka mahdollistaa kirjautumisen päätelaitteeseen ilman olemassa olevaa käyttäjätunnusta (guest access). Lisäksi työasemaan kirjautuneiden toimialue käyttäjätunnusten käyttäjäprofiilikansiot poistetaan päätelaitteesta heti uloskirjautumisen jälkeen (tai asetuksissa asetetun määräajan puitteissa).

Huom: Asetus Remove pre-installed software aiheuttaa käytännössä työaseman Reset toiminnon.

Määritetään langattoman verkon asetukset tai kytketään langattoman verkon asetukset pois käytöstä. Jos asetus kytketään pois päältä oletetaan että langallinen verkko on käytettävissä.

Määritetään paikallisen Active Directory toimialueen tai Azure Active Directory toimialueen nimi ja toimialueelle lisäämiseksi vaadittava käyttäjätunnus.

Huom: Edellisessä esimerkissä on käytetty toimialueelle liittämiseen Administrator tunnusta, mutta tuotantoympäristössä tulee käyttää jotain muuta kuin ylläpitäjän tunnusta. Hyvä vaihtoehto on luoda toimialueelle liittämistä varten aivan oma käyttäjätunnuksensa.

Lisätään ja määritetään mahdolliset valmistelupakettiin mukana tulevat sovellusohjelmat. Sovellus voi olla joko perinteinen työpöytäsovellus (desktop app) tai Universal Windows Platform (UWP) sovellus.

Tässä esimerkissä valmistelupakettiin lisätään 7-zip sovellus . Sovelluksen asennus paketti on Microsoft Installer tyyppinen (.msi) jolloin sovelluksen automaattiseksi asentamiseksi tarvittavat parametrit määritetään automaattisesti.

Lisätään (Add an Application) valmistelupaketti Mozilla Firefox. Jos ohjelman asennuspaketti on .exe päätteinen, täytyy ohjelman automaattisen asentamisen parametrit selvittää erikseen ja lisätä ne sovellusohjelman asennuksen suorittavaan komentoon. Firefox asennetaan automaattisesti valitsimella /s tai -ms .

Tässä esimerkissä lisätään (Add an Application) viimeiseksi Universal Windows Platform (UWP) tyyppinen demosovellus Family Notes

.

Sovellukseen toimintaan mahdollisesti liittyvät liitännäistiedostot on niin ikään esiteltävä Required appx depencies valinnan avulla. UWP sovelluksen vaatima varmenne lisätään seuraavassa vaiheessa.

Huom: Sovellus on ainoastaan demo UWP tyyppisestä sovelluksesta. Muita UWP tyyppisiä sovelluksia on ladattavissa tältä sivustolta. Sovellukset on käännettävä Visual Studion (ilmainen kokeiluversio tai ilmainen Community versio)  avulla suoritettavaan muotoon.

Huom: Sovellusten asennuksen järjestystä voi muuttaa yksinkertaisesti muuttamalla hiirellä sovellusten järjestystä ICD ikkunassa.

UWP sovelluksen asentaminen vaatii vielä ns. Sideloading ominaisuuden päälle asettamista ja sovellukseen liittyvän varmenteen asentamista. Nämä asetukset voidaan tehdä ns. Advanced editor tilassa. Tällöin esille avautuvat kaikki määritettävissä olevat asetukset

Huom: Advanced Editor tilaan siirtymisen jälkeen pakettia ei enää voi avata Simple Editor tilassa.

Sideloading joka käytännössä tarkoittaa UWP sovellusten asentamista muulla tavoin kuin Windows Kaupasta on asetettu jo valmiiksi päälle. Asetus on kohdassa Common IT Pro settings - Policies - Application Management – AllowTrustedApps

Kohdassa Common IT Pro settings - Certificates - RootCertificates, lisätään ensin varmenteen nimi ja lisätään se Add painikkella. Tämän jälkeen kohdassa  Common IT Pro settings - Certificates - RootCertificates - CertificateName:FamilyNotes - Certificate path lisätätään polku UWP sovelluksen edellyttämään varmenteeseen. (.cer). Selataan Browse painikkeella sovelluksen varmenteeseen ja liitetään se Open painikkeen avulla.

Lopuksi valmistelupaketti tallennetaan Export - Provisioning package toiminnon avulla. Valmistelupaketti on mahdollista suojata salasanalla ja varmenteella. valmistelupakettille on tässä vaiheessa mahdollista asettaa Owner määritys sekä Rank arvo. Asetusten avulla valmistelupaketin ensisijaisuutta suhteessa toisiin valmistelupakettiihin voidaan mukauttaa. Alla olevassa kuvassa määritetty IT Admin ohittaa kaikki muut pakettien omistajatyppit (Microsoft, Silicon vendor yms.) mikäli paketeissa on samoja asetuksia.

 

Valmistelupaketti on nyt valmis käytettäväksi.

Valmistelupaketin jakelu työasemaan

Edellä luotu valmistelupaketti on nyt käyttöönotettavissa Windows 10 työasemassa. Valmistelupaketti voidaan ottaa käyttöön joko käyttöjärjestelmän asennuksen OOBE vaiheessa tai asennuksen jo valmistuttua.

Jos käyttöjärjestelmä on jo asennettu, voidaan valmistelupaketti ottaa käyttöön Toimintokeskus - kaikki asetukset - Tilit - Käytä työpaikan tai koulun resursseja - Lisää tai poista valmistelupaketti

Huom: Toimintokeskuksen kautta valmistelupaketti luetaan ainoastaan USB-laitteesta.

Vaihtoehtoisesti valmistelupaketti voidaan ottaa käyttöön yksinkertaisesti tuplanapsauttamalla ko. tiedostoa

 

Jos valmistelupaketti on suojattu salasanalla, sitä kysytään tässä vaiheessa.

Valmistelupaketin käyttöönottaminen pitää vielä erikseen hyväksyä

Jotkin valmistelupaketin toiminnot (kuten olemassa olevien sovellusohjelmien poistaminen) edellyttävät työasema käynnistämistä tai Reset toimintoa.

Työaseman asennusvaiheessa voidaan valmistelupaketti ottaa käyttöön  ns. Out Of Box Experience (OOBE) vaiheessa painamalla 5 kertaa peräkkäin Windows painiketta

 

Jos samalla versionumerolla varustettua valmistelupakettia yritetään ajaa työasemassa jossa se jo kerran on ajettu tulee esille alla näkyvä virheilmoitus. Jos pakettiin tehdään muutoksia ja se halutaan ajaa samassa työasemassa uudestaan, on paketin versionumeroa muutettava pakettia tallennettaessa/exportoitaessa.