Знакомимся с Web Application Proxy на Windows Server 2012 R2

Прекратив поддержку Threat Management Gateway (ранее ISA server) MS поставила в ступор многих админов, которым требовалось решения для публикации приложений с проверкой подлинности. Forefront Unified Access Gateway вроде и обеспечивал нужное, но не предлагал практически никаких функций безопасности (в декабре 2013 было объявлено, что следующих версий уже не будет). Некоторое время положение было непонятно, пока в Win2012R2 не была представлена новая роль Web Application Proxy.

Назначение Web Application Proxy

Web Application Proxy (WAP, прокси сервер веб-приложений) представляет собой обратный (reverse) прокси позволяющий администратору публиковать приложения для доступа из вне. Работает WAP просто. Сервер получает на внешний адрес HTTPS запрос от клиента (в текущей версии только HTTPS) и ретранслирует его на внутреннее приложение по HTTP или HTTPS. За основу WAP взята служба роли AD FS Federation Service Proxy решавшая задачу Front-end сервера при развертывании служб федерации Active Directory (в Win2012R2 AD FS анонсирован уже версии 3.0). По сути WAP выполняет функции прокси AD FS, обеспечивая аутентификацию пользователей и контроль доступа на основе заявок (Claims Based Access, CBA) средствами AD FS.
Запрос на подключение, WAP со всеми параметрами перенаправляет вначале на AD FS. После чего пользователь должен будет пройти процесс аутентификации (посредством Active Directory через Kerberos или NTLM авторизации) и авторизации. Поддерживается все продвинутые функции: многофакторная аутентификация (Multifactor authentication, MFA) и контроль доступа (Мultifactor Access control), когда могут быть использованы дополнительные ступени – одноразовый пароль или смарт-карта. После проверки подлинности сервер AD FS выдает SSO маркер безопасности, содержащий идентификатор пользователя и ресурса к которому пользователь хочет получить доступ, срок предоставления доступа. WAP получив ответ AD FS инициирует отдельное соединение к конечному серверу, сохранив всю информацию о доступе в Cookies. Внутренний сервер проверяет маркер и клиент получает доступ без ввода пароля.
Как видим клиент на прямую не контактирует с приложением, WAP выступает как буфер уровня сеанса обеспечивая дополнительную защиту. Любой другой трафик (включая известные сетевые и SSL атаки) приходящий на веб-прокси отбрасывается и не передается опубликованному приложению. Приложения могут использовать один IP-адрес/порт, дифференциация производится по имени.
Многие обратные прокси производят только аутентификацию учетной записи и пользователь может подключаться к приложению с любого устройства. Это является потенциальной проблемой безопасности. WAP взаимодействуя со службой Device Registration Service (DRS) производит проверку маркера аутентификации (сертификата) устройства пользователя, гарантируя, что только разрешенные девайсы смогут получить доступ к корпоративным ресурсам. Также обеспечивается работа Workplace Join дающая возможность пользователям получать доступ к корпоративным ресурсам с мобильных устройств.
На github, можно найти расширения к AD FS позволяющие более гибко управлять устройствами. Например, Mobile ID Authentication Module for Microsoft ADFS(github.com/FreddyKaiser/adfs-mobileid).
Роль AD FS должен выполнять сервер находящийся в защищенной внутренней сети, а WAP таким образом будет играть роль дополнительного барьера, не позволяя обращаться к AD FS из вне напрямую. Развернуть AD FS на одном сервере с WAP все равно не получится, мастер установки WAP обнаружив AD FS прерывает работу.
Поддержка технологии Single-Sign-On (SSO) позволяет после подключения к домену больше не вводить пароль для доступа к разрешенным приложениям.
Для приложений не поддерживающих AD FS аутентификацию предусмотрен вариант Pass-through preauthentication, когда предварительная аутентификация средствами AD FS не производится, соединение просто пробрасывается дальше, а сам процесс распознавания пользователя целиком ложится на приложение. Такой вариант может понадобиться, например, если сервис не поддерживает все новые функции AD (CBA, например). Для таких подключений естественно не будут доступны Workplace Join, MFA и мультифакторный контроль доступа. В случае Pass-through preauthentication при развертывании достаточно чтобы сервер с ролью WAP был присоединен к домену. Но учитывая, что WAP без AD FS все равно работать не будет (ведь по сути это прокси) все равно придется разворачивать и AD FS.
WAP не имеет интегрированных функций балансировки нагрузки, но проблема легко решается за счет использования встроенной роли Windows Load Balancing.
Особо стоит отметить, что никаких дополнительных лицензий клиентского доступа (CAL) при развертывании WAP не требуется, все что нужно будет приобрести это лицензию на собственно Windows Server 2012R2.

Подготовка к развертыванию

Самый большой плюс WAP состоит в том, что он является встроенной ролью, а не отдельным приложением, которое нужно установить и настроить. Предшественники TMG и UAG не были простыми в развертывании и часто сам процесс не редко требовал серьезного «напилинга» и чтения документации в поисках причин выдаваемых ошибок. Только на подготовку ОС заключающуюся в поиске и установке всех нужных патчей и зависимостей могла занять более часа. Последующая конфигурация приложений тоже было дело не совсем простым и часто требовало как минимум дня, чтобы все заработало как нужно. В этом отношении WAP выглядит очень простым и дружелюбным.
Веб-прокси следует развертывать в демилитаризованной зоне (DMZ) между брандмауэром выходящим в интернет и корпоративной сетью. Теоретически можно устанавливать WAP на сервере с другими ролями, но это не рекомендуется и лучше выделить под него отдельный сервер. Саму ОС лучше ставить с GUI (хотя желание отключить графику при установке такого сервера конечно же понятно), при развертывании будут доступны мастера которые помогут быстро произвести все установки. При подключении с другого сервера, бывают неувязки (в основном наблюдались в релизе, после нескольких патчей работает уже нормально). Хотя вообщем все вопросы администрирования можно решить при помощи PowerShell.
Системные требования для сервера не велики, поэтому подойдет минимальное железо удовлетворяющее развертыванию самой ОС. Перед установкой WAP необходимо подключить сервера AD FS и WAP к домену (схему нужно обязательно повысить до Windows Server 2012 R2), сгенерировать сертификаты (для каждого сервера и по одному для каждого приложения) и настроить AD FS.
Предположим у нас уже есть SSL сертификаты (шаблон Web Server вполне подходит) в поле Subject Alternative Name которого содержится DNS имя публикуемой службы AD FS и WAP. Импортируем их на сервера AD FS и WAP через консоль MMC Сертификаты.

Развертывание AD FS

Начинаем с AD FS. Вызываем Диспетчер сервера > Мастер добавления ролей и отмечаем роль Active Directory Federation Services или вводим в консоли PowerShell команду:

	PS> Install-WindowsFeature ADFS-Federation –IncludeManagementTools

Далее все стандартно. По окончании установки, в последнем окне мастера будет предложено произвести настройку службы федерации, так же ссылка появится в виде предупреждения в Диспетчере сервера.

Мастер настройки службы федерации Active Directory

Мастер настройки службы федерации Active Directory

Установки мастера вообщем понятны. Так как у нас сервер AD FS пока единственный, выбираем на первом шаге “Создать первый сервер федерации в новой ферме” и пишем учетную запись для подключения. Далее выбор сертификата, который будет использоваться для шифрования. Если он уже импортирован, то просто его находим в раскрывающемся списке. Можно импортировать сертификат и в окне мастера, но он понимает лишь формат PFX. Поэтому если удостоверяющий центр прислал в другом формате придется вначале его конвертировать. Когда сертификат выбран, автоматически заполняется DNS имя службы федерации, которое будут использоваться клиентами при подключении. Далее указываем имеющуюся или создаем новую учетную запись для службы AD FS. Во втором варианте при дальнейшем конфигурировании обычно появляется ошибка. Решение проблемы выдается сразу в сообщении. Обычно требуется сгенерировать корневой ключ к целевому контроллеру домена, для чего нужно выполнить:

	PS> Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

После чего повторяем работу мастера. Дополнительный параметр «-EffectiveTime (Get-Date).AddHours(-10)» вводит ключ в действие немедленно (по умолчанию через ~10 часов).
Хранение конфигурации AD FS возможно во внутренней базе данных (Windows Internal Database, WID) или SQL сервере. WID поддерживает ферму до 5 серверов AD FS, но в этом случае не обеспечивается отказоустойчивость и некоторые продвинутые механизмы работы службы. Но для небольших сетей WID вполне достаточно.
Обычно хватает варианта предложенного по умолчанию. Если проверка условий не показала ошибок, можно нажимать кнопку Настроить. Настройка при помощи PowerShell выглядит просто:

	PS> Install-AdfsFarm -CertificateThumbprint '123...0067' -FederationServiceName adfs.example.org -GroupServiceAccountIdentifier EXAMPLE\adfs$

Для проверки работоспособности открываем консоль AD FS и смотрим статус.

Развертывание WAP

Теперь когда служба ФВ FS работает, можем приступать к установке роли WAP. Вызываем мастер выбираем роль Remote Access и на этапе выбора служб ролей отмечаем Web Application Proxy, подтверждаем выбор дополнительных компонентов и устанавливаем.

Установка роли Web Application Proxy

Установка роли Web Application Proxy

После выбора Remote Access может появиться ошибка о “возможном несоответствии компьютера”, просто перезапускаем мастер, обычно второй раз она не появляется.

	PS> Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

По окончанию запускаем мастер настройки WAP. В первом окне вводим имя и учетную запись администратора сервера AD FS. Далее указываем сертификат для WAP и подтверждаем настройки. В последнем окне мастера можно увидеть PowerShell команду которая будет выполнена.

	PS> Install-WebApplicationProxy –CertificateThumprint '23...567' -FederationServiceName adfs.example.org

Настройка завершена. В процессе на стороне служб ADFS создается подписка на WAP сервер.

Настройка Web Application Proxy

Настройка Web Application Proxy


В интернет можно поискать готовые PowerShell скрипты(goo.gl/LMSO9j) позволяющие развернуть связку AD FS + WAP в считанные минуты.
Проверяем статус. Открываем консоль Remote Access Management Console и переходим в Web Application Proxy и смотрим в Operations Status. Иногда в консоли один и тот же сервер показывается дважды: для доменного имени и NETBIOS. Это не ошибка, а очевидно такая фича.
Теперь ни что не мешает опубликовать сервис. Нажимаем Publish и следуем указаниям визарда. Первый шаг выбор метода преаутентификации, здеcь два варианта о которых мы говорили в самом начале: AD FS и Pass-through. Первый вариант содержит на один шаг больше. Выбираем Pass-through.

Выбор метода преаутентификации

Выбор метода преаутентификации

Следующий шаг – задаем имя публикуемого приложения, используемый сертификат, внешний URL, который будут использовать для подключения клиенты и URL приложения на который будут пересылаться запросы. Если бэкэнд использует нестандартный порт, то его также указываем вместе именем (https://service.example.org:8080).
Есть еще тонкий момент. Веб-прокси различает и транслирует имена хостов, но не понимает IP и не может изменить путь. То есть если внешний URL выглядит как https://service.org/app1/, то и URL бэкэнда должен содержать app1 т.е. https://service.example.org/app1/. Другой путь вроде https://service.example.org/web-app/ будет неправильным.
Публикация приложения окончена. Теперь, можно протестировать зайдя с помощью браузера по внешнему адресу, пользователь после успешной аутентификации на WAP будет перенаправлен на внутренний сайт.
В случае выбора аутентификации средствами AD FS появляется дополнительный шаг, на котором следует указать механизм доверия (Get-ADFSRelyingPartyTrust) – Device Registration Service, WS-Fed, SAML, OAuth.
Для варианта с аутентификацией с AD FS следует создать доверие на сервере AD FS. Открываем консоль AD FS и переходим в Отношения доверия (Trust Relationships) нажимаем «Добавить отношения доверия с проверяющей стороной не поддерживающей утверждения» (Add Non-Claims-Aware Relaying Party Trust).

Работа мастера настройки отношения доверия

Работа мастера настройки отношения доверия

Далее следуем указаниям интуитивного мастера – указываем имя, добавляем идентификатор доверия (обычно используют внешний URL, только имя должно быть со слэшем в конце), настраиваем многофакторную аутентификацию и подтверждаем установки. По окончании можем отредактировать правила авторизации (Authorization Rules). В окне “Edit Claim Rules for …” нажимаем “Add Rule” и указываем шаблон правила наиболее подходящий для ситуации (например, Permit All Users) и на следующем шаге при необходимости его редактируем.

Новое в следующем релизе WAP

За время с момента появления WAP он был развернут во многих компаниях и стали очевидны некоторые моменты, усложнявшие настройку. Все это будет исправлено в следующей версии WAP, познакомиться с которой можно в недавно анонсированной Windows Server 2016. Кроме изменений в интерфейсе управления WAP появилась множество новых функций. Например, возможность преаутентификации AD FS при подключении HTTP Basic (HTTP Basic preauthentication), когда учетные данные отправляются в самом запросе (такой вариант например используется в Exchange ActiveSync). Вся необходимая информация AD FS извлекается из URL автоматически и если пользователь подтверждается, то выдается действительный маркер (Claim), который дополнительно помещается в кэш, чтобы лишний раз не нагружать сервер. Этот вариант имеет специальный режим работы HTTP Basic preauthentication with certificates, позволяющий проверить сертификат устройства и убедиться, что оно зарегистрировано в Device Registration Service и разрешено к использованию в организации. Также появилась возможность просто публиковать не только домен, но и субдомены, причем даже все разом, по шаблону (https://*.example.org/). Такая функция очень упрощает публикацию приложений SharePoint, которые используют субдомены.
Кроме того, разрешена публикация внешнего URL по протоколу HTTP, в предыдущей версии по причинам безопасности от этого отказались, но в процессе эксплуатации выяснилось HTTP в некоторых конфигурациях все таки нужен. Также реализован автоматический редирект HTTP запроса поступившего на внешний URL в HTTPS. Для аудита и корректной работы приложения часто требуется знать оригинальный IP, теперь при перенаправлении он сохраняется в X-Forwarded-For.
В обновлении к WAP в Windows Server 2012R2 появилась возможность публикации Remote Desktop Gateway и теперь сотрудники могут без проблем подключаться к рабочим столам через RD Web Access, а администраторам упрощается процесс развертывания и сопровождения удаленного доступа. В новой версии WAP эта возможность уже штатная.

Вывод

Появление Web Application Proxy в Windows Server 2012 R2 позволило публиковать внутренние приложения без использования сторонних решений, а сам процесс внедрения WAP обычно не занимает много времени.

Защита Windows при помощи EMET

В ОС Windows на сегодня используется большое количество защитных технологий усложняющих атаку, но как правило, они не затрагивают остальные приложения. Enhanced Mitigation Experience Toolkit (EMET, microsoft.com/emet) упоминается практически во всех Security Advisory корпорации Microsoft, распространяются бесплатно, но встречается в реальных установках не так и часто.

Защитные механизмы EMET

Инструмент реализует 14 защитных техник усложняющих атак на Windows-системы от новых угроз, блокируя уязвимости в ПО и изменение потока выполнения кода. Для защиты используется техника inline patching кода защищаемых процессов, когда перехватываются и анализируются API вызовы. Ориентирован в первую очередь на устаревшие версии ОС и программы, которые по умолчанию не имеют таких механизмов.
Среди поддерживаемых технологий:

Остальные технологии по умолчанию активируются для всех приложений.

Настройка защитных механизмов для приложения

Настройка защитных механизмов для приложения

Кроме того в EMET реализована защита от ROP эксплойтов (Return Oriented Programming, обратно-ориентированное программирование) позволяющих обходить защиту ALSR + DEP передавая управление на определенный адрес. Это технологии Load Library Check, Memory Protection Check, Caller Checks, Simulate Execution Flow и Stack Pivot, производящие соотвествующие проверки. Правда не все ROP технологии доступны для 64-битных процессов.
Еще одна функция Certificate Trust (Pinning) реализована только для Internet Explorer и позволяет создавать правила проверки SSL/TLS сертификатов для определенных веб-ресурсов, предотвращая Man-in-Middle атаки. При обнаружении аномалии выдается предупреждение и соединение может разрываться. После установки уже содержатся профили для большинства популярных сервисов – сайт Microsoft, Microsoft Office 365, Skype, Twitter, Facebook и других.
Все указанные защитные механизмы активируются персонально для конкретных приложений (в Configure Applications), для четырех правил возможна установка для системы в целом (System Status). Это DEP, SEHOP, ASLR и Certificate Trust.

Четыре механизма защиты возможно активировать для всех

Четыре механизма защиты возможно активировать для всех

При нарушении защиты EMET останавливает процесс. С версии 4.0 появился дополнительный режим аудита (Audit Only) позволяющий при обнаружении проблемы фиксировать работу программы для дальнейшего анализа. Функция “Local Telemetry” позволяет сохранить дамп памяти в случае срабатывания процесса. Отчеты отправляются в журнал Event Log – Application Log и выводится в панели задача, через компонент EMET Agent (его видимость регулируется через GPO).

Установка и работа

EMET предоставляется бесплатно. Текущая версия 5.1 поддерживает работу в Windows Vista SP2-8.1, Windows Server 2003 SP2- 2012 R2 (релиз 4.1 совместим и с Windows XP SP3). В более ранних системах потребуется установить .NET Framework 4 и обновление KB2790907 (для IE10 в Windows 8).
Распространяется в виде MSI файла, который можно установить вручную, при помощи групповых политик или диспетчер конфигураций System Center Configuration Manager. Во время установки предлагается выбрать профиль: рекомендуемые настройки безопасности (Use Recommended Setting) или оставить текущие настройки (Keep Existing Setting) (рис.3). Фактически конфигурация профилей сохранена в одноименных XML файлах, размещенных в каталогах установки.

Выбор уровня защиты по умолчанию

Выбор уровня защиты по умолчанию

В версии 4 вместо Keep Existing Setting использовался вариант Maximum Security Settings, при котором все настройки защиты устанавливались на максимальный уровень. Это иногда приводило к проблемам в работе некоторых приложений, поэтому от этого очевидно отказались в угоду совместимости, а включение настроек безопасности переложено на плечи пользователя.
Программа имеет простой и понятный не локализованный интерфейс. Хотя программа вряд ли рассчитана на новичка, в любом случае необходимо понимать что делаешь, поэтому отсутствие локализации не мешает. Опции безопасности можно установить флажком в таблице, дважды щелкнув на процессе можно посмотреть опции с минимальным разъяснением и указать для некоторых специфические параметры (рис.4).

Настройка параметров защиты для процесса

Настройка параметров защиты для процесса

Глубина анализа задается при помощи трех флажков в Mitigation Setting (см.рис.1):

Все настройки путем экспорта/импорта легко переносятся на другую систему, поэтому сконфигурировать большое количество систем очень просто. Конфигурация сохраняется в ветках реестра HKLM\SOFTWARE\Microsoft\EMET и HKCU\SOFTWARE\Microsoft\EMET. В частности по умолчанию скрыты некоторые небезопасные настройки, которые можно открыть создав ключ установив EnableUnsafeSettings в 1. На самом деле скрытых возможностей много, все они опсаны в документации которая поставляется вместе с программой.
Кроме графического интерфейса возможно управление из командной строки (EMET_Conf.exe). Получаем список функций:

	> EMET_Conf --list
	> EMET_Conf —list_system

Включаем Mandatory ASLR для браузера Chrome (если опустить параметр то будут включены все защитные механизмы):

	> EMET_Conf --set «С:\Program Files\Google\Chrome\Application\chrome.exe» -MandatoryASLR

Ключи –export и –import позволяют соответственно экспортировать и импортировать настройки (сохраняются в XML файл).

***

EMET не является панацеей и не может 100% защитить систему, и лишь дополняет традиционные средства вроде антивируса и HIPS. Более того на сегодня известны метода обхода некоторых механизмов EMET, но реализация атаки в любом случае становится сложнее. Кроме того EMET требует некоторой подготовки от пользователя, который должен понимать что делать и выдаваемые сообщения. Возможны проблемы со совместимостью с рядом приложений, некоторых механизмов.

Зачем ARM на серверах?

Небольшой оптимизированный набор команд используемый в чипах ARM идеален для мобильных устройств. Благодаря меньшему энергопотреблению он сегодня очень популярен для использования в смартфонах и планшетах. Но в последнее время серьезно заговорили о приходе чипов ARM в ту сферу в которой безраздельно господствует Intel – на сервера.

Текущее положение на рынке серверных ЦП

Сегодня обработка данных чаще всего производится на стороне сервера, клиентские устройства (планшеты, ПК, ноутбуки. смартфоны), количество которых растет в геометрической прогрессии только получают результат. Поэтому рынок серверов постоянно растет, а сами сервера становятся все быстрее. Это ставит стразу несколько проблем. С одной стороны количество мест для установки уменьшается, растет энергопотребление и необходимость в отводе тепла. Частично проблема решается за счет увеличения плотности серверов в стойке и более эффективной системы управления энергопотреблением (как правило CPU). Однако любой современный сервер состоят из большого числа жестких дисков, сетевых устройств и прочих интерфейсов. Все они в масштабах датацентра тратят впустую сотни мВт. С другой стороны, разные приложения требуют свою нагрузку, для одних ее рассчитать очень проблемно и железо берут на вырост, для других она определена более точно. В последнее время проблему запаса мощности решали при помощи виртуализации, навешивая на один сервер, десятки VM. Но это опять же добавляет стоимости и увеличивает сложность в администрировании. Идеала как видим нет. Нужны небольшие, экономичные системы, которые можно включать по мере необходимости.
Именно поэтому в 2013 стала все больше интересной новая концепция микросерверов, которые представляют собой экономичные по питанию модули созданные по технологии System-on-a-Chip (SoC), то есть готовое одночиповое решение, с низкой латентностью многих операций, к которому необходимо лишь добавить ОЗУ, HDD и подключить сеть. Как правило SoC уже содержит несколько гигабитных Ethernet портов и PCIe.
Микросервер
Такие сервера очень востребованы для легких нишевых задач, там где нет нужды в больших вычислительных мощностях или характеристики заранее известны (веб-приложения, хостинг начального уровня, Memcached, управление сетью, хранение данных и т.п.). Например, провайдер, вместо того чтобы “нарезать” VDS, может просто добавить в слот новый сервер, нужной мощности. То есть микросервер это тонкий инструмент, разрабатываемый под конкретные нагрузки, что его отличает от традиционного пропагандируемого Intel сегодня. Миниатюрность и меньшее энергопотребление позволяет уменьшить количество блоков-питания, вентиляторов охлаждения и проводов. Например, 1600 микросерверов Calxeda EnergyCore занимают половину стандартной серверной стойки и стоит на 63% дешевле, чем обычная стойка с серверами такой же мощности. В случае необходимости большей мощности, такие миниатюрные сервера можно объединять в кластеры распараллеливая вычисления. Именно так сегодня представляют датаценты будущего. Хотя следует отметить что в категории микросерверов не существует универсального системного дизайна. Поэтому здесь можно встретить разные конфигурации, различной мощности и возможностей.
Прогнозы специалистов расходятся. В исследованиях компании IC Insights подсчитали, что продажи микросерверов в период 2014 до 2017 г. будут расти ежегодно в среднем на 70% (в 2014 на 139%). Аналитики Intel (которая кстати продает 92% серверных процессоров) считают что микросерверы, будут занимать незначительную часть рынка до 6% рынка, Gartner дает цифру до 15%.

ЦП для микросерверов

Новая идея требует иного оборудования. Стандартные серверные процессоры AMD Opteron и Intel Xeon для микросерверов не подходят. Компании выпустили специальные продукты. Так Intel представила(ark.intel.com/ru/products/series/71265) однокристальные системы линейки Intel Atom S1200 (ранее известные как Centerton), предназначенные для использования в микросерверах, системах хранения данных и сетевом оборудовании. Новое семейство процессоров изготавливается по техпроцессу 32нм и будет включать три модели процессоров с тактовой частотой от 1,6 ГГц до 2,0 ГГц. Среди ключевых особенностей новых SoC Intel называет поддержку 64-битных приложений и наличие соответствующего набора микрокоманд, поддержку ECC и VT-x. Однокристальная система имеет два физических ядра и поддерживает четыре вычислительных потока, благодаря технологии Intel Hyper-Threading. Она также имеет контроллер памяти с поддержкой до 8 ГБ памяти DDR3 (на каждый CPU) и восемь каналов PCI Express 2.0. Это пока не совсем SoC, например мы видим что нет Ethernet и USB, они появится на чипе только в следующем поколении 22 нм чипов Atom Avoton (платформа Edisonville), которые планируется представить в следующем году. При этом Avoton будет содержать от 2 до 8 ядер, кэш-память второго уровня 1 МБ будет распределена между каждой парой ядер. Максимальная частота CPU ожидается в 2,4 ГГц, который при помощи специальной технологии Turbo Boost можно увеличить до 2,7 ГГц. Уровень энергопотребления новинок будет лежать в пределах 5-20 Вт.
Ожидается что его энергопотребление будет составлять 5-20 Вт.
Но самое главное — низкое энергопотребление: значения TDP колеблются от 6,1 до 8,5 Вт в зависимости от модели. Самым доступной однокристальной системой новой линейки является Atom S1220, ее оптовая цена объявлена равной $54, самая дорогая платформа, Atom S1260, оценена в $64. Для примера TDP Intel Xeon E5 на основе дизайна “Sandy Bridge-EP” составляет от 60 до 150 Вт. и стоит от $202 до $2614.
По данным Intel серия Atom S1200 используются в микросерверах и сетевом оборудовании таких компаний, как Accusys, CETC, Dell, HP, Huawei, Inspur, Microsan, Qsan, Quanta, Supermicro и Wiwynn.
Не секрет что Atom многие считали не очень удачным для встроенных устройств, в первую очередь из-за софта, но вот для серверов такой проблемы нет, поэтому у Intel есть все основания полагать что линейка S1200 будет весьма популярна. Но и конкуренты не спят.
AMD представила процессоры AMD Opteron серии X Kyoto(amd.com/en-us/products/server) x86 архитектуры, которые стали обеспечивают очень высокую плотность и энергоэффективность. Поставляются в двух вариантах. Например AMD Opteron X2150 является серверным однокристальным гибридным процессором, в котором сочетаются CPU и GPU (на базе AMD Radeon HD 8000, до 128), версия X1150 не содержит GPU. Ориентируются X2150 для обработки мультимедиа, X1150 для распределенных нагрузок и SoC серверов. Используется X86 ядро известное как “Jaguar”, содержащее 4 ядра, работающих с частотой 2 Ггц, кэш L2 2 МБ, имеющий встроенный порт SATA (у S1200 его нет) и поддерживающее до 32 ГБ DRAM на CPU. По CPU тестам производительность Opteron X в два раза выше Atom S. При этом TDP составляет 22 Вт. Доступны по цене 99 и 64 $.
Но новый тренд привел к тому что стали возрождаться MIPS и RISC процессоры. Например, AMD еще полтора года назад объявила о разработке Opteron A-серии (Seattle), с весьма интересными характеристиками: 4- и 8 x64 ядер, тактовая частота выше 2 Ггц, поддержка 128 Гб DRAM. В начале 2014 года обществу был представлен AMD Opteron A1100 в котором используются первые реализации 64 битного чипа ARM Cortex-A57, выполненные по техпроцессу 28 нм и работающие на частоте выше 2 ГГц. Старшая модель будет содержать 8 ядер, 8 МБ кэш-памяти третьего уровня и поддерживать до 128 ГБ ОЗУ с ECC. Причем для Opteron А1100 AMD специально разработала новый контроллер памяти способный поддерживать как DDR3 или DDR4. Каждая пара ядер разделяет кэш 1 Мб L2, в общей сложности до 4 Мб кэш-памяти L2 для чипа. В них также будет встроена поддержка двух портов Ethernet 10 Гбит/с и 8 портов SATA 6 Гбит/с (SoC способен обеспечить полную полосу пропускания для всех 8 SATA). Как видим графических ядер в составе этих решений нет и в ближайшее время не планируется. Данная разработка предназначается для высокоинтегрированных SoC и оптимизирована для плотных, энергетических эффективных серверов. Изготавливается Opteron A по техпроцессу 28 нм, поэтому у него отличное соотношение производительности к потребляемой мощности — TDP равно 25 Вт. Стоимость ожидают в районе $100. По данным производителя, восемь ядер Opteron A1100 обеспечивает производительность в 2-4 раза выше, чем у четырехядерного процессора Opteron X2150, при равной стоимости и TDP.

Сравнение AMD Opteron X2150 и A1100

Серверы на базе нового чипа, как ожидается, будут объявлены в 4-м квартале 2014 года. Паралельно AMD передает проекту Open Compute Project спецификацию нового микросервера — AMD Open CS 1.0 Common Slot и сотрудничает с лидерами отрасли в создании экосистемы 64-разрядного ПО для систем на архитектуре ARM: компиляторы, эмуляторы, гипервизоры, ОС и прикладные программы, для всех возможных задач решаемые серверами в вычислительных центрах. Такой шаг вполне способствует его дальнейшему продвижению другими разработчиками. Так что процессоры AMD с ядром ARM в ближайшее время вряд ли встретим в планшетах, но зато они вполне смогут обеспечить работу облачного сервиса.
Кстати пару лет назад AMD планировала покупку MIPS Technologies, которой принадлежат лицензии на MIPS архитектуру, но в 2013 году большая часть патентов были переданы Bridge Crossing (ARM один из членов).

Три волшебные буквы ARM

Первые чипы ARM появились в апреле 1985 года стараниям британской компании Acorn Computers (сейчас ARM Limited), но долгое время по популярности уступали универсальным х86, хотя отличались энергоэффективностью и в некоторых задачах большей производительностью. Например, Citrix считает, что Xen работает на ARM лучше чем на Intel. Также чипы ARM популярны во встраиваемых системах, сетевом оборудовании, платежных терминалах и разного рода измерительных приборах. Но все изменилось с массовым появлением мобильных гаджетов, в 90% которых сегодня используются именно разработки ARM. За основу ARM взята 32-x битная RISC архитектура (отсюда и сокращение Advanced или Acorn RISC Machine), которая была и упрощена и усложнена одновременно, но по сути также использовала набор простых команд обрабатываемые с минимальными затратами. В отличие от традиционных CPU, ARM это не процессор, это чип или SoC, который может содержать все необходимое – контроллер RAM, графический ускоритель, видео и аудио декодер, сетевые модули и USB. Здесь кстати нужно понимать что сам набор инструкций ARM не сильно влияет на энергопотребление, главная суть низкого TDP именно использование архитектуры SoC.
Сегодня ARM Limited занимается в основном разработкой и лицензированием процессорных архитектур, отдав создание конкретных моделей чипов или отдельных компонентов сторонним компаниям(arm.com/products/processors/licensees.php). Например, компании Qualcomm и Apple создали собственные модификации на основе ARMv7, которые получили название Scorpion, Krait и Swift. Самая современная разработка чип Cortex-А57 на сегодня лицензирован в AMD, Broadcom, HiSilicon, STMicroelectronics, Samsung, MediaTek и Huawei.

Лицензирование Cortex-А57

Начиная с ARM7 определены три профиля, поддерживающих свой набор инструкций, позволяющие легко определить назначение чипа:

Со времени первого серийного ARM2, в оригинальное изготовление ARM было исполнено без микрокода, как и более простой 8, за почти 30 лет было разработано несколько поколений ARM, и расширения набора команд. Кроме стандартных 32 битных инструкций, появился например, режим Thumb (T32) позволяет выполнять 16-битный набор инструкций. В 2003 году, он было расширен Thumb-2 с дополнительными 32-битными командами позволяя достичь обычной производительности ARM при выполнении 16 битных инструкций. Технология Jazelle (чипы с индексом «J») позволяет байткоду Java исполняться непосредственно в архитектуре ARM. Кроме этого набор команд может быть расширен при помощи сопроцессоров. Вот некоторые из них:

Позже появились 2-х и более ядерные процессоры. В Cortex A9 (2 ядра) и A15 (4 ядра). В итоге чипам Cortex-A15 уже удалось сравниться по быстродействию с Intel Atom.
Не смотря на то что в x86 уже давно перешли на 64 битную архитектуру, ARM не спешила с таким шагом. Сама по себе разрядность мало сказывается на производительности, а необходимости в адресации памяти более 4 Гб, не было. Хотя в 2010 году в ARMv7 (Cortex-A15 и Cortex-A7) было представлено расширение LPAE (Large Physical Address Extension) предназначенное для более эффективного управления гипервизорами и разделения данных, которое позволяло адресовать память большую 4 Гб. Но приложения нуждающиеся в такой адресации фактически отсутствовали. Сегодня ситуация изменилась, все больше и больше ОС и приложений стали доступными только в 64 сборке. Поэтому в октябре 2011 представлена архитектура ARMv8-A содержащая определение AArch64, позволяющее выполнять 64 битные команды. Допускается исполнение 32-битных приложений в 64-битной ОС, и запуск виртуализованной 32-битной ОС при помощи 64-битного гипервизора. Кроме этого в ARMv8-A добавлены криптографические инструкции для работы с AES, SHA-1 и SHA-256.

Поколения чипов ARM

В настоящее время ARMv8-A реализована в высокопроизводительных чипах серии Cortex-A50 представленной двумя наработками: Cortex-A53 и Cortex-A57. Первый энергоэффективный, а второй высокопроизводительное, но оба способны работать с большими объемами оперативной памяти.
Процессоры с ядрами ARM Cortex-A57 соответствуют стандартам [Open Compute Project](opencompute.org) и Common Slot Architecture продвигаемые Facebook. Это позволяет использовать их вместе с традиционными процессорами семейства x86 на существующих ОС уже сейчас, пока не появилось оптимизированное ПО. Также в январе 2014 ARM выпустило спецификацию Server Base System Architecture (SBSA), разработанную совместно с производителями ОС и ПО (Canonical, Citrix, Linaro, Microsoft, Red Hat и SUSE), и оборудования (Dell, HP, Broadcom). В [SBSA](goo.gl/lNdrRR) определяются минимальные стандарты для лучшей совместимости, переносимости и интеграции в действующие датацентры.

Чип Cortex-A57

Как обычно, по началу большой проблемой развития является низкая готовность софтверной части. В этом направлении работа ведется, драйвера пишут уже сейчас, происходит адаптация адаптируют SDK и портирование программ. Понятно, что на это уйдут месяцы. Но в случае ARM сильно выручают кросс-платформенные решения, которые могут выполняться на любой аппаратной платформе.
Архитектура ARM поддерживается множеством операционных систем. Например, ARMv8 поддерживается в ядре Linux начиная с версии 3.7. Все недавние релизы Ubuntu 14.04 LTS и RedHat, поддерживают 64-битную ARM. Кроме этого ARM будет работать в BSD (FreeBSD, NetBSD, OpenBSD), QNX, Android и других.

Ubuntu Server 14.04 LTS поддерживает 64-битный ARM

***

В 2013 году было продано около 13 млн серверных процессоров x86 и более 8 млрд процессоров ARM и по мнению AMD, через пять лет 25% всех серверов в мире будут работать на платформе ARM. Хотя ни кто из специалистов не решается спрогнозировать что будет с рынком вообще. Пока ARM при продвижении на рынок сталкивается по сути с теми же проблемами, которые испытала и Intel при попытке ворваться на рынок мобильных процессоров. Здесь придется действовать против сильного конкурента, который хорошо закрепился и имеет глубокие связи с клиентами. Но участие AMD имеющее свою базу клиентов вполне может сыграть положительную роль в увеличении спроса. Поэтому вполне вероятно, что 64-битный производительный и энергоэкономный чип найдет своего покупателя. Во всяком случае ARM рассчитывает в течение пяти лет, получить 40% долю рынка чипов для масштабируемых веб-серверов (около 10 млрд.$).

PowerShell 5.0: модуль Network Switch

В Windows Server 2012 была представлена концепция Data Center Abstraction (DAL) — представляющая собой уровень абстракции использующий стандарты DMTF и Windows CIM для управления всеми ресурсами ЦОД: физические серверы, устройства хранения данных, сетевых устройств, гипервизоры, операционные системы, приложения и сервисы и так далее. То есть любой разработчик может предложить свои совместимые инструменты для управления датацентрами на базе Windows. В том числе такая возможность была реализована и при помощи CIM командлетов, хотя наглядной и удобной их применение назвать нельзя.
В WMF 5.0 добавлен модуль управления NetworkSwitch, использующий DAL и позволяющий управлять сетевыми L2 уровня коммутаторами Windows. Команда:

PS > Get-Command -Module NetworkSwitch

Покажет что модуль включает 19 командлетов.

Командлеты модуля NetworkSwitch

Командлеты модуля NetworkSwitch

Документация пока по командлетам довольно скупая и здесь придется немного поэкспериментирорвать. При этом для создания и правления виртуальным роутером по прежнему задействуются CIM командлеты.
Создаем CIM сессию, объявляем переменные:

PS> $ip = "192.168.0.2"
PS> $sessionOption = New-CimSessionOption -UseSsl -SkipCACheck -SkipCNCheck -SkipRevocationCheck
PS> $s = New-CimSession -CN $ip -port 1234 -Auth Basic -Credential admin -SessionOption $sessionOption

Используя Get-NetworkSwitchFeature можем просомтреть настройки:

PS> Get-NetworkSwitchFeature -CimSession $s

Список портов:

PS> Get-NetworkSwitchEthernetPort -CimSession $s | Format-Table InstanceID, ElementName, MaxSpeed, PortNumber, EnabledState

Чтобы отключить определенный порт применяем командлет Disable-NetworkSwitchEthernetPort:

PS>  Disable-NetworkSwitchEthernetPort -PortNumber 1 -CimSession $s

И смотрим его состояние:

PS>Get-NetworkSwitchEthernetPort -PortNumber 1 -CimSession $s | FT InstanceID, ElementName, MaxSpeed, PortNumber, EnabledState

Microsoft Baseline Security Analyzer (MBSA)

MBSA предназначен для удаленного или локального сканирования и последующего анализа уязвимостей в системе и определения возможности их устранения. Ориентирован в первую очередь для повышения безопасности систем на малых и средних предприятиях, хотя вполне подходит и для домашнего использования. В процессе сканирования проверяется наличие рекомендованных к установке патчей для ОС и некоторых приложений – IIS, SQL Server, SharePoint, MS Office, Web Apps и других, а также уязвимость аккаунта администраторов. Текущая версия 2.3 поддерживает все новые ОС Windows 8.1 и 2012R2, об устаревших приложениях утилита как правило не знает. Для этого следует использовать более ранние релизы MBSA. Кроме графического интерфейса доступна и утилита командной строки (Mbsacli.exe), которую можно запускать без установки MBSA (с флешки например) и использовать в скриптах.

	> mbsacli.exe /target webserver /u domain\adminuser /o results

Скачать MBSA можно по адресу(goo.gl/UvwCV6). Установка очень проста. Интерфейс нелокализован, но принцип работы понятен и без чтения документации. После запуска достаточно выбрать “Scan a computer” или “Scan multiple computers”, ввести имя или IP и выбрать параметры проверки. После этого будут закачаны с Windows Update сведения о доступных обновлениях безопасности и после сканирования, будет построен отчет. Все найденные проблемы разбиты по категориям. Значок в поле Score показывает критичность, далее идет краткое описание и приводятся ссылки на решение “How to correct this”. Остается лишь все исправить и запустить сканирование повторно.

Отчет полученный в MBSA

Отчет полученный в MBSA

2015-01-29_110240

Security Compliance Manager (SCM)

Security Compliance Manager – бесплатный инструмент разрабатываемый в Microsoft Solution Accelerators позволяющий быстро сконфигурировать компьютеры при помощи набора готовых групповых политик и пакетов конфигурации созданных на основе рекомендаций руководства по безопасности Microsoft и различных best practices. Большой плюс его в том, что он избавляет админа от чтения тонн документации и ошибок, ведь всегда можно пропустить что-то важное. А так просто просматриваем, сравниваем и применяем рекомендуемые параметры безопасности. Кроме настройки ОС Win, поддерживается также IE, Echange Server и MS Office. О его возможностях скажет такой факт, что например только для IE доступно более 150 параметров.
Администратор может экспортировать и импортировать свои конфигурации в SCM, упрощая распространение настроек. Поддерживается и возможность применения установок для компьютеров не входящих в домен.
Установка SCM очень проста, мастер самостоятельно инсталлирует все что нужно. Хотя .Net Framework 3.5 лучше поставить заранее при помощи Диспетчера сервера, бывает что мастер не всегда с этим справляется. В состав пакета входит SQL Server 2008 Express, но при наличии SQL Server, можно использовать и его.
Далее SCM запустится автоматически, и импортирует шаблоны Baseline Security, на что может уйти несколько минут. В последующем шаблоны можно импортировать автоматически или добавлять вручную. Интерфейс нелокализован, но прост и понятен. Начальная страница содержит несколько информационных областей, на которых представлены дополнительные ссылки и информация по дальнейшим действиям. Слева в панели находится дерево Baseline Library в котором отображены все доступные базовые параметры группированные по продуктам. При выборе конкретного параметра в середине будет показана подробная информация – приведена критичность, значение по умолчанию, рекомендация Microsoft и Customized показывает все изменения.
Базовые параметры изменять нельзя, но щелчком по ссылке “Customize this settings …” или Duplicate можно сделать копию и ее изменить под свои условия. Все возможные действия доступны в панели Actions справа. Здесь находятся пункты для экспорта и импорта настроек, в подменю Baseline находим пункты позволяющие сравнить/совместить, дублировать, удалить параметры. Реализован поиск, позволяющий быстро найти нужный по ключевым словам.
Кроме графической консоли поставляется инструмент командной строки позволяющий управления, импортировать и экспортировать локальные групповые политики компьютера. Все команды выполняются от имени администратора. Для экспорта локальных параметров с компьютера просто выполните команду:

	> LocalGPO.wsf /Path:c:\GPOBackup /Export

Чтобы установить параметры, следует указать идентификатор GUID нужного объекта GPO:

	> LocalGPO.wsf /Path:c:\GPOBackup\{012345678-ABCDEFG}

Дополнительный параметр GPOPack позволяет объединять в один самораспаковывающийся файл все, что нужно для применения базовых параметров безопасности (не требует установки LocalGPO). Используя такой архив можем быстро установить политики на новых ОС.

Редактирование политики в Security Compliance Manager

Редактирование политики в Security Compliance Manager

Настройка Windows Firewall при помощи PowerShell

В будущих релизах Windows Microsoft планирует отказаться от использовании утилит netsh и для настройки сетевых функций и Windows Firewall будут использоваться только командлеты PowerShell. В Windows Server 2012 и Windows 8 доступен соответствующий модуль NetSecurity, содержащий 27 командлетов для настройки брандмауэра Windows в режиме повышенной безопасности WFAS (Windows Firewall with Advanced Security), охватывающих все возможные настройки и полностью заменяющие “netsh advfirewall”.
Список модулей для настройки WFAS

Просмотреть их список очень просто:

PS> Import-Module NetSecurity
PS> Get-Command -Noun "*Firewall*"

Узнать подробную информацию по работе каждого можно при помощи командлета Get-Help. Знакомство упрощает то что названия командлетов пересекаются с командами netsh. Разберем некоторые примеры.
Смотрим текущие установки профилей:

PS> Get-NetFirewallProfile

Настройка профилей

Включаем все профили (Domain, Public, Private).

PS> Set-NetFirewallProfile -All -Enabled True

Вместо параметра “All” можем указать конкретный профиль:

PS> Set-NetFirewallProfile -Profile Domain -Enabled True

Установим для профиля Domain блокировку всех входящих как действие по умолчанию

PS> Set-NetFirewallProfile –Name Domain –DefaultInboundAction Block

Командлет Set-NetFirewallProfile позволяет настроить все параметры профиля: журналирование, добавить IP, порт, протокол и многое другое. Например, можем исключить Ethernet интерфейс из профиля Public, добавляем правило:

PS> Set-NetFirewallProfile -name Public -DisabledInterfaceAliases Ethernet

Все манипуляции с правилами производятся при помощи 7 командлетов *-NetFirewallRule. Для просмотра установленных правил используем командлет Get-NetFirewallRule. Например, выберем только блокирующие правила:

PS> Get-NetFirewallRule -Enabled true -Action block

Создадим правило блокирующее исходящие соединения для IE в двух профилях.

PS> New-NetFirewallRule -Program “C:\Program Files\Internet Explorer\iexplore.exe” -Action Block -Profile Domain, Private -DisplayName “Block IE” -Description “Block IE” -Direction Outbound
PS> New-NetFirewallRule -DisplayName "Allow Inbound OpenVPN Client" -Direction Inbound -LocalPort 1194 -Protocol UDP -Action Allow

Правило может содержать и прочие атрибуты – порт, протокол, интерфейс, направление, путь к программе и т.п. Для примера добавим к правилу протокол, порт и IP удаленной и локальной системы.

PS> Set-NetFirewallRule -DisplayName “Block IE” -Protocol TCP -RemotePort 80 -RemoteAddress “192.168.1.1” -LocalAddress “192.168.1.10”

Смотрим команды:

PS> Get-NetFirewallRule -DisplayName*IE*

Отключается правило очень просто

PS> Disable-NetFirewallRule -DisplayName “Block IE”

Для удаления используется командлет Remove-NetfirewallRule.
Параметр -DisplayGroup позволяет группировать правила, чтобы в дальнейшем задавать параметры сразу всем правилам в группе.

PS> Set-NetFirewallRule -DisplayGroup "Windows Firewall Remote Management" -Enabled True

Новые возможности PowerShell 5.0

Большинство последних новинок Microsoft направлено на упрощение создания и управления вычислительных сред. В предрелизе WMF 5.0 заявлено хотя и небольшое количество новинок, но тем не менее они очень интересны.

Вышедший год назад Windows Server 2012 R2 вместе с PowerShell 4.0 получил интересную технологию – настройки требуемого состояния (Desired State Configuration, DSC) позволяющую разворачивать роли и контролировать состояние большого количества систем. Это явный шаг вперед, но пока еще недостаточный чтобы тягаться с unixовскими аналогами Puppet или Chef. Причина проста — установка любого софта ограниченного возможностями Windows Update. Здесь Windows явно проигрывает Unix количественно. Ведь не секрет что в репозитариях любого дистрибутива Linux можно найти тысячи программ на все случаи и которые ставятся одной командой. В DSC все действия на конечной системе выполняются при помощи ресурсов или провайдеров, на момент релиза их насчитывалось всего 12, и с их помощью можно было выполнить относительно простые задачи.
В мае 2014 стала доступна новая версия Windows Management Framework 5.0 Preview.
Список новинок назвать большим не получается: обновились DSС и среда Integrated Scripting Environment (ISE), три новых модуля – PackageManagement (ранее OneGet), модулей PowerShellGet и NetworkSwitch, плюс 14 новых командлетов (всего 30). Новый релиз пока будет работать только в английской версии Windows 8.1 и Windows Server 2012 R2, возможно к финалу это изменится
Из 14 командлетов большая часть позволяет получить определенную информацию: Get-ItemPropertyValue, Debug-Job, Get-CounterSample, Get-PerfomanceCollectro, Get-ServerBpaResult, Get-ServerClusterName, Get-ServerEvent, Get-ServerFeature, Get-ServerInventory, Get-ServerService, Get-StreamHash, Remove-ServerPerfomanceLog, Start-PerfomanceCollector и Stop-PerfomanceCollector. Назначение многих очевидно. Но документация по новинкам еще не полная и готовых примеров нет. Вероятно это исправят в релизу, наиболее интересен командлет Debug-Job. Указав в параметрах имя или Id процесса мы можем просмотреть отладочную информацию (рис.1).

Параметры командлета  Debug-Job

Новые ресурсы DSC

В месте с WMF 5.0 поставляется новая версия DSC Resource Kit Wave 4 в которой появилось 6 модулей, содержащих 16 новых ресурсов и 3 ресурса обновлено (xPSDesiredStateConfiguration, xDscResourceDesigner, xDscDiagnostics). Названия новых модулей говорят сами за себя:

После установки обновления команда Get-DSCResource покажет, что их общее количество составляет уже 67. Загрузить новые ресурсы можно и без установки WMF 5.0, используя PowerShellGet или при помощи PowerShell:

PS > Get-HotFix -Id KB2883200

PowerShellGet

По мере развития PowerShell стал обрастать модулями и дополнениями. Их стало на столько много, что найти нужный большая проблема и часто хорошие проекты просто теряются. Решение очень простое — создать репозитарий модулей. Так и появился PowerShellGet – менеджер пакетов для модулей PowerShell. Нужно отметить что Microsoft не стали изобретать велосипед, а взяли наработки проекта NuGet и построив по верх него новый модуль PowerShellGet. Избавив себя от разработки протокола и инструментом управления репозитарием. Естественно поддерживаются все репозитарии совместимые с NuGet. Модуль содержит 4 командлета: Find-Module, Install-Module, Publish-Module и Uninstall-Module.

PS > Get-Command -Module PowerShellGet

 Командлеты модуля PowerShellGet

Попробуем найти модуль xPSDesiredStateConfiguration

PS > Find-Module xPSDesiredStateConfiguration

Подтверждаем запрос на подключение к NuGet. Если нужный модуль в репозитарии есть, устанавливаем его при помощи командлета Install-Module.

PS >  Install-Module xPSDesiredStateConfiguration

Предусмотрена возможность создания собственного репозитария. Процесс состоит из двух этапов: создание репозитария и его подключение при помощи переменных PowerShellGet. Построить свой репозитарий можно при помощи NuGet, специального инструмента NuGetGallery (требует Visual Studio и развертывания IIS) или воспользоваться возможностями онлайн хранилища ProGet [6]. Последний самый наверное быстрый и удобный, позволяет создавать локальные репозитарии и получать к ним доступ при помощи веб-интерфейса, утилиты NuGet Package Explorer или средствами OneGet. Предлагается две версии: Free и Enterprise. Бесплатной вполне хватает для многих задач. Поддерживается установка от Windows XP и новее, также потребуется IIS от 7 с ASP.NET 4.0 и SQL Server от 2005. Все подробности по развертыванию изложены в документации ProGet. Если нужно подключить свой репозитарий то указываем его URL в переменных PSGalleryPublishUri и PSGallerySourceUri. По многим вопросам развертывания наилучшим пособием будет документация MSDN.

Модуль Network Switch

В Windows Server 2012 была представлена концепция Data Center Abstraction (DAL) — представляющая собой уровень абстракции использующий стандарты DMTF и Windows CIM для управления всеми ресурсами ЦОД: физические серверы, устройства хранения данных, сетевых устройств, гипервизоры, операционные системы, приложения и сервисы и так далее. То есть любой разработчик может предложить свои совместимые инструменты для управления датацентрами на базе Windows. В том числе такая возможность была реализована и при помощи CIM командлетов, хотя наглядной и удобной их применение назвать нельзя.
В WMF 5.0 добавлен модуль управления NetworkSwitch, использующий DAL и позволяющий управлять сетевыми L2 уровня коммутаторами Windows. Команда:

PS > Get-Command -Module NetworkSwitch

Покажет что модуль включает 19 командлетов.

 Командлеты модуля NetworkSwitch

Документация пока по командлетам довольно скупая и здесь придется немного поэкспериментирорвать. При этом для создания и правления виртуальным роутером по прежнему задействуются CIM командлеты.
Создаем CIM сессию, объявляем переменные:

PS> $ip = "192.168.0.2"
PS> $sessionOption = New-CimSessionOption -UseSsl -SkipCACheck -SkipCNCheck -SkipRevocationCheck
PS> $s = New-CimSession -CN $ip -port 1234 -Auth Basic -Credential admin -SessionOption $sessionOption

Используя Get-NetworkSwitchFeature можем просмотреть настройки:

PS> Get-NetworkSwitchFeature -CimSession $s

Список портов:

PS> Get-NetworkSwitchEthernetPort -CimSession $s | Format-Table InstanceID, ElementName, MaxSpeed, PortNumber, EnabledState

Чтобы отключить определенный порт применяем командлет Disable-NetworkSwitchEthernetPort:

PS>  Disable-NetworkSwitchEthernetPort -PortNumber 1 -CimSession $s

И смотрим его состояние:

PS>Get-NetworkSwitchEthernetPort -PortNumber 1 -CimSession $s | FT InstanceID, ElementName, MaxSpeed, PortNumber, EnabledState

DSC для Linux

Эта функция не идет в комплекте с WMF 5.0, но тем не менее она стоит того чтобы хотя бы вкратце упомянуть в обзоре. Тем более что DSC для Linux уже достиг состояния 1.0.0. И теперь мы можем использовать для управления конфигурацией Linux и Windows одну и туже же платформу. В настоящее время реализованы 5 типов ресурсов:

Для работы используется OpenSource реализация Open Management Infrastructure (OMI) в качестве CIM сервера и протокол на основе SOAP – WS-Management.
Поддерживается только “push” режим. Соответственно принцип использования немного отличается от управления Windows системами. А процесс развертывания требует внимательности.

Windows 10: установка ПО при помощи модуля PowerShell PackageManagement

Одной из самых интересных функций в PowerShell 5.0 стало появление модулей установки программ PackageManagement (ранее OneGet), модулей PowerShellGet. Собственно эти возможности были частично анонсированы еще в PowerShell 4, тогда появился репозиторий ПО Chocolatey(chocolatey.org/packages) и возможность установки из него программ и модулей. Чтобы поставить Chrome в Windows 8.1 и Windows Server 2012R2 уже не нужно лезть на сайт Google, а достаточно просто ввести команду в консоли.

	C:\> choco install googlechrome

Но теперь это все официально, входит в комплект и используется PS. PackageManagement это фактически еще одна фишка из мира *nix, позволяющая ставить программы из централизованного репозитария, одной коммандой. Это упрощает поиск ПО, его обновление и безопасность системы. Можно работать с несколькими репозитариями и создавать свои. Набор командлетов можно получить командой:

	PS> Get-Command -Module PackageManagement
	PS> Get-Command -Module PowerShellGet

Модули PackageManagement и PowerShellGet

Модули PackageManagement и PowerShellGet


Назначение их понятно: получение источников ПО (Get-PackageSource), поиск пакета (Find-Package), получение пакета без установки (Get-Package), установка (Install-Package) и так далее. Кстати в Get-Command появился новый параметр -ShowCommandInfo, который форматирует вывод PSObjects.

	PS> Install-Package googlechrome

В Chocolatey на сегодня насчитывается 2820 приложений. Единственное, что система поиска приложений не совершенна, желательно знать название более точно. Если ввести:

	PS> Find-Package Chrome

То будет найдет xChrome. А так все работает.
Поиск пакета при помощи Find-Package

Как выбрать СЭД?

Информации по СЭД сегодня с одной стороны много, но когда приступаешь к выбору оказывается что ее недостаточно. Внешнее описание решений мало чем отличаются, а отзывы на форумах противоречат другу друг.

Сегодня решение о переходе на систему документооборота уже редко принимается спонтанно, без каких либо конкретных планов, или как дань моды, просто чтобы было. Обычно начальство само приходит к выводу что нужно что-то менять. Проект внедрения СЭД начинается с постановки задачи, определения рамок проекта и выбора программной платформы. Для ускорения процесс внедрения полностью отдается стороннему поставщику, который произведет аудит и предложит решение. Вот этот этап вызывает вполне обоснованные сомнения, так как правило ИТ-консалтинг и внедрение проводит одна и та же компания, то есть решение уже «выбрано» заранее, просто его немного адаптируют к внутренним нуждам. Доверившись сторонней компании легко попасться на маркетинговый крючок. Поведясь на внушительный список внедрений и отзывов благодарных клиентов или гарантию нереальных сроков внедрения продукта. Вероятно для государственных компаний в которых не очень любят считать деньги такой подход вполне понятен. Но в случае с бизнесом ситуация может быть с точностью наоборот. Современный руководитель вполне подготовлен и способен самостоятельно оценить предлагаемый продукт, прежде чем сделать выводы о целесообразности его внедрения и в процессе указать, что не хватает в конкретном решении. Нет конечно он вряд ли будет смотреть на такие характеристики как системные требования, используемая СУБД или язык на котором написана программа. Все это дело ИТ, который тоже никуда не девается и участвует в процессе с самого начала. Речь именно об функциональности СЭД с которой придется работать обычному сотруднику и на подробности которой редко обращает внимание ИТшник, так как он хотя и имеет представление о бизнес процессах, но тем не менее сильно вникает в мелочи.
Раньше вендоры не сильно акцентировали внимание на функциях продукта, более важную роль играл бренд и наличие известных клиентов. Ведь ИТ системы считались сложными и разобраться в них мог только специалист. Поэтому вариант, что продукт будут изучать перед внедрением учитывают не все разработчики и стараются действовать старыми методами, продавая репутацию, а не показывая функционал. Посетителя на сайтах встречает маркетинговая информация, а при поисках конкретики складывается мнение что некоторые разработчики как будто бы специально что-то скрывают. Определиться в такой ситуации очень сложно. Хотя это может быть свидетельством того что решение в последующем будут адаптировать под конкретную задачу. Нет конечно менеджеры по продаже ответят на любой вопрос, но в пределах своей компетенции, мелочей как правило они не знают. Ведь не секрет что разрабатывают систему одни, продают и внедряют другие, а поддерживают третьи. У каждого круга свой уровень знаний и добраться до самого низа в обычной компании тяжело (хотя в этом не всегда есть необходимость).
И так чтобы выбрать СЭД нам нужно познакомится с общей функциональностью и разобраться как реализованы отдельные процессы (например согласование документов) и возможности по изменению маршрутов. В этом должны помочь общие описания продукта (введение) и документация. Здесь нам интересно увидеть максимальные детали в описании именно функционала СЭД, то есть что мы можем сделать или получить. Присутствие общих маркетинговых фраз или наоборот акцентирование внимание на ненужных (пока) мелочах (вроде поддержки СУБД) наличие большого количества подпунктов, говорит о том что вендор или пытается выдать продукт за другой или банально не может написать нормальную документацию. Лишними будут многочисленные статьи на сайте о необходимости использования СЭД. В них нет особого смысла, так как человек уже в принципе принял решение и приходит выбирать. Очень кстати если это все дополняется подробными скриншотами и демонстрационными видео, показывающими основные этапы работы программы. Ведь в описании можно написать, что угодно, но чаще лушче просто увидеть, а снимок четко покажет, что и как и поможет составить мнение. Чем больше такого материала тем наверное лучше. Бывает вместо этого разработчики выкладывают маркетинговые видео в которых счастливые пользователи рассказывают как хорошо, что у них внедрена эта именно система, не объясняя по сути почему. Они занимают время и отбивают охоту изучать продукт. Более подробно тот или иной процесс должен быть расписан в документации.
И весьма неплохо бы чтобы и демоверсия продукта (желательно SaaS так как не всегда есть возможность настроить и показать всем заинтересованным), к которой можно было бы получить доступ без всяких бюрократических проволочек. Некоторые разработчики предоставляют свои решения для теста после определенных согласований, только через несколько дней, и чтобы просто оценить приходится разворачивать всю инфраструктуру (сервер, СУБД и т.п.). Кстати сама по себе SaaS версия очень неплохое начало для небольших компаний которые не хотят или не могут развернуть полноценный сервис у себя на площадке. Кроме того часто можно услышать жалобы на то что решение «тормозит» с SaaS при наличии каналов достаточной пропускной способности такое не наблюдается, так как разработчики знают сколько нужно выделить ресурсов.
Ну и конечно мы должны получить внятное описание формирования цены на продукт. Для небольших организаций интересными будут решения SaaS, пользователю нет особой разницы, где именно находятся серверы и как именно хранятся документы, а вот процесс администрирования заметно упрощается.
Попробуем оценить подачу трих СЭД решений по этим критериям. Выбирались они для обзора по очень простоум критерию — наличие бесплатной версии.

Alfresco

Эта СЭД разрабатывается с 2005 года и обладает всем необходимым для управления документами, записями, веб-публикацией и бизнес-процессами в организации. В магическом квадрате Gartner посвященному решениям по управлению корпоративным контентом (ECM, Enterprise Content Management) Alfresco долгое время находится в Visionaries (провидцы). Продукт достаточно известен и получил несколько наград от разных организаций.
Сайт Alfresco на английском. Попав сразу узнаем, что на сегодня Alfresco представлен в двух версиях – Alfresco Community Edition и Alfresco One (ранее Enterprise) и SaaS сервис Alfresco in the cloud использующий веб-сервисы Amazon. Собственно наличие бесплатнйо версии и обусловлавливает Alfresco. Так как установить и использовать Alfresco может каждый желающий, благо в сети много руководств. Также не редко именно эту версию предлагают некоторые компании интеграторы. Таблица показывает, что CE и One по функциям документооборота не отличаются, только возможности расширения. В CE отсутствует интеграция с облаком, кластеризация, поддержка с некоторыми бизнес-приложениями (Salesforce), функция управление мобильными устройствами (MDM) и поддержкой и корпоративных платформ (MS SQL Server, Oracle и WebSphere). Сборка Community распространяются абсолютно свободно по лицензии GNU GPL, без какой-либо поддержки. Enterprise – ориентирована на корпоративный сектор и приобретается вместе с официальной поддержкой от разработчиков.
Выбрав нужный продукт получим краткую информацию по возможностям. Например для Alfresco One здесь 7 пунктов в которых раскрываются управление документами, совместная работа, поддержка мультимедиа, управление бизнес процессами, синхронизация контента, управления записями и инцидентами, поддержка отрытых стандартов. В принципе все важное здесь озвучено этого достаточно, чтобы немного определиться. Остальные вопросы отражены в документации, где каждая версия продукта имеет отдельную ветку. Это плюс, так как не редко разработчики описывают только коммерческий продукт, а чего не хватает в бесплатной приходится разбирать самому. Здесь находим технический обзор, архитектуру, информацию об API (RESTful API, Java API, JavaScript API, с помощью которых легко получить доступ к репозиторию, задачам, системе управления сайтами и т.д, данные по установке и использованию и многое другое. Отдельный раздел представляет видеоруководства (всего 15), которые наглядно показывают процесс и подробно информируют о возможностях. В частности их анализ кроме базовых элементов позволяет получить некоторое представление о настройке бизнес-процессов в Alfresco, модели контента, работе системы групповой работы и другое. То есть как раз то, что показать на пальцах ни как нельзя. На сайте можно найти ссылки на White Papers, части опубликованных книг (требуется регистрация), блог разработчиков, Wiki и форум. Проект постоянно проводит вебинары, архив которых свободно доступен. Также на видном месте показана ссылка на дополнительные расширения Alfresco, которых в настоящий момент более 600. Здесь и интеграция с соцсетями, Youtube, популярными CMS, языковые пакеты и многое другое.
Решение кросплатформенное, разработано на основе Java-технологий, в качестве СУБД для свободной редакции поддерживаются MySQL и PostgreSQL. В редакции Alfresco One также Oracle Database, DB2, MSSQL Server. Развернуть его при наличии определенного пыта вполне реально.
Также разработчики предлагают возможность сразу подключиться Alfresco Cloud для чего достаточно указать свой email. Вот здесь ложка дегтя. Запросы очевидно обрабатываются вручную, а поэтому некоторое время придется подождать (оно может и не прийти). Чтобы получить хоть какую то информацию о стоимости One или Cloud необходимо заполнить лист с информацией о компании и подождать ответа менеджера.

Официальная документация  Alfresco очень подробная, но к сожалению она на английском

Официальная документация Alfresco очень подробная, но к сожалению она на английском

Verdox

Сайт разработчика Verdox сверстан профессионально, но вот информация которая первой попадает в поле зрения на нем представлена типично маркетинговая. Не сразу удается найти назначение продукта, о том что это именно СЭД узнаем перемотав страницу до конца. Но главный минус – на сайте нет никакой информации о компании разработчике, просто в контактных данных номер телефона и адрес электронной почты. И все? Человеку впервые попавшему на сайт без каких-либо рекомендаций будет сложно доверять. Те есть какой нибуть раздел «О компании» сайту бы точно не помешал.
Просмотрев первую попавшуюся в глаза информацию, мы узнаем, что при помощи этой системы можем навести «порядок в бизнесе». И уже ниже находим что-то полезное. Здесь 8 пунктов, выбрав любой из них можем получить подробную информацию в которой расписано по пунктам зачем все это нужно и чем поможет Verdox. Причем после введения приводится конкретные данные со полноразмерными снимками позволяющими наглядно увидеть о чем речь. Кроме этого представлен Виртуальный тур. Это то что действительно реализовано хорошо. Выбираем определенный один из 17 пунктов и смотрим пошагово как оно выполняется средствами Verdox. Так мы увидим процесс работы с документами: регистрация, работа с электронным архивом, резолюции, поручения, согласования, протоколы совещания и др. За одно и складывается впечатление об интерфейсе. В наличии раздел документации (больше ориентированной на пользователя), Wiki и форум. Правда по количеству тем и сообщений он особо не пользуется популярностью, да и форум судя по всему не более года. Компания имеет свой канал на YouTube на котором представлены два видеообзора вводный и ознакомительный по работе с поручениями.
Из особенностей Verdox . Входящие сообщения связываются даже если они были доставлены разными способами (электронным и бумажным), позволяя отслеживать переписку. Еще один плюс – исходящие письма могут быть отправлены по электронной почте прямо из системы Verdox без использования внешних почтовых программ. В руководстве пользователя вообщем показаны все стандартные для таких программ действия. Документация администратора позволяет узнать как настроить роли, процесс согласования и справочники, бизнес-процессы, шаблоны и прочее. Её следует изучить более тщательно.
Система предлагается в трех вариантах Verdox Free (бесплатно, до 5 пользователей), Verdox Box (от 1000 руб.) и Verdox Cloud (от 250 руб.). Последние два можно попробовать. Также показана внятная таблица цен в зависимости от количества пользователей и таблица сравнений возможностей версий. Например Free кроме отсутствия поддержки и ограничения по количеству пользователей, не содержит несколько модулей. Для доступа к демоверсии необходимо заполнить форму. Ответ приходит сразу же (только может попасть в спам). После этого около 15 минут формируется окружение и будет выдана ссылка для входа, а на почту придут данные для регистрации. Теперь можно получить полное представление о продукте.
Самостоятельное развертывание версии Free и Box каких либо проблем вызвать не должно. Для установки потребуется ПК под управлением Windows (в документации почему то об этом не сказано, так же нет и рекомендаций по версии).

 Виртуальные туры предложенные Verdox позволяют быстро понять процесс

Виртуальные туры предложенные Verdox позволяют быстро понять процесс

FossDoc

Разработка компании ФОСС-Он-Лайн работающей на рынке ИТ технологий с 1999 года, в его активах клиенты нескольких российских и украинских банков и госучреждений, статус Microsoft Gold Certified Partner. Попав на главную страницу, сразу попадаем на полезную информацию по назначению и основным плюсам этой системы: проста развертывания, принцип лицензирования, гибкая настройка маршрутов, поддержка специфических функция для государственного и банковского сектора. Ничего лишнего, все по сути. Собственно просмотрев основные ссылки с заглавной можно уже сложить первое впечатление о процессе работы с FossDoc. Далее находим подробности, ссылку для выбора продуктов, расчет лицензии (возможна покупка и аренда) и ссылку на бесплатную версию. Этот момент особо замечу так как обычно информацию о наличие Free версии пытаются спрятать подальше. Бесплатная версия ограничена 5 учетными записями, чего обычно хватит для небольших организаций или для тех кто только внедряет СЭД. Скачать ее можно свободно и без всяких регистраций, официальная поддержка в этом случае, только форум. Во многих бесплатных версий коммерческого ПО установку обновлений стараются усложнить, в FossDoc они ставятся штатными образом (обновления выходят раз в месяц). И еще есть интересная особенность. Подав запрос можно бесплатно на 180 дней увеличить количество пользователе системы до 50. То есть можно спокойно внедрить систему, опробовать и затем уже купить лицензию. Версии SaaS в данный момент нет, но по сообщениям находится в разработке. Для подключения к серверу потребуется установить клиентское приложение (только Windows).
Присутствует достаточная документация (пользователя, администратора и разработчика), презентации, FAQ, форум поддержки и прочее. Имеется и свой канал на Youtube на котором представлено 11 небольших роликов наглядно демонстрирующих выполнение определенных действий с FossDoc.
Основой FossDoc является платформа FossLook представляющая собой конструктор из которого позволяющий создавать собственные бизнес-приложения под любые задачи. СЭД FossDoc уже готовое решение включающее все необходимые модули и шаблоны документов для автоматизации классического делопроизводства. Маршрут документа состоит из поручений исполнителям, которые приходят на рабочие места сотрудников. Открыв поручение пользователь получает сам документ. Платформа интуитивно понятна, поэтому при необходимости стандартное решение легко адаптируется под любые условия (самостоятельно это сделать не сложно): добавить любое поле, создать шаблон, прописать маршруты, публиковать документ в папку (архив). Шаблоны документов могут быть разные. Оператор просто заполняет поля и формируется документ в т.ч. отправляется если нужно на печать. Поэтому решение легко спрофилировать под любые другие задачи, организовать, на его основе например на основе FossDoc складской учет. Реализован поиск по любым полям ( расширенный и простой) фильтры папок, есть протоколы в которым можно отследить историю правок любого документа.
Еще одна интересная функция. На основе FossDoc можно строить собственную корпоративную почту и держать полноценный почтовый домен, он может работать за релем и забирать письма с других почтовых серверов (в том числе и бесплатных вроде Mail.ru или Gmail). Принятое письмо автоматически превращается во входящий документ. Интегрирован с ЭЦП разных поставщиков, любая ЭЦП встраивается по заказу. Также документооборот интегрирован с видеоконференцией при помощи модуля от OpenMeetings [7]. Есть модули напоминаний, служебных записок и обращений граждан позволяющий регистрировать и прописывать маршруты всем поступающие заявки.
FossDoc расчитан на использование в организациях от небольших до крупных холдингов. Поддерживается интеграция c Active Directory, несколько СУБД (MS SQL, MySQL и Oracle Database). Установить можно на любую Windows включая и клиентские XP SP3. Весь процесс расписан в документации, справиться сможет и подготовленный пользователь.

На главной странице  FossDoc сразу находим нужную информацию

***

Итак изучив документацию и протестировав продукты мы уже можем самостоятельно определиться с требованиями к СЭД и выбрать те решения которые больше под них подходят.