A ne že se pak někdo bude divit. Což se divit bude. Vždycky se někdo diví. Ale vy určitě nebudete, protože sledujete tento blog. Protože štěstí přeje připraveným. Zvláště co se týče termínů ukončení podpory. Třeba pro starší operační systémy. Nebo systémové komponenty.
Co nás tedy čeká v následujících letech? Jisté je jen jedno. Tempo změn bude poněkud zrychlovat. O to více se budou rozevírat nůžky technologického dluhu mezi stavem a nastavením některých prostředí a kýženou realitou, kterou si přejí v Redmondu. A často i bezpečnostní odborníci.
Ono přeci jen držet tempo inovací stojí čas a někdy i peníze. A čas jsou peníze. Ale je to investice, která se vám mnohonásobně vrátí. Třeba v ušetřených nákladech na obnovu po ransomware útoku. Nebo zjednodušením a konsolidací variantních systémů a nastavení.
Pojďme tedy na ten výčet změn, ať tedy nejsme překvapeni.
NTLM
Je to tak. Už bylo vážně na čase. Všechny verze NTLM, od LANMAN, přes NTLMv1 až po NTLMv2 byly nyní označeny jako komponenty, které dále nejsou vyvíjeny a jsou takzvaně „deprecated“.
Stále ještě v současných vydáních nových operačních systémů (serverových i klientských) jsou k dispozici, ale brzy budou jen volitelnými. A od volitelných a instalovaných přejdou dříve či později (a to záleží i na vás a využití ve světě) na volitelné a neinstalované. A jednoho dne budou ze systémů zcela odebrané.
Což bezpečnostní specialisté jistě ocení, protože tyto protokoly jsou častou dírou do prostředí a jejich zranitelnosti jsou spíše jejich vlastnostmi.
Je tedy nejvyšší čas začít auditovat jejich užití a přejít na modernější protokoly, nejen Kerberos. A to může některým produktům, aplikacím, systémům jistou chvíli trvat. A vyžadovat třeba upgrade. Nebo telefonát či e-mail jejich výrobci. Možná byste se totiž až divili, co na tyto protokoly i v dnešní moderní době kriticky spoléhá.
Více informací lze nalézt v článku The evolution of Windows authentication | Windows IT Pro Blog (microsoft.com).
Microsoft BitLocker Administration and Monitoring (MBAM)
Je možná pro některé překvapením, ale skutečně dále není vyvíjen, ani rozvíjen. Z jeho integrace například s lokálním MECM (starý dobrý System Center Configuration Manager) je možné přejít kupodivu na ukládání klíčů v Entra ID a konfiguraci pomocí Intune.
Některé funkce nejsou bohužel nativně k dispozici, například jednoduchá volba PIN ze strany uživatele, ale nechme se překvapit. Nicméně až skončí podpora balíčku MDOP, kterého byl původně součástí a verzí MECM, které jej oficiálně podporují, budete mít aspoň plán.
SMB V1
Ačkoliv je standardně již dlouho zakázán, dojde nyní k definitivnímu odebrání jeho komponent. Přeci jen tu máme několik novějších a bezpečnějších a lepších verzí, které dokáží z moderních sítí i serverů a klientů vymáčknout maximum a to při zvýšení bezpečnosti.
Mail & Calendar
Aplikace Pošta a Kalendář, které přišly v rámci klientských Windows jsou nyní nahrazovány novým Outlook klientem ve formátu moderní webové aplikace. Pro některé uživatele příjemná změna, pro jiné drobný šok v ovládání. Z pohledu provozu ovšem dobrý krok z hlediska snížení povrchu pro možný útok na samotný operační systém.
WebDAV
Oblíbený protokol pro práci se soubory v Průzkumníkovi například v lokálně nasazeném SharePoint Serveru je ze strany serveru i klienta na cestě k odstranění. OneDrive klient náhradou, ale pozor na aplikace třetích stran spoléhající na tento archaický protokol.
VBScript
Oblíbený nástroj a jazyk pro skriptování pro IT kolegy, kteří si nezvykli na PowerShell. A také útočníky. Proto bude taktéž převeden na volitelnou komponentu před jeho definitivním zánikem.
Odstraněny budou i systémové reference, které využívaly integrace například Microsoft 365 Apps (Office aplikace) v rámci Accessu nebo Excelu pro práci se soubory nebo systémem. Samotné VBA v aplikacích ale zůstává beze změn. Tedy zatím. On na něm trochu stojí svět.
SMTP Server
Jejda, tato role Windows Server v poslední verzi mizí. Důvody jsou jasné. Téměř každé prostředí nyní vyžaduje bezpečnostní mechanismy jako je SPF, DKIM a DMARC pro bezpečné doručení e-mailových zpráv. Je tedy správný čas začít zkoumat možnosti v Exchange Online pro zasílání notifikací, zpráv z lokálních systémů a aplikací.
WordPad
RTF soubory a základní editace textu je možné přenechat plnohodnotnému Wordu. A i Poznámkový blok doznal mnohých pozitivních změn. Ale možná bude chybět autorům řetězových e-mailů.
DirectAccess
Nasazení nikdy nebylo jednoduché, ale přínosy byly obrovské. Stejně jako potřeby pro provoz a správu tohoto řešení vzdáleného přístupu. Se změnou stylu práce, přesunu aplikací do SaaS režimů a rozpadu interních perimetrů, příchodem jednodušší Always On VPN se i tato technologie poroučí.
Microsoft Store for Business
Starý portál pro pořízení firemních aplikací se též loučí. Jeho integrace v Intune a pomocí WinGet nabízí správcům dále možnosti instalovat firemní aplikace bez omezení a zamezit uživatelům přístup k soukromému obchodu s aplikacemi. Jen to off-line pořízení už není na pár kliknutí myši.
TLS 1.0 a TLS 1.1 i RSA šifry kratší 2048 bitů
Již nějakou dobu nedoporučované, v prohlížečích i systémech nepreferované, někdy i blokované dojdou svého finálního odstranění. Kontrola a ověření, že vše běží na TLS 1.2 nebo lépe TLS 1.3 je tedy na místě. Obdobně klíče RSA šifer kratší 2048 bitů již nebudou použitelné. Mohl bych vidět vaši interní certifikační autoritu?
Windows Information Protection
Pro ochranu dat málo využívané, spoléhající na funkce souborového systému, které možná již brzy nebudou s postupným náběhem ReFS k dispozici a překonané technologicky Microsoft Information Protection díky podpoře napříč platformami se definitivně loučí. Zkontrolujte, že nemáte chráněné ještě nějaké soubory.
PowerShell 2.0
I tento dědeček a jeho komponenty definitivně mizí, což snad nikoho již bolet nebude. Doufám aspoň.
WMIC
Příkazová řádka pro správu WMI je nahrazena PowerShell přístupem. A je tomu dobře.
Microsoft Defender Application Guard
Technologie pomocí virtualizace chránící Edge, aplikace Office ze systému mizí pro malé využití a vysoké nároky na provoz. Nativní možnosti Edge for Business pro ochranu obsahu jsou mnohonásobně dál.
Steps Recorder (psr.exe)
Oblíbená utilita pro nahrání obrázky a kroků vedoucích k problémů byla pro IT specialisty někdy nedocenitelná. I ta ze systému postupně mizí.
Azure AD Authentication Library (ADAL)
Stará knihovna a API pro přístup k Azure AD je potřeba nahradit novými verzemi MSAL knihoven a Graph API k Entra ID. Některé aplikace využívající tento typ ověření vůči 365 službám jsou ale stále využívány. V konzoli lze zobrazit report a ověřit jejich využití.
Metody pro Per User MFA v Office 365
Staré univerzální metody budou do druhé třetiny roku 2025 automaticky převedeny na jejich správu v Entra ID. Což možná bude znamenat drobné změny v MFA metodách, které jsou uživatelům k dispozici. Lepší projít, nastavit dle potřeby.
A co máme na pořadí v dalších letech? Tam toho čeká snad ještě více.
Říjen 2024
MFA Server: Lokální nasazení MFA například pro integraci s AD FS je potřeba nahradit cloudovým řešením z Entra ID, nebo minimálně správným adaptérem třetí strany.
Říjen 2025
Tak tohle bude hodně zajímavý termín. Končí totiž podpora hned následujících produktů, služeb a serverů i klientů. I těch značně populárních. Čas tedy běží.
Windows 10: Ve všech edicích i verzích. Jediná možnost je prodloužení bezpečnostních aktualizací pomocí placených ESU. Ale to nechcete. Vy chcete migrovat na Windows 11.
Office 2016 a Office 2019: Není náhodou, že právě budou vycházet nové Office i pro ty, kterým cloudové verze z nějakého důvodu nevyhovují.
Exchange Server 2016 a Exchange Server 2019: Oběma posledním verzím končí podpora a máme tady novou Subscription Edition. Tu je možné nasadit v hybridním provozu s Exchange Online, pokud skutečně potřebujete lokální server.
Říjen 2026
Office 2021: A i předposlední verze sady Office končí.
Červenec 2026
SharePoint 2016 a SharePoint 2019: Opět k dispozici ve formě Subscription Edition pro lokální nasazení.
Leden 2027
Windows Server 2016: Možná je to dlouhá doba, ale nedávno jste přece vypínali ty poslední Windows Server 2012 R2, takže možná čas uvažovat o 2022 nebo raději 2025.
Leden 2029
Windows Server 2019: Protože hned za rohem čeká konec i toto vydání.
Outlook: A třešnička na závěr. I klasický velký Outlook se loučí a jeho nástupce bude brzy výchozím nastavením v nových instalacích, pokud si neřeknete jinak. A to i mnohem dříve, než dojde k ukončení jeho podpory a aktualizací.
Takže nikdo nebude překvapen. Po dočtení tohoto článku určitě.
Stejně tak pomůže průběžné sledování stránek okolo: