Windows 10 IoT Enterprise
Windows 10 IoT Enterprise je operační systém speciálně navržen a optimalizován pro zdravotnické přístroje, bankomaty, průmyslovou automatizaci a jiná vestavěná zařízení. Je založen na nové technologii Windows 10 s rozšířenými možnostmi uzamčení, s kompatibilitou s Win32 a podporou univerzálních aplikací pro Windows.
Protože je systém založen na plné verzi Windows 10, nabízí plnou kompatibilitu pro aplikace i ovladače (univerzální platforma Windows). Je k dispozici pro 32-bitovou i 64-bitovou architekturu. Stejně jako u předchozích verzí bude nový systém podporován společností Microsoft po dobu minimálně 10 let a bude dostupný 15 let.
Květen 2023 – článek “Co je Windows IoT Enterprise?” najdete na https://www.itbiz.cz/clanky/co-je-windows-iot-enterprise.
Instalace
Instalace Windows 10 IoT Enterprise používá stejný instalační program, jaký si možná pamatujete z několika předchozích operačních systémů Windows Embedded, a to pomocí sady OPK (OEM předinstalační sada). To umožňuje používat k instalaci a nasazení operačního systému v zařízeních stejné známé nástroje. Po dokončení lze instalaci klonovat na jiná zařízení. Je jen na vás, zda si na základě svých preferencí zvolíte 32 nebo 64-bitovou instalaci.
Druhý nástroj – tzv. Návrhář zobrazování a konfigurace – umožňuje vytvářet předkonfigurované systémy, u nichž se dá instalační program spouštět zcela bezobslužně. Jím se dají automatizovat také OOBE (možnosti při prvním spuštění) a případné instalace aplikací. Konfigurace včetně nastavení se ukládá v souboru ppkg, který se nazývá „zřizovací balíček“. Ten obsahuje konfiguraci pomocí souborů XML.
Zřizovací balíček lze použít k dvěma účelům: soubor můžete použít k uložení své konfigurace pro Návrháře zobrazování a konfigurace (ICD) nebo ho nasadit na již nainstalovaný operační systém, aby ho zkonfiguroval.
Windows 10 IoT Enterprise licence
Windows 10 IoT Enterprise přešel na cenový model vycházející z hodnoty dané výpočetními schopnostmi. U Windows 10 IoT Enterprise záleží na procesoru, který používáte. Existují tři licenční verze High End, Value a Entry.
Windows 10 IoT Enterprise 2021 LTSC
Part # | Product Name |
MUT-00075 | Windows 10 IoT Enterprise 2021 LTSC – ePKEA – High End – Runtime License |
MUU-00028 | Windows 10 IoT Enterprise 2021 LTSC – ePKEA – Value – Runtime License |
MUV-00028 | Windows 10 IoT Enterprise 2021 LTSC – ePKEA – Entry – Runtime License |
MUT-00081 | Windows 10 IoT Enterprise 2021 LTSC – ePKEA – High End – Field Upgrade |
MUU-00030 | Windows 10 IoT Enterprise 2021 LTSC – ePKEA – Value – Field Upgrade |
MUV-00030 | Windows 10 IoT Enterprise 2021 LTSC – ePKEA – Entry – Field Upgrade |
Windows 10 IoT Enterprise 2019 LTSC
Part # | Product Name |
MUT-00013 | Windows 10 IoT Enterprise 2019 LTSC – ePKEA – High End – Runtime License |
MUU-00005 | Windows 10 IoT Enterprise 2019 LTSC – ePKEA – Value – Runtime License |
MUV-00005 | Windows 10 IoT Enterprise 2019 LTSC – ePKEA – Entry – Runtime License |
MUT-00036 | Windows 10 IoT Enterprise 2019 LTSC – ePKEA – High End – Field Upgrade |
MUU-00017 | Windows 10 IoT Enterprise 2019 LTSC – ePKEA – Value – Field Upgrade |
MUV-00017 | Windows 10 IoT Enterprise 2019 LTSC – ePKEA – Entry – Field Upgrade |
Windows 10 IoT Enterprise SAC
6F6-00036 | Windows 10 IoT Enterprise SAC – ePKEA – High End – Runtime License |
6F6-00037 | Windows 10 IoT Enterprise SAC – ePKEA – Value – Runtime License |
6F6-00038 | Windows 10 IoT Enterprise SAC – ePKEA – Entry – Runtime License |
Položka „High-End“ je pro zařízení obsahující Intel Core i7, Intel XEON nebo vybrané modely AMD FX. Položka „Value“ je pro zařízení s procesory jako Intel Core i3, i5 nebo AMD řady R, A10, A8 a ostatní modely FX.
Položka „Entry“ je pro zařízení s velmi nízkým výpočetním výkonem a modely procesorů jako Intel Atom nebo vybrané řady Celeron a AMD E1, E2, A4, A6 nebo G.
Položka „Entry“ je nejlevnější a „High-End“ nejdražší. Cena položky „Value“ leží mezi nimi.
Pro aktuální rozdělení procesorů do kategorií nás kontaktujte na Kontakt – Windows 10 IoT.
Aktivace
Aktivace se u Windows 10 IoT Enterprise trochu mění, protože většinou už žádná není třeba. Verzi Windows 10 IoT Enterprise nemusíte aktivovat, ale pouze tehdy, pokud se zařízení nikdy nepřipojí k internetu. Další výhodou je, že v případě, že zařízení není dosud aktivováno, nebude zobrazovat připomenutí aktivace a nebude se restartovat. Funkčnost zařízení nebude nikdy ohrožena! Jestliže se zařízení s Windows 10 IoT Enterprise připojí k internetu, mělo by se aktivovat.
Jak je už známo z Windows Embedded 8.1 Industry Pro, také systém Windows 10 IoT Enterprise implementuje ePKEA. To znamená, že při vytváření hlavní bitové kopie je třeba zadat pouze jeden produktový klíč. Po naklonování se klíč nesmí změnit – zařízení je třeba aktivovat pouze jednou. Aktivaci lze snadno automatizovat pomocí skriptů PowerShellu a můžete ji spustit i ze své vlastní aplikace. Pokud byste chtěli získat skripty nebo k aktivaci Windows další informace, kontaktujte nás.
Embedded funkce
Embedded uzamykací funkce Windows 10 IoT Enterprise nabízejí možnosti firemního označení a ochrany pro každý cyklus provozu zařízení. Sjednocený filtr zápisu může zařízení chránit před nechtěnými změnami na disku – ať už jde o neznačkové spuštění systému, vestavěné přihlášení nebo přiřazený přístup; nebo může Shell Launcher pomoci upravit zařízení na firemní design a zcela skrýt loga systému Windows. Funkce Ochrana zařízení je v současnosti nejbezpečnější způsob, jak zařízení ochránit.
Integrované uzamykací funkce lze použít k zabezpečení zařízení nebo k tomu, aby byl operační systém Windows za aplikací zcela neviditelný. Následující přehled ukazuje všechny funkce zahrnuté v systému Windows 10 IoT Enterprise.
Funkce neznačkového spuštění systému umožňuje během spuštění potlačit úvodní logo, stavový kroužek i stavový text. To lze provést pro každý z nich zvlášť nebo je skrýt všechny společně. Jestliže zařízení podporuje UEFI, je také možné ve firmwaru změnit úvodní logo na naše?? vlastní. Je zde možnost zablokovat během spouštění přístup k nabídce F8 a F10. Tím se zabrání spuštění režimu obnovení nebo spuštění jiného systému či zařízení pomocí zavaděče. Další funkcí je možnost zobrazit černou obrazovku místo modré. V takovém případě ale pro vás zařízení na pozadí vytvoří soubor s výpisem stavu paměti a provede automatický restart, aby nikdo nezpozoroval selhání zařízení.
Díky funkci vestavěného přihlášení je možné při nakonfigurovaném automatickém přihlášení přihlašovací obrazovku zcela skrýt. To umožňuje zobrazit aplikaci ihned po spouštěcí obrazovce. Funkce navíc umožňuje přizpůsobit přihlašovací obrazovku skrytím některých prvků.
Pomocí spouštěče prostředí (Shell Launcher) můžete otevřít klasický program Win32 automaticky. Spouštěč prostředí mění klasické desktopové prostředí na jiný program. Kromě toho můžete nakonfigurovat, co se má stát, pokud se program zhroutí nebo ho někdo ukončí. V takovém případě může zařízení provést restart nebo se vypnout. Může také jen restartovat zařízení nebo nedělat nic. Navíc existuje možnost pro různé uživatele nakonfigurovat různá prostředí. To znamená, že můžete například vytvořit dva účty, jeden používat jako prostředí pro svůj vlastní program a druhý s klasickým desktopovým prostředím pro administrativní záležitosti.
Podobnou funkci jako spouštěč prostředí má v moderních aplikacích přiřazený přístup. Tato funkce zajišťuje přímé spouštění do moderních aplikací. Umožňuje skrýt všechna oznámení, navíc můžete zablokovat některé dotyky nebo gesta myší, která by byla potřebná například k otevření Centra akcí. Zablokované budou také některé kombinace kláves, nicméně z aplikace bude i tak možné vystoupit pomocí přerušovací klávesy. Jestliže ji stisknete pětkrát po sobě, přerušením se dostanete na přihlašovací obrazovku.
Tato funkce blokuje aplikace, jejichž spuštění nechcete povolit. Můžete ji nakonfigurovat vytvořením černé – nebo bílé listiny. Aplikaci můžete povolit spuštění například cestou ve spouštěcím souboru, hodnotou hash nebo můžete povolit jen spouštění aplikací od určitého výrobce.
Zásadami pro zařízení USB je možné chránit systém před nežádoucími prvky USB. Existuje způsob, jak zablokovat zařízení USB na základě jejich ID, můžete je také blokovat na základě jejich třídy (například všechna zařízení Bluetooth) nebo obecně zablokovat všechna vyměnitelná zařízení. Zásady je možné neuplatňovat v případě správců, aby mohli pro potřeby údržby k systému i nadále připojovat jakékoliv zařízení.
Jedním z nejdůležitějších prvků integrovaného kanálu je sjednocený filtr zápisu. Chrání pevný disk před nežádoucími změnami. Pokud tento filtr aktivujete, nová data se budou zapisovat pouze do paměti RAM a ne na fyzický pevný disk. Žádná změna tedy pevný disk neovlivní a po restartu počítače se ztratí. Pokud by ale bylo třeba nějaký soubor nebo složku (například databázi) na disku aktualizovat, můžete pro určité soubory nebo složky vytvořit výjimky.
Existuje také servisní režim, který vám umožní zařízení aktualizovat i s aktivovaným filtrem. Servisní mód zařízení restartuje do nechráněného režimu. Během toho bude sjednocený filtr zápisu deaktivován a přes celou obrazovku bude spořič, který nepůjde ukončit. V pozadí bude zařízení provádět všechny aktualizace Windows a aplikací. Po dokončení se opět restartuje a Sjednocený filtr zápisu bude zařízení znovu chránit.
Ochrana zařízení je kombinace mnoha bezpečnostních prvků, které Microsoft vytvořil v minulosti. Pomocí Ochrany zařízení můžete ve firmwaru uložit certifikát a Windows pak spustí pouze aplikace, které byly tímto certifikátem podepsány. Žádné jiné aplikace nepůjde v systému spustit. Navíc každá aplikace běží ve své vlastní virtuální paměti a nemá přístup k paměti žádné jiné aplikace. V současné době to je nejbezpečnější způsob, jak provozovat Windows, protože žádné viry ani malware tak nelze v systému spustit.
Pomocí nástroje BitLocker můžete zcela zašifrovat disk, a to včetně stránkovacího souboru a souboru hibernace. BitLocker se dá na zařízení použít několika způsoby. Šifrovací klíč můžete uložit na čip TPM a disk pak bude fungovat pouze na daném konkrétním zařízení. Pokud někdo pevný disk vyjme, bude zcela zašifrován. V zařízení ale půjde normálně spustit. Alternativně můžete šifrovací klíč uložit na vyměnitelné zařízení. Zařízení se pak spustí pouze, bude-li mít k sobě připojené vyměnitelné zařízení. Nástroj BitLocker podporuje také zadávání kódu PIN při spouštění. Tím však už zařízení ztrácí možnost integrovaného spouštění, protože už se nebude spouštět bezobslužně.
Windows 10 IoT Enterprise podporuje přes 30 různých jazykových sad (MUI – multi uživatelských rozhraní) včetně české a slovenské. Pokud započítáme i balíčky jazykových rozhraní (LIP) jako en-UK a en-US, máte k dispozici více než 100 jazykových sad. Použít musíte alespoň jednu jazykovou sadu, ale můžete jich použít, kolik budete chtít. Ze strany licence neexistuje žádné omezení.
Aktualizace
U Windows 10 se model poskytování služeb zcela změnil. Nyní můžete získat své aktualizace čtyřmi způsoby – větvemi. První větev představuje Windows Insider Preview.
Windows Insider Preview
Jedná se o beta-program od Microsoftu. Pokud jste členem programu Windows Insider, získáte všechny funkce a aktualizace zabezpečení co nejdříve. K novým aktualizacím je také možné poslat společnosti Microsoft zpětnou vazbu.
Consumer Branch
Další větví je Consumer Branch – „větev uživatelů“. Ta, jak už název napovídá, je určena pro klasické uživatele Windows. Ti dostávají většinou měsíční aktualizace a musejí je na svých zařízeních všechny nainstalovat. Aktualizace nelze deaktivovat ani nějakou vynechat a přejít rovnou na další. To je dobré i pro vývojáře aplikací, protože pokud svou aplikaci vytvoří pro novou verzi Windows Insider Preview, mají jistotu, že jejich aplikace bude fungovat na všech uživatelských zařízeních. Svou aplikaci mohou vydat spolu s příští uživatelskou aktualizací a mít jistotu, že většina uživatelů bude mít novou verzi Windows 10 do 2 až 3 týdnů.
CBB (Current Branch Business) nebo SAC (Semi-Annual Channel)
Další větví je CBB (Current Branch Business) nebo SAC (Semi-Annual Channel). Ta je určena firmám, protože ty většinou provozují své vlastní interní programy a aplikace, které si pro konkrétní verze Windows testují. Takže když přijde nová aktualizace, mohou ji na alespoň čtyři měsíce odložit a otestovat. Během té doby budou dál dostávat pro svá zařízení bezpečnostní aktualizace, ale ne nežádoucí aktualizace funkcí. Po dokončení testů mohou jednoduše aktualizovat na novou verzi Windows nebo pokud je k dispozici, rovnou na další verzi. To je užitečné i pro integrovaný kanál.
LTSB (Long-Term Servicing Branch) nebo LTSC (Long-Term Servicing Channel)
Poslední větví je LTSB (Long-Term Servicing Branch) nebo LTSC (Long-Term Servicing Channel) určená pro integrované/embedded/IoT systémy. V integrovaném kanálu by měla zařízení běžet alespoň deset let bez jakékoli změny v hlavní konfiguraci. Protože je dnes mnoho zařízení připojených k internetu, důležité jsou aktualizace zabezpečení. Model LTSB a LTSC je určen právě pro tento scénář: nabízí pouze bezpečnostní aktualizace, ale ne aktualizace funkcí. Tyto aktualizace jsou zaručeny na deset let! Verze LTSB a LTSC umožňuje také dle potřeby aktualizace zcela zakázat. Verze LTSB a LTSC podporuje Microsoft model průmyslového životního cyklu a dává OEM výrobcům plnou kontrolu nad chováním aktualizací v jejich zařízeních.