Migration auf Windows 10
An einer Universität werden PCs (im IT-Jargon "Clients") sowohl in unzähligen diversen Kontexten der Fachbereiche in Forschung und Lehre als auch in den Verwaltungs- und Dienstleistungseinheiten genutzt. Nebst den sogenannten Arbeitsplätzen sind Dutzende weitere Spezialnutzungen dieser Clients mit sehr unterschiedlichen Anforderungen an die Hard- und Softwareausstattung von den IT-Services (ITS) zu bewirtschaften: öffentliche Informations- und Anzeigestationen, PCs zum Durchsuchen von Bibliothekskatalogen, PCs in Schulungs- und Praktikaräumen, Laborausstattungen und Gerätesteuerungen, um nur einige zu nennen.
Zum Start der Migration auf Windows 10 im Jahr 2016 bewirtschafteten die ITS ca. 3’300 PCs, die mehrheitlich unter Windows 7 betrieben wurden. Anfang 2020 lag die Zahl bereits bei knapp 3’900 PCs, welche zu diesem Zeitpunkt schon zu 98% auf Windows 10 umgestellt waren.
Das mag zuerst einmal wie ein sehr langer Zeitraum klingen. Abgesehen von der grossen Anzahl von Windows-PCs, die es umzustellen galt, muss man aber ebenfalls bedenken, dass die Migration im laufenden Lehr- und Forschungsbetrieb durchgeführt wurde und dabei zu keinerlei nennenswerten Beeinträchtigungen geführt hat.
Aber lassen Sie uns von vorne beginnen…
Die Veröffentlichung von Windows 10 am 29. Juli 2015 führte zu direkten Konsequenzen für die IT-Infrastruktur an der Universität Basel:
- Zum einen musste sichergestellt werden, dass private Windows-Rechner auch mit dem neuen Betriebssystem weiterhin ans Universitätsnetzwerk angeschlossen werden können.
- Zum anderen mussten Massnahmen getroffen werden, um das bis dahin an der Universität hauptsächlich eingesetzte Betriebssystem Windows 7 abzulösen. Der Zeitraum dafür wurde durch die Bekanntgabe eines offiziellen Supportendes für Windows 7 durch Microsoft (14. Januar 2020) klar vorgegeben.
Aus diesem Grund haben die IT-Services im Sommer 2015 ein Projekt zur Adressierung der oben erwähnten Punkte begonnen, das in drei Phasen eingeteilt wurde:
Phase 1: Bring Your Own Device, Juli 2015 – September 2015
Phase 1 diente der Information der Nutzenden, die mit dem Gedanken spielten, sich privat ein Windows-10-Gerät anzuschaffen, bzw. Ihre privaten Rechner auf Windows 10 umzustellen.
Die erste Massnahme war der Versand einer Info-Mail mit der Bitte, sich vor einem Kauf bzw. Update über die Windows-10-Kompatibilität der universitären IT-Infrastruktur auf der ITS-Website zu informieren.
Anschliessend wurden relevante Dienste und Software für Personen, die sich mit einem privaten Windows-10-Rechner ins Universitätsnetz einloggen wollten, identifiziert und ausgiebig getestet (VPN-Client, E-Mail, etc.). Die Testergebnisse wurden, wie im vorigen Absatz erwähnt, zur Selbstinformation auf der ITS-Website veröffentlicht.
Phase 2: Vorstudie Enterprise-Einsatz, Dezember 2015 – September 2016
In Phase 2 wurde die universitäre, von den IT-Services gemanagete IT-Landschaft hinsichtlich einer Migration auf Windows 10 analysiert. Diese Analyse wurde in folgende Teilbereiche aufgegliedert:
- Readiness Hardware
- Readiness Software
- Readiness Back-End (Lizenzmanagement, Storage, etc.)
- Features und Security (Telemetrie, BitLocker, UEFI, etc.)
- Potenzielle Migrationsszenarien
Unter anderem wurden in dieser Phase über 100 akademische Softwaretitel sowie 50 verschiedene Modelle von Arbeitsplatzrechnern (Desktops und Laptops) bezüglich ihrer Windows-10-Kompatibilität untersucht.
Zum Abschluss von Phase 2 wurde eine ITS-interne Empfehlung herausgegeben, mit welchen Rechnermodellen und zu welchen Rahmenbedingungen eine Windows-10-Migration in der nächsten Phase durchgeführt werden sollte.
Phase 3: Migration der gemanageten Bereiche, Februar 2017 – Dezember 2019
Mit den Empfehlungen aus Phase 2 als Grundlage haben die IT Service Center (ITSC) die Migration auf Windows 10 in den von ihnen betreuten Organisationseinheiten durchgeführt. Die Migration erfolgte koordiniert und in enger Absprache untereinander sowie in enger Absprache mit den Service-Erbringern in den IT-Services.
Jeder zur Migration geeignete Arbeitsplatzrechner wurde mit einem (über alle betreuten Organisationseinheiten hinweg) einheitlichen Image komplett neu installiert. D.h. dass alle vom ITS gemanageten migrierten Rechner eine gleiche Basis-Installation bekommen haben, die z.B. gewährleistet, dass überall die gleichen Security-Einstellungen gesetzt sind.
Security war generell ein wichtiges Thema bei der Einführung von Windows 10, da bei unvorsichtiger Konfiguration Daten über das Nutzerverhalten («Telemetrie-Daten») an Microsoft gesendet werden. Dies wird durch spezielle Einstellungen im ITS-Image unterbunden.
Gleichzeitig musste Rücksicht auf die Universitätsangehörigen genommen werden, um sie bei diesem Change mitzunehmen. Als flankierende Massnahmen wurde daher u.a. eine eigene Website ins Leben gerufen, die die ersten Schritte mit Windows 10 erleichtern sollte. Des Weiteren wurden Schulungen angeboten, sowie Videos und Unterlagen zur Selbstschulung zugänglich gemacht.
Zum Projektende am 1.4.2020 gab es nur noch 72 Rechner in den von den IT-Services gemanageten Bereichen, die noch unter Windows 7 betrieben wurden. Dies entspricht einem Anteil von weniger als 2% an der Gesamtzahl der betreuten Arbeitsplatzrechner.
Die fehlenden Prozentpunkte zu diesem Zeitpunkt können unter anderem durch Gerätesteuerungsrechner (welche z.B. zur Steuerung eines Mikroskops eingesetzt werden) erklärt werden, deren Migration sich generell schwieriger gestaltet. Durch einen Betrieb dieser Rechner in speziell abgesicherten Netzwerksegmenten werden aber Beeinträchtigungen der universitären IT-Sicherheit verhindert.
Im August 2020 wurde für alle Windows-7-Rechner, egal ob privat oder universitär, schliesslich der Zugang ins Universitätsnetzwerk gesperrt, falls diese PCs keine besonderen Schutzmassnahmen (Extended Support durch Microsoft oder der im vorherigen Abschnitt beschriebene Betrieb in abgesicherten Netzwerksegmenten) vorweisen konnten.
Die koordinierte Migration aller Arbeitsplatzrechner auf Windows 10 war eine grosse Herausforderung - welche aber auch positive Nebenwirkungen hatte. So konnte quasi nebenbei eine weitere Homogenisierung der IT-Landschaft über mehrere Organisationseinheiten hinweg erzielt werden, indem man die Anzahl der Rechnermodelle reduzierte, mit denen eine Windows-10-Migration überhaupt durchgeführt wurde.
Ebenso bot die Migration auf Windows 10 die Möglichkeit, Sicherheitskonzepte umzusetzen und dadurch die Security an der Universität Basel zu erhöhen. Genannt seien hier beispielsweise die Festplattenverschlüsselung und die zentrale Verwaltung von lokalen Administratorpasswörtern (LAPS).
Während in der ersten Phase vor allem der ServiceDesk und die IT Service Center (ITSC) involviert waren, die umfangreiche Tests durchführten und die gewonnenen Erkenntnisse aufbereiteten und an die Nutzenden weitergaben, so wurden spätestens ab der zweiten Phase auch viele Backend-Teams mit in die Arbeiten eingebunden. Der regelmässige Austausch im Projekt hat somit auch zu einem besseren Verständnis untereinander beigetragen.
Sehr positiv zu erwähnen ist auch, dass die Nutzenden das neue Betriebssystem sehr gut angenommen haben. Dies ist insbesondere den ITSCs zu verdanken, die die Migration durchgeführt und die Nutzenden bei der Umstellung begleitet haben.
Das Thema Windows 10 ist mit der Migration jedoch nicht abgeschlossen. Auch in der Zukunft warten weitere Herausforderungen auf die IT-Services. Insbesondere die regelmässigen Updates auf die jeweils aktuellsten Windows-10-Releases, die von Microsoft im Halbjahrestakt veröffentlicht werden, müssen durchgeführt und deren Verbreitung analysiert werden. Denn durch den Einsatz von Windows-10-Releases, die nicht mehr mit Security Updates versorgt werden, könnten sonst wiederum neue Sicherheitslücke in der universitären IT-Landschaft entstehen.