La digitalizzazione avvenuta in ogni campo produttivo ha creato un costante aumento del numero di postazioni di lavoro informatizzate e di dispositivi digitali utilizzati in qualsiasi fase produttiva e reparto. In molti casi queste postazioni di lavoro sono basate su sistema operativo Microsoft Windows, conosciuto praticamente da tutti gli utenti finali e adottato da moltissimi amministratori IT. In particolare, con l’avvento delle distribuzioni Embedded/IoT (oggi Windows 10 IoT Enterprise) Microsoft ha conquistato anche il mondo industriale, riservando ai produttori EOM ulteriori possibilità di personalizzazione, maggiori sistemi di sicurezza e un licensing più abbordabile.
Questa repentina diffusione di postazioni digitali ha richiesto a tutte le aziende di dotarsi, internamente o esternamente, di personale di amministrazione e assistenza IT per la gestione dell’infrastruttura informatica e, più in particolare, sta imponendo la necessità di una gestione efficiente, “cost-effective” e scalabile di tutti i dispositivi, per garantire sempre i massimi livelli di sicurezza e conciliare le esigenze IT con quelle operative e produttive dell’azienda.
Per quanto alle postazioni di lavoro basate su Windows, queste possono offrire molti vantaggi, soprattutto in termini di compatibilità. Tuttavia, rispetto al mondo Linux, possono presentare agli amministratori IT qualche sfida in più in termini di sicurezza informatica, proprio grazie alla loro forte diffusione e, talvolta, di scalabilità richiedendo operazioni estremamente complesse per automatizzare la gestione IT su centinaia o addirittura migliaia di postazioni di lavoro end-user.
Per questo in Praim abbiamo ulteriormente innovato i prodotti dedicati ai reparti IT per la gestione centralizzata e automatizzata delle postazioni di lavoro Windows-based. Da oggi, attraverso la console di gestione Praim ThinMan Advanced, è possibile controllare il processo di aggiornamento automatico di Microsoft su tutte le postazioni Windows dotate dell’agent Praim Agile (sui Thin Client Windows 10 IoT di Praim) o Praim Agile4PC (su ogni altro dispositivo Windows, che sia un Thin Client di terze parti o un laptop/PC).
Questa funzionalità si aggiunge a molte altre offerte da Agile e coordinate centralmente da ThinMan, per ottimizzare e semplificare la configurazione delle postazioni Windows e renderle più sicure e gestibili nel lungo periodo, tra cui, in particolare: il Desktop Lockdown, la distribuzione di pacchetti di installazione software e comandi, la distribuzione dei certificati di sicurezza e delle configurazioni, e molte altre ancora.
Vediamo ora più in dettaglio queste novità e le altre funzionalità, che soddisfano le esigenze delle aziende alla ricerca di efficienza e flessibilità nella gestione di ampi parchi macchine basate, appunto, su sistema operativo Microsoft Windows.
Desktop Lockdown
Il Desktop Lockdown limita l’accesso altrimenti libero alle innumerevoli funzionalità rese disponibili a desktop dal sistema operativo e dalle altre applicazioni installate e consente all’utente di utilizzare i soli programmi a lui riservati. È quindi una modalità di configurazione che mira a semplificare e focalizzare l’uso della postazione di lavoro, affinché sia dedicata a singoli o specifici compiti selezionati, come tipicamente necessario in molti contesti lavorativi. Per questo rende più immediato usare le applicazioni scelte e più difficile commettere errori o compromettere il sistema (in modo intenzionale o fortuito) in termini di sicurezza e configurazione.
Questo tipo di configurazione è utile, ad esempio, se si vuole creare un chiosco informativo, una postazione di punto vendita o a bordo macchina per controllare un software di produzione o smistamento merce, o ancora per predisporre sistemi utilizzabili dagli utenti di un luogo pubblico o da operatori differenti che accedono alla stessa postazione aziendale. In ufficio, invece, il Desktop Lockdown può rendere più semplice e sicuro l’uso di una postazione dedicata, come quelle di sportello negli istituti bancari o negli uffici pubblici, in particolare quando pensate per l’accesso remoto a Desktop Virtuali (VDI).
Ci sono diversi modi per realizzare un Desktop Lockdown e variano a seconda del sistema operativo utilizzato. Per ottenere questo risultato con Windows occorre una conoscenza del sistema molto approfondita e devono essere applicate innumerevoli configurazioni, policy di sistema e altre modifiche specifiche (es. introduzione, cancellazione o modifica di particolari chiavi di registro) relative all’intero sistema o solo a singoli utenti. Su Windows 10, ad esempio, devono essere impostate una serie di regole tramite Local Security Policy e Local Group Policy. In generale è necessario quantomeno:
- Creare un nuovo utente e selezionarlo per l’auto-login;
- Limitare le operazioni accessibili tramite sequenze di input (es. “Ctrl-Alt-Canc”);
- Sostituire con una propria applicazione la shell di default di Windows (explorer.exe);
- Gestire opportunamente le applicazioni in auto-avvio e i privilegi degli altri utenti.
Utilizzando Agile si ha invece un’alternativa veloce e completa che presenta anche molte più possibilità di configurazione e personalizzazione dell’interfaccia dell’utente finale. Tramite l’agent Agile distribuito sui Thin Client Praim (e disponibile anche in versione Agile4PC per PC e laptop già in possesso) è possibile attivare la modalità di Desktop Lockdown senza bisogno di effettuare le operazioni di cui sopra. La configurazione sarà applicabile anche da remoto in modo centralizzato usando la console di management ThinMan e potrà essere replicata con pochi click su un numero illimitato di dispositivi Windows con Agile.
Installazione di software e comandi da remoto
A partire dal sistema Windows 7, Microsoft ha reso possibile l’utilizzo del servizio di PowerShell Remoting per lanciare terminali PowerShell o invocare script su computer remoti (client). Una volta connessi alla PowerShell del client, saranno disponibili tutte le funzionalità classiche di questo strumento, ad esempio: la possibilità di montare condivisioni di rete per scambiare file, eseguire installazioni, ecc..
È una funzionalità molto potente che consente di effettuare e gestire centralmente, dal server, molte azioni e comandi, utili tipicamente ai reparti IT per automatizzare le operazioni di manutenzione, configurazione e aggiornamento dei parchi macchine, anche distribuiti territorialmente.
Per raggiungere questo obiettivo, però, oltre a conoscere PowerShell occorre anche effettuare un insieme complesso di operazioni, sia lato server che lato client, per instaurare una comunicazione sicura tra la postazione di lavoro (magari remota) e il server. Tra le altre cose, si devono abilitare i servizi di PowerShell Remoting, WinRM sul server (manualmente o tramite GPO, se parte di un Dominio), impostare regole di firewall per accedere alle connessioni remote, modificare la lista dei dispositivi fidati (“trusted host”), ecc.
I dispositivi dotati di Agile, invece, possono ricevere pacchetti di installazione software di terze parti attraverso una semplice procedura coordinata dalla console ThinMan, sfruttando le connessioni sicure tra la console e i client Praim. In questo modo una procedura complessa diventa un’azione immediata ed elementare per l’IT admin o il suo team di helpdesk. I gestori di ThinMan (che possono essere dotati di diversi privilegi attraverso la funzionalità di Access Control List – ACL) possono eseguire configurazioni, installare e aggiornare i software su tutti i dispositivi client Windows, direttamente dalla console, su gruppi o su singole postazioni di lavoro. Non solo, possono programmare queste attività affinché vengano eseguite su evento (ad esempio all’accensione del dispositivo) o in modo pianificato, e ancora classificare i dispositivi in base allo stato dell’attività (ad esempio programmata, già eseguita con successo o fallita).
Controllo degli aggiornamenti di Windows
ThinMan e Agile offrono due nuove funzionalità per facilitare anche il controllo e l’applicazione degli aggiornamenti automatici di Windows.
Il servizio Windows Update, infatti, è sempre attivo sui dispositivi Windows delle diverse versioni e coordina il download, l’installazione e l’applicazione dei nuovi aggiornamenti specifici per la versione, in modo totalmente autonomo e controllato da Microsoft. Questa funzionalità, che ha il pregio di mantenere i dispositivi sempre aggiornati, può talvolta disturbare il processo di gestione delle infrastrutture IT aziendali. Ciò accade, in particolare, nelle realtà in cui le postazioni digitali sono al servizio della produzione e di attività operative critiche per l’organizzazione. Gli aggiornamenti di Windows, infatti, richiedono l’uso di banda sulla rete per essere scaricati e se applicati in automatico possono portare a uno o più riavvii della postazione, in momenti e con tempi non sempre controllabili. Inoltre, gli aggiornamenti scaricati ma non ancora applicati possono condizionare il funzionamento del dispositivo, rallentandolo fino a che non vengono installati. Infine, se il dispositivo prevedesse il Write Filter attivo (come avviene su molte postazioni in ambito aziendale, per evitare modifiche sul disco) gli aggiornamenti di Windows potrebbero essere scaricati e ripetuti in continuazione.
Dunque, in ambito aziendale, se da un lato è necessario mantenere sempre le postazioni di lavoro aggiornate, dall’altro ciò deve essere fatto totalmente sotto il controllo dell’amministratore IT, affinché egli possa eseguire la manutenzione in maniera flessibile e personalizzata, coerentemente con i cicli produttivi, le esigenze o le priorità aziendali. Sia l’uso della rete, sia le operazioni conseguenti all’aggiornamento che avvengono su ciascun dispositivo devono poter essere eseguite in orari e periodi specifici individuati dall’amministratore per ragioni di ottimizzazione, di uniformità all’interno del parco macchine e soprattutto per evitare interruzioni durante il lavoro dei collaboratori.
Passare dalla modalità automatica di Windows Update a una fruizione flessibile e personalizzata, controllata centralmente, è però una attività complessa che richiede configurazioni specifiche su ogni dispositivo. Inoltre, ciò va fatto in armonia con le altre caratteristiche del dispositivo, come ad esempio la presenza del Write Filter. Ottenere questo risultato con comandi e policy non solo è complesso, ma è anche costoso in termini di “risorse uomo” e richiede precisione per garantire uniformità.
Attraverso ThinMan e Agile, invece, è possibile bloccare o eventualmente sbloccare gli aggiornamenti automatici di Windows su singoli dispositivi o su gruppi, con un click. Una volta che gli aggiornamenti sono disabilitati nella modalità automatica è poi possibile controllare in modo flessibile e personalizzato l’applicazione di quelli disponibili, sempre con un click, scegliendo su quali macchine e in quale momento gli aggiornamenti devono essere scaricati e applicati. ThinMan permette infatti di farlo anche in modo massivo e automatizzato, attraverso attività pianificate o su evento. Si potrà quindi controllare, a seconda delle specifiche esigenze, tutta l’attività di manutenzione e aggiornamento, senza più correre il rischio di procrastinarla “all’infinito” o di dover bloccare la produzione per attività IT massive. Inoltre, tramite ThinMan è possibile anche caricare singoli pacchetti di aggiornamento di Microsoft (pacchetti “Windows Update Standalone” con estensione “.msu”) per inviarli e installarli sui dispositivi dotati di Agile/Agile4PC, attraverso la funzionalità di Installazione di Software di Terze Parti ora estesa. ThinMan permette di distribuire questi pacchetti di aggiornamento sulle macchine desiderate in sincronizzazione con i sistemi di protezione del disco, il tutto per l’IT admin in un’unica operazione e senza dover mai rinunciare alla sicurezza.
Conclusione
Queste nuove funzionalità si aggiungono a tutti i servizi che Agile e ThinMan già offrono per la gestione centralizzata delle postazioni di lavoro, rendendole completamente sicure e controllabili dall’amministratore IT, centralmente e con il minimo sforzo (ovvero massima efficienza). Con ThinMan l’automazione delle attività di gestione dei dispositivi aziendali diventa semplice e veloce, abilitando rapidamente il personale IT alle diverse funzionalità di manutenzione, protezione, configurazione e assistenza in modo uniforme e scalabile sull’intero parco macchine.
Ridurre la complessità per offrire sempre maggiore efficienza e sicurezza è l’obiettivo alla base delle nostre innovazioni di prodotto. In un contesto industriale dove il digitale è in costante aumento e le risorse umane in ambito IT sono preziose e spesso oberate, vogliamo supportare i clienti con soluzioni indispensabili per ottimizzare i tempi, garantire efficienza e uniformità, e di fatto abbattere i costi della gestione delle infrastrutture aziendali.