Představte si, že máte firmu, která má přes 3 000 zaměstnanců, téměř 4 500 koncových zařízení (notebooky, počítače, virtuální stanice) a více něž 100 poboček s nevalným datovým připojením o rychlosti 20 Mbps / 2 Mbps. No a tato firma by ráda upgradovala na nejnovější verzi Windows 10...

 

Říkáte si, že to není přece velký problém. Zkrátka se podíváme, jestli používají WSUS (Windows Server Update Services), SCCM (Configuration Manager), anebo aktualizují přímo z internetu. Nastavíme odpovídající GPO (Group Policy) a necháme Windows dělat, co umí. Pak ale začnou přicházet další požadavky.

 

Zadání bobtná

Nejdřív se ozývá business – chceme, aby upgrade neměl dopad na naše pracovníky v pobočkové síti. Ti nesmí být omezení v pracovní době, která je v rozmezí po–pá 8:00 až 20:00 a v některých případech i v sobotu a neděli.

Pak od bezpečnosti – chceme v rámci upgradu operačního systému řešit i upgrade BIOSU/UEFI na nejnovější verzi. Dále chceme upgradovat TPM čipy na nejnovější verzi firmwaru, protože na některých existujících zařízeních máme zranitelnosti. A když už v tom budete, tak bychom rádi, aby při tomto upgradu proběhlo nastavení hodnot BIOSU/UEFI na námi definované, včetně nastavení hesla v případech, kdy tomu tak není. Jako samozřejmost bereme, že nainstalovaný operační systém bude plně aktualizovaný, Microsoft Office nevyjímaje. Ještě nesmíte zapomenout na zašifrování pevných disků na stanicích, které nejsou historicky zašifrované.

A nakonec přijde samotné IT, které vlastně nechce jenom in-place upgrade operačního systému, ale rádo by udělalo „wipe and load“, neboť současné image prošly postupem času spoustou změn a neodpovídají standardu, který si firma definovala. Zároveň chtějí tuto příležitost využít pro pročištění stávajícího aplikačního portfolia a přechod na Microsoft Defender. A protože mají omezené lidské zdroje, rádi by udělali upgrade na dálku a bezobslužně.

Pojďme si to tedy zrekapitulovat:

  • Chceme docílit minimálního dopadu na zaměstnance.
  • Upgrade může probíhat pouze mimo pracovní dobu.
  • V rámci upgradu chceme na všech počítačích aktualizovat BIOS/UEFI.
  • V rámci upgradu chceme na všech počítačích aktualizovat TPM firmware.
  • V rámci upgradu chceme sjednotit nastavení všech BIOS/UEFI.
  • Stanice musí být ihned po upgradu plně aktualizovaná.
  • Všechny pevné disky musí být zašifrované.
  • Nechceme samotný in-place upgrade, ale „wipe and load“, jinými slovy naformátovat existující pevné disky a nainstalovat operační systém úplně načisto.
  • Chceme přejít ze stávajícího antivirového řešení na Microsoft Defender.

Najednou už to nevypadá na úplně jednoduchý upgrade. Jestli vás začala bolet hlava už jen z představy toho všeho, co je potřeba zajistit, připravit a otestovat, tak věřte, že jsme teprve v polovině. 😊

Stav prostředí

Zadání máme víceméně ukotvené. Teď se pojďme podívat, jak vlastně vypadá samotné infrastrukturní prostředí ve firmě:  

Máme dvě hlavní lokality. Jedna slouží jako centrála a druhá jako back office pracoviště. Tyto lokality jsou připojeny do datového centra pomocí linek o rychlosti minimálně 100 Mbps / 100 Mbps. Pak tu máme již zmíněných 120 poboček, připojených většinou linkou o rychlosti 20 Mbps / 2 Mbps. K ověřování stanic se používá technologie IEEE 802.1x na základě certifikátu generovaného pomocí certifikační autority. Všechny pobočky jsou bez serverů.

Ke správě koncových stanic používá firma SCCM, bohužel stále na verzi 2012 R2 SP1. Máme dva distribuční body, každý pro jednu z hlavních lokalit, kdy jeden slouží i pro pobočkovou síť. Na patchování stanic se používá samostatný WSUS, který není napojen na SCCM infrastrukturu. Pro antivirovou ochranu slouží řešení třetí strany. Na šifrování stanic používáme technologii Bitlocker.

Udělejme si tedy druhou rekapitulaci:

  • Máme pomalé linky na pobočky.
  • Používáme technologii IEEE 802.1x pro ověřování stanic na síti.
  • Na pobočkách se nenacházejí žádné servery.
  • Máme zastaralé SCCM prostředí.
  • Pro patch management používáme samostatný WSUS.
  • Většina pevných disků je zašifrována pomocí Bitlockeru.

 

Situaci už tedy známe a příště se zaměříme na to, jaké technologie a přístup jsme použili.

 

A pokud potřebujete pomoc s něčím podobným, neváhejte nás kontaktovat!