Microsoft wird dennoch mit den üblichen Anlaufschwierigkeiten rechnen müssen. Gerade im Business-Bereich erfolgt der Wechsel auf ein neues Betriebssystem oft nur sehr zögerlich. Wie sich schon bei Windows Vista gezeigt hat, erfolgt der Umstieg auf eine neue Plattform in vielen Unternehmen oft erst nach Monaten, beziehungsweise Jahren.
Microsoft setzt deshalb nicht nur auf neue Fähigkeiten des Client-Betriebssystems, sondern hat auch die Server-Version von Windows neu aufgelegt. Der neue Windows-Server heißt fast wie der alte: Windows Server 2008 R2. Er beruht aber bereits auf Windows-7-Code, während sein Vorgänger Windows Server 2008 auf Vista basierte. In den internen, von Microsoft verwendeten Versionsnummern ausgedrückt steckt in Server 2008 noch Windows NT 6.0, in Windows Server 2008 R2 bereits Windows NT 6.1. Verschiedene Business-Funktionen von Windows 7 setzen Server 2008 R2 sogar voraus, wie etwa DirectAccess.
DirectAccess
DirectAccess gestattet es Mitarbeitern, sich mit ihrem Firmennetzwerk verbinden, ohne VPN verwenden zu müssen. Das spart Administrationsaufwand und auch von Benutzerseite ist es bequemer, eine Verbindung weniger verwalten zu müssen. Windows 7 nutzt dazu das Protokoll IPv6, das für Windows bereits seit XP verfügbar ist, aber auf den meisten PCs ungenutzt brachliegt, da oft weder Internet-Provider noch zwischengeschaltete Hardware wie etwa Hubs oder Router es unterstützen. Echte IPv6-Anbieter finden sich deshalb kaum. Abhilfe erreicht man derzeit dadurch, dass man IPv6-Verbindungen durch klassische IPv4-Verbindungen tunnelt. Microsoft hat die entsprechenden Funktionen sowohl in Windows Server 2008 R2 als auch in die Business-Versionen Windows 7 so integriert, dass weder Administratoren noch Benutzer dies manuell einrichten müssen. Erst ein „ping“ oder andere Netzwerk-Tools verraten, dass ein auf diese Weise eingebundener PC eine IPv6-Adresse hat.
Mit den entsprechenden Betriebssystemen an beiden Enden der Leitung ist der Mitarbeiter im Home-Office dann genau so ins LAN eingebunden, als wenn er in der Firma säße. Anders als bei VPN erfolgen Internet-Zugriffe jedoch direkt, also ohne Umweg über das Firmennetz, damit ergibt sich ein Geschwindigkeitsgewinn. Administratoren können bei DirectAccess Netzwerk-Richtlinien genauso durchsetzen wie im LAN: Ist etwa der Virenscanner nicht mehr aktuell oder aus, gibt’s keinen Zugriff auf das LAN oder sensible Teilbereiche davon.
Branch Cache
Branch Cache ist ein Netzwerk-Cache für Zweigstellen. Er sorgt dafür, dass von der Firmenzentrale abgerufene Inhalte zentral zwischengespeichert werden, so dass Sie ab dem zweiten Abruf am ganzen Standort in LAN-Geschwindigkeit zur Verfügung stehen, egal wie dünn die Leitung zur Zentrale ist. Das gilt nicht nur für Web-Inhalte, wie es bei jedem Proxy-Server der Fall wäre, sondern auch die normalen Netzlaufwerke. Für die Mitarbeiter ist das Verfahren vollkommen transparent, Zusatzinformationen wie etwa Benutzerrechte werden weiterhin ganz normal berücksichtigt.
Bis aus den Geschwindigkeitszuwachs ergibt sich keine Änderung bei der Arbeit. Ändert ein Mitarbeiter ein Dokument auf dem Server, dauert der erste Abruf dieser Datei für den Nächsten wieder genauso lange, wie bei ersten Mal. Ein Synchronisationstool, das erst diverse Änderungen in der Zweigstelle zusammenfasst und diese dann dem Server propagiert, ist Branch Cache damit explizit nicht.
In der Zentrale benötigt Branch Cache Windows Server 2008 R2, am Arbeitsplatz eine Business-Version von Windows 7.
Applocker
Mit Applocker können Administratoren festlegen, welche Software von Standard-Benutzern verwendet werden darf. Applocker ist eine Weiterentwicklung der bereits seit Windows XP verfügbaren Richtlinien für Softwareeinschränkungen. Allerdings kennt Applocker mehr Optionen und die Abstufungen sind feiner.
So funktioniert’s: Administratoren können etwa zunächst alles verbieten und die Zulassungen explizit setzen (Whitelisting), angesichts der schieren Menge an vorhandener Malware ein besseres Verfahren als das Führen und Verwalten einer Software-Verbotsliste. Ob eine Datei ausgeführt werden darf, kann dann nach drei Kriterien festgelegt werden:
-
Datei-Hash, also die Prüfsumme jeder Datei. Diese muss allerdings bei jedem Update erneuert werden.
-
Pfadregel: Entscheidet je nach genauem Dateinamen plus Pfad, ob eine Datei ausgeführt werden kann. Kann allerdings durch Kopieren der betreffenden Datei unterlaufen werden.
-
Herausgeber: Entscheidet die Ausführbarkeit je nach Zertifikat einer Datei, das jede ausführbare Datei im Kontextmenü über die Registerkarte „Eigenschaften“ anzeigt. Hier sind sehr feine Abstufungen möglich: So können Sie etwa verfügen, dass alles von Microsoft, das eine Windows-Komponente ist, ausgeführt werden darf, und ersparen sich so potentiellen Update-Ärger. Umgekehrt können Sie aber sogar von einer bestimmten EXE-Datei Mindest-Versionsnummern verlangen, um etwa eine Software zwar prinzipiell zu erlauben, jedoch nicht die Ausführung veralteter Versionen mit eventuell bekannten Sicherheitslücken.
Applocker kennt einen Audit-Modus: Bevor der Administrator die Regeln wirklich in Kraft setzt, kann er erst eine Weile anhand von Log-Dateien beobachten, wie sie sich auswirken würden.
XP-Modus
Der XP-Modus ist eine virtuelle Umgebung ähnlich Virtual PC oder VMWare, die zu Windows 7 inkompatiblen Programmen eine XP-Umgebung bietet. Die Virtualisierung muss allerdings durch die Hardware unterstützt werden, genauer gesagt durch den Prozessor, und im BIOS eingeschaltet sein. Microsoft gibt genaue Anweisungen, wie Sie das feststellen können.
Die virtualisierten Anwendungen laufen allerdings nicht im Fenster einer virtuellen Maschine, sondern ganz normal auf dem Desktop, und können per Verknüpfung gestartet werden. Updates, Virenschutz und die ganze Palette der restlichen Schutzmaßnahmen müssen Sie allerdings für das Windows-7-Hostsystem und die XP-Umgebung jeweils separat betreiben. Damit ist der XP-Modus eher als Übergangslösung zu sehen, bis sämtliche Software in einer Windows-7-kompatiblen Version besorgt werden konnte.
Für wirklich große Unternehmen ist sie dadurch auch weniger geeignet. Privatnutzer haben dennoch keinen Zugriff auf die Funktion: Sie wird nur in den Business-Versionen und natürlich Ultimate enthalten sein. Auf der anderen Seite ist es natürlich auch nur im Business-Umfeld zu erwarten, dass Software auf Gedeih und Verderb laufen muss, aber unter Windows 7 nicht will.
Search Federation
Search Federation ist eine Meta-Suchmaschine für den Desktop, die Inhalte unabhängig davon findet, ob sie in Ihren Dateien, Ihrer Mail oder im Web zu finden sind. Damit können Sie vom Windows-Explorer aus nach etwa Videos und Bildern im Internet suchen, ohne den Browser zu öffnen. Drittanbieter, wie etwa Youtube müssen per „Search Connector“ dafür sorgen, dass sie gefunden werden – das dazugehörige Protokoll heißt Opensearch und ist frei verfügbar. Für den Anwender verschwindet damit der Unterschied zwischen lokalen Dateien und Inhalten im LAN oder Internet.
Die gefundenen Suchergebnisse bekommt er in einer Ordner-ähnlichen Ansicht präsentiert, die er speichern kann - voilà, der klassische Desktop-Ordner ist vielleicht noch nicht ganz abgelöst, wird aber in Zukunft unwichtiger werden.
Administratoren können Links im Startmenü der Anwender-PCs plazieren, die Suchanfragen enthalten, etwa auf einen Sharepoint-Server. So haben die Mitarbeiter immer Zugriff auf die aktuellste Version der Dokumente, welche die entsprechende Suche liefert.
Windows 7: Besserer Bitlocker
Die bereits aus Vista bekannte Festplattenverschüsselung Bitlocker kann ab Windows 7 auch USB-Geräte schützen. Microsoft nennt die neue Funktion „Bitlocker To Go“. Für die Benutzer wird Bitlocker generell einfacher zu bedienen: Statt den Datenträger erst per versteckter Start-Partition umständlich auf Bitlocker vorbereiten zu müssen, genügt unter Windows 7 ein Klick mit der rechten Maustaste auf ein Laufwerk. Außer Ultimate-Enthusiasten werden allerdings Privatnutzer nicht viel davon haben: Bitlocker gibt es weiterhin nur in den Business-Versionen von Windows, wie das bereits bei Vista der Fall war.
Administratoren haben die Möglichkeit, Länge und Kompliziertheit des Passwortes vorzuschreiben sowie verbindlich festzulegen, dass USB-Sticks und ähnliche Wechseldatenträger ohne Verschlüsselung gar nicht mehr benutzt werden können. Auch feinere Abstufungen sind möglich, etwa dass unverschlüsselte Datenträger zwar gelesen, aber nicht auf solche geschrieben werden kann.
Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation PC-Welt.