Конфигурирование и обновление устройств на базе Windows Embedded Standard

Журнал ИСУП

№ 6`2011

Введение

При разработке устройства желательно запланировать возможность внесения изменений в программную часть после того, как оно покинет производственный цех. Примерами таких модификаций могут служить обновления для устранения уязвимостей безопасности или исправления недочетов, выявленных в ходе эксплуатации. При наличии непосредственного доступа к устройству особых проблем с обновлением, как правило, не возникает – в крайнем случае всегда можно выполнить переустановку системы и программных компонентов. Отдельного внимания заслуживает тема обновления устройств, которые покинули конвейер и уже введены в эксплуатацию.

В арсенале Windows Embedded Standard, семейства компонентных встраиваемых ОС компании Microsoft, есть различные средства для обновления устройств. В данной статье мы познакомимся с основными из них и начнем с рассмотрения средств для решения, пожалуй, самых актуальной задачи – установки обновлений и исправлений безопасности операционной системы и ее компонентов.

Windows Update и Windows Server Update Services (WSUS)

Любая неавтономная система, имеющая связь с внешним миром, потенциально может подвергнуться несанкционированному доступу. Устройства в данном случае не являются исключением. Для борьбы с уязвимостями безопасности необходимо, чтобы в системе были установлены последние обновления безопасности. Для устройств на базе первого поколения встраиваемых ОС Windows XP Embedded/Windows Embedded Standard 2009 необходимо разворачивать специальные сервера обновлений WSUS (Windows Server Update Services) и нет возможности обновлять устройства напрямую через сеть Интернет с серверов Windows Update. Начиная с Windows Embedded Standard 7, последней версии встраиваемой ОС на базе функционала настольной ОС, появилась возможность использовать инфраструктуру обновлений доступную настольным системам, т.е. с использованием Windows Update. Таким образом, для устройств на базе WES7 упрощаются требования к инфраструктуре.

Device Update Agent

Основным ограничением технологии обновлений на основе Windows Update является спектр возможных обновлений, который ограничен только обновлениями безопасности. Для доставки и установки собственных обновлений, например для внесения исправлений в оболочку используются другие механизмы. Одним из простейших и при этом достаточно универсальных является специальный компонент встраиваемых ОС Windows XP Embedded/Windows Embedded Standard 2009 – Device Update Agent (DUA). DUA – это служба, которая отслеживает наличие обновлений на локальном диске устройства или Web-сервере и запускает заранее подготовленный скрипт для их установки на устройстве. DUA позволяет в автоматическом режиме устанавливать приложения, драйвера, работать с файловой системой и реестром. Следует отметить, что в поставку последней версии, Windows Embedded Standard 7, данный компонент не включен.

Средства удаленного администрирования

В ряде случае необходимо выполнить конфигурирование устройства, скажем так, в ручном режиме непосредственно на самом устройстве. Для этих целей встраиваемые ОС Windows Embedded Standard содержат несколько средств для удаленного подключения. Во-первых, это служба удаленного рабочего стола по протоколу RDP. Данная служба позволяет подключаться к устройству и конфигурировать его привычным образом, используя интерфейс настольной версии Windows. В устройствах, где по той или иной причине нежелательно включать поддержку удаленного рабочего стола, например в целях минимизации образа системы, можно воспользоваться другим стандартным средством – компонентом Telnet-сервера. Кроме этого есть возможность удаленно редактировать реестр, настраивать службы, создавать учетные записи пользователей и пр. при помощи Windows Management Instrumentation, для поддержки которого в Windows Embedded Standard есть соответствующий компонент.

DISM и PowerShell

Иногда в ходе эксплуатации устройства возникает необходимость внести более существенные изменения, затрагивающие функциональность образа, когда требуется добавить или удалить пакет компонентной ОС. В Windows XP Embedded\Standard 2009 для этого требовалось заново собирать образ и выполнять его инициализацию на устройстве, что, очевидно, не всегда возможно. В Windows Embedded Standard 7 появился более элегантный способ решения данной проблемы при помощи специальной утилиты DISM (Deployment Image Servicing and Management). Данная утилита позволяет добавлять или удалять пакеты в двух режимах: в сервисном режиме и непосредственно на работающем образе. Второй вариант будет полезен для сценария удаленного доступа.

Часто для автоматизации манипуляций над программной частью устройства используются пакетные файлы и скрипты. Наиболее мощным в этом плане средством является Windows PowerShell. Для написания скриптов в PowerShell используется собственный достаточно простой язык. Благодаря тесной интеграции с такими ключевыми моделями разработки и управления, как COM, WMI и .NET Framework, PowerShell полностью оправдывает свое название. Для Windows Embedded Standard 7 пакет для поддержки PowerShell на устройстве сразу идет в поставке средств разработки. В случае WES 2009 нужно предварительно установить соответствующее обновление.

System Center Configuration Manager 2007 и Device Manager 2011

В случае большого количества устройств, когда ранее приведенные технологии не позволяют обеспечить должный уровень обслуживания систем, имеет смысл рассмотреть более развитые средства по конфигурированию устройств. К таким продуктам можно отнести System Center Configuration Manager 2007 – централизованное средство по управлению доставкой и установкой любых обновлений для настольных и серверных систем Microsoft Windows. Благодаря специальному расширению Device Manager 2011 данное инфраструктурное решение будет востребовано и для устройств на базе Windows Embedded Standard. Указанное расширение позволяет выполнять обновление и конфигурирование устройств с учетом технологий для встраивания, которые могут быть задействованы в устройствах. Для того чтобы устройство было доступно для конфигурирования через SCCM на нем предварительно должна быть установлена клиентская часть, Configuration Manager (рис. 1).

Рис. 1. Клиентская часть SCCM

После того, как устройство было зарегистрировано в SCCM, все операции над ним можно выполнять централизовано из консоли SCCM. Для удобства обслуживания большого количества различных систем – обычных настольных, встраиваемых и прочих – в SCCM реализованы коллекции (Collections). В коллекцию могут быть объединены однотипные системы, конфигурирование которых выполняется по единому алгоритму, т.е. обновления можно применить сразу к целой группе устройств. Все устройства на базе Windows Embedded, как видно из рис. 2, могут быть разбиты на несколько категорий. Изначально предопределены коллекции для устройств типа цифровых витрин (All Digital Signage Devices), портативных устройств (All Handheld Devices), устройств для точек обслуживания (All Point of Service Devices) и тонких клиентов или терминалов (All Thin Client Devices). Также есть возможность создавать собственные коллекции, на рисунке это «TechEd Demo Collection».

Рис. 2. Коллекции Windows Embedded устройств в консоли SCCM

Устройства, в образ которых включены такие технологии для встраивания, как фильтры защиты от записи, требуют особой процедуры по внесению изменений. Особенность заключается в том, что ввиду использования фильтров защиты от записи изменения могут не сохраниться после перезагрузки устройства. Во избежание подобной ситуации в консоли SCCM доступен специальный раздел для устройств, Embedded Device Management (рис. 3), со всеми необходимыми средствами включая развертывание ОС. Данный раздел появляется в консоли после установки ранее упомянутого расширения Device Manager 2011.

Рис. 3. Раздел консоли SCCM для конфигурирования устройств Windows Embedded

Резюме

При разработке устройств на базе специализированных встраиваемых ОС семейства Windows Embedded Standard доступен широкий спектр средств для конфигурирования и обновления программной части устройств, начиная со штатного средства по установке обновлений безопасности через Windows Update и заканчивая комплексными решениями, которым является System Center Configuration Manager c расширением Device Manager 2011.

Полный текст статьи

П.В. Белевский, ведущий специалист отдела исследований и разработок,

Департамент встраиваемых систем,

ООО «Кварта Технологии», г. Москва,

pavelb@quarta.ru