Windows 7, Windows Server 2008, Exchange Server 2010 – egy korszak vége

Microsoft támogatási időszak vége 2020 - end of support

Több népszerű Microsoft szoftver is a végnapjait éli, régóta a kiterjesztett támogatás idejét töltik ezek a rendszerek és közeleg a nap, amikor ez a korlátozott támogatás is végleg megszűnik. Sokan nem mérik fel ennek a súlyát és érzik át mekkora problémával néznek szembe attól a naptól kezdve. Mivel ez a nap már nincs messze így pár gondolattal segítünk áttekinteni a problémát és megoldásokat keresni rá.

Első körben pár gondolat arról miért is fontos a támogatási időszak. Gondolom senki számára nem mondok újat azzal, hogy minden szoftverben vannak hibák, ezek közül sok olyan is, ami az adataink biztonságát ássa alá. A gépen futó operációs rendszert hackerek vagy vírusok számára támadhatóvá teszik. Ezek azok a problémák, amiket a Windows Update, a frissítési szolgáltatás hivatott betömködni biztonsági frissítések útján. Olyan rendszerek, amik támogatottak a gyártó által azok rendszerint mire egy biztonsági probléma szélesebb körben kiderül már frissítések útján javításra is kerülnek. A Microsoft ebben egyébként világelső, ahogy az operációs rendszerek piacán is, az elmúlt évtizedek alatt megedződtek a rengeteg támadás alatt és mára a legbiztonságosabb rendszereket gyártják. Igaz ez mindaddig, amíg el nem jön a nap, amikor már nem támogatják tovább az adott rendszert. 2020. január 14-et tehát jól vésse be mindenki a naptárába, ugyanis ez a következő, a világ informatikáját nagyban meghatározó dátum. Ekkor jár le a még most is nagy népszerűségnek örvendő Windows 7, a szerverek piacán nagy sikert elérő Windows Server 2008 és R2-es változata, az SQL adatbázis szerver 2008-as verziója, és a máig népszerű és egyébként kellően modern Exchange 2010 levelezőrendszer támogatása is. Ettől a naptól kezdve nem csak szimpla hibajavításokat nem kapnak ezek a rendszerek, de biztonságiakat sem. Sokan legyintenek rá, de egy nagyon fontos dolgot nem árt tudni ezeknek a frissítéseknek a természetéről. Minden új verzió a régire alapoz, gyakran ugyanazon programkódok továbbfejlesztett változatait tartalmazza, a külső megjelenés ne tévesszen meg minket, a háttérben dolgozó program modulokban sok a közös nevező. Amikor egy ilyen közös hiba kerül a felszínre, ami mondjuk a 2008-as szerver verziótól kezdve jelen van minden Windows-ban, akkor amikor a 2012, 2016 vagy épp 2019-es szerverünkre a Microsoft kiadja a javítást éppen Ő maga lesz az, aki azzal a javítással felhívja a figyelmet a hibára, mivel ezeket hackerek előszeretettel fejtik vissza és nyomozzák le hol és milyen hibát foltoz. (Még mielőtt valaki szándékosságot kiáltana emögött vagy esetleg üzleti érdeket sejtene fontos hozzátenni, hogy amikor egy javítást publikálnak azt szigorú tesztek előznek meg, ahol az összes támogatott rendszerrel többféle környezetben vizsgálják meg a működését a javításnak. Ha egy ilyen hiba esetében a régi verzióhoz is kiadnának javítást azzal adott esetben tönkre is tehetnék azt, amivel szintén ugyanaz a vád érhetné őket, hogy rá akarnak venni minket a váltásra. Ez tehát egy természetes folyamat, ahogy a terméktámogatás lejárása is, ami 5+5 év szokott egyébként lenni, míg a nemzetközi törvények szoftverek esetében 7 évet írnak elő hivatalosan.)

Microsoft támogatási időszak vége 2020 - end of support

A biztonság tehát az egyik probléma, a másik, hogy innentől kezdve (és jellemzően már ezt megelőzően is) a hardver és szoftver gyártók is megvonják a támogatást ezektől a szoftverektől, sokan emlékezhetnek rá néhány éve az XP esetében hogyan vált mindennapossá, hogy egy adott szoftver nem volt hajlandó települni Windows XP-re, mert a gyártó már nem írta meg azt a változatot belőle, ami gond nélkül futna a régi rendszeren. Ugyanígy hardver gyártók sem írnak már meghajtóprogramokat az újonnan kijövő eszközeikhez, így például a régi rendszeren használhatatlan lehet egy frissen beszerzett nyomtató.

End-of-support

Nagy vonalakban vázoltuk tehát, hogy miért probléma a támogatás lejárata, most essen szó az érintett szoftverekről és arról melyiknél milyen lehetőségeink vannak továbblépni és megoldani a problémát. Elsőként a sokakat érintő Windows 7 cseréről essen szó. Talán ez a problémakör a legegyszerűbb, még ha a legtöbb felhasználót érintő is. Azoknak, akik korábban már a meglévő Windows 10 licencüket frissítették egyszer az akció keretében Windows 10-el, de később valami miatt visszaálltak a 7-esre jó hírem van, azzal a kulccsal, amit egyszer már aktiváltak Windows 10-el legálisan lehetőség van frissíteni. Csak egy Windows 10 telepítőt kell futtatni a gépen a megfelelő módon és a telepített programok és az adatok meghagyásával rá lehet frissíteni. Akinek van megvásárolt Windows 7-es licence az is tehet egy próbát, legfeljebb az aktiválásnál gondjai adódnak, de szerencsére nekik is akad olyan megoldás, ami nem drága, a 3 hónapnál régebbi használt gépekre ugyanis az erre jogosult viszonteladóknál lehetőség van ún. refurbished Windows licence vásárlására, ami egy korábbi meglévő Windows licence “felújítása” újabb verzióval és kb. negyede áron elérhető, a Home változat esetében nettó 10 ezer forint környékén, a Professional picit több. A frissítés minden esetben helyben elvégezhető, természetesen ezt megelőzően a Windows 10 telepítője meg fogja vizsgálni a gépet, hogy minden előfeltételnek megfelel-e és ellenőrzi a telepített programjaink kompatibilitását is, ha olyat talál, ami nem kompatibilis a Windows 10-el azt jelzi nekünk és a frissítést követően el is fogja azt távolítani. A frissítés természetesen nem kockázatmentes és ha szükséges egy mentést nem árt csinálni előtte a gépről, ha nem vagyunk biztosak a dolgunkban forduljunk szakemberhez.

A második legtöbb felhasználót érintő váltás a Windows Server 2008 vagy 2008 R2 cseréje lesz. Ez már mindenképpen komoly szakértelmet kíván, így senkinek nem javasoljuk, hogy cégénél nem megfelelő tudás birtokában nekilásson! Itt nem lehet biztos receptet adni, ahány cég annyi féle környezet és annyi migrációs útvonal lehetséges. Itt is van lehetőség helyben történő frissítésre, de nem minden esetben, vannak szerepkörök, amiket nem lehet helyben frissíteni. A legtöbb esetben sajnos egy ilyen váltás együtt jár egy új szerver beszerzésével (mivel azok a gépek, amikre Windows Server 2008-at telepítettek jellemzően túl vannak már a működésbiztonsági élettartamukon), amivel viszont a váltás is könnyebbé válik. Ennek a legjellemzőbb módja ugyanis egy új gép telepítése új operációs rendszerrel, ma már jellemzően Server 2016 vagy 2019 verzióval, majd a szerepkörök egyenkénti átvétele előre jól tervezett módon. Mindenképpen kérje ki szakember véleményét, egy jól tervezett átállás mindig sokkal fájdalommentesebb és kisebb kockázattal jár, mint amikor egy elkerülhető problémát kell utólag megszüntetni. Külön gondot jelenthet a váltásnál a licencelés is, a 2008-as változat óta számtalan változatot szüntetett meg és hozott be újat is a Microsoft. Ráadásul az elmúlt 10 évben radikálisan más irányt vett az informatika, míg 2008-ban még csak gyerekcipőben járt, ma már alapvető dolog a virtualizáció, azóta mindenre létezik már felhős megoldás, tehát nem csak a migráció megfelelő módját nehéz megtalálni, hanem a legalkalmasabb célt is.

Az SQL Server 2008 támogatásának lejárata elsősorban a szakalkalmazások készítőit, a szoftverfejlesztőket érintik, adminisztrátori szempontból egy esetleges átállás, verzióváltás nem egy nagy kaland. A kérdés itt az, hogy az adott alkalmazás alkalmas-e újabb verziójú SQL Server-en való futtatásra vagy sem, esetleg alkalmas egy újabb verzióra való frissítést követően. Itt tehát első körben a szoftver készítőjével kell felvenni a kapcsolatot, ha támogatottak az újabb verziók, akkor a megfelelő licencek beszerzését követően lehetőség van telepíteni az új változatot és át lehet pakolni a meglévő adatbázist is rá. Sok szoftverfejlesztő cég szívesen segít is ezek kivitelezésében, van ki külön díjazás ellenében, van aki a szoftver támogatás keretében ingyen is.

Végezetül jöjjön a szintén sokakat érintő, de talán a legtöbb kérdést felvető átállás, az Exchange Server 2010 cseréje. Számos ilyenben volt részünk az évek alatt, ahogy Windows Server verzió cserékben is, így tapasztalatból mondhatom nem könnyű. A cél meghatározása és a kivitelezés sem. A cél meghatározásához ajánlom olvasóink figyelmébe korábbi cikkünket a témában, Office 365 vs Exchange vs IMAP címen. Itt összehasonlításra kerül a hagyományos IMAP alapú levelezés, a saját Exchange és az Office 365 is. Akik már rendelkeznek Exchange 2010-el vélhetően nem akarnak visszalépni a múlt századba, így a célirány vagy a saját Exchange vagy az Office 365 lesz. A saját Exchange jellemzően azon cégek iránya lesz, akik vagy nem akarnak felhőben tárolni, mert ilyenből is akad nem is kevés, vagy azok, akik jellemzően kicsik és így felhasználóra leosztva nagyon költséges lenne számukra egy saját Exchange üzemeltetése, mind licencköltség, mind hardverigény és a későbbi üzemeltetés terén is. Ha valaki ugyancsak saját Exchange kialakítása mellett dönt, akkor egy technikailag nagyon bonyolult kivitelezésű vállalkozásba fog, de az Office 365-be való migrálás se sokkal egyszerűbb művelet, ezek esetében ugyanis nincs lehetőség helyben történő frissítésre. Amennyiben ilyesmibe vágna bele, úgy ne késlekedjen felvenni velünk a kapcsolatot, számos tapasztalattal és referenciával rendelkezünk már ezen a téren is:

Windows Server 2003 end-of-support migrálás elsők közt az országban

Exchange Server migrálás linuxos levelezőről

Problémamentes átállás Exchange 2010-ről 2016-ra

Természetesen minden ilyen projektünkről nem készült cikk, ezek mellett viszont számos más izgalmas átállásban volt részünk, a felsorolt szoftverek mindegyikével, kérés esetén szívesen megadjuk a szóban forgó referenciákat is.

A felsorolt szoftverek cseréjével és az átállásra való felkészüléssel, tervezéssel pedig ne késlekedjen túl sokat. Az SQL Server terméktámogatásából már szó szerint csak napok vannak hátra, a többi szoftver cseréjére való felkészülés és az alkalmas időpont megválasztása miatt pedig a hátralévő fél év is lehet nagyon rövid idő. Ami miatt pedig sokan most veszik elő az átállás témáját az abból fakad, hogy a cégek előszeretettel választják a nyári időszakot az átállással járó IT feladatok elvégzésére, amikor a legtöbben szabadságukat töltik és kevésbé érintik a leállások a munkamenetet, illetve alacsonyabb kockázattal járnak. A gondos tervezés, az előzetes felmérések, a beszerzések pedig mind időt igényelnek, így itt az ideje belevágni. Átállásra fel!

Office 365 vs Exchange vs IMAP

Office365

Mai témánk ugyancsak sokakat érint, nagyon gyakran merül fel ügyfeleknél, hogy miért lenne érdemes a hagyományos küld/továbbít/válaszol típusú levelezőrendszerek helyett profi, vállalati szintű levelezést használni. Igyekszünk most a leggyakoribb kérdésekre választ adni és egyben segíteni a cégvezetőket a döntések meghozatalában, amikor felmerül bennük, hogy a néhány alapfunkción felül szeretnének végre 21. századi informatikai megoldást használni.

Office365

Először is kezdjük bevezetésként a különböző protokollok magyarázatával. Ha levelezésünket szolgáltatótól béreljük, mondjuk az internet előfizetéshez kapjuk vagy webtárhely szolgáltatás mellé, akkor azok jellemzően POP3 vagy IMAP protokollal érhetőek el. Ezen felül legtöbbször van lehetőségünk webes felületen is levelezni, ezt hívják webmail-nek. A POP3 protokoll úgy működik, hogy a levélszerverről letölti a leveleket a gépünkre és hacsak nem állítjuk be a levelezőprogramnak, hogy tartson a szerveren másolatot a levelekből (x napig, vagy amíg nem ürítjük ki őket a kukából), a letöltést követően törölni fogja őket a szerverről. Ez akkor jó, hogyha nagyon kis méretű a levélfiókunk a szerveren, mert a leveleket így nem ott tároljuk. Ebből a működésből eredően viszont egy halom problémát is kapunk a nyakunkba, úgy is mondhatjuk, hogy a POP3 előnyeinek a felsorolása itt véget is ért. Egyrészt esélyünk sincs a kimenő leveleinket egyszerre több helyen, több eszközön szinkronizálni, mert azok csak helyileg a gépen lesznek meg, másrészt a tárolás helyéből adódóan a leveleink adatvesztésnek vannak kitéve. Nagyon kevesen vannak, akik rendszeresen mentik az ilyen típusú levelezésüket, aki igen, az sem napi szinten, tehát egy vírustámadásból vagy hardver hibából eredő adatvesztést kockáztatnak minden pillanatban. Ezen problémák kiküszöbölésére találták ki az IMAP protokollt, ami szintén hoz létre másolatot a gépünkre a mappákból, de azok tartalmát meghagyja közben a szerveren is. Ebből kifolyólag kellő méretű levélfiókot igényel a szerveren, cserébe viszont másolatban legalább két helyen megvannak a leveleink és ha jól állítjuk be a levelező programot, akkor a kimenő levelek is feltöltődnek a szerverre, így például amikor szükségünk van bárhol a levélszerveren tárolt levelekre, akkor a webes felületen a levelezőprogramból elküldött leveleinket is látni fogjuk. Ugyanígy megoldható az is, hogy mondjuk az asztali gépen küldött leveleinket a következő pillanatban a telefonunkon beállított levelező kimenő mappájában is lássuk és fordítva. Ezzel ugyan sok problémánk megoldódott és kibővültek a lehetőségek, de önmagában az IMAP-pal csak a rövid bevezetőben említett funkciókat kaptuk meg.

Exchange Server 2016
Exchange Server 2016

Itt jön képbe az Exchange, ami a Microsoft levelezőrendszere és amivel jelentősen kibővülnek a lehetőségeink. Mielőtt belevágok az előnyeibe itt fontos megjegyezni, hogy nem csak ez a rendszer létezik természetesen a hagyományos IMAP alapú, jellemzően linuxos levelezőrendszerek után, hanem még nagyon sok másik, többek közt ott van a Google-féle GSuite vagy a szintén sokak által ismert Zimbra. A GSuite is nagyon népszerű, ennek a cikknek a témája mégis az Exchange lesz, mert egyrészt a legelterjedtebb és a legismertebb vállalati levelező megoldás, másrészt az Office csomagnak és a rengeteg egymásra épülő, csoportmunkát támogató szoftvernek köszönhetően ma a legkomplexebb megoldást nyújtja a vállalatok számára.

Először is kezdjük az összehasonlítást az IMAP és az Exchange rendszer között. Az IMAP lényegében egy szinkronizálási protokoll, az Exchange egy levelező rendszer, aminek szintén van egy ilyen protokollja, korábban ActiveSync-nek hívták, ma már egy továbbfejlesztett változata működik, a MAPI. Míg az IMAP esetében csak leveleket, mappákat szinkronizálunk a levélszerverrel, illetve címlistákat is lehetőségünk van, önmagában más funkciót nem lát el. További gyakori probléma az IMAP esetében, hogy nincs szabványosítás, tehát például egy adott linuxos levelezőrendszer Sent mappát nyit az elküldött elemeknek, egy másik sent itemsnek hívja, ahogy magyarul lehet elküldött, elküldött elemek, elküldött levelek is. Amikor például egy Thunderbird levelezőprogramot beállítunk alapbeállításokkal IMAP-pal, akkor a levélszerveren a sent mappába fogja rakni a kimenő leveleinket, amit mondjuk az Android-os telefonon nem fogunk a kimenő mappában látni, mert az pedig a sent items-be fog dolgozni és el fog térni a két kimenő mappa, így valamelyiket rá kell manuálisan venni, hogy oda dolgozzon, ahova a másik. Exchange esetében ilyen problémákba nem fogunk futni, mert ezek a dolgok szabványosítva vannak, amikor a levelezőprogram az Exchange által használt ActiveSync/MAPI protokollal szinkronizál az ugyanazt a kimenő, ugyanazt a levélszemét és ugyanazt a piszkozat mappát fogja használni. Az igazi előnye ennek a rendszernek mégsem ez, hanem az a rengeteg funkció, amit kínál. Lehetőség van például kategorizálni, színkódolni, megjelölni és feladatlistába tenni dolgokat, naptárbejegyzéseket létrehozni, amit aztán a mobileszközökre a megfelelő alkalmazásokba is képes szinkronizálni a rendszer. Össze lehet hívni értekezleteket, vagy meghívót küldeni, amit a másiknak igen/nem válasszal el kell fogadni, ha elfogadta beírja automatikusan a naptárba. A naptáraknál nagyon részletesen személyre lehet szabni, jogosultságokat lehet adni ki mit láthat, lehet létrehozni közös naptárakat és rengeteg ehhez kapcsolódó plusz funkció érhető el. Lehet csatolni megosztott postafiókokat, olyan levélcímekkel, amiket több felhasználó olvashat egyszerre, és ami nem szimplán másolatot küld minden levélről. Tehát ha a másik olvasta, ha válaszolt rá, minden látszik és a megosztott fiók nevében is van lehetőség levelet írni. Hatalmas előnye ezeknek a rendszereknek az adatbiztonság is, a szerveren beállított adatmegőrzési idő lejártáig a törölt elemekből is kiürített leveleket is van lehetőség visszaállítani, anélkül, hogy a rendszergazdának a mentéshez kéne nyúlnia. A mai Exchange rendszerek webes felülete pedig önmagában is kiválóan alkalmas munkára, asztali alkalmazás nélkül is szinte minden hasznos funkciót elérhetünk egyenesen a webről. Ma már online Office használatára is lehetőség van, ami azt jelenti, hogy a levélben kapott Office dokumentumokat akár írásra is meg tudjuk nyitni online, természetesen a legismertebb formátumokat, képeket, PDF-et, szövegeket ugyancsak meg tudjuk tekinteni a fájl letöltése nélkül is. Általánosságban elmondható, hogy rengeteg hasznos, a csoportmunkát és az informatikai rendszer hatékonyságát nagyban növelő funkciók egész sorával van tele, a billentyűzetem is elkopna, ha mindet részletesen fel kéne sorolnom. Sokan mindaddig nem tudják mennyi hasznos funkciót nem használnak ki nap, mint nap, amíg ki nem próbálják. Több helyen vezettünk úgy be ilyen levelezőrendszert, hogy a felhasználók egy része, volt ahol a többsége ellenségesen fogadta, illetve voltak olyan hangok, hogy nekem bőven elég az a néhány alapfunkció. Aztán gyakran ezek az emberek voltak, akik már az átállás ideje alatt elkezdték piros zászlóval jelölni a leveleket és a teendő listába tenni, színkódolni vagy éppen a nagyon hasznos kis “rajzszög” funkcióval rögzíteni a levelet a bejövő mappa tetejére. Aztán másnap már ők tették fel elsők közt az újdonságokra vonatkozó legtöbb kérdést és nagyon rövid idő alatt ismerték ki maguktól a rendszer újdonságait és ma már ők lennének a leghangosabbak, ha vissza akarnánk őket vezetni a régi fapados időkbe.

Hozzá kell azt is tenni, hogy egy Exchange rendszer ma nem olcsó. A terméklicencek önmagában is borsosak és nehezen megfizethetőek egy kisebb cégnek, nem beszélve arról, hogy igen komoly hardver kell alá és szükség van a telepítéséhez, üzemeltetéséhez és a meglévő levelező rendszerről történő átálláshoz is nem kevés szakértelemre. Természetesen ahány ügyfél annyi féle megtérülés és annyi féle költség számítás létezik, de egy alkalommal évekkel ezelőtt utána számoltunk és megdöbbentő eredményre jutottunk. Egy nagyobb rendszer esetében (kb. 250 e-mail fiók, 300-400GB összkapacitással) kértek ajánlatot a régi elavult rendszerük cseréjére. Az akkori legfrissebb Exchange-re megadtuk az árakat, amiben benne volt a terméklicenc díja mellett a szükséges hardver és a meglévő rendszerükről történő átállás munkadíja is. Mivel egy széles körben elterjedt rendszerről volt szó így számos fizetős szoftver elérhető volt az interneten, azok közül is egynek a demo verzióját ki is próbáltuk, kb. 100 ezer forintból megoldotta volna a meglévő levelezés migrálását fiókról fiókra egy új Exchange rendszerbe. A másik oldalon egy olyan ajánlat szerepelt az ügyfél előtt, ami linuxos levelezőre épített, licenc költségek nélkül és már induláskor is igen magas átállási munkadíj költségekkel. Összességében az ajánlat kedvezőbbnek tűnt viszont a szoftverlicencek ingyenessége miatt és a döntéshozók előtt is az a szempont lebegett, hogy a legtöbben úgyis csak az alapfeladatokat használják, néhány ember kedvéért nem vesznek drága rendszert. Végül az elhúzódó átállás miatt 20-25%-al magasabb lett a linuxos levelező ára, aminek később a fenntartása is jóval több munkával járt, mire 4-5 évre rá ismét megkeresett minket az ügyfél és megrendelte az Exchange-re átállást, amivel végeredményben jobban járt és évek óta nagy megelégedéssel használja. A legelső alkalommal viszont készült egy nagyon tanulságos számítás, ami úgy nézett ki, hogy dolgozónként napi 5 percet számoltunk, annyit veszít el a munkaidejéből a fapados rendszer használhatatlansága miatt vagy éppen egyes funkciók hiánya miatt. Elég volt csak napi 5 perccel számolnunk és az akkori minimálbérrel mégis az jött ki, hogy kb. 1 év alatt térül meg a szoftverlicenc ára. Mivel egy ilyen rendszer kb. 5-6 évig használható mire át kell térni a legújabb verzióra, így bőven van ideje megtérülni. Viszont ma már befektetni sem kell vagyonokat, mert itt a lehetőség még tovább fejlődni Office 365-tel.

Azt hiszem felhőről ma már mindenki hallott, nem kell a fogalmat magyarázzam. Az Office 365 a Microsoft felhőszolgáltatása, egy havidíjas alapon bérelhető Exchange, pontosabban jóval több annál. Ugyanis ahogy a nevéből is kitűnik egy nagy Office csomagot kapunk a pénzünkért, ami magában foglal egy Exchange levélfiókot is 50GB tárhellyel. Van belőle sok fajta licenc, olyan is ami lehetővé tesz nekünk az asztali gépre letelepített Office használatot és olyan is, ami csak online enged nekünk minden Microsoft technikát használni. Az 50GB-os Exchange levélfiókon és a webes Outlook felületen kívül még találkozhatunk a népszerű Office programok online (böngészőből futó) változataival, de a Word/Excel/Powerpoint mellett ma már több tucatnyi egyéb hasznos csoportmunka és vállalati kommunikációs szoftver is elérhető, ezek közül is kettőt emelnék ki, a Skype for Business-t (vagy újabb nevén Teams-et), illetve a szintén komoly erőforrásokat és licenc költségeket jelentő csoportmunka szoftvert, a Sharepoint-ot, aminek online változata szintén rendelkezésre áll. Ezen felül még ami nagyon fontos, hogy az adatok online tárolásához kapunk még 1TB OneDrive tárhelyet is. Egy ilyen komplett csomagnak a listaára pedig jelen pillanatban 4,2 EURO havonta, ami gyakorlatilag aprópénz ahhoz képest, amennyi funkciót és ami lehetőséget ad a dolgozóknak nap, mint nap. Úgy is felfoghatjuk, hogy egy átlagos magyar fizetéssel rendelkező dolgozónk kb. 1 órányi bérébe kerül havonta, amennyi segítséget ad az viszont nem havi egy órával fogja növelni az Ő hatékonyságát. Szinte napi rendszerességgel kapjuk meg azt is kérdésként, hogy megéri-e olyan Office 365 licencet venni, ami helyi Office telepítését és használatát adja, havidíjas alapon. Önmagában hogyha valaki csak az Office használata miatt veszi, akkor azt szoktuk mondani, hogy ne tegye. Kb. 60 ezer nettó körül lehet kapni a legkisebb, vállalati környezetben is használható csomagot, míg egy ilyen Office 365 csomag havidíja 15 EURO körül van, ami azt jelenti, hogy kb. 1 év alatt kifizetjük annak az Office licencnek az árát, ami egyébként 5-6 évig kiszolgál minket. Egyetlen kivétel van csak, amikor ilyen Office vásárlása jó alternatíva, amikor projekt munkára alkalmaz a cég valakit és néhány hónapra szükség van egy Office csomagra. Ezen kívül csak akkor érdemes valakinek ebben gondolkodnia, hogyha a mellette lévő szolgáltatásokat is tervezi használni, mint például a OneDrive tárhelyet, Sharepoint-ot, egyebeket.

Apps

Az átállás és az egyéb költségek kapcsán is elmondható, hogy egy hagyományos IMAP-os levelezőből történő átállás az Office 365 esetében a legegyszerűbb és a legrugalmasabb is. A webes admin felületen van lehetőség a korábbi szolgáltató IMAP szerveréről egyenesen átszinkronizálni a leveleket, a szerver elérési adatok megadását követően. Ahol ez bármi miatt nem lehetséges ott szükség van némi szakértelemre, és a korábban használt Outlook-ra vagy egyéb IMAP-os levelezőprogramra. A régi és az új levélfiókot egymás mellé beállítva apránként át lehet pakolni a levelezést, ami inkább időigényes és sok odafigyelést igénylő feladat, de egyáltalán nem bonyolult. Így hát bátran merem javasolni bárkinek, hogy nyugodtan vágjon bele akár saját Exchange rendszer építésébe, akár a levelezés Office 365-be migrálásába, mert nem csak hosszú távon, már igen hamar meg fog térülni. A hatékonyságot leginkább növelő megoldás, legyen szó Exchange-ről vagy a még több alkalmazást magába foglaló Office 365-ről.

Végezetül említenék még egy levelezéssel kapcsolatos rémálmot, amit az Office 365 megold nekünk. Az pedig a spamszűrés. Jellemzően a kisebb szolgáltatók vagy akiktől csatolt szolgáltatásként kapjuk a levélfiókunkat azok nem fognak nekünk profi szűrő megoldásokat adni. Magyarul elönt minket a spam, ami sokaknak ismerős lehet. Ez saját levelezőszervernél is komoly fejtörést jelent, akár egy saját Exchange esetében is, mert azt a tudást, ami alapján hatékonyan fel lehet a jelenség ellen lépni bizony licencelni kell, valakinek fizetni kell érte, hogy segítsen kiszűrni nekünk a kéretlen leveleket. Nyilván egy nagy szolgáltató esetében ez könnyebben megy, mert nagyobb mintából tud dolgozni, amikor 1 perc alatt a sokadik ügyfele kapná ugyanazt a spam levelet, akkor el tudja kezdeni blokkolni, egy ilyen esetben nekünk viszont az összes címünk spam-et kap egy saját rendszeren. Az eddigi tapasztalat alapján nyugodtan ki merem jelenteni, hogy a levélszemét szűrését a nagyok közül is az Office 365 oldja meg a legprofibban, ha nekem kéne döntenem, hogy céges levelezésként mit vezessek be már önmagában ezért kifizetném, amit elkérnek érte. Itt pedig visszautalnék a korábbi gondolatmenetre is, hogyha egy másik szolgáltatást használok, amiben elöntenek a spam-ek és naponta csak pár percet foglalkozok ezek törölgetésével, akkor az hosszabb távon mennyi erőforrásomat fogja lekötni? Lehet így nézve már nem is kérnek olyan sokat érte?

Azok számára pedig, akik karbantartási szerződésben gondolkoznak van egy külön jó hírem. Az Office 365 már elérhető nálunk olyan formában is, amikor az átalánydíjas karbantartás keretében a havidíjba beépítve mi biztosítjuk a licenceket. Így nem kell külön bonyolítani a licencek könyvelését, a fizetését, a különböző változásokat lekövetni. Egyszerűen csak használni kell a jelenleg elérhető legjobb és leghatékonyabb vállalati megoldást.

Már NAS-okat is támadnak a zsarolóvírusok?

Jelen cikkünket az otthonitól a céges felhasználóig mindenkinek figyelmébe ajánljuk, aki NAS-t használ szerverként vagy éppen arra készül. Okos ember más kárából tanul és egy ügyfelünk NAS egysége nemrég számtalan tanulságot szolgáltatott számunkra, ami komoly intő jel azokra nézve, akik minden adatukat egy ilyen hálózati adattároló egységre bízzák. Ahogyan az alábbi cikkből kiderül majd nem is kell hozzá, hogy a gyártón kívül bárki komoly hibát vétsen, úgy is teljes adatvesztés lehet a történet vége.

Néha tűnhet majd úgy, hogy ez egy NAS ellenes cikk, de ezt az elején szeretném leszögezni, hogy erről szó sincs. Azt szoktuk mondani, hogy minden eszköznek, szoftvernek megvan a maga felhasználási területe. Ugyanígy igaz ez a NAS-okra is, vagy magyar nevén hálózati adattárolókra. Otthoni környezetben például egy ideális megoldás lehet média anyagok streamelésére, torrentezésre, de akár bizonyos biztonsági szempontok figyelembevételével fontosabb fájlok redundáns tárolására is kiválóan alkalmas lehet. Mivel vállalati környezetben éppen ez utóbbi a jellemző terület amire használják, így vagy nem felel meg egyáltalán a célnak vagy úgy nem, ahogy a felhasználása történik. Rengeteg olyan céget látunk, ahol fájl szerverként alkalmaznak ilyen eszközt, a legtöbb esetben mindenféle biztonsági óvintézkedést nélkülözve. Jellemzően két okból szokott ez történni, vagy sajnálja a cég a rendszerétől azt a minimális többlet költséget, hogy egy normális fájl szervere legyen vagy olyanra hallgat, jellemzően egyszemélyes BT-k vagy botcsinálta informatikusok tanácsaira, akiket bottal kéne elkergetni a számítógépek közeléből is. Aki ilyet ajánl anélkül, hogy legalább elmondaná milyen előnyei vannak egy normális fájl szervernek az nem ért ahhoz, amit csinál. Bármelyik eset is áll fenn az ügyfélnek mindkettő nagyon sokba kerülhet.

Egy szerződéssel nem rendelkező ügyfelünkkel esett meg nemrég az alábbi eset. Korábban egy igazi egyszemélyes Bt-t futtató IT szaki ajánlott neki egy remekül sikerült D-Link NAS-t, hogy tökéletes lesz nekik fájl szervernek. Egy ilyen eszközt csak ki kell kapni a dobozból, hálózatba kötni és pár alapbeállítás után könnyedén pár perc alatt akár már el is lehet kezdeni használni. Minimális munkával látványos eredményt lehet elérni és így egész szép pénzt is el lehet kérni érte. Nem tudjuk, hogy itt is ez volt-e a szándék vagy csak a hozzá nem értés hozta így, de ettől még sajnos ez így van. A lemezeket sikerült redundánsan RAID-be beállítani hozzá, így a hardver hibától már védve voltak az adatok, de az USB-s mentést, ami az egyetlen szóba jöhető helyi alternatíva volt (a felhőn kívül ugye) már nem állították be, az egy kicsit macerásabb volt. Amikor először találkoztunk az ügyfél rendszerével akkor egyből felmerült kérdésként, hogy miért nincs rendes fájl szerver, főként ha már több olyan funkció is felmerül (pl. biztonságos távelérés), amihez jellemzően szervert szokás használni. Ez volt az egyszerűb és olcsóbb, korábban ezt javasolták, így hát maradt ez. A mentés hiányára vonatkozó javaslat legalább elfogadásra került, így egy külső USB-s lemezre beállítottunk egy külső USB-s winchestert, amire a NAS egy gombos mentő funkcióját is konfiguráltuk. (Csak meg kell nyomni a NAS elején lévő gombot és mentést készít USB-re.) Aztán karbantartás és szerződés nem lévén magára maradt a NAS, amikor nyomkodták a gombot végezte a mentéseket. Illetve csak egy darabig csinálta, de ne szaladjunk ennyire előre…

Zsarolóvírus
Zsarolóvírus már NAS-ra is létezik!

Idén februárban megjelent egy új zsarolóvírus, ami egy teljesen új fejezetet nyit és egy egészen új módját mutatja be a támadási lehetőségeknek. A D-Link DNS-320-as széria NAS eszközeit támadja meg, nem is akármilyen módon. Egy szoftveres hibát kihasználva a NAS-on magát az eszköz firmware-ét fertőzi meg és szépen csendben minden rajta tárolt adatot titkosít. A fájlkiterjesztéseket sem változtatja meg, amikor végzett szimplán nem lehet a fájlokat többé megnyitni és a fertőzésre csak egy minden mappában elhelyezett TXT fájl hívja fel a figyelmet, amiben arra kérik a pórul járt felhasználót, hogy vegye fel velük chat üzenetben a kapcsolatot, ahol majd elmondják hogyan és mennyit kell fizetni az adatok visszaszerzéséért. Mentésre visszatérve, ilyenkor az utolsó szalmaszál lehetne, de mivel USB-vel fixen van csatolva jellemzően így a fertőzés azt is elintézi, ha esetleg nincs fixen csatolva akkor pedig a NAS-on garázdálkodó vírus tesz majd róla, amikor csatlakoztatják. Így a kör bezárult. Külön pikáns a történetben, hogy egy óriási biztonsági hibát elkövető, amúgy nagy nevű gyártó olyan szoftverrel ad ki egy ilyen eszközt, ami még a mentést sem tudja stabilan biztosítani. Beállítási lehetőség ugyanis nem sok van benne és miután néhány teljes mentést követően a külső lemez betelik szimplán nem fut le a mentés, amire semmi nem figyelmeztet. Igaz is, jelen esetben hiába, mert az ellen, hogy maga a NAS vírust kap már ez sem védene meg.

Felmerül a kérdés is, hogy hogyan kaphat vírust egy ilyen eszköz. Természetesen valamilyen szinten kint kell legyen az interneten, ha bármilyen távelérést vagy a nagyon népszerű felhős/privát felhős megoldásokat használjuk legalább a webes felület elérését biztosító protokollnak elérhetőnek kell lennie a neten. Normál esetben a gyártók folyamatosan adják ki a firmware frissítéseket a sebezhetőségek ellen, amiket ajánlatos is sűrűn telepíteni, jelen esetben viszont egyrészt nemrég adtak csak ki egy ilyet, azt sem minden modellhez, egyes modelleknek ugyanis több éve nincs már terméktámogatása sem. Ez tehát az első megjegyzendő tanulság, hogy nem elég beüzemelni egyszer, de a rendszeres karbantartás sem árt neki, a szoftverfrissítéseket érdemes időnként telepíteni, illetve a régóta nem támogatott eszközöket lecserélni, ha fontosak az adataink. Ezekkel a modellekkel kapcsolatban egyébként rengeteg cikk született a neten, különösen gyengére sikeredtek, maga a vírus is a webfelület sebezhetőségének segítségével jutott be root jogokkal, aminek súlyára nincsenek is szavak.

Egy NAS és egy Windows-os fájl szerver összehasonlításáról egy különálló, terjedelmes cikket lehetne írni, amire most nem szeretnék külön kitérni, de ígérem hamarosan egy külön cikkben ezt pótolni fogom. Gondolatébresztőnek most legyen elég annyi, hogy mindenki tegye fel a kérdést melyik rendszer a biztonságosabb, ahol a megosztott mappák eléréséhez a gépen le van tárolva egy könnyen visszafejthető jelszó és sok esetben minden gépen ugyanazt a név/jelszó párost használják vagy ahol a rendszer indításakor egy központi azonosítást követően jelszótárolás nélkül minden gép saját hozzáféréssel jelentkezik be. Azt hiszem nem kérdés, hogyha NAS-t akarunk fájl szerverként használni, akkor az leginkább egy otthoni hálózatot feltételez és nem vállalatit. Ha már vállalati felhasználás, kiegészítésként biztonsági mentés céljára egy rendes fájl szerver mellé remek megoldás lehet, amivel a fizikai elkülönítést is könnyedén meg lehet valósítani.

Végezetül lássuk pontokba összefoglalva milyen tanulságokat szolgáltatott nekünk a fentebb leírt eset, illetve miknek az együttállása kellett ahhoz, hogy a probléma létrejöjjön:

  • karbantartás hiánya (firmware frissítések elmaradása, a biztonsági mentés rendszeres ellenőrzésének hiánya*)
  • a feladatára nem megfelelő eszköz használata, illetve olyan NAS használata, amire már nincsen technikai támogatás (régi modell)
  • valamelyik támadható szolgáltatás (pl. webes felület) elérhető az internet felől – ezt gyakran nem lehet megúszni, de amit nem muszáj nem kell kitenni a netre
* A jelen problémára sajnos nem szolgáltatott volna ez sem megoldást.

Azért a cikk végére meghagytam a happy endet, mert bár a cégnek minden adata ráment a NAS hibájára végül a legnevesebb magyar adathelyreállító cég minden bitjét képes volt még visszahozni. Így mindössze néhány munkanap esett ki a cég életéből, amíg nem tudtak dolgozni és elköltötték egy rendes fájl szerver árának többszörösét a helyreállításra. Most van egy vírusos NAS-uk, de fájl szerverük még továbbra sincs. Az adatok viszont megvannak és a bűnözők sem jutottak bevételhez. Azért mindenki tegye fel a kérdést magának, hogyha egy ilyen most vele történik meg és netán a drága helyreállítás sem vezet eredményre, akkor mihez kezd utána?

Bővebb olvasnivaló a témában, angol nyelven: https://cybersguards.com/d-link-nas-devices-are-infected-by-new-cr1ptt0r-ransomware/