С тех пор как Windows 10 появилась на рынке в июле 2015 года, разработчики подготовили для нее пять глобальных исправлений. Кроме того, ежемесячно выпускаются накопительные обновления, в которых устраняются ошибки, а также проблемы с быстродействием, возникающие в операционной системе. Кто-то согласен с принятым темпом выпуска обновлений, кто-то нет, но Microsoft выбрала гибкий подход к разработке и, похоже, будет придерживаться его в ближайшем будущем.
Первая важная веха в дальнейшей стратегии корпорации — добиться такого положения дел, когда все коммерческие клиенты Microsoft перейдут на Windows 10. Речь идет о корпорациях, средних и малых компаниях и других организациях. Для достижения этой цели Microsoft приложила значительные усилия. Было создано множество инструментов, служб и других ресурсов, предназначенных для того, чтобы облегчить планирование и сам переход клиентов на Windows 10.
В этом процессе все решает точный расчет по времени. Официально жизненный цикл поддержки Windows 7 завершается менее чем через полтора года, и руководству Microsoft меньше всего хотелось бы повторения медленной миграции от Windows XP к Windows 7.
Недавно я побеседовал с Крейгом Дьюаром, старшим директором по маркетингу продуктов подразделения Microsoft 365 Windows Commercial. Мы обсудили ряд аспектов работы по осуществлению миграции, которую Microsoft ведет со своими коммерческими клиентами, и в частности вопрос о том, почему корпорация решила распространить техническую поддержку на те обновления, которые уже установлены в Windows 10, а также о том, какие особенности нынешнего перехода к Windows 10 оказались сюрпризом для Microsoft.
Недавно вы распространили поддержку на три обновления для системы Windows 10. Что заставило корпорацию пойти на этот шаг?
Я бы сказал, что это результат естественного хода изменений в культурных установках, которые совершаются в мире ИТ в то время, как отрасль отказывается от старых подходов к решению вопросов в среде Windows. Раньше обновления в виде эдаких мощных монолитов появлялись раз в пять-семь лет. Современный подход больше напоминает модель обслуживания. Обновления «дозируются» небольшими порциями и публикуются чаще.
Ситуацию в сфере разработки я иллюстрирую с помощью такой аналогии: мы переходим от способа разработки по схеме водопада к гибкой, подвижной методике. Такая смена культурной парадигмы происходит сейчас в мире ИТ.
Поскольку речь идет об изменении в культуре производства, клиентам понадобится какое-то время, чтобы приспособиться к новым порядкам.
А вот подумайте, как вы будете действовать, если вам случится работать в условиях «Windows как услуга». Смотрите, мы выпускаем обновления каждые шесть месяцев, и вы располагаете окном в 18 месяцев, в течение которых Microsoft предоставляет техническую поддержку для этой версии. Таким образом, вам придется как-то исхитриться и уложить модернизацию всего вашего хозяйства в этот полуторагодовой период. Между тем процессы, которые реализованы у большинства наших клиентов, предусматривают решение этой задачи в гораздо более длительные сроки.
Поэтому первое окно мы сделали, может быть, немного узковатым с точки зрения потребителей — и тут же получили отзывы от ряда клиентов, которые уже развернули «десятку». И вот что нам писали: «Мы переходим на эту модель, но нам нужно чуть больше времени на работу с текущими версиями, пока мы решаем вопросы перехода на новые инструменты».
До окончания срока технической поддержки версии Windows 7 осталось менее полутора лет. Что вы можете сказать об отличиях нынешнего «обратного отсчета» и периода миграции от того, что происходило при переходе от Windows XP к Windows 7?
Я вижу два важных отличия. Первое касается причины, побуждающей клиентов быть в числе первых пользователей новой версии. Это общая политика в области безопасности.
Если проанализировать ситуацию, возникшую в процессе перехода от Windows XP к Windows 7, мы увидим, что раньше этот вопрос стоял иначе. Большинство корпоративных клиентов Microsoft, уже вступивших на путь перехода к Windows 10, руководствуются главным образом желанием обеспечить более высокий уровень безопасности. В частности, такой была реакция очень крупных государственных ведомств, таких как министерство обороны.
И вот что интересно. Если оглянуться на исторически важные обновления Windows, можно убедиться, что все они осуществлялись по отраслям. Среди организаций, первыми перешедших с Windows XP на Windows 7, большинство составляли компании, оказывавшие профессиональные услуги. Они хотели вложить в руки своих консультантов новейшие инструменты, они не являлись объектами госрегулирования и имели возможность маневрировать свободнее, чем представители некоторых других отраслей. Поэтому они всегда были в первых рядах.
Далее следовали отрасли, которые можно назвать отстающими. Для них мотивом перехода всегда было прекращение технической поддержки старой версии, и на миграцию в этих отраслях уходило больше времени. Речь идет главным образом о секторе финансовых услуг, о здравоохранении и государственных органах.
Теперь посмотрим, какая картина складывается в мире Windows 10. Разумеется, участники рынка профессиональных услуг по-прежнему мигрируют быстро. Недаром мы чаще всего рассказываем о развертывании новых операционных систем в Accenture и о том, как обстоят дела в этой глобальной компании. С другой стороны, в организациях, которые обычно переходят на новые системы позже остальных, затягивание с решением вопросов повышения уровня безопасности ставит под угрозу очень многое. Я имею в виду силовые ведомства, нефтяные компании, сектор финансовых услуг. Надеюсь, вы понимаете, насколько все это отличается от ситуаций в прошлом.
Мы затратили уйму времени на работу с командами специалистов, помогая им в успешной реализации проектов. А когда мы рассматриваем проблему с учетом всех обстоятельств и анализируем прогнозы, рассчитанные нами ранее на основе текущего темпа, то видим ускорение в полтора раза. Иначе говоря, клиенты осуществляют миграцию гораздо быстрее.
Второе отличие — это совместимость приложений. При переходе от Windows XP к Windows 7 произошло множество изменений в архитектуре, а также в таких областях, как управление учетными записями пользователей (user account control, UAC). Если вдуматься, речь шла о радикальных переменах, которые разрушили целые классы приложений.
Теперь обратимся к миграции от «семерки» к «десятке». Если у вас имеется приложение Win32, выполняющееся под Windows 7, оно может работать и в среде Windows 10. Из этого правила есть исключения, но их немного. Порядка 99,9% собранных нами данных свидетельствуют о том, что приложения совместимы.
К категории исключений обычно относятся глубоко интегрированные средства обеспечения безопасности. Допустим, я, как поставщик антивирусных программ, которые выходят за рамки задокументированных API, осуществил интересующее меня чтение ячейки памяти в ядре и вышел за рамки «песочницы», тогда как должен был оставаться в этих рамках. В таких ситуациях действительно возникают проблемы, и нам приходится с ними работать. К примеру, мы проделали определенную работу со специалистами одной крупной шведской мебельной компании. Так вот, они располагали портфелем из примерно 5000 приложений, и только 10 из них не работали.
Здесь мы опять сталкиваемся с мнением, весьма типичным для ИТ-специалистов, переживающих переходный период. Они полагают, что приложения будут плохо взаимодействовать друг с другом и что перед тем, как приступать к практическому использованию этих приложений, каждое из них нужно исчерпывающим образом протестировать. Клиенты, приступающие к миграции, обнаруживают, что это допущение неверно. Оно непозволительно упрощает ситуацию в отношении совместимости приложений.
Какие уроки вы извлекли из перехода от XP к Windows 7, когда потребители явно сопротивлялись миграции, и как эти уроки отразились на вашей работе с клиентами в рамках перехода на Windows 10?
Здесь важно отметить одно обстоятельство. Windows мы предоставляем потребителям, а также предприятиям малого и среднего бизнеса именно как услугу и потому непосредственно модернизируем системы. Каждый раз по прошествии полугода мы модернизируем 650 млн систем. В наших интересах сделать так, чтобы все было в лучшем виде, иначе потом оно на нас же и свалится, верно?
И если раньше мы предоставляли дальнейшие заботы конечному пользователю со словами «Мы пришлем вам новый компакт-диск — и всего вам наилучшего», то теперь поступаем иначе.
Мы хотим обеспечить ИТ-подразделения инструментами, которые помогут им справиться с задачей. Например, у нас есть служба Upgrade Readiness. Мы используем аналитику и, по существу, сопоставляем ее с данными, которые получаем от всех контролируемых систем. Если в реальной жизни мы увидим некое приложение, то сможем сказать: «Мы знаем, что это приложение функционирует безупречно, и вот вам данные, подтверждающие наши слова». Таким образом, компании получают возможность сосредоточиться на тех аспектах, которым им хотелось бы посвятить выделяемое на проверку время, и не растрачивать его на изделия, о надежности которых все известно заранее. Это важное изменение в нашей работе.
Как предложение предоставить решение для обеспечения безопасности Windows Defender ATP коммерческим клиентам, все еще эксплуатирующим версии Windows 7 и Windows 8.1, отразится на переходе этих клиентов на версию Windows 10?
Интересные дебаты по этому вопросу долгое время шли внутри компании. Переход на новую версию требует времени. Именно поэтому мы пошли на такой шаг. У нас было несколько очень крупных клиентов, они говорили так: «Мне очень нравится идея, заложенная в службу ATP, нравится функция, которую она будет выполнять в Windows 10. Я уже начал переход на Windows 10. У меня 100 000 компьютеров, и 10 000 из них уже переведены на новую операционную систему. Чтобы провести через этот процесс остальные системы, мне потребуется все время до окончания периода поддержки. Я хотел бы использовать ATP как предпочтительный продукт класса Advanced Threat Protection, но не имею такой возможности. Ведь не могу же я обеспечить защитой только 10 000 своих систем? Мне нужно, чтобы компьютеры были обозримы по всей сети».
ATP соответствует требованиям общеевропейского регламента по защите данных (GDPR). Одно из них — отчетность о передаче данных, а в этом вопросе ATP может оказаться полезным, но упомянутое требование относится ко всем устройствам, а не только к системам Windows 10.
Мы предоставляем потребителям не полный набор функциональных возможностей, реализованных в Windows 10. Эта операционная система наделена функцией обнаружения неисправностей, а сейчас мы имеем и возможность восстановления. На этапе RS4 мы внедрили средства автоматического восстановления от приобретенной нами израильской компании по обеспечению информационной безопасности Hexadite. Итак, в Windows 7 пользователь получает средства обнаружения неисправностей. На центральной консоли в разделе SecOps отображаются соответствующие оповещения, но инструментов для удаленного устранения неполадок оператор не имеет. Для большинства потребителей этого достаточно.
И еще одно замечание. Принимая во внимание архитектурные отличия Windows 10, относящиеся к безопасности и к безопасности на основе виртуализации, мы фактически полагаем, что, если ваша компания эксплуатирует разнородную сеть и вы подверглись атаке со стороны некоей организации, обладающей серьезными знаниями и опытом, ваши системы Windows 7, скорее всего, будут взломаны. Мы считаем, что на системах Windows 7 произойдет больше событий, нежели на Windows 10.
При подготовке к переходу на Windows 10 и при его осуществлении компании должны иметь представление о препятствиях, с которыми им придется столкнуться. О каких трудностях рассказывают ваши клиенты?
Это те две проблемы, о которых я уже говорил: изменения в культурных установках специалистов по информационным технологиям и переход от модели разработки «водопад» к более гибким подходам, для которых характерна убежденность в совместимости приложений. Об этих двух важных обстоятельствах мы слышим снова и снова, так что закономерен вопрос, как же мы на них реагируем.
По первой проблеме: мы создаем проактивные инструментальные средства, основанные на использовании аналитики, и совершенствуем их. Так, вы все знакомы с решением Update Readiness Tool. Оно дополнит возможности платформы Microsoft 365. Мы подключаем весь потенциал Office, чтобы понимать макросы и надстройки Office, и превращаем его в целостный набор инструментов. Мы непосредственно подключаем этот продукт к другим средствам управления.
Что же касается современных методов развертывания, то мы говорим клиентам: «Выделите один процент своих систем и запустите на них сборки для участников программы предварительной оценки Windows. У вас появятся правильные профили, и если что-то пойдет не так, мы получим соответствующие данные и все поправим еще до того, как отправлять изделия вам. Тогда вы отберете 9% своих систем и осуществите на них раннее пилотное развертывание. Если все пройдет нормально, вы начнете развертывать систему на остальных устройствах». Таким образом, вы не будете тестировать все. Просто перед тем как двигаться дальше, поработаете с исключениями.
Все это хорошо, но когда вы приходите к клиенту и предлагаете отобрать 1% систем, те спрашивают, какие системы включать в этот процент. Они обычно выделяют системы из ИТ-подразделений, но это не совсем то, что нужно.
В аналитике мы отвечаем клиенту: «Хорошо, мы сами расскажем вам, какие системы следует выделять для испытаний». Их, кстати, может быть даже меньше 1%, но они должны давать представление об устройствах клиента, его драйверах, приложениях и используемых языках, чтобы на тестах была представлена полная картина.
Возьмем для примера Microsoft. В нашей корпорации имеется 200 000 устройств или компьютеров, и, когда мы применяем этот алгоритм к своей базе, выходит, что мы можем отобрать менее 900 систем, и мы знаем, какие именно 900 систем могут дать полное представление о нашем хозяйстве.
Почему Microsoft вкладывает столько усилий в разработку средств, обеспечивающих удобство доступа к продуктам и службам? Как это обосновано экономически?
Пожалуй, эта работа началась под воздействием предписаний регулирующих органов. Если не вести такую работу, невозможно сбывать свою продукцию определенным сегментам рынка. Мы увидели изменения, которые это принесло клиентам, использующим наши продукты, и поняли, что это правильный курс. К тому же у нас есть команды по-настоящему увлеченных специалистов, и потом речь идет о вещах более значительных, чем просто отдельно взятый продукт. Мы должны следить за тем, чтобы даже наши веб-сайты, посвященные проблемам маркетинга, соответствовали нормативам по удобству доступа, и для достижения этой цели мы их полностью переделали. Так что удобство доступа у нас держат в поле зрения сотрудники всех подразделений компании.
Вы могли бы назвать цель, к которой вы в своем подразделении стремитесь, но достижение которой пока невозможно?
Мы должны проработать вопрос о том, как снабдить малый и средний бизнес высококлассными средствами обеспечения безопасности. И мы уже начали эту работу — создали бизнес-продукт Microsoft 365, он прекрасно подходит для данного сегмента, но не оснащен пока некоторыми усовершенствованными компонентами, такими как, скажем, ATP.
Вы можете возразить, что эти продукты изначально создавались для подразделений SecOps, занимающихся операциями по обеспечению безопасности, а на предприятиях малого и среднего бизнеса таких команд нет. Но мы активно работаем над искусственным интеллектом, как ранее работали над средствами автоматического восстановления и Hexadite, а это как раз то, что нужно клиентам из сферы малого и среднего бизнеса. То есть вам и не понадобятся эти SecOps-команды, мы все берем на себя. И мы можем взять все эти знания, собранные всеми SecOps-командами, которые работают с нашим продуктом, и воплотить их во что-то полезное для клиентов. Таким образом, наш продукт еще несовершенен, но мы работаем над его следующими версиями. И потом, есть еще такой компонент, как канал связи. Способны ли вы «достучаться» до этих клиентов, объяснить им, чем вы располагаете, и привлечь их на свою сторону?
Сегодня мы наблюдаем раскол между коммерческими службами и домашней версией Windows. Соответственно для Windows нужно создавать версию Pro. Так что мы параллельно выискиваем пути, с помощью которых сможем в мире услуг и вне зависимости от того, чем вы располагаете, ознакомить вас с нашими достижениями и поставить их на службу вам как представителям малого бизнеса.
Комплекс DeviceLock DLP расширен модулем мониторинга сетевого трафика EtherSensor
В программный комплекс DeviceLock DLP добавлен серверный модуль перехвата и анализа сетевого трафика EtherSensor, благодаря чему DeviceLock DLP превратился в уникальную гибридную DLP-систему, позволяющую обеспечить надежную DLP-защиту для организаций любого типа и масштаба как на рабочих станциях, так и на уровне сети.
DeviceLock EtherSensor извлекает из сетевого трафика на потоках 10 GBps сообщения, файлы и события, не задействуя при этом агенты DeviceLock на защищаемых рабочих станциях, что позволяет создать DLP-систему мониторинга входящей и исходящей внутрикорпоративной и внешней электронной почты и веб-почты, социальных сетей, форумов и блогов. Также анализируются целый ряд мессенджеров и сервисов поиска работы, передача файлов по протоколам HTTP, FTP, SMB и в «облачные» хранилища. Перехваченные сервером EtherSensor события безопасности передаются в централизованную базу данных событий и теневых копий сервера DeviceLock Enterprise Server для последующего хранения и анализа, включая возможности полнотекстового поиска в поисковом сервере DeviceLock Search Server.
Использование DeviceLock EtherSensor в сочетании с Endpoint-компонентами комплекса DeviceLock DLP позволяет создавать гибкие DLP-политики с различными уровнями контроля и реакции на события. Кроме того, возможность одновременного применения двух различных DLP-архитектур (сетевой и агентской) для контроля сетевого трафика значительно повышает надежность гибридной системы при выявлении и предотвращении утечек информации.
Комплекс DeviceLock DLP, дополненный серверным модулем EtherSensor, эффективно решает сразу несколько проблем и задач, стоящих перед службами информационной безопасности, — мониторинга сетевого трафика с компьютеров и мобильных устройств, на которых по техническим причинам невозможно установить или эксплуатировать DLP-агент, либо снижения нагрузки на рабочие станции пользователей за счет раздельного контроля различных сетевых сервисов и протоколов на разных уровнях. Например, когда часть сетевых приложений контролируется агентом DeviceLock с глубоким анализом содержимого и принятием решений в реальном времени, а другая часть нагрузки отдается в работу серверу EtherSensor для перехвата и анализа сетевого трафика на уровне периметра. При этом пользователям остаются полностью доступны все функции DLP-контроля (блокировки, мониторинга и тревожного оповещения) устройств и локальных портов, в том числе съемных накопителей, буфера обмена данными и канала печати, что возможно принципиально только при использовании DLP-агента на защищаемом компьютере. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий контроль пользователей, когда, например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, а контроль и инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor.